管理對 的存取 AWS Trusted Advisor - AWS Support

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理對 的存取 AWS Trusted Advisor

您可以從 存取 AWS Trusted Advisor AWS Management Console。所有 AWS 帳戶 都可以存取選取的核心Trusted Advisor 檢查 。如果您有商業、Enterprise On-Ramp 或企業支援計劃,可以存取所有檢查。如需詳細資訊,請參閱《AWS Trusted Advisor 檢查參考》。

您可以使用 AWS Identity and Access Management (IAM) 控制對 的存取 Trusted Advisor。

Trusted Advisor 主控台的許可

若要存取 Trusted Advisor 主控台,使用者必須具有一組最低許可。這些許可必須允許使用者列出和檢視 中 Trusted Advisor 資源的詳細資訊 AWS 帳戶。

您可以使用下列選項來控制 Trusted Advisor的存取權:

  • 使用 Trusted Advisor 主控台的標籤篩選功能。使用者或角色必須具有與標籤相關聯的許可。

    您可以使用 AWS 受管政策或自訂政策,依標籤指派許可。如需詳細資訊,請參閱使用標籤 控制IAM對 和 的存取

  • 使用 trustedadvisor 命名空間建立IAM政策。您可使用此政策指定動作和資源的許可。

當您建立政策時,可以指定服務的命名空間,以允許或拒絕動作。的命名空間 Trusted Advisor 為 trustedadvisor。不過,您無法使用 trustedadvisor 命名空間來允許或拒絕 Trusted Advisor API 中的操作 AWS Support API。但針對 AWS Support ,您必須使用 support 命名空間。

注意

如果您有 AWS Support 的許可API, 中的 Trusted Advisor 小工具 AWS Management Console 會顯示 Trusted Advisor 結果的摘要檢視。若要在 Trusted Advisor 主控台中檢視結果,您必須具有trustedadvisor命名空間的許可。

Trusted Advisor 動作

您可以在 主控台中執行下列 Trusted Advisor 動作。您也可以在IAM政策中指定這些 Trusted Advisor 動作,以允許或拒絕特定動作。

動作 描述

DescribeAccount

准許檢視 AWS Support 計劃和各種 Trusted Advisor 偏好設定。

DescribeAccountAccess

准許檢視 AWS 帳戶 是否已啟用或停用 Trusted Advisor。

DescribeCheckItems

准許檢視檢查項目的詳細資訊。

DescribeCheckRefreshStatuses

准許檢視 Trusted Advisor 檢查的重新整理狀態。

DescribeCheckSummaries

准許檢視 Trusted Advisor 檢查摘要。

DescribeChecks

准許檢視 Trusted Advisor 檢查的詳細資訊。

DescribeNotificationPreferences

准許檢視 AWS 帳戶的通知偏好設定。

ExcludeCheckItems

准許排除 Trusted Advisor 檢查的建議。

IncludeCheckItems

准許包含 Trusted Advisor 檢查的建議。

RefreshCheck

准許重新整理 Trusted Advisor 檢查。

SetAccountAccess

准許 Trusted Advisor 啟用或停用 帳戶的 。

UpdateNotificationPreferences

准許更新 Trusted Advisor的通知偏好設定。

DescribeCheckStatusHistoryChanges

准許檢視過去 30 天內檢查的結果和變更狀態。

Trusted Advisor 組織檢視的動作

下列 Trusted Advisor 動作適用於組織檢視功能。如需詳細資訊,請參閱AWS Trusted Advisor 的組織檢視

動作 描述

DescribeOrganization

准許檢視 是否符合啟用組織檢視功能 AWS 帳戶 的要求。

DescribeOrganizationAccounts

准許檢視組織中的連結 AWS 帳戶。

DescribeReports

准許檢視組織檢視報告的詳細資訊,例如報告名稱、執行時間、建立日期、狀態和格式。

DescribeServiceMetadata

准許檢視組織檢視報告的相關資訊,例如 AWS 區域、檢查類別、檢查名稱和資源狀態。

GenerateReport

准許建立組織中 Trusted Advisor 檢查的報告。

ListAccountsForParent

准許在 Trusted Advisor 主控台中檢視 AWS 組織中根或組織單位 (OU) 包含的所有帳戶。

ListOrganizationalUnitsForParent

准許在 Trusted Advisor 主控台中檢視父組織單位或根中的所有組織單位 (OUs)。

ListRoots

准許在 Trusted Advisor 主控台中檢視 AWS 組織中定義的所有根。

SetOrganizationAccess

准許啟用 的組織檢視功能 Trusted Advisor。

Trusted Advisor 優先順序動作

如果您的 帳戶已啟用 Trusted Advisor 優先順序,您可以在 主控台中執行下列 Trusted Advisor 動作。您也可以在IAM政策中新增這些 Trusted Advisor 動作,以允許或拒絕特定動作。如需詳細資訊,請參閱Trusted Advisor 優先順序IAM的政策範例

注意

Priority 中顯示的風險 Trusted Advisor 是您的技術帳戶管理員 (TAM) 為您的帳戶識別的建議。系統會自動為您建立服務的建議,例如 Trusted Advisor 檢查。來自 的建議TAM會手動為您建立。接下來,您的 TAM會傳送這些建議,以便它們在帳戶的 Trusted Advisor 優先順序中顯示。

如需詳細資訊,請參閱開始使用 AWS Trusted Advisor 優先權

動作 描述

DescribeRisks

准許在 Trusted Advisor Priority 中檢視風險。

DescribeRisk

准許在 Trusted Advisor Priority 中檢視風險詳細資訊。

DescribeRiskResources

授予許可以檢視 Trusted Advisor 優先權中風險的受影響資源。

DownloadRisk

准許下載包含 Trusted Advisor Priority 風險詳細資訊的檔案。

UpdateRiskStatus

授予許可以更新 Trusted Advisor 優先權中的風險狀態。

DescribeNotificationConfigurations

准許取得 Trusted Advisor 優先順序的電子郵件通知偏好設定。

UpdateNotificationConfigurations

准許建立或更新 Trusted Advisor Priority 的電子郵件通知偏好設定。

DeleteNotificationConfigurationForDelegatedAdmin

准許組織管理帳戶從委派的管理員帳戶刪除 Trusted Advisor 電子郵件通知偏好設定。

Trusted Advisor 參與動作

如果您為帳戶啟用 Trusted Advisor 了 Engage,您可以在主控台中執行下列 Trusted Advisor 動作。您也可以在IAM政策中新增這些 Trusted Advisor 動作,以允許或拒絕特定動作。如需詳細資訊,請參閱 Trusted Advisor Engage IAM的政策範例

如需詳細資訊,請參閱開始使用 AWS Trusted Advisor Engage (預覽)

動作 描述

CreateEngagement

准許在 Trusted Advisor Engage 中建立參與。

CreateEngagementAttachment

准許在 Trusted Advisor Engage 中建立參與附件。

CreateEngagementCommunication

准許在 Trusted Advisor Engage 中建立參與通訊。

GetEngagement

准許在 Trusted Advisor Engage 中檢視參與。

GetEngagementAttachment

准許在 Trusted Advisor Engage 中檢視參與連接。

GetEngagementType

准許在 Trusted Advisor Engage 中檢視特定參與類型。

ListEngagementCommunications

准許在 Trusted Advisor Engage 中檢視業務開發的所有通訊。

ListEngagements

准許在 Trusted Advisor Engage 中檢視所有參與。

ListEngagementTypes

准許在 Trusted Advisor Engage 中檢視所有參與類型。

UpdateEngagement

准許更新 Trusted Advisor Engage 中參與的詳細資訊。

UpdateEngagementStatus

准許在 Trusted Advisor Engage 中更新參與狀態。

IAM 政策範例

下列政策會告訴您如何允許和拒絕 Trusted Advisor的存取權。您可以使用下列其中一個政策,在IAM主控台中建立客戶受管政策。例如,您可以複製範例政策,然後將其貼到IAM主控台的JSON索引標籤中。然後,您將政策連接至您的IAM使用者、群組或角色。

如需如何建立IAM政策的詳細資訊,請參閱 IAM 使用者指南 中的建立IAM政策 (主控台)

完整存取 Trusted Advisor

下列政策允許使用者檢視 Trusted Advisor 主控台中所有檢查的所有動作,並採取所有 Trusted Advisor 動作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" } ] }

唯讀存取 Trusted Advisor

下列政策允許使用者對 Trusted Advisor 主控台進行唯讀存取。使用者無法進行變更,例如重新整理檢查或變更通知偏好設定。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:Describe*", "trustedadvisor:Get*", "trustedadvisor:List*" ], "Resource": "*" } ] }

拒絕存取 Trusted Advisor

下列政策不允許使用者檢視 Trusted Advisor 主控台中的檢查或採取檢查 Trusted Advisor 動作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "trustedadvisor:*", "Resource": "*" } ] }

允許和拒絕特定動作

下列政策允許使用者檢視主控台中的所有 Trusted Advisor Trusted Advisor 檢查,但不允許他們重新整理任何檢查。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:RefreshCheck", "Resource": "*" } ] }

控制 AWS Support API操作的存取權 Trusted Advisor

在 中 AWS Management Console,單獨的trustedadvisorIAM命名空間控制對 的存取 Trusted Advisor。您不能使用trustedadvisor命名空間來允許或拒絕 Trusted Advisor API 中的操作 AWS Support API。相反地,您可以使用 support 命名空間。您必須具有 的許可,才能 Trusted Advisor 以程式設計方式呼叫 AWS Support API。

例如,如果您想要呼叫 RefreshTrustedAdvisorCheck操作,您必須在 政策中擁有此動作的許可。

範例 : Trusted Advisor API僅允許操作

下列政策允許使用者存取 的操作 AWS Support API Trusted Advisor,但不允許存取其餘 AWS Support API的操作。例如,使用者可以使用 API 檢視和重新整理檢查。他們無法建立、檢視、更新或解決 AWS Support 案例。

您可以使用此政策以程式設計方式呼叫 Trusted Advisor API操作,但您無法使用此政策在主控台中 Trusted Advisor 檢視或重新整理檢查。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:DescribeTrustedAdvisorCheckRefreshStatuses", "support:DescribeTrustedAdvisorCheckResult", "support:DescribeTrustedAdvisorChecks", "support:DescribeTrustedAdvisorCheckSummaries", "support:RefreshTrustedAdvisorCheck", "trustedadvisor:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeServices", "support:DescribeSeverityLevels", "support:ResolveCase" ], "Resource": "*" } ] }

如需如何使用 IAM AWS Support 和 的詳細資訊 Trusted Advisor,請參閱 動作

Trusted Advisor 優先順序IAM的政策範例

您可以使用下列 AWS 受管政策來控制對 Trusted Advisor Priority 的存取。如需詳細資訊,請參閱 AWS 的 受管政策 AWS Trusted Advisor開始使用 AWS Trusted Advisor 優先權

Trusted Advisor Engage IAM的政策範例

注意

Trusted Advisor Engage 處於預覽版本中,目前沒有任何 AWS 受管政策。您可以使用下列其中一個政策,在IAM主控台中建立客戶受管政策

在 Trusted Advisor Engage 中授予讀取和寫入存取權的範例政策:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:CreateEngagement*", "trustedadvisor:DescribeAccount*", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*", "trustedadvisor:UpdateEngagement*" ], "Resource": "*" } ] }

在 Trusted Advisor Engage 中授予唯讀存取權的範例政策:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeAccount*", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*" ], "Resource": "*" } ] }

在 Trusted Advisor Engage 中授予讀取和寫入存取權,以及對 啟用受信任存取權之功能的範例政策 Trusted Advisor:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "trustedadvisor:CreateEngagement*", "trustedadvisor:DescribeAccount*", "trustedadvisor:DescribeOrganization", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*", "trustedadvisor:SetOrganizationAccess", "trustedadvisor:UpdateEngagement*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting", "Condition": { "StringLike": { "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com" } } } ] }

另請參閱

如需 Trusted Advisor 許可的詳細資訊,請參閱下列資源: