AWS políticas gestionadas para AWS Trusted Advisor - AWS Support

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para AWS Trusted Advisor

Trusted Advisor tiene las siguientes políticas AWS gestionadas.

AWS política gestionada: AWSTrustedAdvisorPriorityFullAccess

Con la AWSTrustedAdvisorPriorityFullAccessla política otorga acceso completo a Trusted Advisor Priority. Esta política también permite al usuario añadir cuentas de administrador delegado para Trusted Advisor Priority Trusted Advisor como servicio de confianza AWS Organizations y especificarlas.

Detalles de los permisos

En la primera declaración, la política debe incluir los siguientes permisos para trustedadvisor:

  • Describe su cuenta y su organización.

  • Describe los riesgos identificados por Trusted Advisor Priority. Los permisos le permiten descargar y actualizar el estado del riesgo.

  • Describe las configuraciones de las notificaciones Trusted Advisor prioritarias por correo electrónico. Los permisos le permiten configurar las notificaciones por correo electrónico y deshabilitarlas para los administradores delegados.

  • Se configura Trusted Advisor para que su cuenta pueda activarse AWS Organizations.

En la segunda declaración, la política debe incluir los siguientes permisos para organizations:

  • Describe tu Trusted Advisor cuenta y tu organización.

  • Muestra las Servicios de AWS que ha habilitado para usar Organizations.

En la tercera declaración, la política debe incluir los siguientes permisos para organizations:

  • Muestra los administradores delegados para Trusted Advisor Priority.

  • Habilita y deshabilita el acceso confiable con Organizations.

En la cuarta declaración, la política debe incluir los siguientes permisos para iam:

  • Crea el rol vinculado al servicio AWSServiceRoleForTrustedAdvisorReporting.

En la quinta declaración, la política debe incluir los siguientes permisos para organizations:

  • Le permite registrar y anular el registro de los administradores delegados de Trusted Advisor Priority.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSTrustedAdvisorPriorityFullAccess", "Effect": "Allow", "Action": [ "trustedadvisor:DescribeAccount*", "trustedadvisor:DescribeOrganization", "trustedadvisor:DescribeRisk*", "trustedadvisor:DownloadRisk", "trustedadvisor:UpdateRiskStatus", "trustedadvisor:DescribeNotificationConfigurations", "trustedadvisor:UpdateNotificationConfigurations", "trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin", "trustedadvisor:SetOrganizationAccess" ], "Resource": "*" }, { "Sid": "AllowAccessForOrganization", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Sid": "AllowListDelegatedAdministrators", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } }, { "Sid": "AllowCreateServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting", "Condition": { "StringLike": { "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com" } } }, { "Sid": "AllowRegisterDelegatedAdministrators", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } } ] }

AWS política gestionada: AWSTrustedAdvisorPriorityReadOnlyAccess

Con la AWSTrustedAdvisorPriorityReadOnlyAccessla política otorga permisos de solo lectura a Trusted Advisor Priority, incluido el permiso para ver las cuentas de administrador delegadas.

Detalles de los permisos

En la primera declaración, la política debe incluir los siguientes permisos para trustedadvisor:

  • Describe su Trusted Advisor cuenta y su organización.

  • Describe los riesgos identificados en Trusted Advisor Priority y permite descargarlos.

  • Describe las configuraciones de las notificaciones Trusted Advisor prioritarias por correo electrónico.

En la segunda y tercera declaración, la política incluye los siguientes permisos para organizations:

  • Describe su organización con Organizations.

  • Muestra las Servicios de AWS que ha habilitado para usar Organizations.

  • Enumera los administradores delegados por prioridad Trusted Advisor

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess", "Effect": "Allow", "Action": [ "trustedadvisor:DescribeAccount*", "trustedadvisor:DescribeOrganization", "trustedadvisor:DescribeRisk*", "trustedadvisor:DownloadRisk", "trustedadvisor:DescribeNotificationConfigurations" ], "Resource": "*" }, { "Sid": "AllowAccessForOrganization", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Sid": "AllowListDelegatedAdministrators", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } } ] }

AWS política gestionada: AWSTrustedAdvisorServiceRolePolicy

Esta política se adjunta al rol vinculado al servicio de AWSServiceRoleForTrustedAdvisor. Permite al rol vinculado al servicio llevar a cabo acciones en su nombre. No puede adjuntar el AWSTrustedAdvisorServiceRolePolicya tus entidades AWS Identity and Access Management (IAM). Para obtener más información, consulte Uso de roles vinculados a servicios de Trusted Advisor.

Esta política concede permisos administrativos que autorizan al rol vinculado al servicio acceder a Servicios de AWS. Estos permisos permiten que las comprobaciones Trusted Advisor evalúen su cuenta.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • accessanalyzer— Describe AWS Identity and Access Management Access Analyzer los recursos

  • Auto Scaling— Describe las cuotas y los recursos de las cuentas de Amazon EC2 Auto Scaling

  • cloudformation— Describe AWS CloudFormation (CloudFormation) las cuotas y acumulaciones de cuentas

  • cloudfront— Describe las CloudFront distribuciones de Amazon

  • cloudtrail— Describe AWS CloudTrail (CloudTrail) las rutas

  • dynamodb: describe los recursos y las cuotas de cuenta de Amazon DynamoDB

  • dynamodbaccelerator— Describe los recursos de DynamoDB Accelerator

  • ec2— Describe las cuotas y los recursos de las cuentas de Amazon Elastic Compute Cloud (AmazonEC2)

  • elasticloadbalancing— Describe las cuotas y los recursos de las cuentas de Elastic Load Balancing (ELB)

  • iam— Obtiene IAM recursos, como credenciales, política de contraseñas y certificados

  • networkfirewall— Describe AWS Network Firewall los recursos

  • kinesis: describe las cuotas de cuenta de Amazon Kinesis (Kinesis)

  • rds— Describe los recursos del Amazon Relational Database Service (RDSAmazon)

  • redshift: describe recursos de Amazon Redshift

  • route53: describe los recursos y las cuotas de cuenta de Amazon Route 53

  • s3: describe los recursos de Amazon Simple Storage Service (Amazon S3)

  • ses— Obtiene las cuotas de envío de Amazon Simple Email Service (AmazonSES)

  • sqs— Muestra las colas de Amazon Simple Queue Service (AmazonSQS)

  • cloudwatch— Obtiene las estadísticas métricas de Amazon CloudWatch CloudWatch Events (Events)

  • ce: obtiene recomendaciones de Cost Explorer Service (Cost Explorer)

  • route53resolver— Obtiene los puntos finales y los recursos de Amazon Route 53 Resolver Resolver

  • kafka: obtiene recursos de Amazon Managed Streaming para Apache Kafka

  • ecs— Obtiene ECS los recursos de Amazon

  • outposts— Obtiene AWS Outposts recursos

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "access-analyzer:ListAnalyzers" "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "ce:GetReservationPurchaseRecommendation", "ce:GetSavingsPlansPurchaseRecommendation", "cloudformation:DescribeAccountLimits", "cloudformation:DescribeStacks", "cloudformation:ListStacks", "cloudfront:ListDistributions", "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetTrail", "cloudtrail:ListTrails", "cloudtrail:GetEventSelectors", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "dax:DescribeClusters", "dynamodb:DescribeLimits", "dynamodb:DescribeTable", "dynamodb:ListTables", "ec2:DescribeAddresses", "ec2:DescribeReservedInstances", "ec2:DescribeInstances", "ec2:DescribeVpcs", "ec2:DescribeInternetGateways", "ec2:DescribeImages", "ec2:DescribeNatGateways", "ec2:DescribeVolumes", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeRegions", "ec2:DescribeReservedInstancesOfferings", "ec2:DescribeRouteTables", "ec2:DescribeSnapshots", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:DescribeLaunchTemplateVersions", "ec2:GetManagedPrefixListEntries", "ecs:DescribeTaskDefinition", "ecs:ListTaskDefinitions" "elasticloadbalancing:DescribeAccountLimits", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:DescribeLoadBalancerAttributes", "elasticloadbalancing:DescribeLoadBalancerPolicies", "elasticloadbalancing:DescribeLoadBalancerPolicyTypes", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "iam:GenerateCredentialReport", "iam:GetAccountPasswordPolicy", "iam:GetAccountSummary", "iam:GetCredentialReport", "iam:GetServerCertificate", "iam:ListServerCertificates", "iam:ListSAMLProviders", "kinesis:DescribeLimits", "kafka:DescribeClusterV2", "kafka:ListClustersV2", "kafka:ListNodes", "network-firewall:ListFirewalls", "network-firewall:DescribeFirewall", "outposts:GetOutpost", "outposts:ListAssets", "outposts:ListOutposts", "rds:DescribeAccountAttributes", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSnapshots", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultParameters", "rds:DescribeEvents", "rds:DescribeOptionGroupOptions", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribeReservedDBInstances", "rds:DescribeReservedDBInstancesOfferings", "rds:ListTagsForResource", "redshift:DescribeClusters", "redshift:DescribeReservedNodeOfferings", "redshift:DescribeReservedNodes", "route53:GetAccountLimit", "route53:GetHealthCheck", "route53:GetHostedZone", "route53:ListHealthChecks", "route53:ListHostedZones", "route53:ListHostedZonesByName", "route53:ListResourceRecordSets", "route53resolver:ListResolverEndpoints", "route53resolver:ListResolverEndpointIpAddresses", "s3:GetAccountPublicAccessBlock", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketVersioning", "s3:GetBucketPublicAccessBlock", "s3:GetLifecycleConfiguration", "s3:ListBucket", "s3:ListAllMyBuckets", "ses:GetSendQuota", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" } ] }

AWS política gestionada: AWSTrustedAdvisorReportingServiceRolePolicy

Esta política se adjunta a la función AWSServiceRoleForTrustedAdvisorReporting vinculada al servicio que permite realizar acciones Trusted Advisor para la función de visualización de la organización. No puede adjuntar el AWSTrustedAdvisorReportingServiceRolePolicya tus IAM entidades. Para obtener más información, consulte Uso de roles vinculados a servicios de Trusted Advisor.

Esta política otorga permisos administrativos que permiten al rol vinculado al servicio realizar acciones AWS Organizations .

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • organizations: describe su organización y enumera el acceso al servicio, las cuentas, los elementos principales, los elementos secundarios y las unidades organizativas

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListChildren", "organizations:ListParents", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount" ], "Effect": "Allow", "Resource": "*" } ] }

Actualizaciones de Trusted Advisor en las políticas administradas de AWS

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas Trusted Advisor desde que estos servicios comenzaron a realizar el seguimiento de estos cambios. AWS Support Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed de la Historial de documentos página.

En la siguiente tabla se describen las actualizaciones importantes de las políticas Trusted Advisor gestionadas desde el 10 de agosto de 2021.

Trusted Advisor
Cambio Descripción Fecha

AWSTrustedAdvisorServiceRolePolicy

Actualización de una política existente.

Trusted Advisor agregó nuevas acciones para conceder los sqs:GetQueueAttributes permisos access-analyzer:ListAnalyzers cloudwatch:ListMetricsdax:DescribeClusters,ec2:DescribeNatGateways,ec2:DescribeRouteTables,ec2:DescribeVpcEndpoints, ec2:GetManagedPrefixListEntrieselasticloadbalancing:DescribeTargetHealth,iam:ListSAMLProviders,, kafka:DescribeClusterV2 network-firewall:ListFirewalls network-firewall:DescribeFirewall y.

11 de junio de 2024

AWSTrustedAdvisorServiceRolePolicy

Actualización a una política existente.

Trusted Advisor agregó nuevas acciones para conceder cloudtrail:GetTrail cloudtrail:ListTrails cloudtrail:GetEventSelectors outposts:GetOutpost los outposts:ListOutposts permisos outposts:ListAssets y.

18 de enero de 2024

AWSTrustedAdvisorPriorityFullAccess

Actualización a una política existente.

Trusted Advisor actualizó la política AWSTrustedAdvisorPriorityFullAccess AWS gestionada para incluir una declaraciónIDs.

6 de diciembre de 2023

AWSTrustedAdvisorPriorityReadOnlyAccess

Actualización de una política existente.

Trusted Advisor actualizó la política AWSTrustedAdvisorPriorityReadOnlyAccess AWS gestionada para incluir una declaraciónIDs.

6 de diciembre de 2023

AWSTrustedAdvisorServiceRolePolicy: actualización de una política actual

Trusted Advisor agregó nuevas acciones para conceder los ecs:ListTaskDefinitions permisos ec2:DescribeRegions s3:GetLifecycleConfiguration ecs:DescribeTaskDefinition y.

9 de noviembre de 2023

AWSTrustedAdvisorServiceRolePolicy: actualización de una política actual

Trusted Advisor agregó nuevas IAM acciones route53resolver:ListResolverEndpoints route53resolver:ListResolverEndpointIpAddresses kafka:ListClustersV2 e ec2:DescribeSubnets kafka:ListNodes incorporó nuevas comprobaciones de resiliencia.

14 de septiembre de 2023

AWSTrustedAdvisorReportingServiceRolePolicy

La versión 2 de la política gestionada adjunta a una función Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting vinculada al servicio

Actualice la política AWS gestionada a la versión 2 para el rol vinculado al Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting servicio. La V2 añadirá una acción más IAM organizations:ListDelegatedAdministrators

28 de febrero de 2023

AWSTrustedAdvisorPriorityFullAccess y AWSTrustedAdvisorPriorityReadOnlyAccess

Nuevas políticas AWS gestionadas para Trusted Advisor

Trusted Advisor se agregaron dos nuevas políticas administradas que puede usar para controlar el acceso a Trusted Advisor Priority.

17 de agosto de 2022

AWSTrustedAdvisorServiceRolePolicy: actualización de una política actual

Trusted Advisor se han añadido nuevas acciones para conceder los GetAccountPublicAccessBlock permisos DescribeTargetGroups y.

El permiso DescribeTargetGroup es necesario para que la Comprobación de estado de grupos de Auto Scaling pueda recuperar balanceadores de carga no clásicos adjuntos a un grupo de Auto Scaling.

El permiso GetAccountPublicAccessBlock es necesario para que la verificación Permisos de bucket de Amazon S3 pueda recuperar la configuración de acceso público del bloque para una Cuenta de AWS.

10 de agosto de 2021

Registro de cambios publicado

Trusted Advisor comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.

10 de agosto de 2021