Permisos para la consola de Trusted Advisor Trusted Advisor acciones Ejemplos de políticas de IAM Véase también

Gestione el acceso a AWS Trusted Advisor

Puede acceder AWS Trusted Advisor desde. AWS Management Console Todos Cuentas de AWS tienen acceso a un núcleo selecto de Trusted Advisor cheques. Si tiene un plan de soporte Business, Enterprise On-Ramp o Enterprise, puede obtener acceso a todas las verificaciones. Para obtener más información, consulte referencia de verificaciones de AWS Trusted Advisor.

Puede usar AWS Identity and Access Management (IAM) para controlar el acceso a Trusted Advisor.

Temas

Permisos para la consola de Trusted Advisor
Trusted Advisor acciones
Ejemplos de políticas de IAM
Véase también

Permisos para la consola de Trusted Advisor

Para acceder a la Trusted Advisor consola, el usuario debe tener un conjunto mínimo de permisos. Estos permisos deben permitir al usuario enumerar y ver detalles sobre los Trusted Advisor recursos de su propiedad Cuenta de AWS.

Puede utilizar las siguientes opciones para controlar el acceso a Trusted Advisor:

Utilice la función de filtro de etiquetas de la Trusted Advisor consola. El usuario o el rol deben tener permisos asociados a las etiquetas.

Puede usar políticas AWS administradas o políticas personalizadas para asignar permisos por etiquetas. Para obtener más información, consulte Control de acceso desde y hasta usuarios y roles de IAM mediante etiquetas.
Cree una política de IAM con espacio de nombres trustedadvisor. Puede utilizar esta política para especificar permisos para acciones y recursos.

Al crear una directiva, puede especificar el espacio de nombres del servicio para permitir o denegar una acción. El espacio de nombres para Trusted Advisor es. trustedadvisor Sin embargo, no puedes usar el espacio de trustedadvisor nombres para permitir o denegar las operaciones de la API en la Trusted Advisor API. AWS Support Debe utilizar el espacio de nombres support para AWS Support en su lugar.

nota

Si tienes permisos para acceder a la AWS SupportAPI, el Trusted Advisor widget de la AWS Management Console muestra una vista resumida de tus Trusted Advisor resultados. Para ver los resultados en la Trusted Advisor consola, debes tener permiso para acceder al espacio de trustedadvisor nombres.

Trusted Advisor acciones

Puede realizar las siguientes Trusted Advisor acciones en la consola. También puede especificar estas Trusted Advisor acciones en una política de IAM para permitir o denegar acciones específicas.

Acción	Descripción
`DescribeAccount`	Otorga permiso para ver el AWS Support plan y varias Trusted Advisor preferencias.
`DescribeAccountAccess`	Otorga permiso para ver si está Cuenta de AWS activado o desactivado Trusted Advisor.
`DescribeCheckItems`	Otorga permiso para ver los detalles de los elementos de verificación.
`DescribeCheckRefreshStatuses`	Otorga permiso para ver los estados de actualización de las verificaciones de Trusted Advisor .
`DescribeCheckSummaries`	Otorga permiso para ver los resúmenes de los Trusted Advisor cheques.
`DescribeChecks`	Otorga permiso para ver los detalles de los Trusted Advisor cheques.
`DescribeNotificationPreferences`	Otorga permiso para ver las preferencias de notificación de la cuenta de AWS .
`ExcludeCheckItems`	Otorga permiso para excluir recomendaciones para las verificaciones de Trusted Advisor .
`IncludeCheckItems`	Otorga permiso para incluir recomendaciones para las verificaciones de Trusted Advisor .
`RefreshCheck`	Otorga permiso para actualizar un Trusted Advisor cheque.
`SetAccountAccess`	Otorga permiso Trusted Advisor para activar o desactivar la cuenta.
`UpdateNotificationPreferences`	Otorga permiso para actualizar las preferencias de notificación para Trusted Advisor.
`DescribeCheckStatusHistoryChanges`	Concede permiso para ver los resultados y los estados modificados de las comprobaciones en los últimos 30 días.

Trusted Advisor acciones para una vista organizativa

Las siguientes Trusted Advisor acciones son para la función de vista organizacional. Para obtener más información, consulte Vista organizativa para AWS Trusted Advisor.

Acción	Descripción
`DescribeOrganization`	Otorga permiso para ver si Cuenta de AWS cumple los requisitos para habilitar la función de vista organizacional.
`DescribeOrganizationAccounts`	Otorga permiso para ver las AWS cuentas vinculadas que están en la organización.
`DescribeReports`	Otorga permiso para ver los detalles de los informes de vista organizativa, como el nombre del informe, el tiempo de ejecución, la fecha de creación, el estado y el formato.
`DescribeServiceMetadata`	Otorga permiso para ver información sobre los informes de visualización de la organización, como las categorías de comprobación Regiones de AWS, los nombres de las comprobaciones y los estados de los recursos.
`GenerateReport`	Otorga permiso para crear un informe para los Trusted Advisor cheques de su organización.
`ListAccountsForParent`	Otorga permiso para ver, en la Trusted Advisor consola, todas las cuentas de una AWS organización que estén incluidas en una raíz o unidad organizativa (OU).
`ListOrganizationalUnitsForParent`	Otorga permiso para ver, en la Trusted Advisor consola, todas las unidades organizativas (OU) de una unidad organizativa principal o raíz.
`ListRoots`	Otorga permiso para ver, en la Trusted Advisor consola, todas las raíces definidas en una AWS organización.
`SetOrganizationAccess`	Otorga permiso para habilitar la función de visualización de la organización para Trusted Advisor.

Trusted Advisor Acciones prioritarias

Si tienes activada la Trusted Advisor prioridad en tu cuenta, puedes realizar las siguientes Trusted Advisor acciones en la consola. También puede agregar estas acciones de Trusted Advisor en una política de IAM para permitir o denegar acciones específicas. Para obtener más información, consulte Ejemplos de políticas de IAM para Trusted Advisor Priority.

nota

Los riesgos que aparecen en Trusted Advisor Priority son recomendaciones que su administrador técnico de cuentas (TAM) ha identificado para su cuenta. Las recomendaciones de un servicio, como un Trusted Advisor cheque, se crean automáticamente para usted. Las recomendaciones de su TAM se crean manualmente. A continuación, su TAM envía estas recomendaciones para que aparezcan en la lista de Trusted Advisor prioridades de su cuenta.

Para obtener más información, consulte Introducción a AWS Trusted Advisor Priority.

Acción	Descripción
`DescribeRisks`	Otorga permiso para ver los riesgos en Trusted Advisor Priority.
`DescribeRisk`	Otorga permiso para ver los detalles de los riesgos en Trusted Advisor Priority.
`DescribeRiskResources`	Concede permiso para ver los recursos afectados por un riesgo en Trusted Advisor Priority
`DownloadRisk`	Otorga permiso para descargar un archivo que contiene detalles sobre el riesgo en Trusted Advisor Priority.
`UpdateRiskStatus`	Concede permiso para actualizar el estado de riesgo en Trusted Advisor Priority
`DescribeNotificationConfigurations`	Otorga permiso para obtener tus preferencias de notificación por correo electrónico para Trusted Advisor Priority.
`UpdateNotificationConfigurations`	Concede permisos para crear o actualizar las preferencias de notificación por correo electrónico para Trusted Advisor Priority.
`DeleteNotificationConfigurationForDelegatedAdmin`	Concede permiso a la cuenta de administración de la organización para eliminar las preferencias de notificación por correo electrónico de una cuenta de administrador delegado para Trusted Advisor Priority.

Trusted Advisor Participa en acciones

Si has activado Trusted Advisor Engage en tu cuenta, puedes realizar las siguientes Trusted Advisor acciones en la consola. También puede añadir estas Trusted Advisor acciones a una política de IAM para permitir o denegar acciones específicas. Para obtener más información, consulte Ejemplos de políticas de IAM para Trusted Advisor Engage.

Para obtener más información, consulte Primeros pasos con AWS Trusted Advisor Engage (vista previa).

Acción	Descripción
`CreateEngagement`	Otorga permiso para crear una participación en Trusted Advisor Engage.
`CreateEngagementAttachment`	Otorga permiso para crear un archivo adjunto de participación en Trusted Advisor Engage.
`CreateEngagementCommunication`	Otorga permiso para crear una comunicación de participación en Trusted Advisor Engage.
`GetEngagement`	Otorga permiso para ver una participación en Trusted Advisor Engage.
`GetEngagementAttachment`	Otorga permiso para ver el archivo adjunto de una participación en Engage. Trusted Advisor
`GetEngagementType`	Otorga permiso para ver un tipo de participación específico en Trusted Advisor Engage.
`ListEngagementCommunications`	Concede permiso para ver todas las comunicaciones de una interacción en Trusted Advisor Engage.
`ListEngagements`	Otorga permiso para ver todas las interacciones en Trusted Advisor Engage.
`ListEngagementTypes`	Otorga permiso para ver todos los tipos de participación en Trusted Advisor Engage.
`UpdateEngagement`	Otorga permiso para actualizar los detalles de una participación en Trusted Advisor Engage.
`UpdateEngagementStatus`	Otorga permiso para actualizar el estado de una participación en Trusted Advisor Engage.

Ejemplos de políticas de IAM

Las siguientes directivas muestran cómo permitir y denegar el acceso a Trusted Advisor. Puede utilizar una de las siguientes políticas para crear una política administrada por el cliente en la consola de IAM. Por ejemplo, puede copiar una política de ejemplo y, a continuación, pegarla en el cuadro de diálogo Pestaña JSON de la consola de IAM. A continuación, adjunte la política a su usuario, grupo o rol de IAM.

Para obtener más información sobre cómo crear una política de IAM, consulte Creación de directivas de IAM (Consola) en la Guía del usuario de IAM.

Ejemplos

Acceso completo a Trusted Advisor
Acceso de solo lectura a Trusted Advisor
Denegar el acceso a Trusted Advisor
Permitir y denegar acciones específicas
Controle el acceso a las operaciones AWS Support de la API para Trusted Advisor
Ejemplos de políticas de IAM para Trusted Advisor Priority
Ejemplos de políticas de IAM para Trusted Advisor Engage

Acceso completo a Trusted Advisor

La siguiente política permite a los usuarios ver todas las Trusted Advisor comprobaciones de la Trusted Advisor consola y realizar todas las acciones correspondientes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}

Acceso de solo lectura a Trusted Advisor

La siguiente política permite a los usuarios el acceso de solo lectura a la Trusted Advisor consola. Los usuarios no pueden realizar cambios, como comprobaciones de actualización o cambiar las preferencias de notificación.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:Describe*",
                "trustedadvisor:Get*",
                "trustedadvisor:List*"
            ],
            "Resource": "*"
        }
    ]
}

Denegar el acceso a Trusted Advisor

La siguiente política no permite a los usuarios ver las Trusted Advisor comprobaciones de la Trusted Advisor consola ni tomar medidas al respecto.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}

Permitir y denegar acciones específicas

La siguiente política permite a los usuarios ver todas las Trusted Advisor comprobaciones de la Trusted Advisor consola, pero no les permite actualizar ninguna comprobación.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "trustedadvisor:RefreshCheck",
            "Resource": "*"
        }
    ]
}

Controle el acceso a las operaciones AWS Support de la API para Trusted Advisor

En el AWS Management Console, un espacio de nombres de trustedadvisor IAM independiente controla el acceso a. Trusted Advisor No puedes usar el espacio de trustedadvisor nombres para permitir o denegar las operaciones de la API en la Trusted Advisor API. AWS Support En su lugar, use el espacio de nombres de support. Debes tener permisos de acceso a la AWS Support API para realizar llamadas Trusted Advisor mediante programación.

Por ejemplo, si desea llamar a la RefreshTrustedAdvisorCheckoperación, debe tener permisos para esta acción en la política.

ejemplo : Permita únicamente las operaciones de la Trusted Advisor API

La siguiente política permite a los usuarios acceder a las operaciones de la AWS Support API Trusted Advisor, pero no al resto de las operaciones de la AWS Support API. Por ejemplo, los usuarios pueden utilizar la API para ver y actualizar las verificaciones. No pueden crear, ver, actualizar ni resolver AWS Support casos.

Puedes usar esta política para llamar a las operaciones de la Trusted Advisor API mediante programación, pero no puedes usarla para ver o actualizar las comprobaciones en la Trusted Advisor consola.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "support:DescribeTrustedAdvisorCheckRefreshStatuses",
                "support:DescribeTrustedAdvisorCheckResult",
                "support:DescribeTrustedAdvisorChecks",
                "support:DescribeTrustedAdvisorCheckSummaries",
                "support:RefreshTrustedAdvisorCheck",
                "trustedadvisor:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "support:AddAttachmentsToSet",
                "support:AddCommunicationToCase",
                "support:CreateCase",
                "support:DescribeAttachment",
                "support:DescribeCases",
                "support:DescribeCommunications",
                "support:DescribeServices",
                "support:DescribeSeverityLevels",
                "support:ResolveCase"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener más información sobre cómo funciona IAM con AWS Support y Trusted Advisor, consulte. Acciones

Ejemplos de políticas de IAM para Trusted Advisor Priority

Puede utilizar las siguientes políticas AWS gestionadas para controlar el acceso a Trusted Advisor Priority. Para obtener más información, consulte AWS políticas gestionadas para AWS Trusted Advisor y Introducción a AWS Trusted Advisor Priority.

Ejemplos de políticas de IAM para Trusted Advisor Engage

nota

Trusted Advisor Engage se encuentra en una versión preliminar y actualmente no tiene políticas AWS administradas. Puede utilizar una de las siguientes políticas para crear una política administrada por el cliente en la consola de IAM.

Un ejemplo de política que otorga acceso de lectura y escritura en Trusted Advisor Engage:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:CreateEngagement*",
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*",
                "trustedadvisor:UpdateEngagement*"
            ],
            "Resource": "*"
        }
    ]
}

Un ejemplo de política que concede acceso de solo lectura en Trusted Advisor Engage:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*"
            ],
            "Resource": "*"
        }
    ]
}

Un ejemplo de política que otorga acceso de lectura y escritura en Trusted Advisor Engage y la capacidad de habilitar el acceso confiable a: Trusted Advisor


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:CreateEngagement*",
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*",
                "trustedadvisor:SetOrganizationAccess",
                "trustedadvisor:UpdateEngagement*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "reporting.trustedadvisor.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
                }
            }
        }
    ]
}

Véase también

Para obtener más información sobre Trusted Advisor los permisos, consulte los siguientes recursos:

Acciones definidas por AWS Trusted Advisor en la Guía del usuario de IAM.
Control del acceso a la consola de Trusted Advisor

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Gestione el acceso a los planes AWS Support

Ejemplo de políticas de control de servicios para AWS Trusted Advisor