使用服務連結角色進行自動化 - AWS Compute Optimizer
Compute Optimizer Automation 的服務連結角色許可服務連結角色許可為運算最佳化工具自動化建立服務連結角色編輯運算最佳化工具自動化的服務連結角色刪除運算最佳化工具自動化的服務連結角色Compute Optimizer Automation 服務連結角色支援的 區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用服務連結角色進行自動化

AWS Compute Optimizer use AWS Identity and Access Management (IAM) 服務連結角色,名為 AWSServiceRoleForComputeOptimizerAutomation。服務連結角色是直接連結至 Compute Optimizer Automation 的唯一 IAM 角色類型。服務連結角色是由 Compute Optimizer Automation 預先定義,並包含該服務代表您呼叫其他 所需的所有許可。

使用服務連結角色,設定 Compute Optimizer Automation 不需要手動新增必要的許可。Compute Optimizer Automation 會定義其服務連結角色的許可,除非另有定義,否則只有 Compute Optimizer Automation 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。

如需有關支援服務連結角色的其他 服務的資訊,請參閱AWS 使用 IAM 的服務,並在角色欄中尋找具有的服務。選擇具有連結的,以檢視該服務的服務連結角色文件。

Compute Optimizer Automation 的服務連結角色許可

Compute Optimizer Automation 使用名為 AWSServiceRoleForComputeOptimizerAutomation 的服務連結角色,可讓您存取 Compute Optimizer Automation 使用或管理 AWS 的服務和資源。此服務連結角色可讓 Compute Optimizer Automation 透過執行任務來實作最佳化建議,例如透過其他 AWS 服務建立、修改和刪除資源。

AWSServiceRoleForComputeOptimizerAutomation 服務連結角色信任aco-automation.amazonaws.com服務擔任該角色。

AWSServiceRoleForComputeOptimizerAutomation 服務連結角色使用受管政策 AWSComputeOptimizerAutomationRolePolicy

服務連結角色許可

若要為 Compute Optimizer Automation 建立服務連結角色,請設定許可以允許 IAM 實體 (例如使用者、群組或角色) 建立服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的服務連結角色許可

將下列政策新增至需要建立服務連結角色的 IAM 實體。

{
    "Version": "2012-10-17",                   
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
            "Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
        }
    ]
}

為運算最佳化工具自動化建立服務連結角色

當您啟用 Compute Optimizer Automation 時,會自動建立 AWSServiceRoleForComputeOptimizerAutomation 服務連結角色。您可以在 AWS CLI 或 IAM API 中手動啟用 AWSServiceRoleForComputeOptimizerAutomation。

為 Compute Optimizer Automation 管理帳戶建立的服務連結角色不適用於成員帳戶。啟用功能時,Compute Optimizer Automation 會為每個帳戶建立個別的服務連結角色。當管理帳戶為成員帳戶啟用自動化時,運算最佳化工具自動化會在該帳戶第一次實作建議動作時,隨需建立服務連結角色。當管理帳戶或成員帳戶直接啟動動作,或自動化規則對該成員帳戶執行動作時,就會發生這種情況。

編輯運算最佳化工具自動化的服務連結角色

Compute Optimizer Automation 不允許您編輯 AWSServiceRoleForComputeOptimizerAutomation 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

刪除運算最佳化工具自動化的服務連結角色

若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。這樣就不會有未積極監控或維護的未使用實體。

當您停用 Compute Optimizer Automation 時,Compute Optimizer Automation 不會自動為您刪除 AWSServiceRoleForComputeOptimizerAutomation 服務連結角色。如果您再次啟用 Compute Optimizer Automation,則服務可以再次開始使用現有的服務連結角色。如果您不再需要使用 Compute Optimizer Automation,您可以手動刪除服務連結角色。

重要

刪除 AWSServiceRoleForComputeOptimizerAutomation 服務連結角色之前,您必須先停用 Compute Optimizer Automation。如果您嘗試刪除服務連結角色時未停用 Compute Optimizer Automation,刪除會失敗。

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForComputeOptimizerAutomation 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色

Compute Optimizer Automation 服務連結角色支援的 區域

Compute Optimizer Automation 支援在所有提供服務的區域中使用服務連結角色。若要檢視 Compute Optimizer 目前支援的 AWS 區域 和 端點,請參閱《 AWS 一般參考》中的 Compute Optimizer Endpoints and Quotas