本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用服务关联角色
AWS 支持 并 AWS Trusted Advisor 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是与 支持 和 Trusted Advisor直接关联的独特 IAM 角色。在每个案例中,服务关联角色是预定义的角色。此角色包括代表您调用其他 AWS 服务 支持 或 Trusted Advisor 需要的所有权限。以下主题说明了服务相关角色的作用以及如何在 支持 和 Trusted Advisor中使用它们。
**Topics**
+ [将服务相关角色用于 AWS 支持](using-service-linked-roles-sup.md)
+ [将服务相关角色用于 Trusted Advisor](using-service-linked-roles-ta.md)
# 将服务相关角色用于 AWS 支持
AWS 支持 工具通过 API 调用收集有关您的 AWS 资源的信息,以提供客户服务和技术支持。为了提高支持活动的透明度和可审计性,请 支持 使用 AWS Identity and Access Management (IAM) [服务相关](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。
`AWSServiceRoleForSupport`服务相关角色是直接链接到 支持的独特 IAM 角色。此服务相关角色是预定义的,它包括代表您调用其他 AWS 服务 支持 所需的权限。
`AWSServiceRoleForSupport` 服务关联角色信任 `support.amazonaws.com` 服务来代入角色。
为了提供这些服务,角色的预定义权限 支持 允许访问资源元数据,而不是客户数据。只有 支持 工具才能担任此角色,该角色存在于您的 AWS 账户中。
我们会编辑可能包含客户数据的字段。例如, AWS Step Functions API 调[GetExecutionHistory](https://docs.aws.amazon.com/step-functions/latest/apireference/API_GetExecutionHistory.html)用的`Input`和`Output`字段对用户不可见 支持。我们使用 AWS KMS keys 加密敏感字段。这些字段已在 API 响应中被删除, AWS 支持 代理不可见。
**注意**
AWS Trusted Advisor 使用单独的 IAM 服务相关角色访问账户的 AWS 资源,以提供最佳实践建议和检查。有关更多信息,请参阅 [将服务相关角色用于 Trusted Advisor](using-service-linked-roles-ta.md)。
`AWSServiceRoleForSupport`服务相关角色允许客户通过 AWS CloudTrail查看所有 AWS 支持 API 调用。这有助于满足监控和审计要求,因为它提供了一种透明的方式来了解代表您 支持 执行的操作。有关的信息 CloudTrail,请参阅《[AWS CloudTrail 用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
## 的服务相关角色权限 支持
此角色使用`AWSSupportServiceRolePolicy` AWS 托管策略。此托管策略已附加到角色,并授予角色代表您完成操作的权限。
这些操作可能包括以下内容:
+ **账单、管理、支持和其他客户服务** — AWS 客户服务使用托管策略授予的权限来执行作为支持计划一部分的多项服务。其中包括调查和解答账户和账单问题、为账户提供管理支持、增加服务配额和提供额外的客户支持。
+ **处理您 AWS 账户的服务属性和使用情况数据** — 支持 可能会使用托管策略授予的权限来访问您 AWS 账户的服务属性和使用数据。该政策 支持 允许为您的账户提供账单、管理和技术支持。服务属性包括账户的资源标识符、元数据标签、角色和权限。使用率数据包括使用策略、使用情况统计数据和分析。
+ **维护您的账户及其资源的运行状况** —— 支持 使用自动化工具执行与运营和技术支持相关的操作。
有关允许的服务和操作的更多信息,请参阅 IAM 控制台中的 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) 策略。
**注意**
AWS 支持 每月自动更新一次`AWSSupportServiceRolePolicy`策略以添加新 AWS 服务和操作的权限。
有关更多信息,请参阅 [AWS 的托管策略 AWS 支持](security-iam-awsmanpol.md)。
## 为创建服务相关角色 支持
您无需手动创建 `AWSServiceRoleForSupport` 角色。创建 AWS 账户时,系统会自动为您创建和配置此角色。
**重要**
如果您在开始支持服务相关角色 支持 之前使用该角色,则在您的账户中 AWS 创建了该`AWSServiceRoleForSupport`角色。有关更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
## 编辑和删除的服务相关角色 支持
您可以使用 IAM 编辑 `AWSServiceRoleForSupport` 服务关联角色的描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
该`AWSServiceRoleForSupport`角色是为您的账户 支持 提供管理、运营和技术支持所必需的。因此,无法通过 IAM 控制台、API 或 AWS Command Line Interface (AWS CLI) 删除此角色。这将保护您的 AWS 账户,因为您不会无意中删除管理支持服务所需的权限。
已加入 AWS Organizations 并拥有企业 支持 套餐的客户可以删除该`AWSServiceRoleForSupport`服务相关角色。删除此角色会限制 AWS 支持 工程师访问您的资源,从而限制他们代表您执行操作的能力。有关更多信息,或者如需请求删除 `AWSServiceRoleForSupport` 服务关联角色,请联系您的技术客户经理 (TAM)。
有关 `AWSServiceRoleForSupport` 角色或其使用的更多信息,请联系 [支持](https://aws.amazon.com/support)。
# 将服务相关角色用于 Trusted Advisor
AWS Trusted Advisor 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。服务相关角色是直接链接到 AWS Trusted Advisor的唯一 IAM 角色。服务相关角色由预定义 Trusted Advisor,它们包括该服务代表您调用其他 AWS 服务所需的所有权限。 Trusted Advisor 使用此角色来检查您的使用情况, AWS 并提供改善 AWS 环境的建议。例如, Trusted Advisor 分析您的亚马逊弹性计算云 (Amazon EC2) 实例的使用情况,以帮助您降低成本、提高性能、容忍故障和提高安全性。
**注意**
AWS 支持 使用单独的 IAM 服务相关角色访问您账户的资源,以提供账单、管理和支持服务。有关更多信息,请参阅 [将服务相关角色用于 AWS 支持](using-service-linked-roles-sup.md)。
有关支持服务关联角色的其他服务的信息,请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。查找在 **Service-linked role**(服务关联角色)列的值为 **Yes**(是)的服务。请选择**是**与查看该服务的服务关联角色文档的链接。
**Topics**
+ [的服务相关角色权限 Trusted Advisor](#service-linked-role-permissions-ta)
+ [管理服务关联角色的权限](#manage-permissions-for-slr)
+ [为创建服务相关角色 Trusted Advisor](#create-service-linked-role-ta)
+ [编辑的服务相关角色 Trusted Advisor](#edit-service-linked-role-ta)
+ [删除的服务相关角色 Trusted Advisor](#delete-service-linked-role-ta)
## 的服务相关角色权限 Trusted Advisor
Trusted Advisor 使用两个与服务相关的角色:
+ [AWSServiceRoleForTrustedAdvisor](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisor)— 此角色信任 Trusted Advisor 服务代替您访问 AWS 服务的角色。角色权限策略允许对所有 AWS 资源进行 Trusted Advisor 只读访问。此角色简化了 AWS 账户的入门流程,因为您不必为添加必要的权限 Trusted Advisor。当您开设 AWS 账户时, Trusted Advisor 会为您创建此角色。定义的权限包括信任策略和权限策略。不能将该权限策略附加到任何其他 IAM 实体。
有关附加策略的更多信息,请参阅 [AWSTrustedAdvisorServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)。
+ [https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting) – 此角色信任 Trusted Advisor 服务来担任组织视图功能的角色。此角色可 Trusted Advisor 作为 AWS Organizations 组织中的可信服务启用。 Trusted Advisor 启用组织视图时会为您创建此角色。
有关附加策略的更多信息,请参阅 [AWSTrustedAdvisorReportingServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)。
您可以使用组织视图为组织中的所有账户创建 Trusted Advisor 检查结果报告。有关此特征的更多信息,请参阅[的组织视图 AWS Trusted Advisor](organizational-view.md)。
## 管理服务关联角色的权限
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。以下示例使用 `AWSServiceRoleForTrustedAdvisor` 服务关联角色。
**Example :允许 IAM 实体创建 `AWSServiceRoleForTrustedAdvisor` 服务关联角色**
只有在禁用 Trusted Advisor 帐户、删除服务相关角色并且用户必须重新创建角色才能重新启用时,才需要执行此步骤。 Trusted Advisor
将以下语句添加到 IAM 实体的权限策略可创建服务关联角色。
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example :**允许 IAM 实体编辑 `AWSServiceRoleForTrustedAdvisor` 服务关联角色的描述****
您只能编辑 `AWSServiceRoleForTrustedAdvisor` 角色的描述。您可以将以下语句添加到 IAM 实体的权限策略来编辑服务关联角色的描述。
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example :允许 IAM 实体删除 `AWSServiceRoleForTrustedAdvisor` 服务关联角色**
您可以将以下语句添加到 IAM 实体的权限策略来删除服务关联角色。
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
您也可以使用 AWS 托管策略(例如 [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess))来提供对的完全访问权限 Trusted Advisor。
## 为创建服务相关角色 Trusted Advisor
无需手动创建 `AWSServiceRoleForTrustedAdvisor` 服务关联角色。当您开设 AWS 账户时, Trusted Advisor 会为您创建服务相关角色。
**重要**
如果您在服务开始支持 Trusted Advisor 服务相关角色之前使用该服务,则 Trusted Advisor 已经在您的账户中创建了该`AWSServiceRoleForTrustedAdvisor`角色。要了解更多信息,请参阅 *IAM 用户指南*中的[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您的账户没有 `AWSServiceRoleForTrustedAdvisor` 服务关联角色, Trusted Advisor 将无法按预期工作。如果您的账户中有人将 Trusted Advisor 禁用然后又删除服务关联角色,可能会出现上述情况。在这种情况下,您可以使用 IAM 创建 `AWSServiceRoleForTrustedAdvisor` 服务关联角色,然后重新启用 Trusted Advisor。
**启用 Trusted Advisor (控制台)**
1. 使用 IAM 控制台或 IAM API 为创建服务相关角色。 AWS CLI Trusted Advisor有关更多信息,请参阅[创建服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
1. 登录 AWS 管理控制台,然后导航到 Trusted Advisor 控制台,网址为[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor)。
**禁用的 Trusted Advisor** 状态横幅显示在控制台中。
1. 从状态横幅中选择 “**启用 Trusted Advisor 角色**”。如果未检测到所需的 `AWSServiceRoleForTrustedAdvisor`,则已禁用状态横幅仍将显示。
## 编辑的服务相关角色 Trusted Advisor
由于多个实体可能引用该角色,因此无法更改服务关联角色的名称。但是,您可以使用 IAM 控制台或 IAM API 来编辑角色的描述。 AWS CLI有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除的服务相关角色 Trusted Advisor
如果您不需要使用的功能或服务 Trusted Advisor,则可以删除该`AWSServiceRoleForTrustedAdvisor`角色。必须 Trusted Advisor 先禁用此服务相关角色,然后才能删除此服务相关角色。这样可以防止您删除 Trusted Advisor 操作所需的权限。禁用后 Trusted Advisor,即禁用所有服务功能,包括离线处理和通知。此外,如果您 Trusted Advisor 为成员账户禁用,则单独的付款人账户也会受到影响,这意味着您将不会收到确定节省成本的方法的 Trusted Advisor 支票。您无法访问 Trusted Advisor 控制台。API 调用 Trusted Advisor 返回拒绝访问错误。
您必须在 `AWSServiceRoleForTrustedAdvisor` 账户中重新创建服务关联角色,然后才能重新启用 Trusted Advisor。
必须先在控制台 Trusted Advisor 中禁用服务相关角色,然后才能删除`AWSServiceRoleForTrustedAdvisor`服务相关角色。
**要禁用 Trusted Advisor**
1. 登录 AWS 管理控制台 并导航到 Trusted Advisor 控制台,网址为[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor)。
1. 在导航窗格中,选择**首选项**。
1. 在**服务关联角色权限**部分中,选择**禁用 Trusted Advisor**。
1. 在确认对话框中,通过选择 **OK**(确定)来确认您要禁用 Trusted Advisor。
禁用后 Trusted Advisor,所有 Trusted Advisor 功能都将被禁用,并且 Trusted Advisor 控制台仅显示禁用状态横幅。
然后,您可以使用 IAM 控制台 AWS CLI、或 IAM API 删除名`AWSServiceRoleForTrustedAdvisor`为的 Trusted Advisor 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。