AWS Trusted Advisor のアクション、リソース、および条件キー
AWS Trusted Advisor (サービスプレフィックス: trustedadvisor) では、IAM アクセス許可ポリシーで使用できるように、次のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
AWS Trusted Advisor で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
注記
IAM Trusted Advisor ポリシーの説明の詳細は、Trusted Advisor コンソールにのみ適用されます。プログラムによる Trusted Advisor へのアクセスを管理する場合は、AWS Support API で Trusted Advisor オペレーションを使用します。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| BatchUpdateRecommendationResourceExclusion | レコメンデーションリソースのリストの 1 つ以上の除外ステータスを更新する許可を付与する | 書き込み | |||
| CreateEngagement | エンゲージメントを作成する許可を付与 | 書き込み | |||
| CreateEngagementAttachment | エンゲージメントアタッチメントを作成する許可を付与 | 書き込み | |||
| CreateEngagementCommunication | エンゲージメントコミュニケーションを作成する許可を付与 | 書き込み | |||
| DeleteNotificationConfigurationForDelegatedAdmin | Trusted Advisor Priority の委任された管理者アカウントから E メール通知設定を削除するアクセス許可を組織管理アカウントに付与 | 書き込み | |||
| DescribeAccount [アクセス許可のみ] | AWS Support プランおよびさまざまな AWS Trusted Advisor 設定を表示するアクセス許可を付与 | Read | |||
| DescribeAccountAccess [アクセス許可のみ] | AWS アカウント が AWS Trusted Advisor を有効にしたか無効にしたかを表示するアクセス許可を付与 | Read | |||
| DescribeCheckItems | チェックアイテムの詳細を表示する許可を付与 | Read | |||
| DescribeCheckRefreshStatuses | AWS Trusted Advisor チェックの更新ステータスを表示するアクセス許可を付与 | 読み取り | |||
| DescribeCheckStatusHistoryChanges [アクセス許可のみ] | 過去 30 日間のチェックの結果と変更されたステータスを表示する許可を付与 | 読み取り | |||
| DescribeCheckSummaries | AWS Trusted Advisor チェックの概要を表示するアクセス許可を付与 | Read | |||
| DescribeChecks | AWS Trusted Advisor チェックの詳細を表示するアクセス許可を付与 | 読み取り | |||
| DescribeNotificationConfigurations | Trusted Advisor Priority の E メール通知設定を取得するアクセス許可を付与 | 読み取り | |||
| DescribeNotificationPreferences [アクセス許可のみ] | AWS アカウント の通知設定を表示するアクセス許可を付与 | Read | |||
| DescribeOrganization [アクセス許可のみ] | AWS アカウント が組織ビュー機能を有効にする要件を満たしているかどうかを表示するアクセス許可を付与 | Read | |||
| DescribeOrganizationAccounts [アクセス許可のみ] | 組織内のリンクされた AWS アカウントを表示するアクセス許可を付与 | Read | |||
| DescribeReports [アクセス許可のみ] | レポート名、実行時、作成日、ステータス、形式など、組織ビューレポートの詳細を表示する許可を付与 | 読み取り | |||
| DescribeRisk | AWS Trusted Advisor Priority でリスクの詳細を表示するアクセス許可を付与 | 読み取り | |||
| DescribeRiskResources | AWS Trusted Advisor Priority でリスクの影響を受けるリソースを表示するアクセス許可を付与 | 読み取り | |||
| DescribeRisks | AWS Trusted Advisor Priority でリスクを表示するアクセス許可を付与 | 読み取り | |||
| DescribeServiceMetadata [アクセス許可のみ] | AWS リージョン、チェックカテゴリ、チェック名、リソースステータスなど、組織ビューレポートに関する情報を表示するアクセス許可を付与 | 読み取り | |||
| DownloadRisk | AWS Trusted Advisor Priority でリスクに関する詳細を含むファイルをダウンロードするアクセス許可を付与 | 読み取り | |||
| ExcludeCheckItems [アクセス許可のみ] | AWS Trusted Advisor チェックの推奨事項を除外するアクセス許可を付与 | Write | |||
| GenerateReport [アクセス許可のみ] | 組織内の AWS Trusted Advisor チェックのレポートを作成するアクセス許可を付与 | 書き込み | |||
| GetEngagement | エンゲージメントを表示する許可を付与 | 読み取り | |||
| GetEngagementAttachment | エンゲージメントのアタッチメントを表示する許可を付与 | 読み取り | |||
| GetEngagementType | 特定のエンゲージメントタイプを表示する許可を付与 | 読み取り | |||
| GetOrganizationRecommendation | AWS Organization の組織内で特定の推奨事項を受ける許可を付与 この API は、優先順位を付けた推奨事項のみをサポートします。 | 読み取り | |||
| GetRecommendation | 特定の推奨事項を取得する許可を付与 | 読み取り | |||
| IncludeCheckItems [アクセス許可のみ] | AWS Trusted Advisor チェックの推奨事項を含めるアクセス許可を付与 | Write | |||
| ListAccountsForParent [アクセス許可のみ] | ルートまたは組織単位 (OU) に含まれる AWS 組織内のすべてのアカウントを Trusted Advisor コンソールで表示するアクセス許可を付与 | 読み取り | |||
| ListChecks | フィルター可能なチェックセットを一覧表示する許可を付与 | リスト | |||
| ListEngagementCommunications | エンゲージメントに対するすべてのコミュニケーションを表示する許可を付与 | 読み取り | |||
| ListEngagementTypes | すべてのエンゲージメントタイプを表示する許可を付与 | 読み取り | |||
| ListEngagements | すべてのエンゲージメントを表示する許可を付与 | 読み取り | |||
| ListOrganizationRecommendationAccounts | AWS Organization 集計の奨励事項 のアグリゲーションのリソースを所有するアカウントをリストする許可を付与 この API は優先順位付けされた奨励事項のみをサポートします。 | リスト | |||
| ListOrganizationRecommendationResources | AWS Organization 内の奨励事項のリソースを一覧表示する許可を付与 この API は優先順位付けされた奨励事項のみをサポートします。 | リスト | |||
| ListOrganizationRecommendations | AWS Organization 内のフィルター可能な奨励事項のセットを一覧表示する許可を付与 この API は優先順位付けされた奨励事項のみをサポートします。 | リスト | |||
| ListOrganizationalUnitsForParent [アクセス許可のみ] | 親組織単位またはルート内のすべての組織単位 (OU)Trusted Advisor コンソールで表示する許可を付与 | 読み取り | |||
| ListRecommendationResources | リソースに対する推奨事項を取得する許可を付与 | リスト | |||
| ListRecommendations | フィルター可能な推奨事項を一覧表示する許可を付与 | リスト | |||
| ListRoots [アクセス許可のみ] | AWS 組織で定義されたすべてのルートを Trusted Advisor コンソールで表示するアクセス許可を付与 | Read | |||
| RefreshCheck | AWS Trusted Advisor チェックを更新するアクセス許可を付与 | Write | |||
| SetAccountAccess [アクセス許可のみ] | アカウントの AWS Trusted Advisor を有効または無効にするアクセス許可を付与 | Write | |||
| SetOrganizationAccess [アクセス許可のみ] | AWS Trusted Advisor の組織ビュー機能を有効にするアクセス許可を付与 | 書き込み | |||
| UpdateEngagement | エージェントの詳細を更新する許可を付与 | 書き込み | |||
| UpdateEngagementStatus | エージェントのステータスを更新する許可を付与 | 書き込み | |||
| UpdateNotificationConfigurations | Trusted Advisor Priority の E メール通知設定を作成または更新するアクセス許可を付与 | 書き込み | |||
| UpdateNotificationPreferences [アクセス許可のみ] | AWS Trusted Advisor の通知設定を更新するアクセス許可を付与 | 書き込み | |||
| UpdateOrganizationRecommendationLifecycle | AWS Organization 内の奨励事項のライフサイクルを更新する許可を付与 この API は優先順位付けされた奨励事項のみをサポートします。 | 書き込み | |||
| UpdateRecommendationLifecycle | 奨励事項のライフサイクルを更新する許可を付与 この API は優先順位付けされた奨励事項のみをサポートします。 | 書き込み | |||
| UpdateRiskStatus | AWS Trusted Advisor Priority でリスクステータスを更新するアクセス許可を付与 | 書き込み |
AWS Trusted Advisor で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
注記
チェックリソースタイプの ARN にはリージョンを含めないでください。フォーマットでは、「${Region}」の代わりに「*」を使用してください。それ以外の場合、ポリシーは正しく機能しません。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| checks |
arn:${Partition}:trustedadvisor:${Region}:${Account}:checks/${CategoryCode}/${CheckId}
|
AWS Trusted Advisor の条件キー
Trusted Advisor には、ポリシーステートメントの Condition 要素で使用できるサービス固有のコンテキストキーはありません。すべてのサービスで使用できるグローバルなコンテキストキーのリストについては、条件に利用可能なキーを参照してください。
