AWS Trusted Advisor のサービスコントロールポリシーの例

AWS Trusted Advisor は、サービスコントロールポリシー (SCPs) をサポートします。SCPs は、組織内のアクセス許可を管理するために組織内の要素にアタッチするポリシーです。は、をアタッチする要素SCPのすべての AWS アカウントSCPに適用されます。SCPs は、組織内のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。これらは、 AWS アカウントが組織のアクセスコントロールガイドラインに従っていることを確認するのに役立ちます。詳細については、AWS Organizations ユーザーガイドの「サービスコントロールポリシー」を参照してください。

前提条件

を使用するにはSCPs、まず次の操作を行う必要があります。

組織内のすべての機能の有効化。詳細については、「AWS Organizations ユーザーガイド」の「組織内のすべての機能の有効化」を参照してください。
を組織内で使用SCPsできるようにします。詳細については、「AWS Organizations ユーザーガイド」の「ポリシータイプの有効化と無効化」を参照してください。
必要な SCPsを作成します。の作成の詳細についてはSCPs、「ユーザーガイド」の「サービスコントロールポリシーの作成、更新、削除AWS Organizations 」を参照してください。

サービスコントロールポリシーの例

以下の例では、組織内のリソース共有のさまざまな側面を制御する方法を説明します。

例 : Trusted Advisor Engage でユーザーがエンゲージメントを作成または編集できないようにする

以下SCPにより、ユーザーは新しいエンゲージメントを作成したり、既存のエンゲージメントを編集したりできなくなります。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "trustedadvisor:CreateEngagement",
        "trustedadvisor:UpdateEngagement*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

例 : Trusted Advisor Engage と Trusted Advisor Priority Access を拒否する

以下SCPでは、ユーザーが Engage と Trusted Advisor Priority Trusted Advisor 内のアクションにアクセスしたり、アクションを実行したりすることを防ぎます。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "trustedadvisor:ListEngagement*",
        "trustedadvisor:GetEngagement*",
        "trustedadvisor:CreateEngagement*",
        "trustedadvisor:UpdateEngagement*",
        "trustedadvisor:DescribeRisk*",
        "trustedadvisor:UpdateRisk*",
        "trustedadvisor:DownloadRisk"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

へのアクセスを管理する AWS Trusted Advisor

トラブルシューティング