AWS políticas gerenciadas para AWS Trusted Advisor - AWS Support
AWSTrustedAdvisorPriorityFullAccess AWSTrustedAdvisorPriorityReadOnlyAccess AWSTrustedAdvisorServiceRolePolicy AWSTrustedAdvisorReportingServiceRolePolicy Atualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para AWS Trusted Advisor

Trusted Advisor tem as seguintes políticas AWS gerenciadas.

AWS política gerenciada: AWSTrustedAdvisorPriorityFullAccess

A AWSTrustedAdvisorPriorityFullAccesspolítica concede acesso total ao Trusted Advisor Priority. Essa política também permite que o usuário adicione Trusted Advisor como um serviço confiável AWS Organizations e especifique as contas de administrador delegado para Trusted Advisor Priority.

Detalhes da permissão

Na primeira declaração, a política inclui as seguintes permissões para trustedadvisor:

  • Descreve a sua conta e a sua organização.

  • Descreve os riscos identificados pelo Trusted Advisor Priority. As permissões permitem que você baixe e atualize o status de risco.

  • Descreve suas configurações para notificações Trusted Advisor prioritárias por e-mail. As permissões permitem que você configure as notificações por e-mail e as desative para os seus administradores delegados.

  • Configura Trusted Advisor para que sua conta possa ser ativada AWS Organizations.

Na segunda declaração, a política inclui as seguintes permissões para organizations:

  • Descreve sua Trusted Advisor conta e sua organização.

  • Lista as serviços da AWS que você habilitou para usar Organizations.

Na terceira declaração, a política inclui as seguintes permissões para organizations:

  • Lista os administradores delegados para Trusted Advisor Prioridade.

  • Ativa e desativa o acesso confiável com o Organizations.

Na quarta declaração, a política inclui as seguintes permissões para iam:

  • Cria o perfil vinculado ao serviço AWSServiceRoleForTrustedAdvisorReporting.

Na quinta declaração, a política inclui as seguintes permissões para organizations:

  • Permite que você registre e cancele o registro de administradores delegados para o Trusted Advisor Priority.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityFullAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:UpdateRiskStatus",
				"trustedadvisor:DescribeNotificationConfigurations",
				"trustedadvisor:UpdateNotificationConfigurations",
				"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
				"trustedadvisor:SetOrganizationAccess"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:EnableAWSServiceAccess",
				"organizations:DisableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowCreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
				}
			}
		},
		{
			"Sid": "AllowRegisterDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:RegisterDelegatedAdministrator",
				"organizations:DeregisterDelegatedAdministrator"
			],
			"Resource": "arn:aws:organizations::*:*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS política gerenciada: AWSTrustedAdvisorPriorityReadOnlyAccess

A AWSTrustedAdvisorPriorityReadOnlyAccesspolítica concede permissões somente de leitura à Trusted Advisor Priority, incluindo permissão para visualizar as contas de administrador delegado.

Detalhes da permissão

Na primeira declaração, a política inclui as seguintes permissões para trustedadvisor:

  • Descreve sua Trusted Advisor conta e sua organização.

  • Descreve os riscos identificados pelo Trusted Advisor Priority e permite que você os baixe.

  • Descreve as configurações das notificações Trusted Advisor prioritárias por e-mail.

Na segunda e terceira declarações, a política inclui as seguintes permissões para organizations:

  • Descreve sua organização com o Organizations.

  • Lista as serviços da AWS que você habilitou para usar Organizations.

  • Lista os administradores delegados para Priority Trusted Advisor 

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:DescribeNotificationConfigurations"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

Política gerenciada da AWS : AWSTrustedAdvisorServiceRolePolicy

Esta política é anexada à função vinculada ao serviço AWSServiceRoleForTrustedAdvisor. Isso permite que o perfil vinculado ao serviço execute ações em seu nome. Você não pode anexar o AWSTrustedAdvisorServiceRolePolicyàs suas entidades AWS Identity and Access Management (IAM). Para obter mais informações, consulte Usar funções vinculadas ao serviço do Trusted Advisor.

Essa política concede permissões administrativas que permitem que o perfil vinculado ao serviço acesse os serviços da AWS. Essas permissões permitem que as verificações avaliem sua conta. Trusted Advisor

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • accessanalyzer— Descreve AWS Identity and Access Management Access Analyzer os recursos

  • Auto Scaling— Descreve as cotas e os recursos da conta Amazon EC2 Auto Scaling

  • cloudformation— Descreve AWS CloudFormation (CloudFormation) cotas e pilhas de contas

  • cloudfront— Descreve as CloudFront distribuições da Amazon

  • cloudtrail— Descreve AWS CloudTrail (CloudTrail) trilhas

  • dynamodb - Descreve cotas e recursos da conta do Amazon DynamoDB

  • dynamodbaccelerator— Descreve os recursos do DynamoDB Accelerator

  • ec2— Descreve as cotas e os recursos da conta Amazon Elastic Compute Cloud (AmazonEC2)

  • elasticloadbalancing— Descreve as cotas e os recursos da conta do Elastic Load Balancing (ELB)

  • iam— Obtém IAM recursos, como credenciais, política de senhas e certificados

  • networkfirewall— Descreve AWS Network Firewall os recursos

  • kinesis - Descreve cotas de contas do Amazon Kinesis (Kinesis)

  • rds— Descreve os recursos do Amazon Relational Database Service (RDSAmazon)

  • redshift - Descreve os recursos do Amazon Redshift

  • route53 - Descreve cotas e recursos da conta do Amazon Route 53

  • s3 - Descreve recursos do Amazon Simple Storage Service (Amazon S3)

  • ses— Obtém cotas de envio do Amazon Simple Email Service (AmazonSES)

  • sqs— Lista as filas do Amazon Simple Queue Service (AmazonSQS)

  • cloudwatch— Obtém estatísticas métricas da Amazon CloudWatch CloudWatch Events (Events)

  • ce - Obtém recomendações do Serviço Cost Explorer (Cost Explorer)

  • route53resolver— Obtém endpoints e recursos do Amazon Route 53 Resolver Resolver

  • kafka: obtém o Amazon Managed Streaming para os recursos do Apache Kafka

  • ecs— Obtém ECS recursos da Amazon

  • outposts— Obtém AWS Outposts recursos

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "access-analyzer:ListAnalyzers"
                "autoscaling:DescribeAccountLimits",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "ce:GetReservationPurchaseRecommendation",
                "ce:GetSavingsPlansPurchaseRecommendation",
                "cloudformation:DescribeAccountLimits",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStacks",
                "cloudfront:ListDistributions",
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetTrail",
                "cloudtrail:ListTrails",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "dax:DescribeClusters",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "ec2:DescribeAddresses",
                "ec2:DescribeReservedInstances",
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeImages",
                "ec2:DescribeNatGateways",
                "ec2:DescribeVolumes",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:DescribeReservedInstancesOfferings",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpnConnections",
                "ec2:DescribeVpnGateways",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:GetManagedPrefixListEntries",
                "ecs:DescribeTaskDefinition",
                "ecs:ListTaskDefinitions"
                "elasticloadbalancing:DescribeAccountLimits",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancerAttributes",
                "elasticloadbalancing:DescribeLoadBalancerPolicies",
                "elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "iam:GenerateCredentialReport",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary",
                "iam:GetCredentialReport",
                "iam:GetServerCertificate",
                "iam:ListServerCertificates",
                "iam:ListSAMLProviders",
                "kinesis:DescribeLimits",
                "kafka:DescribeClusterV2",
                "kafka:ListClustersV2",
                "kafka:ListNodes",
                "network-firewall:ListFirewalls",
                "network-firewall:DescribeFirewall",
                "outposts:GetOutpost",
                "outposts:ListAssets",
                "outposts:ListOutposts",
                "rds:DescribeAccountAttributes",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSecurityGroups",
                "rds:DescribeDBSnapshots",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEngineDefaultParameters",
                "rds:DescribeEvents",
                "rds:DescribeOptionGroupOptions",
                "rds:DescribeOptionGroups",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribeReservedDBInstances",
                "rds:DescribeReservedDBInstancesOfferings",
                "rds:ListTagsForResource",
                "redshift:DescribeClusters",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "route53:GetAccountLimit",
                "route53:GetHealthCheck",
                "route53:GetHostedZone",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListHostedZonesByName",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetLifecycleConfiguration",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "ses:GetSendQuota",
                "sqs:GetQueueAttributes",
                "sqs:ListQueues"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gerenciada: AWSTrustedAdvisorReportingServiceRolePolicy

Essa política é anexada à função AWSServiceRoleForTrustedAdvisorReporting vinculada ao serviço que permite realizar ações Trusted Advisor para o recurso de visão organizacional. Você não pode anexar o AWSTrustedAdvisorReportingServiceRolePolicyàs suas IAM entidades. Para obter mais informações, consulte Usar funções vinculadas ao serviço do Trusted Advisor.

Essa política concede permissões administrativas que permitem que a função vinculada ao serviço execute ações AWS Organizations .

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • organizations - Descreve sua organização e lista o acesso ao serviço, contas, pais, filhos e unidades organizacionais

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Atualizações do Trusted Advisor para políticas gerenciadas pela AWS

Veja detalhes sobre as atualizações das políticas AWS gerenciadas para AWS Support e Trusted Advisor desde que esses serviços começaram a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na Histórico do documento página.

A tabela a seguir descreve atualizações importantes nas políticas Trusted Advisor gerenciadas desde 10 de agosto de 2021.

Trusted Advisor
Alteração Descrição Data

AWSTrustedAdvisorServiceRolePolicy

Atualização de uma política existente.

Trusted Advisor adicionou novas ações para conceder as sqs:GetQueueAttributes permissões access-analyzer:ListAnalyzers cloudwatch:ListMetricsdax:DescribeClusters,ec2:DescribeNatGateways,ec2:DescribeRouteTables,ec2:DescribeVpcEndpoints, ec2:GetManagedPrefixListEntrieselasticloadbalancing:DescribeTargetHealth,iam:ListSAMLProviders,, kafka:DescribeClusterV2 network-firewall:ListFirewalls network-firewall:DescribeFirewall e.

 11 de junho de 2024

AWSTrustedAdvisorServiceRolePolicy

Atualização de uma política existente.

Trusted Advisor adicionou novas ações para conceder o cloudtrail:GetTrail cloudtrail:ListTrails cloudtrail:GetEventSelectorsoutposts:GetOutpost, outposts:ListAssets e outposts:ListOutposts permissões.

 18 de janeiro de 2024

AWSTrustedAdvisorPriorityFullAccess

Atualização de uma política existente.

Trusted Advisor atualizou a política AWSTrustedAdvisorPriorityFullAccess AWS gerenciada para incluir a declaraçãoIDs.

 6 de dezembro de 2023

AWSTrustedAdvisorPriorityReadOnlyAccess

Atualização de uma política existente.

Trusted Advisor atualizou a política AWSTrustedAdvisorPriorityReadOnlyAccess AWS gerenciada para incluir a declaraçãoIDs.

 6 de dezembro de 2023

AWSTrustedAdvisorServiceRolePolicy: atualizar para uma política existente

Trusted Advisor adicionou novas ações para conceder ec2:DescribeRegions s3:GetLifecycleConfiguration ecs:DescribeTaskDefinition as ecs:ListTaskDefinitions permissões e.

 9 de novembro de 2023

AWSTrustedAdvisorServiceRolePolicy: atualizar para uma política existente

Trusted Advisor adicionou novas IAM açõesroute53resolver:ListResolverEndpoints,, route53resolver:ListResolverEndpointIpAddressesec2:DescribeSubnets, kafka:ListClustersV2 e kafka:ListNodes incorporou novas verificações de resiliência.

 14 de setembro de 2023

AWSTrustedAdvisorReportingServiceRolePolicy

V2 da política gerenciada anexada à função vinculada ao Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting serviço

Atualize a política AWS gerenciada para V2 para a função vinculada ao Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting serviço. O V2 adicionará mais IAM uma ação organizations:ListDelegatedAdministrators

28 de fevereiro de 2023

AWSTrustedAdvisorPriorityFullAccess e AWSTrustedAdvisorPriorityReadOnlyAccess

Novas políticas AWS gerenciadas para o Trusted Advisor

Trusted Advisor adicionou duas novas políticas gerenciadas que você pode usar para controlar o acesso ao Trusted Advisor Priority.

17 de agosto de 2022

AWSTrustedAdvisorServiceRolePolicy: atualizar para uma política existente

Trusted Advisor adicionou novas ações para conceder DescribeTargetGroups as GetAccountPublicAccessBlock permissões e.

DescribeTargetGroup é necessário para a permissão Auto Scaling Group Health Check (Verificação de integridade do grupo do Auto Scaling) para recuperar balanceadores de carga não clássicos anexados a um grupo do Auto Scaling.

GetAccountPublicAccessBlock é necessário para a permissão Amazon S3 Bucket Permissions (Permissões do bucket do Amazon S3) para recuperar as configurações de acesso público de bloqueio para um Conta da AWS.

 10 de agosto de 2021

Publicação do log de alterações

Trusted Advisor começou a rastrear as mudanças em suas políticas AWS gerenciadas.

 10 de agosto de 2021