本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 的服務連結角色 Trusted Advisor
<a name="using-service-linked-roles-ta"></a>

AWS Trusted Advisor 使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。服務連結角色是直接連結至 的唯一 IAM 角色 AWS Trusted Advisor。服務連結角色是由 預先定義 Trusted Advisor，其中包含服務代表您呼叫其他 AWS 服務所需的所有許可。 Trusted Advisor 使用此角色來檢查跨 的用量， AWS 並提供改善環境 AWS 的建議。例如， Trusted Advisor 分析 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的使用，以協助您降低成本、提高效能、容忍故障並改善安全性。

**注意**  
AWS 支援 使用個別的 IAM 服務連結角色來存取您帳戶的資源，以提供帳單、管理和支援服務。如需詳細資訊，請參閱[使用 的服務連結角色 AWS 支援](using-service-linked-roles-sup.md)。

關於支援服務連結角色的其他服務，如需相關資訊，請參閱[搭配 IAM 使用的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。尋找**服務連結角色**欄中顯示 **Yes (是)** 的服務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

**Topics**
+ [的服務連結角色許可 Trusted Advisor](#service-linked-role-permissions-ta)
+ [管理服務連結角色的許可](#manage-permissions-for-slr)
+ [為 建立服務連結角色 Trusted Advisor](#create-service-linked-role-ta)
+ [編輯 的服務連結角色 Trusted Advisor](#edit-service-linked-role-ta)
+ [刪除 的服務連結角色 Trusted Advisor](#delete-service-linked-role-ta)

## 的服務連結角色許可 Trusted Advisor
<a name="service-linked-role-permissions-ta"></a>

Trusted Advisor 使用兩個服務連結角色：
+ [AWSServiceRoleForTrustedAdvisor](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisor) - 這個角色信任 Trusted Advisor 服務擔任角色以代表您存取 AWS 服務。角色許可政策允許所有 AWS 資源的 Trusted Advisor 唯讀存取。此角色可簡化 AWS 帳戶的入門，因為您不必為 新增必要的許可 Trusted Advisor。當您開啟 AWS 帳戶時， 會為您 Trusted Advisor 建立此角色。已定義的許可包括信任政策和許可政策。許可政策無法連接到其他任何 IAM 實體。

  如需連接政策的詳細資訊，請參閱 [AWSTrustedAdvisorServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)。
+ [https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting) - 這個角色信任 Trusted Advisor 服務擔任使用組織檢視功能的角色。此角色會在您的 AWS Organizations 組織中啟用 Trusted Advisor 做為信任的服務。當您啟用組織檢視時， 會為您 Trusted Advisor 建立此角色。

  如需有關連接政策的詳細資訊，請參閱 [AWSTrustedAdvisorReportingServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)。

  您可以使用組織檢視來建立組織中所有帳戶的 Trusted Advisor 檢查結果報告。如需使用此功能的詳細資訊，請參閱「[的組織檢視 AWS Trusted Advisor](organizational-view.md)」。

## 管理服務連結角色的許可
<a name="manage-permissions-for-slr"></a>

您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。下列範例使用 `AWSServiceRoleForTrustedAdvisor` 服務連結角色。

**Example ：允取 IAM 實體建立 `AWSServiceRoleForTrustedAdvisor` 服務連結角色**  

只有在 Trusted Advisor 帳戶已停用、服務連結角色已刪除，且使用者必須重新建立角色才能重新啟用時，才需要此步驟 Trusted Advisor。

您可將下列陳述式新增至 IAM 實體建立服務連結角色所需的許可政策。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```

**Example ：**允取 IAM 實體編輯 `AWSServiceRoleForTrustedAdvisor` 服務連結角色的描述****  

您只能編輯 `AWSServiceRoleForTrustedAdvisor` 角色的描述。您可將下列陳述式新增至 IAM 實體編輯服務連結角色描述所需的許可政策。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```

**Example ：允取 IAM 實體刪除 `AWSServiceRoleForTrustedAdvisor` 服務連結角色**  

您可將下列陳述式新增至 IAM 實體刪除服務連結角色所需的許可政策。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```

您也可以使用 [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess) 等 AWS 受管政策來提供 的完整存取權 Trusted Advisor。

## 為 建立服務連結角色 Trusted Advisor
<a name="create-service-linked-role-ta"></a>

您不需要手動建立 `AWSServiceRoleForTrustedAdvisor` 服務連結角色。當您開啟 AWS 帳戶時， 會為您 Trusted Advisor 建立服務連結角色。

**重要**  
如果您在 Trusted Advisor 服務開始支援服務連結角色之前就已使用該服務，則 Trusted Advisor 已在您的帳戶中建立該`AWSServiceRoleForTrustedAdvisor`角色。若要進一步了解，請參閱 *IAM 使用者指南*中的[我的 IAM 帳戶中出現新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。

如果您的帳戶沒有 `AWSServiceRoleForTrustedAdvisor` 服務連結角色， Trusted Advisor 將無法如預期運作。若您帳戶中的某個人停用 Trusted Advisor ，然後刪除服務連結角色，可能會發生此情形。在這種情況下，您可以使用 IAM 來建立 `AWSServiceRoleForTrustedAdvisor` 服務連結角色，然後重新啟用 Trusted Advisor。

**啟用 Trusted Advisor （主控台）**

1.  使用 IAM 主控台 AWS CLI或 IAM API 為 建立服務連結角色 Trusted Advisor。如需詳細資訊，請參閱[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。

1. 登入 AWS 管理主控台，然後導覽至位於 的 Trusted Advisor 主控台[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor)。

   **Disabled Trusted Advisor (已停用 Trusted Advisor)** 狀態橫幅會顯示於主控台中。

1. 從狀態橫幅中選擇**啟用 Trusted Advisor 角色**。如果未偵測到必要的 `AWSServiceRoleForTrustedAdvisor`，將持續顯示停用狀態橫幅。

## 編輯 的服務連結角色 Trusted Advisor
<a name="edit-service-linked-role-ta"></a>

因為各種實體可能會參考角色，所以您無法變更服務連結角色的名稱。不過，您可以使用 IAM 主控台 AWS CLI或 IAM API 來編輯角色的描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除 的服務連結角色 Trusted Advisor
<a name="delete-service-linked-role-ta"></a>

如果您不需要使用 的功能或服務 Trusted Advisor，您可以刪除`AWSServiceRoleForTrustedAdvisor`角色。您必須先停用 Trusted Advisor ，才能刪除此服務連結角色。這可防止您移除 Trusted Advisor 操作所需的許可。停用時 Trusted Advisor，您會停用所有服務功能，包括離線處理和通知。此外，如果您 Trusted Advisor 為成員帳戶停用 ，則個別付款人帳戶也會受到影響，這表示您不會收到可識別節省成本方式的 Trusted Advisor 檢查。您無法存取 Trusted Advisor 主控台。 Trusted Advisor 傳回存取遭拒錯誤的 API 呼叫。

您必須重新建立 `AWSServiceRoleForTrustedAdvisor` 服務連結角色，才能重新啟用 Trusted Advisor。

您必須先在 主控台 Trusted Advisor 中停用 ，才能刪除`AWSServiceRoleForTrustedAdvisor`服務連結角色。

**停用 Trusted Advisor**

1. 登入 AWS 管理主控台 並導覽至位於 的 Trusted Advisor 主控台[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor)。

1. 在導覽窗格中，選擇**偏好設定**。

1. 在 **Service Linked Role Permissions (服務連結角色許可)** 區段中，選擇 **Disable Trusted Advisor(停用 &SERVICENAME;)**。

1. 在確認對話方塊中，選擇 **OK (確定)**，確認您要停用 Trusted Advisor。

停用後 Trusted Advisor，所有 Trusted Advisor 功能都會停用，而且 Trusted Advisor 主控台只會顯示停用的狀態橫幅。

然後，您可以使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除名為 Trusted Advisor 的服務連結角色`AWSServiceRoleForTrustedAdvisor`。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。