本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用服務連結角色進行自動化
<a name="using-service-linked-roles-automation"></a>

AWS Compute Optimizer use AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)，名為 AWSServiceRoleForComputeOptimizerAutomation。服務連結角色是直接連結至 Compute Optimizer Automation 的唯一 IAM 角色類型。服務連結角色是由 Compute Optimizer Automation 預先定義，並包含該服務代表您呼叫其他 所需的所有許可。

使用服務連結角色，設定 Compute Optimizer Automation 不需要手動新增必要的許可。Compute Optimizer Automation 會定義其服務連結角色的許可，除非另有定義，否則只有 Compute Optimizer Automation 可以擔任其角色。定義的許可包括信任政策和許可政策，且該許可政策無法附加至其他 IAM 實體。

如需有關支援服務連結角色的其他 服務的資訊，請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，並在**角色**欄中尋找具有**是**的服務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

**Topics**
+ [Compute Optimizer Automation 的服務連結角色許可](#slr-permissions-automation)
+ [服務連結角色許可](#service-linked-role-permissions-automation)
+ [為運算最佳化工具自動化建立服務連結角色](#create-slr-automation)
+ [編輯運算最佳化工具自動化的服務連結角色](#edit-slr-automation)
+ [刪除運算最佳化工具自動化的服務連結角色](#delete-slr-automation)
+ [Compute Optimizer Automation 服務連結角色支援的 區域](#slr-regions)

## Compute Optimizer Automation 的服務連結角色許可
<a name="slr-permissions-automation"></a>

Compute Optimizer Automation 使用名為 **AWSServiceRoleForComputeOptimizerAutomation** 的服務連結角色，可讓您存取 Compute Optimizer Automation 使用或管理 AWS 的服務和資源。此服務連結角色可讓 Compute Optimizer Automation 透過執行任務來實作最佳化建議，例如透過其他 AWS 服務建立、修改和刪除資源。

AWSServiceRoleForComputeOptimizerAutomation 服務連結角色信任`aco-automation.amazonaws.com`服務擔任該角色。

`AWSServiceRoleForComputeOptimizerAutomation` 服務連結角色使用受管政策 `AWSComputeOptimizerAutomationRolePolicy`。

## 服務連結角色許可
<a name="service-linked-role-permissions-automation"></a>

若要為 Compute Optimizer Automation 建立服務連結角色，請設定許可以允許 IAM 實體 （例如使用者、群組或角色） 建立服務連結角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

將下列政策新增至需要建立服務連結角色的 IAM 實體。

```
{
    "Version": "2012-10-17",                   
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
            "Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
        }
    ]
}
```

## 為運算最佳化工具自動化建立服務連結角色
<a name="create-slr-automation"></a>

當您啟用 Compute Optimizer Automation 時，會自動建立 AWSServiceRoleForComputeOptimizerAutomation 服務連結角色。您可以在 AWS CLI 或 IAM API 中手動啟用 AWSServiceRoleForComputeOptimizerAutomation。

為 Compute Optimizer Automation 管理帳戶建立的服務連結角色不適用於成員帳戶。啟用功能時，Compute Optimizer Automation 會為每個帳戶建立個別的服務連結角色。當管理帳戶為成員帳戶啟用自動化時，運算最佳化工具自動化會在第一次為該帳戶實作建議動作時，隨需建立服務連結角色。當管理帳戶或成員帳戶直接啟動動作，或自動化規則對該成員帳戶執行動作時，就會發生這種情況。

## 編輯運算最佳化工具自動化的服務連結角色
<a name="edit-slr-automation"></a>

Compute Optimizer Automation 不允許您編輯 AWSServiceRoleForComputeOptimizerAutomation 服務連結角色。因為可能有各種實體會參考服務連結角色，所以您無法在建立角色之後變更其名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除運算最佳化工具自動化的服務連結角色
<a name="delete-slr-automation"></a>

若您不再使用需要服務連結角色的功能或服務，我們建議您刪除該角色。這樣就不會有未積極監控或維護的未使用實體。

當您停用 Compute Optimizer Automation 時，Compute Optimizer Automation 不會自動為您刪除 AWSServiceRoleForComputeOptimizerAutomation 服務連結角色。如果您再次啟用 Compute Optimizer Automation，則服務可以再次開始使用現有的服務連結角色。如果您不再需要使用 Compute Optimizer Automation，您可以手動刪除服務連結角色。

**重要**  
刪除 AWSServiceRoleForComputeOptimizerAutomation 服務連結角色之前，您必須先停用 Compute Optimizer Automation。如果您嘗試刪除服務連結角色時未停用 Compute Optimizer Automation，刪除會失敗。

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForComputeOptimizerAutomation 服務連結角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## Compute Optimizer Automation 服務連結角色支援的 區域
<a name="slr-regions"></a>

Compute Optimizer Automation 支援在提供服務的所有區域中使用服務連結角色。若要檢視 Compute Optimizer 目前支援的 AWS 區域 和 端點，請參閱《 *AWS 一般參考*》中的 [Compute Optimizer Endpoints 和配額](https://docs.aws.amazon.com/general/latest/gr/compute-optimizer.html)。