AWS kebijakan terkelola untuk AWS Trusted Advisor - AWS Support
AWSTrustedAdvisorPriorityFullAccess AWSTrustedAdvisorPriorityReadOnlyAccess AWSTrustedAdvisorServiceRolePolicy AWSTrustedAdvisorReportingServiceRolePolicy Pembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk AWS Trusted Advisor

Trusted Advisor memiliki kebijakan AWS terkelola berikut.

AWS kebijakan terkelola: AWSTrustedAdvisorPriorityFullAccess

Sebuah AWSTrustedAdvisorPriorityFullAccessKebijakan memberikan akses penuh ke Trusted Advisor Prioritas. Kebijakan ini juga memungkinkan pengguna untuk menambahkan Trusted Advisor sebagai layanan tepercaya dengan AWS Organizations dan menentukan akun administrator yang didelegasikan untuk Trusted Advisor Prioritas.

Detail izin

Dalam pernyataan pertama, kebijakan mencakup izin berikut untuktrustedadvisor:

  • Menjelaskan akun dan organisasi Anda.

  • Menjelaskan risiko yang teridentifikasi dari Trusted Advisor Prioritas. Izin memungkinkan Anda mengunduh dan memperbarui status risiko.

  • Menjelaskan konfigurasi Anda untuk pemberitahuan email Trusted Advisor Prioritas. Izin memungkinkan Anda mengonfigurasi notifikasi email dan menonaktifkannya untuk administrator yang didelegasikan.

  • Mengatur Trusted Advisor agar akun Anda dapat diaktifkan AWS Organizations.

Dalam pernyataan kedua, kebijakan mencakup izin berikut untukorganizations:

  • Menjelaskan Trusted Advisor akun dan organisasi Anda.

  • Daftar Layanan AWS yang Anda aktifkan untuk menggunakan Organizations.

Dalam pernyataan ketiga, kebijakan mencakup izin berikut untukorganizations:

  • Daftar administrator yang didelegasikan untuk Trusted Advisor Prioritas.

  • Mengaktifkan dan menonaktifkan akses tepercaya dengan Organizations.

Dalam pernyataan keempat, kebijakan mencakup izin berikut untukiam:

  • Menciptakan peran AWSServiceRoleForTrustedAdvisorReporting terkait layanan.

Dalam pernyataan kelima, kebijakan mencakup izin berikut untukorganizations:

  • Memungkinkan Anda untuk mendaftar dan membatalkan pendaftaran administrator yang didelegasikan untuk Prioritas. Trusted Advisor 

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityFullAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:UpdateRiskStatus",
				"trustedadvisor:DescribeNotificationConfigurations",
				"trustedadvisor:UpdateNotificationConfigurations",
				"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
				"trustedadvisor:SetOrganizationAccess"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:EnableAWSServiceAccess",
				"organizations:DisableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowCreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
				}
			}
		},
		{
			"Sid": "AllowRegisterDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:RegisterDelegatedAdministrator",
				"organizations:DeregisterDelegatedAdministrator"
			],
			"Resource": "arn:aws:organizations::*:*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS kebijakan terkelola: AWSTrustedAdvisorPriorityReadOnlyAccess

Sebuah AWSTrustedAdvisorPriorityReadOnlyAccesskebijakan memberikan izin hanya-baca ke Trusted Advisor Prioritas, termasuk izin untuk melihat akun administrator yang didelegasikan.

Detail izin

Dalam pernyataan pertama, kebijakan mencakup izin berikut untuktrustedadvisor:

  • Menjelaskan Trusted Advisor akun dan organisasi Anda.

  • Menjelaskan risiko yang diidentifikasi dari Trusted Advisor Prioritas dan memungkinkan Anda untuk mengunduhnya.

  • Menjelaskan konfigurasi untuk pemberitahuan email Trusted Advisor Prioritas.

Dalam pernyataan kedua dan ketiga, kebijakan mencakup izin berikut untukorganizations:

  • Menjelaskan organisasi Anda dengan Organizations.

  • Daftar Layanan AWS yang Anda aktifkan untuk menggunakan Organizations.

  • Daftar administrator yang didelegasikan untuk Prioritas Trusted Advisor 

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:DescribeNotificationConfigurations"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS kebijakan terkelola: AWSTrustedAdvisorServiceRolePolicy

Kebijakan ini dilampirkan pada peran AWSServiceRoleForTrustedAdvisor terkait layanan. Ini memungkinkan peran terkait layanan untuk melakukan tindakan untuk Anda. Anda tidak dapat melampirkan AWSTrustedAdvisorServiceRolePolicyke entitas AWS Identity and Access Management (IAM) Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Trusted Advisor.

Kebijakan ini memberikan izin administratif yang memungkinkan akses peran terkait layanan. Layanan AWS Izin ini memungkinkan pemeriksaan Trusted Advisor untuk mengevaluasi akun Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

  • accessanalyzer— Menjelaskan AWS Identity and Access Management Access Analyzer sumber daya

  • Auto Scaling— Menjelaskan kuota dan sumber daya akun Amazon EC2 Auto Scaling

  • cloudformation— Menjelaskan AWS CloudFormation (CloudFormation) kuota dan tumpukan akun

  • cloudfront— Menjelaskan CloudFront distribusi Amazon

  • cloudtrail— Menjelaskan AWS CloudTrail (CloudTrail) jalur

  • dynamodb— Menjelaskan kuota dan sumber daya akun Amazon DynamoDB

  • dynamodbaccelerator— Menjelaskan sumber daya DynamoDB Accelerator

  • ec2— Menjelaskan kuota dan sumber daya akun Amazon Elastic Compute Cloud (AmazonEC2)

  • elasticloadbalancing— Menjelaskan kuota dan sumber daya akun Elastic Load Balancing (ELB)

  • iam— Mendapat IAM sumber daya, seperti kredensional, kebijakan kata sandi, dan sertifikat

  • networkfirewall— Menjelaskan AWS Network Firewall sumber daya

  • kinesis— Menjelaskan kuota akun Amazon Kinesis (Kinesis)

  • rds— Menjelaskan sumber daya Amazon Relational Database Service (RDSAmazon)

  • redshift— Menjelaskan sumber daya Amazon Redshift

  • route53— Menjelaskan kuota dan sumber daya akun Amazon Route 53

  • s3— Menjelaskan sumber daya Amazon Simple Storage Service (Amazon S3)

  • ses— Mendapat Layanan Email Sederhana Amazon (AmazonSES) mengirim kuota

  • sqs— Daftar antrian Layanan Antrian Sederhana Amazon (AmazonSQS)

  • cloudwatch— Mendapat statistik metrik CloudWatch CloudWatch Acara Amazon (Acara)

  • ce— Mendapat rekomendasi Layanan Cost Explorer (Cost Explorer)

  • route53resolver— Mendapat Titik Akhir Amazon Route 53 Resolver Resolver dan sumber daya

  • kafka— Mendapat Amazon Managed Streaming untuk sumber daya Apache Kafka

  • ecs— Mendapat ECS sumber daya Amazon

  • outposts— Mendapat AWS Outposts sumber daya

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "access-analyzer:ListAnalyzers"
                "autoscaling:DescribeAccountLimits",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "ce:GetReservationPurchaseRecommendation",
                "ce:GetSavingsPlansPurchaseRecommendation",
                "cloudformation:DescribeAccountLimits",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStacks",
                "cloudfront:ListDistributions",
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetTrail",
                "cloudtrail:ListTrails",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "dax:DescribeClusters",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "ec2:DescribeAddresses",
                "ec2:DescribeReservedInstances",
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeImages",
                "ec2:DescribeNatGateways",
                "ec2:DescribeVolumes",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:DescribeReservedInstancesOfferings",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpnConnections",
                "ec2:DescribeVpnGateways",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:GetManagedPrefixListEntries",
                "ecs:DescribeTaskDefinition",
                "ecs:ListTaskDefinitions"
                "elasticloadbalancing:DescribeAccountLimits",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancerAttributes",
                "elasticloadbalancing:DescribeLoadBalancerPolicies",
                "elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "iam:GenerateCredentialReport",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary",
                "iam:GetCredentialReport",
                "iam:GetServerCertificate",
                "iam:ListServerCertificates",
                "iam:ListSAMLProviders",
                "kinesis:DescribeLimits",
                "kafka:DescribeClusterV2",
                "kafka:ListClustersV2",
                "kafka:ListNodes",
                "network-firewall:ListFirewalls",
                "network-firewall:DescribeFirewall",
                "outposts:GetOutpost",
                "outposts:ListAssets",
                "outposts:ListOutposts",
                "rds:DescribeAccountAttributes",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSecurityGroups",
                "rds:DescribeDBSnapshots",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEngineDefaultParameters",
                "rds:DescribeEvents",
                "rds:DescribeOptionGroupOptions",
                "rds:DescribeOptionGroups",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribeReservedDBInstances",
                "rds:DescribeReservedDBInstancesOfferings",
                "rds:ListTagsForResource",
                "redshift:DescribeClusters",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "route53:GetAccountLimit",
                "route53:GetHealthCheck",
                "route53:GetHostedZone",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListHostedZonesByName",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetLifecycleConfiguration",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "ses:GetSendQuota",
                "sqs:GetQueueAttributes",
                "sqs:ListQueues"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AWSTrustedAdvisorReportingServiceRolePolicy

Kebijakan ini dilampirkan pada peran AWSServiceRoleForTrustedAdvisorReporting terkait layanan yang memungkinkan Trusted Advisor untuk melakukan tindakan untuk fitur tampilan organisasi. Anda tidak dapat melampirkan AWSTrustedAdvisorReportingServiceRolePolicyuntuk IAM entitas Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Trusted Advisor.

Kebijakan ini memberikan izin administratif yang memungkinkan peran terkait layanan untuk melakukan tindakan. AWS Organizations

Detail izin

Kebijakan ini mencakup izin berikut.

  • organizations— Menjelaskan organisasi Anda dan mencantumkan akses layanan, akun, orang tua, anak-anak, dan unit organisasi

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Trusted Advisor pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk AWS Support dan Trusted Advisor sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS umpan di Riwayat dokumen halaman.

Tabel berikut menjelaskan pembaruan penting pada kebijakan Trusted Advisor terkelola sejak 10 Agustus 2021.

Trusted Advisor
Perubahan Deskripsi Tanggal

AWSTrustedAdvisorServiceRolePolicy

Perbarui ke kebijakan yang ada.

Trusted Advisor menambahkan tindakan baru untuk memberikanaccess-analyzer:ListAnalyzers,, cloudwatch:ListMetricsdax:DescribeClusters,ec2:DescribeNatGateways,ec2:DescribeRouteTables,ec2:DescribeVpcEndpoints,ec2:GetManagedPrefixListEntries,elasticloadbalancing:DescribeTargetHealth,iam:ListSAMLProviders, kafka:DescribeClusterV2 network-firewall:ListFirewalls network-firewall:DescribeFirewall dan sqs:GetQueueAttributes izin.

 Juni 11, 2024

AWSTrustedAdvisorServiceRolePolicy

Perbarui ke kebijakan yang ada.

Trusted Advisor menambahkan tindakan baru untuk memberikan cloudtrail:GetTrail cloudtrail:ListTrails cloudtrail:GetEventSelectorsoutposts:GetOutpost, outposts:ListAssets dan outposts:ListOutposts izin.

 Januari 18, 2024

AWSTrustedAdvisorPriorityFullAccess

Perbarui ke kebijakan yang ada.

Trusted Advisor memperbarui kebijakan AWSTrustedAdvisorPriorityFullAccess AWS terkelola untuk menyertakan pernyataanIDs.

 6 Desember 2023

AWSTrustedAdvisorPriorityReadOnlyAccess

Perbarui ke kebijakan yang ada.

Trusted Advisor memperbarui kebijakan AWSTrustedAdvisorPriorityReadOnlyAccess AWS terkelola untuk menyertakan pernyataanIDs.

 6 Desember 2023

AWSTrustedAdvisorServiceRolePolicy – Pembaruan ke kebijakan yang ada

Trusted Advisor menambahkan tindakan baru untuk memberikan ec2:DescribeRegions s3:GetLifecycleConfiguration ecs:DescribeTaskDefinition dan ecs:ListTaskDefinitions izin.

 9 November 2023

AWSTrustedAdvisorServiceRolePolicy – Pembaruan ke kebijakan yang ada

Trusted Advisor menambahkan IAM tindakan baruroute53resolver:ListResolverEndpoints,route53resolver:ListResolverEndpointIpAddresses,ec2:DescribeSubnets, kafka:ListClustersV2 dan kafka:ListNodes untuk melakukan pemeriksaan ketahanan baru.

 14 September 2023

AWSTrustedAdvisorReportingServiceRolePolicy

V2 kebijakan terkelola yang dilampirkan pada Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting peran terkait layanan

Upgrade kebijakan AWS terkelola ke V2 untuk Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting peran terkait layanan. V2 akan menambahkan satu IAM tindakan lagi organizations:ListDelegatedAdministrators

Februari 28, 2023

AWSTrustedAdvisorPriorityFullAccess dan AWSTrustedAdvisorPriorityReadOnlyAccess

Kebijakan AWS terkelola baru untuk Trusted Advisor

Trusted Advisor menambahkan dua kebijakan terkelola baru yang dapat Anda gunakan untuk mengontrol akses ke Trusted Advisor Prioritas.

17 Agustus 2022

AWSTrustedAdvisorServiceRolePolicy – Pembaruan ke kebijakan yang ada

Trusted Advisor menambahkan tindakan baru untuk memberikan DescribeTargetGroups dan GetAccountPublicAccessBlock izin.

DescribeTargetGroupIzin diperlukan untuk Pemeriksaan Kesehatan Grup Auto Scaling untuk mengambil Load Balancer non-klasik yang dilampirkan ke grup Auto Scaling.

GetAccountPublicAccessBlockIzin diperlukan untuk pemeriksaan Izin Bucket Amazon S3 untuk mengambil setelan blokir akses publik untuk file. Akun AWS

 Agustus 10, 2021

Ubah log diterbitkan

Trusted Advisor mulai melacak perubahan untuk kebijakan AWS terkelolanya.

 Agustus 10, 2021