Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Uso di ruoli collegati ai servizi
Supporto AWS e AWS Trusted Advisor usa ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un ruolo IAM unico collegato direttamente a e. Supporto Trusted Advisor In ogni caso, il ruolo collegato ai servizi è un ruolo predefinito. Questo ruolo include tutte le autorizzazioni necessarie Supporto o Trusted Advisor necessarie per chiamare altri AWS servizi per tuo conto. I seguenti argomenti spiegano cosa fanno i ruoli collegati ai servizi e come utilizzarli in and. Supporto Trusted Advisor
**Topics**
+ [Utilizzo dei ruoli collegati ai servizi per Supporto AWS](using-service-linked-roles-sup.md)
+ [Utilizzo di ruoli collegati ai servizi per Trusted Advisor](using-service-linked-roles-ta.md)
# Utilizzo dei ruoli collegati ai servizi per Supporto AWS
Supporto AWS gli strumenti raccolgono informazioni sulle AWS risorse dell'utente tramite chiamate API per fornire assistenza clienti e supporto tecnico. Per aumentare la trasparenza e la verificabilità delle attività di supporto, Supporto utilizza un ruolo collegato ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM).
Il ruolo `AWSServiceRoleForSupport` collegato al servizio è un ruolo IAM unico a cui è collegato direttamente. Supporto Questo ruolo collegato al servizio è predefinito e include le autorizzazioni necessarie per chiamare altri servizi per Supporto tuo conto. AWS
Ai fini dell'assunzione del ruolo `AWSServiceRoleForSupport`, il ruolo collegato ai servizi `support.amazonaws.com`considera attendibile il servizio.
Per fornire questi servizi, le autorizzazioni predefinite del ruolo danno Supporto accesso ai metadati delle risorse, non ai dati dei clienti. Solo Supporto gli strumenti possono assumere questo ruolo, che esiste all'interno del tuo account. AWS
Abbiamo redatto campi che potrebbero contenere i dati dei clienti. Ad esempio, i `Output` campi `Input` e della chiamata [GetExecutionHistory](https://docs.aws.amazon.com/step-functions/latest/apireference/API_GetExecutionHistory.html)per la chiamata AWS Step Functions API non sono visibili a Supporto. Usiamo AWS KMS keys per crittografare i campi sensibili. Questi campi sono oscurati nella risposta dell'API e non sono visibili agli Supporto AWS agenti.
**Nota**
AWS Trusted Advisor utilizza un ruolo separato collegato ai servizi IAM per accedere alle AWS risorse del tuo account e fornire consigli e verifiche sulle migliori pratiche. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Trusted Advisor](using-service-linked-roles-ta.md).
Il ruolo `AWSServiceRoleForSupport` collegato al servizio consente a tutte le chiamate Supporto AWS API di essere visibili ai clienti tramite. AWS CloudTrail Questo aiuta a soddisfare i requisiti di monitoraggio e controllo, poiché fornisce un modo trasparente per comprendere le azioni che vengono eseguite per conto dell' Supporto utente. Per informazioni in merito CloudTrail, consulta la [Guida per l'AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Autorizzazioni di ruolo collegate al servizio per Supporto
Questo ruolo utilizza la politica gestita. `AWSSupportServiceRolePolicy` AWS Questa policy gestita è attribuita al ruolo e dà l'autorizzazione al ruolo di completare operazioni per tuo conto.
Queste operazioni possono includere:
+ **Fatturazione, amministrazione, assistenza e altri servizi clienti**: il servizio AWS clienti utilizza le autorizzazioni concesse dalla politica gestita per eseguire una serie di servizi come parte del piano di supporto. Ciò implica analizzare e rispondere a domande sull'account e sulla fatturazione, fornire supporto amministrativo per l'account, aumentare le quote dei servizi e offrire ulteriore supporto al cliente.
+ **Elaborazione degli attributi del servizio e dei dati di utilizzo per l' AWS account**: Supporto potrebbe utilizzare le autorizzazioni concesse dalla politica gestita per accedere agli attributi del servizio e ai dati di utilizzo per l'account. AWS Questa politica consente di Supporto fornire supporto tecnico, amministrativo e di fatturazione per l'account. Gli attributi di servizio includono gli identificatori delle risorse, i tag dei metadati, i ruoli e le autorizzazioni dell'account. I dati di utilizzo includono le policy di utilizzo, le statistiche sull'utilizzo e analisi.
+ **Mantenimento dello stato operativo dell'account e delle relative risorse**: Supporto utilizza strumenti automatizzati per eseguire azioni relative al supporto operativo e tecnico.
Per ulteriori informazioni sui servizi e le operazioni consentite, consulta la policy [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) nella console IAM.
**Nota**
Supporto AWS aggiorna automaticamente la `AWSSupportServiceRolePolicy` politica una volta al mese per aggiungere autorizzazioni per nuovi AWS servizi e azioni.
Per ulteriori informazioni, consulta [AWS politiche gestite per Supporto AWS](security-iam-awsmanpol.md).
## Creazione di un ruolo collegato al servizio per Supporto
Non devi creare manualmente il ruolo `AWSServiceRoleForSupport`. Quando crei un AWS account, questo ruolo viene creato e configurato automaticamente per te.
**Importante**
Se lo utilizzavi Supporto prima che iniziasse a supportare ruoli collegati ai servizi, allora hai AWS creato il `AWSServiceRoleForSupport` ruolo nel tuo account. Per ulteriori informazioni, consulta [Comparsa di un nuovo ruolo nell'account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Modifica ed eliminazione di un ruolo collegato al servizio per Supporto
È possibile utilizzare IAM per modificare la descrizione del ruolo collegato ai servizi `AWSServiceRoleForSupport`. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
Il `AWSServiceRoleForSupport` ruolo è necessario per Supporto fornire supporto amministrativo, operativo e tecnico per l'account. Di conseguenza, questo ruolo non può essere eliminato tramite la console IAM, l'API o AWS Command Line Interface (AWS CLI). In questo modo il tuo account AWS è protetto, perché non è possibile rimuovere inavvertitamente le autorizzazioni necessarie per amministrare i servizi di supporto.
I clienti che hanno effettuato l'onboarding AWS Organizations e che dispongono di un Supporto piano Enterprise possono eliminare il ruolo collegato al `AWSServiceRoleForSupport` servizio. L'eliminazione di questo ruolo limita l'accesso alle tue risorse da parte Supporto AWS degli ingegneri, limitando la loro capacità di eseguire azioni per tuo conto. Per ulteriori informazioni o per richiedere l'eliminazione del ruolo `AWSServiceRoleForSupport` legato al servizio, contattate il vostro Technical Account Manager (TAM).
Per ulteriori informazioni sul ruolo `AWSServiceRoleForSupport` o sui suoi utilizzi, contatta [Supporto](https://aws.amazon.com/support).
# Utilizzo di ruoli collegati ai servizi per Trusted Advisor
AWS Trusted Advisor utilizza il ruolo collegato al [servizio AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) (IAM). Un ruolo collegato al servizio è un ruolo IAM unico a cui è collegato direttamente. AWS Trusted Advisor I ruoli collegati ai servizi sono predefiniti da Trusted Advisor e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS Trusted Advisor utilizza questo ruolo per verificare l'utilizzo da parte dell'utente AWS e fornire consigli per migliorare l'ambiente. AWS Ad esempio, Trusted Advisor analizza l'utilizzo dell'istanza Amazon Elastic Compute Cloud (Amazon EC2) per aiutarti a ridurre i costi, aumentare le prestazioni, tollerare i guasti e migliorare la sicurezza.
**Nota**
Supporto AWS utilizza un ruolo separato collegato ai servizi IAM per accedere alle risorse del tuo account e fornire servizi di fatturazione, amministrazione e supporto. Per ulteriori informazioni, consulta [Utilizzo dei ruoli collegati ai servizi per Supporto AWS](using-service-linked-roles-sup.md).
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cerca i servizi che hanno **Sì** nella colonna **Ruolo collegato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
**Topics**
+ [Autorizzazioni di ruolo collegate al servizio per Trusted Advisor](#service-linked-role-permissions-ta)
+ [Gestione dei permessi per ruoli collegati ai servizi](#manage-permissions-for-slr)
+ [Creazione di un ruolo collegato al servizio per Trusted Advisor](#create-service-linked-role-ta)
+ [Modifica di un ruolo collegato al servizio per Trusted Advisor](#edit-service-linked-role-ta)
+ [Eliminazione di un ruolo collegato al servizio per Trusted Advisor](#delete-service-linked-role-ta)
## Autorizzazioni di ruolo collegate al servizio per Trusted Advisor
Trusted Advisor utilizza due ruoli collegati ai servizi:
+ [AWSServiceRoleForTrustedAdvisor](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisor)— Questo ruolo prevede che il Trusted Advisor servizio assuma il ruolo di accedere ai AWS servizi per conto dell'utente. La politica di autorizzazione dei ruoli consente l'accesso in Trusted Advisor sola lettura a tutte le risorse. AWS Questo ruolo semplifica le operazioni iniziali con l' AWS account, in quanto non è necessario aggiungere le autorizzazioni necessarie per. Trusted Advisor Quando apri un AWS account, Trusted Advisor crea questo ruolo per te. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Le policy di autorizzazioni non possono essere attribuite a nessun'altra entità IAM.
Per ulteriori informazioni sulla policy attribuita, consulta la sezione [AWSTrustedAdvisorServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy).
+ [https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting): Questo ruolo consente al servizio Trusted Advisor di assumere il ruolo per la funzionalità di visualizzazione dell'organizzazione. Questo ruolo Trusted Advisor funge da servizio affidabile all'interno AWS Organizations dell'organizzazione. Trusted Advisor crea questo ruolo per te quando abiliti la visualizzazione organizzativa.
Per ulteriori informazioni sulla policy attribuita, consulta la sezione [AWSTrustedAdvisorReportingServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy).
È possibile utilizzare la visualizzazione organizzativa per creare report per Trusted Advisor controllare i risultati di tutti gli account dell'organizzazione. Per ulteriori informazioni sull'utilizzo di questa caratteristica, consulta [Visualizzazione organizzativa per AWS Trusted Advisor](organizational-view.md).
## Gestione dei permessi per ruoli collegati ai servizi
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Gli esempi seguenti utilizzano il ruolo collegato ai servizi `AWSServiceRoleForTrustedAdvisor`.
**Example : Consentire a un'entità IAM di creare il ruolo collegato ai servizi `AWSServiceRoleForTrustedAdvisor`**
Questo passaggio è necessario solo se l' Trusted Advisor account è disabilitato, il ruolo collegato al servizio viene eliminato e l'utente deve ricreare il ruolo per riattivarlo. Trusted Advisor
Puoi aggiungere la seguente istruzione alla policy delle autorizzazioni per permettere all'entità IAM di creare il ruolo collegato ai servizi.
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example : **Consentire a un'entità IAM di modificare la descrizione del ruolo collegato ai servizi `AWSServiceRoleForTrustedAdvisor`****
Puoi modificare solo la descrizione per ruolo `AWSServiceRoleForTrustedAdvisor`. Puoi aggiungere la seguente istruzione alla policy delle autorizzazioni per permettere all'entità IAM di modificare la descrizione di un ruolo collegato ai servizi.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example : Consentire a un'entità IAM di eliminare il ruolo collegato ai servizi `AWSServiceRoleForTrustedAdvisor`**
Aggiungi la seguente istruzione alla policy delle autorizzazioni per permettere all'entità IAM di eliminare un ruolo collegato ai servizi.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
È inoltre possibile utilizzare una politica AWS gestita, ad esempio per fornire l'[AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)accesso completo a. Trusted Advisor
## Creazione di un ruolo collegato al servizio per Trusted Advisor
Non devi creare manualmente il ruolo collegato al servizio `AWSServiceRoleForTrustedAdvisor`. Quando apri un AWS account, Trusted Advisor crea automaticamente il ruolo collegato al servizio.
**Importante**
Se utilizzavi il Trusted Advisor servizio prima che iniziasse a supportare i ruoli collegati al servizio, allora hai Trusted Advisor già creato il `AWSServiceRoleForTrustedAdvisor` ruolo nel tuo account. Per ulteriori informazioni, consulta [Comparsa di un nuovo ruolo nell'account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) nella *Guida per l'utente IAM*.
Se l'account non ha un ruolo collegato ai servizi `AWSServiceRoleForTrustedAdvisor` collegato ai servizi, Trusted Advisor non funzionerà nel modo previsto. Questo potrebbe accadere se qualcuno nell'account ha disabilitato Trusted Advisor e ha eliminato il ruolo collegato ai servizi. In questo caso è possibile utilizzare IAM per creare il ruolo collegato ai servizi `AWSServiceRoleForTrustedAdvisor` collegato ai servizi per poi riabilitare Trusted Advisor.
**Da abilitare Trusted Advisor (console)**
1. Utilizza la console IAM o AWS CLI l'API IAM per creare un ruolo collegato al servizio per. Trusted Advisor Per ulteriori informazioni, consultare la pagina relativa alla [creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role).
1. Accedi a Console di gestione AWS, quindi accedi alla Trusted Advisor console all'indirizzo. [https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor)
Nella console viene visualizzato il banner che indica lo stato **Disabled Trusted Advisor (Truster Advisor disabilitato)**.
1. Scegli **Abilita Trusted Advisor ruolo** dal banner di stato. Se il `AWSServiceRoleForTrustedAdvisor` richiesto non viene rilevato, il banner di stato rimane disabilitato.
## Modifica di un ruolo collegato al servizio per Trusted Advisor
Dopo aver creato un ruolo collegato ai servizi, non è possibile modificarne il nome, perché potrebbero riferirvisi diverse entità. Tuttavia, puoi utilizzare la console IAM o AWS CLI l'API IAM per modificare la descrizione del ruolo. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Trusted Advisor
Se non è necessario utilizzare le funzionalità o i servizi di Trusted Advisor, è possibile eliminare il ruolo. `AWSServiceRoleForTrustedAdvisor` È necessario disattivarlo Trusted Advisor prima di poter eliminare questo ruolo collegato al servizio. Questo ti impedisce di rimuovere le autorizzazioni necessarie per eseguire le operazioni di Trusted Advisor . Quando si disattiva Trusted Advisor, si disattivano tutte le funzionalità del servizio, tra cui l'elaborazione e le notifiche offline. Inoltre, se disattivi Trusted Advisor un account membro, ne risentirà anche l'account di pagamento separato, il che significa che non riceverai Trusted Advisor assegni che identificano i modi per risparmiare sui costi. Non è possibile accedere alla console Trusted Advisor . Chiamate API per Trusted Advisor restituire un errore di accesso negato.
È necessario ricreare il ruolo collegato ai servizi `AWSServiceRoleForTrustedAdvisor` collegato ai servizi nell'account prima di poter riabilitare Trusted Advisor.
È necessario innanzitutto disabilitarlo Trusted Advisor nella console prima di poter eliminare il ruolo `AWSServiceRoleForTrustedAdvisor` collegato al servizio.
**Per disabilitare Trusted Advisor**
1. Accedi a Console di gestione AWS e vai alla Trusted Advisor console all'indirizzo[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor).
1. Nel riquadro di navigazione, scegli **Preferences** (Preferenze).
1. Nella sezione **Service Linked Role Permissions (Autorizzazioni del ruolo collegato ai servizi)**, selezionare **Disable Trusted Advisor(Disabilita &SERVICENAME;)**.
1. Nella finestra di dialogo di conferma, clicca su **OK** per disabilitare Trusted Advisor.
Dopo la disattivazione Trusted Advisor, tutte le Trusted Advisor funzionalità vengono disattivate e la Trusted Advisor console visualizza solo il banner di stato di disabilitazione.
Puoi quindi utilizzare la console IAM AWS CLI, l'o l'API IAM per eliminare il ruolo Trusted Advisor collegato al servizio denominato. `AWSServiceRoleForTrustedAdvisor` Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.