AWS políticas gestionadas para AWS Trusted Advisor - AWS Support
AWSTrustedAdvisorPriorityFullAccess AWSTrustedAdvisorPriorityReadOnlyAccess AWSTrustedAdvisorServiceRolePolicy AWSTrustedAdvisorReportingServiceRolePolicy Actualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para AWS Trusted Advisor

Trusted Advisor tiene las siguientes políticas AWS gestionadas.

AWS política gestionada: AWSTrustedAdvisorPriorityFullAccess

La AWSTrustedAdvisorPriorityFullAccesspolítica otorga acceso completo a Trusted Advisor Priority. Esta política también permite al usuario añadir cuentas de administrador delegado para Trusted Advisor Priority Trusted Advisor como servicio de confianza AWS Organizations y especificarlas.

Detalles de los permisos

En la primera declaración, la política debe incluir los siguientes permisos para trustedadvisor:

  • Describe su cuenta y su organización.

  • Describe los riesgos identificados por Trusted Advisor Priority. Los permisos le permiten descargar y actualizar el estado del riesgo.

  • Describe las configuraciones de las notificaciones Trusted Advisor prioritarias por correo electrónico. Los permisos le permiten configurar las notificaciones por correo electrónico y deshabilitarlas para los administradores delegados.

  • Se configura Trusted Advisor para que su cuenta pueda activarse AWS Organizations.

En la segunda declaración, la política debe incluir los siguientes permisos para organizations:

  • Describe tu Trusted Advisor cuenta y tu organización.

  • Muestra las Servicios de AWS que ha habilitado para usar Organizations.

En la tercera declaración, la política debe incluir los siguientes permisos para organizations:

  • Muestra los administradores delegados para Trusted Advisor Priority.

  • Habilita y deshabilita el acceso confiable con Organizations.

En la cuarta declaración, la política debe incluir los siguientes permisos para iam:

  • Crea el rol vinculado al servicio AWSServiceRoleForTrustedAdvisorReporting.

En la quinta declaración, la política debe incluir los siguientes permisos para organizations:

  • Le permite registrar y anular el registro de los administradores delegados de Trusted Advisor Priority.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityFullAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:UpdateRiskStatus",
				"trustedadvisor:DescribeNotificationConfigurations",
				"trustedadvisor:UpdateNotificationConfigurations",
				"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
				"trustedadvisor:SetOrganizationAccess"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:EnableAWSServiceAccess",
				"organizations:DisableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowCreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
				}
			}
		},
		{
			"Sid": "AllowRegisterDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:RegisterDelegatedAdministrator",
				"organizations:DeregisterDelegatedAdministrator"
			],
			"Resource": "arn:aws:organizations::*:*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS política gestionada: AWSTrustedAdvisorPriorityReadOnlyAccess

La AWSTrustedAdvisorPriorityReadOnlyAccesspolítica concede permisos de solo lectura a Trusted Advisor Priority, incluido el permiso para ver las cuentas de administrador delegadas.

Detalles de los permisos

En la primera declaración, la política debe incluir los siguientes permisos para trustedadvisor:

  • Describe su Trusted Advisor cuenta y su organización.

  • Describe los riesgos identificados en Trusted Advisor Priority y permite descargarlos.

  • Describe las configuraciones de las notificaciones Trusted Advisor prioritarias por correo electrónico.

En la segunda y tercera declaración, la política incluye los siguientes permisos para organizations:

  • Describe su organización con Organizations.

  • Muestra las Servicios de AWS que ha habilitado para usar Organizations.

  • Muestra los administradores delegados con prioridad Trusted Advisor 

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:DescribeNotificationConfigurations"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

Política administrada por AWS : AWSTrustedAdvisorServiceRolePolicy

Esta política se adjunta al rol vinculado al servicio de AWSServiceRoleForTrustedAdvisor. Permite al rol vinculado al servicio llevar a cabo acciones en su nombre. No puede adjuntar AWSTrustedAdvisorServiceRolePolicy a sus entidades de AWS Identity and Access Management (IAM). Para obtener más información, consulte Uso de roles vinculados a servicios de Trusted Advisor.

Esta política concede permisos administrativos que autorizan al rol vinculado al servicio acceder a Servicios de AWS. Estos permisos permiten que las comprobaciones Trusted Advisor evalúen su cuenta.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • accessanalyzer— Describe AWS Identity and Access Management Access Analyzer los recursos

  • Auto Scaling: describe los recursos y las cuotas de cuenta de Amazon EC2 Auto Scaling

  • cloudformation— Describe AWS CloudFormation (CloudFormation) las cuotas y acumulaciones de cuentas

  • cloudfront— Describe las CloudFront distribuciones de Amazon

  • cloudtrail— Describe AWS CloudTrail (CloudTrail) las rutas

  • dynamodb: describe los recursos y las cuotas de cuenta de Amazon DynamoDB

  • dynamodbaccelerator— Describe los recursos de DynamoDB Accelerator

  • ec2: describe las cuotas de cuenta y los recursos de Amazon Elastic Compute Cloud (Amazon EC2)

  • elasticloadbalancing: describe las cuotas de cuenta y los recursos de Elastic Load Balancing (ELB)

  • iam: obtiene recursos de IAM, como credenciales, políticas de contraseñas y certificados

  • networkfirewall— Describe los recursos AWS Network Firewall

  • kinesis: describe las cuotas de cuenta de Amazon Kinesis (Kinesis)

  • rds: describe recursos de Amazon Relational Database Service (Amazon RDS)

  • redshift: describe recursos de Amazon Redshift

  • route53: describe los recursos y las cuotas de cuenta de Amazon Route 53

  • s3: describe los recursos de Amazon Simple Storage Service (Amazon S3)

  • ses: obtiene cuotas de envío de Amazon Simple Email Service (Amazon SES)

  • sqs: enumera colas de Amazon Simple Queue Service (Amazon SQS)

  • cloudwatch— Obtiene las estadísticas métricas de Amazon CloudWatch CloudWatch Events (Events)

  • ce: obtiene recomendaciones de Cost Explorer Service (Cost Explorer)

  • route53resolver— Obtiene los puntos finales y los recursos de Amazon Route 53 Resolver Resolver

  • kafka: obtiene recursos de Amazon Managed Streaming para Apache Kafka

  • ecs— Obtiene los recursos de Amazon ECS

  • outposts— Obtiene AWS Outposts recursos

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "access-analyzer:ListAnalyzers"
                "autoscaling:DescribeAccountLimits",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "ce:GetReservationPurchaseRecommendation",
                "ce:GetSavingsPlansPurchaseRecommendation",
                "cloudformation:DescribeAccountLimits",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStacks",
                "cloudfront:ListDistributions",
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetTrail",
                "cloudtrail:ListTrails",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "dax:DescribeClusters",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "ec2:DescribeAddresses",
                "ec2:DescribeReservedInstances",
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeImages",
                "ec2:DescribeNatGateways",
                "ec2:DescribeVolumes",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:DescribeReservedInstancesOfferings",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpnConnections",
                "ec2:DescribeVpnGateways",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:GetManagedPrefixListEntries",
                "ecs:DescribeTaskDefinition",
                "ecs:ListTaskDefinitions"
                "elasticloadbalancing:DescribeAccountLimits",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancerAttributes",
                "elasticloadbalancing:DescribeLoadBalancerPolicies",
                "elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "iam:GenerateCredentialReport",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary",
                "iam:GetCredentialReport",
                "iam:GetServerCertificate",
                "iam:ListServerCertificates",
                "iam:ListSAMLProviders",
                "kinesis:DescribeLimits",
                "kafka:DescribeClusterV2",
                "kafka:ListClustersV2",
                "kafka:ListNodes",
                "network-firewall:ListFirewalls",
                "network-firewall:DescribeFirewall",
                "outposts:GetOutpost",
                "outposts:ListAssets",
                "outposts:ListOutposts",
                "rds:DescribeAccountAttributes",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSecurityGroups",
                "rds:DescribeDBSnapshots",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEngineDefaultParameters",
                "rds:DescribeEvents",
                "rds:DescribeOptionGroupOptions",
                "rds:DescribeOptionGroups",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribeReservedDBInstances",
                "rds:DescribeReservedDBInstancesOfferings",
                "rds:ListTagsForResource",
                "redshift:DescribeClusters",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "route53:GetAccountLimit",
                "route53:GetHealthCheck",
                "route53:GetHostedZone",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListHostedZonesByName",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetLifecycleConfiguration",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "ses:GetSendQuota",
                "sqs:GetQueueAttributes",
                "sqs:ListQueues"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gestionada: AWSTrustedAdvisorReportingServiceRolePolicy

Esta política se adjunta a la función AWSServiceRoleForTrustedAdvisorReporting vinculada al servicio que permite realizar acciones Trusted Advisor para la función de visualización de la organización. No puede adjuntar AWSTrustedAdvisorReportingServiceRolePolicy a sus entidades de IAM. Para obtener más información, consulte Uso de roles vinculados a servicios de Trusted Advisor.

Esta política otorga permisos administrativos que permiten al rol vinculado al servicio realizar acciones. AWS Organizations

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • organizations: describe su organización y enumera el acceso al servicio, las cuentas, los elementos principales, los elementos secundarios y las unidades organizativas

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Actualizaciones de Trusted Advisor en las políticas administradas de AWS

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas Trusted Advisor desde que estos servicios comenzaron a realizar el seguimiento de estos cambios. AWS Support Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Historial de documentos.

En la siguiente tabla se describen las actualizaciones importantes de las políticas Trusted Advisor administradas desde el 10 de agosto de 2021.

Trusted Advisor
Cambio Descripción Fecha

AWSTrustedAdvisorServiceRolePolicy

Actualización de una política existente.

Trusted Advisor agregó nuevas acciones para conceder los sqs:GetQueueAttributes permisos access-analyzer:ListAnalyzers cloudwatch:ListMetricsdax:DescribeClusters,ec2:DescribeNatGateways,ec2:DescribeRouteTables,ec2:DescribeVpcEndpoints, ec2:GetManagedPrefixListEntrieselasticloadbalancing:DescribeTargetHealth,iam:ListSAMLProviders,, kafka:DescribeClusterV2 network-firewall:ListFirewalls network-firewall:DescribeFirewall y.

 11 de junio de 2024

AWSTrustedAdvisorServiceRolePolicy

Actualización a una política existente.

Trusted Advisor agregó nuevas acciones para conceder cloudtrail:GetTrail cloudtrail:ListTrails cloudtrail:GetEventSelectors outposts:GetOutpost los outposts:ListOutposts permisos outposts:ListAssets y.

 18 de enero de 2024

AWSTrustedAdvisorPriorityFullAccess

Actualización a una política existente.

Trusted Advisor actualizó la política AWSTrustedAdvisorPriorityFullAccess AWS gestionada para incluir los identificadores de las declaraciones.

 6 de diciembre de 2023

AWSTrustedAdvisorPriorityReadOnlyAccess

Actualización a una política existente.

Trusted Advisor actualizó la política AWSTrustedAdvisorPriorityReadOnlyAccess AWS gestionada para incluir los identificadores de las declaraciones.

 6 de diciembre de 2023

AWSTrustedAdvisorServiceRolePolicy: actualización de una política actual

Trusted Advisor agregó nuevas acciones para conceder los ecs:ListTaskDefinitions permisos ec2:DescribeRegions s3:GetLifecycleConfiguration ecs:DescribeTaskDefinition y.

 9 de noviembre de 2023

AWSTrustedAdvisorServiceRolePolicy: actualización de una política actual

Trusted Advisor agregó nuevas acciones route53resolver:ListResolverEndpoints de IAM route53resolver:ListResolverEndpointIpAddresses kafka:ListClustersV2 e ec2:DescribeSubnets kafka:ListNodes incorporó nuevas comprobaciones de resiliencia.

 14 de septiembre de 2023

AWSTrustedAdvisorReportingServiceRolePolicy

La versión 2 de la política gestionada se asocia a una función vinculada al Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting servicio

Actualice la política AWS gestionada a la versión 2 para el rol vinculado al Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting servicio. La versión 2 agregará una acción de IAM más: organizations:ListDelegatedAdministrators

28 de febrero de 2023

AWSTrustedAdvisorPriorityFullAccess y AWSTrustedAdvisorPriorityReadOnlyAccess

Nuevas políticas AWS gestionadas para Trusted Advisor

Trusted Advisor se agregaron dos nuevas políticas administradas que puede usar para controlar el acceso a Trusted Advisor Priority.

17 de agosto de 2022

AWSTrustedAdvisorServiceRolePolicy: actualización de una política actual

Trusted Advisor se han añadido nuevas acciones para conceder los GetAccountPublicAccessBlock permisos DescribeTargetGroups y.

El permiso DescribeTargetGroup es necesario para que la Comprobación de estado de grupos de Auto Scaling pueda recuperar balanceadores de carga no clásicos adjuntos a un grupo de Auto Scaling.

El permiso GetAccountPublicAccessBlock es necesario para que la verificación Permisos de bucket de Amazon S3 pueda recuperar la configuración de acceso público del bloque para una Cuenta de AWS.

 10 de agosto de 2021

Registro de cambios publicado

Trusted Advisor comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.

 10 de agosto de 2021