へのアクセスを管理する AWS Trusted Advisor - AWS Support

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

へのアクセスを管理する AWS Trusted Advisor

AWS Trusted Advisor から にアクセスできます AWS Management Console。すべての AWS アカウント は、選択したコアTrusted Advisor チェック にアクセスできます。Business、Enterprise On-Ramp、または Enterprise Support プランをお持ちの場合は、すべてのチェックにアクセスできます。詳細については、AWS Trusted Advisor チェックリファレンス を参照してください。

AWS Identity and Access Management (IAM) を使用して、 へのアクセスを制御できます Trusted Advisor。

Trusted Advisor コンソールのアクセス許可

Trusted Advisor コンソールにアクセスするには、ユーザーに最小限のアクセス許可のセットが必要です。これらのアクセス許可により、ユーザーは 内の Trusted Advisor リソースの詳細を一覧表示および表示できます AWS アカウント。

次のオプションを使用して、 Trusted Advisorへのアクセスを制御できます。

  • Trusted Advisor コンソールのタグフィルター機能を使用します。ユーザーまたはロールには、タグに関連付けられたアクセス許可が必要です。

    AWS マネージドポリシーまたはカスタムポリシーを使用して、タグごとにアクセス許可を割り当てることができます。詳細については、「タグ を使用したIAMユーザーとロールへのアクセスの制御」を参照してください。

  • trustedadvisor 名前空間を使用してIAMポリシーを作成します。このポリシーを使用して、アクションとリソースの許可を指定できます。

ポリシーを作成するときに、アクションを許可または拒否するサービスの名前空間を指定できます。の名前空間は Trusted Advisor ですtrustedadvisor。ただし、trustedadvisor名前空間を使用して でオペレーションを許可または拒否 Trusted Advisor APIすることはできません AWS Support API。代わりに、 AWS Support の support 名前空間を使用する必要があります。

注記

へのアクセス許可がある場合AWS SupportAPI、 の Trusted Advisor ウィジェット AWS Management Console に Trusted Advisor 結果の概要が表示されます。 Trusted Advisor コンソールで結果を表示するには、trustedadvisor名前空間へのアクセス許可が必要です。

Trusted Advisor アクション

コンソールで次の Trusted Advisor アクションを実行できます。これらの Trusted Advisor アクションをIAMポリシーで指定して、特定のアクションを許可または拒否することもできます。

[アクション] 説明

DescribeAccount

AWS Support プランとさまざまな Trusted Advisor 設定を表示するアクセス許可を付与します。

DescribeAccountAccess

AWS アカウント が を有効または無効にしているかどうかを表示するアクセス許可を付与します Trusted Advisor。

DescribeCheckItems

チェックアイテムの詳細を表示するアクセス許可を付与します。

DescribeCheckRefreshStatuses

Trusted Advisor チェックの更新ステータスを表示するアクセス許可を付与します。

DescribeCheckSummaries

Trusted Advisor チェックの概要を表示するアクセス許可を付与します。

DescribeChecks

Trusted Advisor チェックの詳細を表示するアクセス許可を付与します。

DescribeNotificationPreferences

AWS アカウントの通知設定を表示するアクセス許可を付与します。

ExcludeCheckItems

Trusted Advisor チェックのレコメンデーションを除外するアクセス許可を付与します。

IncludeCheckItems

Trusted Advisor チェックのレコメンデーションを含めるアクセス許可を付与します。

RefreshCheck

Trusted Advisor チェックを更新するアクセス許可を付与します。

SetAccountAccess

アカウント Trusted Advisor に対して有効または無効にするアクセス許可を付与します。

UpdateNotificationPreferences

Trusted Advisorの通知設定を更新するアクセス許可を付与します。

DescribeCheckStatusHistoryChanges

過去 30 日間のチェックについて、その結果と変化したステータスを表示するための許可を付与します。

Trusted Advisor 組織ビューのアクション

次の Trusted Advisor アクションは、組織ビュー機能用です。詳細については、「AWS Trusted Advisor の組織ビュー」を参照してください。

[アクション] 説明

DescribeOrganization

が組織ビュー機能を有効にする AWS アカウント ための要件を満たしているかどうかを表示するアクセス許可を付与します。

DescribeOrganizationAccounts

組織内のリンクされた AWS アカウントを表示するアクセス許可を付与します。

DescribeReports

組織ビューレポートの詳細 (レポート名、ランタイム、作成日、ステータス、形式など) を表示するアクセス許可を付与します。

DescribeServiceMetadata

、チェックカテゴリ、チェック名 AWS リージョン、リソースステータスなど、組織ビューレポートに関する情報を表示するアクセス許可を付与します。

GenerateReport

組織内の Trusted Advisor チェックのレポートを作成するアクセス許可を付与します。

ListAccountsForParent

コンソールで、ルートまたは組織単位 (OU) に含まれる AWS 組織内のすべてのアカウントを表示するアクセス許可を付与 Trusted Advisor します。

ListOrganizationalUnitsForParent

Trusted Advisor コンソールで、親組織単位またはルート内のすべての組織単位 (OUs) を表示するアクセス許可を付与します。

ListRoots

コンソールで、 AWS 組織で定義されている Trusted Advisor すべてのルートを表示するアクセス許可を付与します。

SetOrganizationAccess

の組織ビュー機能を有効にするアクセス許可を付与します Trusted Advisor。

Trusted Advisor 優先度アクション

アカウントで Trusted Advisor Priority が有効になっている場合は、コンソールで次の Trusted Advisor アクションを実行できます。これらの Trusted Advisor アクションをIAMポリシーに追加して、特定のアクションを許可または拒否することもできます。詳細については、「Trusted Advisor Priority のIAMポリシーの例」を参照してください。

注記

Trusted Advisor Priority に表示されるリスクは、テクニカルアカウントマネージャー (TAM) がアカウントに対して特定した推奨事項です。 Trusted Advisor チェックなどのサービスからのレコメンデーションが自動的に作成されます。からのレコメンデーションTAMは手動で作成されます。次に、 TAMはこれらのレコメンデーションを送信して、アカウントの Trusted Advisor Priority に表示されます。

詳細については、「AWS Trusted Advisor Priority の開始方法」を参照してください。

[アクション] 説明

DescribeRisks

Trusted Advisor Priority でリスクを表示するアクセス許可を付与します。

DescribeRisk

Trusted Advisor Priority でリスクの詳細を表示するアクセス許可を付与します。

DescribeRiskResources

Trusted Advisor Priority でリスクの影響を受けるリソースを表示する許可を付与します

DownloadRisk

Trusted Advisor Priority のリスクに関する詳細を含むファイルをダウンロードするアクセス許可を付与します。

UpdateRiskStatus

Trusted Advisor Priority でリスクステータスを更新する許可を付与します

DescribeNotificationConfigurations

Trusted Advisor Priority の E メール通知設定を取得するアクセス許可を付与します。

UpdateNotificationConfigurations

Trusted Advisor Priority のメール通知設定を作成または更新する許可を付与します。

DeleteNotificationConfigurationForDelegatedAdmin

Trusted Advisor Priority の委任管理者アカウントから E メール通知設定を削除するアクセス許可を組織管理アカウントに付与します。

Trusted Advisor Engage アクション

アカウントで Trusted Advisor Engage を有効にしている場合は、コンソールで次の Trusted Advisor アクションを実行できます。これらの Trusted Advisor アクションをIAMポリシーに追加して、特定のアクションを許可または拒否することもできます。詳細については、「Trusted Advisor Engage のIAMポリシーの例」を参照してください。

詳細については、「AWS Trusted Advisor Engage の使用を開始する (プレビュー)」を参照してください。

[アクション] 説明

CreateEngagement

Trusted Advisor Engage でエンゲージメントを作成するアクセス許可を付与します。

CreateEngagementAttachment

Trusted Advisor Engage でエンゲージメントアタッチメントを作成するアクセス許可を付与します。

CreateEngagementCommunication

Trusted Advisor Engage でエンゲージメント通信を作成するアクセス許可を付与します。

GetEngagement

Trusted Advisor Engage でエンゲージメントを表示するアクセス許可を付与します。

GetEngagementAttachment

Trusted Advisor Engage でエンゲージアタッチメントを表示するアクセス許可を付与します。

GetEngagementType

Trusted Advisor Engage で特定のエンゲージメントタイプを表示するアクセス許可を付与します。

ListEngagementCommunications

エンゲージメントに対するすべてのコミュニケーションを Trusted Advisor Engage で表示するアクセス許可を付与。

ListEngagements

Trusted Advisor Engage ですべてのエンゲージメントを表示するアクセス許可を付与します。

ListEngagementTypes

Trusted Advisor Engage ですべてのエンゲージメントタイプを表示するアクセス許可を付与します。

UpdateEngagement

Trusted Advisor Engage でエンゲージメントの詳細を更新するアクセス許可を付与します。

UpdateEngagementStatus

Trusted Advisor Engage でエンゲージメントのステータスを更新するアクセス許可を付与します。

IAM ポリシーの例

次のポリシーは、 Trusted Advisorへのアクセスを許可および拒否する方法を示しています。次のいずれかのポリシーを使用して、IAMコンソールでカスタマー管理ポリシーを作成できます。例えば、ポリシーの例をコピーし、IAMコンソールの JSONタブに貼り付けることができます。次に、ポリシーをIAMユーザー、グループ、またはロールにアタッチします。

IAM ポリシーの作成方法の詳細については、 IAM ユーザーガイドIAM「ポリシーの作成 (コンソール)」を参照してください。

へのフルアクセス Trusted Advisor

次のポリシーでは、ユーザーは Trusted Advisor コンソールですべてのチェックですべての Trusted Advisor アクションを表示および実行できます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" } ] }

Trusted Advisorへの読み取り専用アクセス

次のポリシーでは、 Trusted Advisor コンソールへの読み取り専用アクセスをユーザーに許可します。ユーザーは、変更 (更新チェックや通知設定の変更など) を行うことはできません。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:Describe*", "trustedadvisor:Get*", "trustedadvisor:List*" ], "Resource": "*" } ] }

へのアクセスを拒否する Trusted Advisor

次のポリシーでは、ユーザーが Trusted Advisor コンソールでチェックを表示またはアクションを実行 Trusted Advisor することはできません。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "trustedadvisor:*", "Resource": "*" } ] }

特定のアクションを許可および拒否する

次のポリシーでは、ユーザーはコンソールで Trusted Advisor すべての Trusted Advisor チェックを表示できますが、チェックの更新は許可されません。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:RefreshCheck", "Resource": "*" } ] }

の オペレーションへのアクセスを制御する AWS Support API Trusted Advisor

では AWS Management Console、別のtrustedadvisorIAM名前空間が へのアクセスを制御します Trusted Advisor。trustedadvisor 名前空間を使用して、 でのオペレーションを許可または拒否 Trusted Advisor APIすることはできません AWS Support API。代わりに、support 名前空間を使用します。 Trusted Advisor プログラムで を呼び出すには、 AWS Support APIに対するアクセス許可が必要です。

例えば、 RefreshTrustedAdvisorCheckオペレーションを呼び出す場合は、ポリシーでこのアクションに対するアクセス許可が必要です。

例 : オペレーションのみを許可する Trusted Advisor API

次のポリシーでは、ユーザーは の AWS Support APIオペレーションにアクセスできますが Trusted Advisor、残りの AWS Support APIオペレーションにはアクセスできません。例えば、ユーザーは API を使用してチェックを表示および更新できます。 AWS Support ケースを作成、表示、更新、解決することはできません。

このポリシーを使用してプログラムでオペレーションを Trusted Advisor API呼び出すことはできますが、このポリシーを使用してコンソールで Trusted Advisor チェックを表示または更新することはできません。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:DescribeTrustedAdvisorCheckRefreshStatuses", "support:DescribeTrustedAdvisorCheckResult", "support:DescribeTrustedAdvisorChecks", "support:DescribeTrustedAdvisorCheckSummaries", "support:RefreshTrustedAdvisorCheck", "trustedadvisor:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeServices", "support:DescribeSeverityLevels", "support:ResolveCase" ], "Resource": "*" } ] }

が AWS Support および とIAM連携する方法については Trusted Advisor、「」を参照してくださいアクション

Trusted Advisor Priority のIAMポリシーの例

以下の AWS 管理ポリシーを使用して、 Trusted Advisor Priority へのアクセスを制御できます。詳細については、「AWS の マネージドポリシー AWS Trusted Advisor」および「AWS Trusted Advisor Priority の開始方法」を参照してください。

Trusted Advisor Engage のIAMポリシーの例

注記

Trusted Advisor Engage はプレビューリリース中であり、現在 AWS 管理ポリシーはありません。次のいずれかのポリシーを使用して、IAMコンソールでカスタマー管理ポリシーを作成できます。

Trusted Advisor Engage で読み取りおよび書き込みアクセスを許可するポリシーの例:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:CreateEngagement*", "trustedadvisor:DescribeAccount*", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*", "trustedadvisor:UpdateEngagement*" ], "Resource": "*" } ] }

Trusted Advisor Engage で読み取り専用アクセスを許可するポリシーの例:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeAccount*", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*" ], "Resource": "*" } ] }

Trusted Advisor Engage で読み取りおよび書き込みアクセスを付与し、 への信頼できるアクセスを有効にするポリシーの例 Trusted Advisor:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "trustedadvisor:CreateEngagement*", "trustedadvisor:DescribeAccount*", "trustedadvisor:DescribeOrganization", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*", "trustedadvisor:SetOrganizationAccess", "trustedadvisor:UpdateEngagement*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting", "Condition": { "StringLike": { "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com" } } } ] }

以下も参照してください。

アクセス Trusted Advisor 許可の詳細については、次のリソースを参照してください。