Gérez l'accès à AWS Trusted Advisor - AWS Support

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérez l'accès à AWS Trusted Advisor

Vous pouvez y accéder AWS Trusted Advisor depuis le AWS Management Console. Tous Comptes AWS ont accès à certains Trusted Advisor contrôles de base. Si vous possédez un plan de support Business, Enterprise On-Ramp ou Enterprise, vous pouvez accéder à toutes les vérifications. Pour plus d'informations, consultez AWS Trusted Advisor vérifier la référence.

Vous pouvez utiliser AWS Identity and Access Management (IAM) pour contrôler l'accès à Trusted Advisor.

Autorisations pour la console Trusted Advisor

Pour accéder à la Trusted Advisor console, un utilisateur doit disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent permettre à l'utilisateur de répertorier et d'afficher les détails Trusted Advisor des ressources de votre Compte AWS.

Vous pouvez utiliser les options suivantes pour contrôler l'accès à Trusted Advisor:

  • Utilisez la fonction de filtre de balises de la Trusted Advisor console. L'utilisateur ou le rôle doit disposer d'autorisations associées aux balises.

    Vous pouvez utiliser des politiques AWS gérées ou des politiques personnalisées pour attribuer des autorisations par balises. Pour plus d'informations, consultez la section Contrôle de l'accès aux IAM utilisateurs et aux rôles à l'aide de balises.

  • Créez une IAM politique avec l'espace de trustedadvisor noms. Vous pouvez utiliser cette politique pour préciser des autorisations pour des actions et des ressources.

Lorsque vous créez une politique, vous pouvez spécifier l'espace de noms du service pour autoriser ou refuser une action. L'espace de noms pour Trusted Advisor esttrustedadvisor. Toutefois, vous ne pouvez pas utiliser l'espace de trustedadvisor noms pour autoriser ou refuser Trusted Advisor API des opérations dans le AWS Support API. Vous devez utiliser l'espace de noms support pour AWS Support , à la place.

Note

Si vous êtes autorisé à accéder au AWS SupportAPI, le Trusted Advisor widget qui s'y AWS Management Console trouve affiche une vue récapitulative de vos Trusted Advisor résultats. Pour afficher vos résultats dans la Trusted Advisor console, vous devez être autorisé à accéder à l'espace de trustedadvisor noms.

Trusted Advisor actions

Vous pouvez effectuer les Trusted Advisor actions suivantes dans la console. Vous pouvez également spécifier ces Trusted Advisor actions dans une IAM politique afin d'autoriser ou de refuser des actions spécifiques.

Action Description

DescribeAccount

Accorde l'autorisation de consulter le AWS Support plan et les différentes Trusted Advisor préférences.

DescribeAccountAccess

Accorde l'autorisation de voir Compte AWS s'il est activé ou désactivé Trusted Advisor.

DescribeCheckItems

Octroie l'autorisation d'afficher les détails des éléments de vérification.

DescribeCheckRefreshStatuses

Octroie l'autorisation d'afficher les états d'actualisation pour les vérifications Trusted Advisor .

DescribeCheckSummaries

Accorde l'autorisation de Trusted Advisor consulter les résumés des chèques.

DescribeChecks

Accorde l'autorisation de consulter les détails des Trusted Advisor chèques.

DescribeNotificationPreferences

Octroie l'autorisation d'afficher les préférences de notification pour le compte AWS

ExcludeCheckItems

Octroie l'autorisation d'exclure des recommandations pour les vérifications Trusted Advisor .

IncludeCheckItems

Octroie l'autorisation d'inclure des recommandations pour les vérifications Trusted Advisor .

RefreshCheck

Accorde l'autorisation d'actualiser un Trusted Advisor chèque.

SetAccountAccess

Accorde l'autorisation d'activer ou Trusted Advisor de désactiver le compte.

UpdateNotificationPreferences

Octroie l'autorisation de mettre à jour les préférences de notification pour Trusted Advisor.

DescribeCheckStatusHistoryChanges

Octroie l'autorisation d'afficher les résultats et les états modifiés pour les vérifications effectuées au cours des 30 derniers jours.

Trusted Advisor actions pour une vue organisationnelle

Les Trusted Advisor actions suivantes concernent la fonctionnalité d'affichage organisationnel. Pour de plus amples informations, veuillez consulter Vue organisationnelle pour AWS Trusted Advisor.

Action Description

DescribeOrganization

Accorde l'autorisation de voir s'il Compte AWS répond aux exigences pour activer la fonctionnalité d'affichage organisationnel.

DescribeOrganizationAccounts

Accorde l'autorisation de consulter les AWS comptes associés qui se trouvent dans l'organisation.

DescribeReports

Octroie l'autorisation d'afficher les détails des rapports de vue organisationnelle, tels que le nom, l'exécution, la date de création, l'état et le format du rapport

DescribeServiceMetadata

Accorde l'autorisation de consulter les informations relatives aux rapports d'affichage organisationnels, telles que les Régions AWS catégories de vérifications, les noms des vérifications et les statuts des ressources.

GenerateReport

Accorde l'autorisation de créer un rapport pour Trusted Advisor les contrôles dans votre organisation.

ListAccountsForParent

Accorde l'autorisation d'afficher, dans la Trusted Advisor console, tous les comptes d'une AWS organisation qui sont contenus par une racine ou une unité organisationnelle (UO).

ListOrganizationalUnitsForParent

Accorde l'autorisation d'afficher, dans la Trusted Advisor console, toutes les unités organisationnelles (OUs) d'une unité organisationnelle parent ou racine.

ListRoots

Accorde l'autorisation d'afficher, dans la Trusted Advisor console, toutes les racines définies dans une AWS organisation.

SetOrganizationAccess

Accorde l'autorisation d'activer la fonctionnalité d'affichage organisationnel pour Trusted Advisor.

Trusted Advisor Actions prioritaires

Si la Trusted Advisor priorité est activée pour votre compte, vous pouvez effectuer les Trusted Advisor actions suivantes dans la console. Vous pouvez également ajouter ces Trusted Advisor actions dans une IAM politique pour autoriser ou refuser des actions spécifiques. Pour de plus amples informations, veuillez consulter Exemples IAM de politiques pour Trusted Advisor Priority.

Note

Les risques qui apparaissent dans Trusted Advisor Priority sont des recommandations que votre responsable technique de compte (TAM) a identifiées pour votre compte. Les recommandations d'un service, telles qu'un Trusted Advisor chèque, sont créées automatiquement pour vous. Les recommandations de votre part TAM sont créées manuellement pour vous. Ensuite, vous TAM envoyez ces recommandations afin qu'elles apparaissent dans Trusted Advisor Priority pour votre compte.

Pour de plus amples informations, veuillez consulter Démarrer avec AWS Trusted Advisor Priority.

Action Description

DescribeRisks

Autorise l'affichage des risques dans Trusted Advisor Priority.

DescribeRisk

Accorde l'autorisation de consulter les détails des risques dans Trusted Advisor Priority.

DescribeRiskResources

Accorde l'autorisation de visualiser les ressources affectées pour un risque dans Trusted Advisor Priority.

DownloadRisk

Accorde l'autorisation de télécharger un fichier contenant des informations détaillées sur le risque dans Trusted Advisor Priority.

UpdateRiskStatus

Accorde l'autorisation de mettre à jour l'état de risque dans Trusted Advisor Priority.

DescribeNotificationConfigurations

Accorde l'autorisation d'obtenir vos préférences de notification par e-mail pour Trusted Advisor Priority.

UpdateNotificationConfigurations

Accorde l'autorisation de créer ou mettre à jour vos préférences de notification par e-mail pour Trusted Advisor Priority.

DeleteNotificationConfigurationForDelegatedAdmin

Autorise le compte de gestion de l'organisation à supprimer les préférences de notification par e-mail d'un compte d'administrateur délégué pour Trusted Advisor Priority.

Trusted Advisor Engagez des actions

Si Trusted Advisor Engage est activé pour votre compte, vous pouvez effectuer les Trusted Advisor actions suivantes dans la console. Vous pouvez également ajouter ces Trusted Advisor actions dans une IAM politique pour autoriser ou refuser des actions spécifiques. Pour plus d'informations, consultez Exemples IAM de politiques pour Trusted Advisor Engage.

Pour de plus amples informations, veuillez consulter Commencez avec AWS Trusted Advisor Engage (version préliminaire).

Action Description

CreateEngagement

Accorde l'autorisation de créer un engagement dans Trusted Advisor Engage.

CreateEngagementAttachment

Accorde l'autorisation de créer une pièce jointe d'engagement dans Trusted Advisor Engage.

CreateEngagementCommunication

Accorde l'autorisation de créer une communication d'engagement dans Trusted Advisor Engage.

GetEngagement

Accorde l'autorisation de consulter un engagement dans Trusted Advisor Engage.

GetEngagementAttachment

Autorise l'affichage d'une pièce jointe à un engagement dans Trusted Advisor Engage.

GetEngagementType

Accorde l'autorisation de consulter un type d'engagement spécifique dans Trusted Advisor Engage.

ListEngagementCommunications

Accorde l'autorisation d'afficher toutes les communications d'un engagement dans Trusted Advisor Engage.

ListEngagements

Accorde l'autorisation de consulter tous les engagements dans Trusted Advisor Engage.

ListEngagementTypes

Accorde l'autorisation d'afficher tous les types d'engagement dans Trusted Advisor Engage.

UpdateEngagement

Accorde l'autorisation de mettre à jour les détails d'un engagement dans Trusted Advisor Engage.

UpdateEngagementStatus

Accorde l'autorisation de mettre à jour le statut d'un engagement dans Trusted Advisor Engage.

IAMexemples de politiques

Les politiques suivantes vous montrent comment autoriser et refuser l'accès à Trusted Advisor. Vous pouvez utiliser l'une des politiques suivantes pour créer une politique gérée par le client dans la IAM console. Par exemple, vous pouvez copier un exemple de politique, puis le coller dans l'JSONonglet de la IAM console. Vous associez ensuite la politique à votre IAM utilisateur, groupe ou rôle.

Pour plus d'informations sur la création d'une IAM politique, consultez la section Création de IAM politiques (console) dans le Guide de IAM l'utilisateur.

Accès complet à Trusted Advisor

La politique suivante permet aux utilisateurs de consulter et de prendre toutes les mesures nécessaires pour toutes les Trusted Advisor vérifications dans la Trusted Advisor console.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" } ] }

Accès en lecture seule à Trusted Advisor

La politique suivante autorise les utilisateurs à accéder à la console en lecture seule. Trusted Advisor Les utilisateurs ne peuvent pas apporter de modifications, telles que l'actualisation des contrôles ou les préférences de notification des modifications.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:Describe*", "trustedadvisor:Get*", "trustedadvisor:List*" ], "Resource": "*" } ] }

Refuser l'accès à Trusted Advisor

La politique suivante n'autorise pas les utilisateurs à consulter ou à effectuer des actions pour les Trusted Advisor vérifications dans la Trusted Advisor console.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "trustedadvisor:*", "Resource": "*" } ] }

Autoriser et refuser des actions spécifiques

La politique suivante permet aux utilisateurs d'afficher toutes les Trusted Advisor vérifications dans la Trusted Advisor console, mais ne leur permet pas d'actualiser les vérifications.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:RefreshCheck", "Resource": "*" } ] }

Contrôlez l'accès aux AWS Support API opérations pour Trusted Advisor

Dans le AWS Management Console, un espace de trustedadvisor IAM noms distinct contrôle l'accès à Trusted Advisor. Vous ne pouvez pas utiliser l'espace de trustedadvisor noms pour autoriser ou refuser Trusted Advisor API des opérations dans le AWS Support API. Au lieu de cela, vous utilisez l'espace de noms support. Vous devez être autorisé AWS Support API à appeler Trusted Advisor par programmation.

Par exemple, si vous souhaitez appeler l'RefreshTrustedAdvisorCheckopération, vous devez disposer des autorisations nécessaires pour cette action dans la politique.

Exemple : Autoriser Trusted Advisor API les opérations uniquement

La politique suivante autorise les utilisateurs à accéder aux AWS Support API opérations pour Trusted Advisor, mais pas au reste des AWS Support API opérations. Par exemple, les utilisateurs peuvent utiliser le API pour afficher et actualiser les vérifications. Ils ne peuvent pas créer, consulter, mettre à jour ou résoudre AWS Support des dossiers.

Vous pouvez utiliser cette politique pour appeler les Trusted Advisor API opérations par programmation, mais vous ne pouvez pas l'utiliser pour afficher ou actualiser les vérifications dans la Trusted Advisor console.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:DescribeTrustedAdvisorCheckRefreshStatuses", "support:DescribeTrustedAdvisorCheckResult", "support:DescribeTrustedAdvisorChecks", "support:DescribeTrustedAdvisorCheckSummaries", "support:RefreshTrustedAdvisorCheck", "trustedadvisor:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeServices", "support:DescribeSeverityLevels", "support:ResolveCase" ], "Resource": "*" } ] }

Pour plus d'informations sur le IAM fonctionnement avec AWS Support et Trusted Advisor, consultezActions.

Exemples IAM de politiques pour Trusted Advisor Priority

Vous pouvez utiliser les politiques AWS gérées suivantes pour contrôler l'accès à Trusted Advisor Priority. Pour plus d’informations, consultez AWS politiques gérées pour AWS Trusted Advisor et Démarrer avec AWS Trusted Advisor Priority.

Exemples IAM de politiques pour Trusted Advisor Engage

Note

Trusted Advisor Engage est en version préliminaire et ne dispose actuellement d'aucune politique AWS gérée. Vous pouvez utiliser l'une des politiques suivantes pour créer une politique gérée par le client dans la IAM console.

Voici un exemple de politique qui accorde un accès en lecture et en écriture dans Trusted Advisor Engage :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:CreateEngagement*", "trustedadvisor:DescribeAccount*", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*", "trustedadvisor:UpdateEngagement*" ], "Resource": "*" } ] }

Exemple de politique qui accorde un accès en lecture seule dans Trusted Advisor Engage :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeAccount*", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*" ], "Resource": "*" } ] }

Exemple de politique qui accorde un accès en lecture et en écriture dans Trusted Advisor Engage et la possibilité de permettre un accès fiable pour Trusted Advisor :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "trustedadvisor:CreateEngagement*", "trustedadvisor:DescribeAccount*", "trustedadvisor:DescribeOrganization", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*", "trustedadvisor:SetOrganizationAccess", "trustedadvisor:UpdateEngagement*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting", "Condition": { "StringLike": { "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com" } } } ] }

Consultez aussi

Pour plus d'informations sur Trusted Advisor les autorisations, consultez les ressources suivantes :