本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 的服務連結角色 AWS Compute Optimizer
AWS Compute Optimizer use AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Compute Optimizer 的唯一 IAM 角色類型。服務連結角色由 Compute Optimizer 預先定義,並包含該服務代表您呼叫其他 所需的所有許可。
使用服務連結角色時,設定 Compute Optimizer 不需要手動新增必要的許可。Compute Optimizer 定義其服務連結角色的許可,除非另有定義,否則只有 Compute Optimizer 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
如需有關支援服務連結角色的其他 服務的資訊,請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在**角色**欄中尋找具有**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
**Topics**
+ [Compute Optimizer 的服務連結角色許可](#slr-permissions)
+ [服務連結角色許可](#service-linked-role-permissions)
+ [為運算最佳化工具建立服務連結角色](#create-slr)
+ [編輯運算最佳化工具的服務連結角色](#edit-slr)
+ [刪除運算最佳化工具的服務連結角色](#delete-slr)
+ [Compute Optimizer 服務連結角色支援的 區域](#slr-regions)
+ [其他資源](#slr-resources)
## Compute Optimizer 的服務連結角色許可
Compute Optimizer 使用名為 **AWSServiceRoleForComputeOptimizer** 的服務連結角色,來存取帳戶中 AWS 資源的 Amazon CloudWatch 指標。
AWSServiceRoleForComputeOptimizer 服務連結角色信任下列服務擔任該角色:
+ `compute-optimizer.amazonaws.com`
角色許可政策允許 Compute Optimizer 對指定的資源完成下列動作:
+ 動作:在所有 AWS 資源`cloudwatch:GetMetricData`上。
+ 動作:在所有 AWS 資源`cloudwatch:DescribeAlarms`上。
+ 動作:在所有 AWS 資源`organizations:DescribeOrganization`上。
+ 動作:在所有 AWS 資源`organizations:ListAccounts`上。
+ 動作:`organizations:ListAWSServiceAccessForOrganization` 於所有 AWS 資源。
+ 動作:`organizations:ListDelegatedAdministrators` 於所有 AWS 資源。
+ 動作:`autoscaling:DescribeAutoScalingInstances` 於所有 AWS 資源。
+ 動作:`autoscaling:DescribeAutoScalingGroups` 於所有 AWS 資源。
+ 動作:`autoscaling:DescribePolicies` 於所有 AWS 資源。
+ 動作:`autoscaling:DescribeScheduledActions` 於所有 AWS 資源。
+ 動作:`ec2:DescribeInstances` 於所有 AWS 資源。
+ 動作:`ec2:DescribeSnapshots` 於所有 AWS 資源。
+ 動作:`ec2:DescribeVolumesModifications` 於所有 AWS 資源。
+ 動作:`ec2:CreateVolume` 於所有 AWS 資源。
+ 動作:`ec2:ModifyVolume` 於所有 AWS 資源。
+ 動作:`ec2:DeleteVolume` 於所有 AWS 資源。
+ 動作:`ec2:CreateSnapshot` 於所有 AWS 資源。
+ 動作:`ec2:createTags` 於所有 AWS 資源。
## 服務連結角色許可
若要為 Compute Optimizer 建立服務連結角色,請設定許可以允許 IAM 實體 (例如使用者、群組或角色) 建立服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
**允許 IAM 實體為 Compute Optimizer 建立特定服務連結角色**
將下列政策新增至需要建立服務連結角色的 IAM 實體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
}
]
}
```
------
**若要允許 IAM 實體建立任何服務連結角色**
將下列陳述式新增至需要建立服務連結角色的 IAM 實體的許可政策,或包含所需政策的任何服務角色。此政策會見政策連接至角色。
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**允許 Compute Optimizer 代表客戶執行建議的動作**
將陳述式新增至需要建立服務連結角色的 IAM 實體的許可政策,或任何包含所需政策的服務角色。此政策會見政策連接至角色。如需詳細資訊,請參閱 受管政策頁面上[AWS 受管政策:ComputeOptimizerAutomationServiceRolePolicy](managed-policies.md#security-iam-awsmanpol-ComputeOptimizerAutomationServiceRolePolicy)的 。
## 為運算最佳化工具建立服務連結角色
您不需要手動建立服務連結角色,當您選擇在 AWS 管理主控台、 AWS CLI或 AWS API 中使用 Compute Optimizer 服務時,Compute Optimizer 會為您建立服務連結角色。
**重要**
如果您在使用服務連結角色支援之功能的其他服務中完成 動作,該角色就會出現在您的帳戶中。如需詳細資訊,請參閱[我的 IAM 帳戶出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您選擇加入 Compute Optimizer 服務時,Compute Optimizer 會再次為您建立服務連結角色。
## 編輯運算最佳化工具的服務連結角色
Compute Optimizer 不允許您編輯 AWSServiceRoleForComputeOptimizer 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除運算最佳化工具的服務連結角色
如果您不再需要使用 Compute Optimizer,建議您刪除 AWSServiceRoleForComputeOptimizer 服務連結角色。如此一來,您便沒有未主動監控或維護的未使用實體。不過,您必須先選擇退出 Compute Optimizer,才能手動刪除服務連結角色。
**選擇退出 Compute Optimizer**
如需選擇退出 Compute Optimizer 的詳細資訊,請參閱 [選擇退出 Compute Optimizer](account-opt-out.md)。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForComputeOptimizer 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Compute Optimizer 服務連結角色支援的 區域
Compute Optimizer 支援在所有提供服務的區域中使用服務連結角色。若要檢視 Compute Optimizer 目前支援的 AWS 區域 和 端點,請參閱《 *AWS 一般參考*》中的 [Compute Optimizer Endpoints 和配額](https://docs.aws.amazon.com/general/latest/gr/compute-optimizer.html)。
## 其他資源
+ 故障診斷 — [在 Compute Optimizer 中進行故障診斷](troubleshooting-account-opt-in.md)
+ [AWS 的 受管政策 AWS Compute Optimizer](managed-policies.md)
+ [選擇加入 AWS Compute Optimizer](account-opt-in.md)
+ [的 Identity and Access Management AWS Compute Optimizer](security-iam.md)