Administración del acceso a AWS Trusted Advisor - AWS Support

Administración del acceso a AWS Trusted Advisor

Puede acceder a AWS Trusted Advisor desde la AWS Management Console. Todas las Cuentas de AWS tienen acceso a una selección de comprobaciones de Trusted Advisor básicas. Si tiene un plan de soporte Business, Enterprise On-Ramp o Enterprise, puede obtener acceso a todas las verificaciones. Para obtener más información, consulte referencia de verificaciones de AWS Trusted Advisor.

Puede utilizar AWS Identity and Access Management (IAM) para controlar el acceso a Trusted Advisor.

Permisos para la consola de Trusted Advisor

Para acceder a la consola de Trusted Advisor, un usuario debe tener un conjunto mínimo de permisos. Estos permisos deben permitir al usuario registrar y consultar los detalles sobre los recursos de Trusted Advisor en su cuenta de Cuenta de AWS.

Puede utilizar las siguientes opciones para controlar el acceso a Trusted Advisor:

  • Utilice la función de filtro de etiquetas de la consola de Trusted Advisor. El usuario o el rol deben tener permisos asociados a las etiquetas.

    Puede utilizar directivas administradas de AWS o directivas personalizadas para asignar permisos por etiquetas. Para obtener más información, consulte Control de acceso desde y hasta usuarios y roles de IAM mediante etiquetas.

  • Cree una política de IAM con espacio de nombres trustedadvisor. Puede utilizar esta política para especificar permisos para acciones y recursos.

Al crear una directiva, puede especificar el espacio de nombres del servicio para permitir o denegar una acción. El espacio de nombres para Trusted Advisor es trustedadvisor. Sin embargo, no puede usar el espacio de nombres trustedadvisor para permitir o denegar operaciones de API de Trusted Advisor en la API de AWS Support. Debe utilizar el espacio de nombres support para AWS Support en su lugar.

nota

Si tiene permisos para la API de AWS Support, el widget de Trusted Advisor de la AWS Management Console mostrará una vista de resumen de los resultados de Trusted Advisor. Para ver los resultados en la consola de Trusted Advisor, debe contar con los permisos del espacio de nombres trustedadvisor.

Acciones de Trusted Advisor

Puede realizar las siguientes acciones de Trusted Advisor en la consola. También puede especificar estas acciones de Trusted Advisor en una política de IAM para permitir o denegar acciones específicas.

Acción Descripción

DescribeAccount

Otorga permiso para ver el plan de AWS Support y distintas preferencias de Trusted Advisor.

DescribeAccountAccess

Concede permisos para ver si la Cuenta de AWS habilitó o deshabilitó Trusted Advisor.

DescribeCheckItems

Otorga permiso para ver los detalles de los elementos de verificación.

DescribeCheckRefreshStatuses

Otorga permiso para ver los estados de actualización de las verificaciones de Trusted Advisor.

DescribeCheckSummaries

Otorga permiso para ver los resúmenes de las verificaciones de Trusted Advisor.

DescribeChecks

Otorga permiso para ver los detalles de las verificaciones de Trusted Advisor.

DescribeNotificationPreferences

Otorga permiso para ver las preferencias de notificación de la cuenta de AWS.

ExcludeCheckItems

Otorga permiso para excluir recomendaciones para las verificaciones de Trusted Advisor.

IncludeCheckItems

Otorga permiso para incluir recomendaciones para las verificaciones de Trusted Advisor.

RefreshCheck

Otorga permiso para actualizar una verificación de Trusted Advisor.

SetAccountAccess

Otorga permiso para habilitar o desactivar Trusted Advisor para la cuenta.

UpdateNotificationPreferences

Otorga permiso para actualizar las preferencias de notificación para Trusted Advisor.

DescribeCheckStatusHistoryChanges

Concede permiso para ver los resultados y los estados modificados de las comprobaciones en los últimos 30 días.

Acciones de Trusted Advisor para la vista organizativa

Las siguientes acciones de Trusted Advisor son para la característica de vista organizativa. Para obtener más información, consulte Vista organizativa para AWS Trusted Advisor.

Acción Descripción

DescribeOrganization

Concede permisos para ver si la Cuenta de AWS cumple con los requisitos para habilitar la característica de vista organizativa.

DescribeOrganizationAccounts

Otorga permiso para ver las cuentas de AWS vinculadas que se encuentran en la organización.

DescribeReports

Otorga permiso para ver los detalles de los informes de vista organizativa, como el nombre del informe, el tiempo de ejecución, la fecha de creación, el estado y el formato.

DescribeServiceMetadata

Concede permiso para ver información sobre informes de vista organizativa, como las Regiones de AWS, las categorías y los nombres de comprobación, y los estados de los recursos.

GenerateReport

Otorga permiso para crear un informe para las verificaciones de Trusted Advisor en su organización.

ListAccountsForParent

Otorga permiso para ver en la consola de Trusted Advisor todas las cuentas de una organización de AWS contenidas en una raíz o una unidad organizativa (OU).

ListOrganizationalUnitsForParent

Otorga permiso para ver, en la consola de Trusted Advisor, todas las unidades organizativas (OU) de una unidad organizativa principal o una raíz.

ListRoots

Otorga permiso para ver en la consola de Trusted Advisor todas las raíces definidas en una organización de AWS.

SetOrganizationAccess

Otorga permiso para habilitar la característica de vista organizativa para Trusted Advisor.

Acciones de Trusted Advisor Priority

Si tiene Trusted Advisor Priority habilitado para su cuenta, puede llevar a cabo las siguientes acciones de Trusted Advisor en la consola. También puede agregar estas acciones de Trusted Advisor en una política de IAM para permitir o denegar acciones específicas. Para obtener más información, consulte Ejemplos de políticas de IAM para Trusted Advisor Priority.

nota

Los riesgos que aparecen en Trusted Advisor Priority son las recomendaciones que su administrador técnico de cuentas (TAM) ha identificado para su cuenta. Recomendaciones de un servicio, como una verificación de Trusted Advisor, se crean automáticamente. Las recomendaciones de su TAM se crean manualmente. A continuación, el TAM envía estas recomendaciones para que aparezcan en Trusted Advisor Priority para su cuenta.

Para obtener más información, consulte Introducción a AWS Trusted Advisor Priority.

Acción Descripción

DescribeRisks

Concede permiso para ver riesgos en Trusted Advisor Priority

DescribeRisk

Concede permiso para ver los detalles de los riesgos en Trusted Advisor Priority

DescribeRiskResources

Concede permiso para ver los recursos afectados por un riesgo en Trusted Advisor Priority

DownloadRisk

Concede permiso para descargar un archivo que contenga detalles sobre el riesgo en Trusted Advisor Priority

UpdateRiskStatus

Concede permiso para actualizar el estado de riesgo en Trusted Advisor Priority

DescribeNotificationConfigurations

Concede permisos para obtener las preferencias de notificación por correo electrónico para Trusted Advisor Priority.

UpdateNotificationConfigurations

Concede permisos para crear o actualizar las preferencias de notificación por correo electrónico para Trusted Advisor Priority.

DeleteNotificationConfigurationForDelegatedAdmin

Concede permisos a la cuenta de administración de la organización para eliminar las preferencias de notificación por correo electrónico de una cuenta de administrador delegado de Trusted Advisor Priority.

Acciones de Trusted Advisor Engage

Si tiene Trusted Advisor Engage habilitado en su cuenta, puede llevar a cabo las siguientes acciones de Trusted Advisor en la consola. También puede agregar estas acciones de Trusted Advisor en una política de IAM para permitir o denegar acciones específicas. Para obtener más información, consulte Ejemplos de políticas de IAM para Trusted Advisor Engage.

Para obtener más información, consulte Comience a usar AWS Trusted Advisor Engage (vista previa).

Acción Descripción

CreateEngagement

Concede permiso para crear una interacción en Trusted Advisor Engage.

CreateEngagementAttachment

Concede permiso para crear un adjunto de interacción en Trusted Advisor Engage.

CreateEngagementCommunication

Concede permiso para crear una comunicación de interacción en Trusted Advisor Engage.

GetEngagement

Concede permiso para ver una interacción en Trusted Advisor Engage.

GetEngagementAttachment

Concede permiso para ver un adjunto de interacción en Trusted Advisor Engage.

GetEngagementType

Concede permiso para ver un tipo de interacción específico en Trusted Advisor Engage.

ListEngagementCommunications

Concede permiso para ver todas las comunicaciones de una interacción en Trusted Advisor Engage.

ListEngagements

Concede permiso para ver todas las interacciones en Trusted Advisor Engage.

ListEngagementTypes

Concede permiso para ver todos los tipos de interacción en Trusted Advisor Engage.

UpdateEngagement

Concede permiso para actualizar los detalles de una interacción en Trusted Advisor Engage.

UpdateEngagementStatus

Concede permiso para actualizar el estado de una interacción en Trusted Advisor Engage.

Ejemplos de políticas de IAM

Las siguientes directivas muestran cómo permitir y denegar el acceso a Trusted Advisor. Puede utilizar una de las siguientes políticas para crear una política administrada por el cliente en la consola de IAM. Por ejemplo, puede copiar una política de ejemplo y, a continuación, pegarla en el cuadro de diálogo Pestaña JSON de la consola de IAM. A continuación, adjunte la política a su usuario, grupo o rol de IAM.

Para obtener más información sobre cómo crear una política de IAM, consulte Creación de directivas de IAM (Consola) en la Guía del usuario de IAM.

Acceso completo a Trusted Advisor

La siguiente política permite a los usuarios ver y hacer todas las acciones en todas las verificaciones de Trusted Advisor en la consola de Trusted Advisor.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" } ] }

Acceso de solo lectura a Trusted Advisor

La siguiente política permite a los usuarios acceso de solo lectura a la consola de Trusted Advisor. Los usuarios no pueden realizar cambios, como comprobaciones de actualización o cambiar las preferencias de notificación.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:Describe*", "trustedadvisor:Get*", "trustedadvisor:List*" ], "Resource": "*" } ] }

Denegar acceso a Trusted Advisor

La siguiente política no permite a los usuarios ver ni hacer acciones para las verificaciones de Trusted Advisor en la consola de Trusted Advisor.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "trustedadvisor:*", "Resource": "*" } ] }

Permitir y denegar acciones específicas

La siguiente política permite a los usuarios ver todas las verificaciones de Trusted Advisor en la consola de Trusted Advisor, pero no permite actualizar ninguna verificación.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:RefreshCheck", "Resource": "*" } ] }

Controle el acceso a las operaciones de API de AWS Support para Trusted Advisor

En la AWS Management Console, un espacio de nombres de IAM independiente trustedadvisor controla el acceso a Trusted Advisor. No puede usar el espacio de nombres trustedadvisor para permitir o denegar operaciones de API de Trusted Advisor en la API de AWS Support. En su lugar, use el espacio de nombres de support. Debe tener permisos para que la API de AWS Support pueda llamar a Trusted Advisor mediante programación.

Por ejemplo, si desea llamar a la operación RefreshTrustedAdvisorCheck debe tener permisos para esta acción en la directiva.

ejemplo : permitir solo operaciones de la API de Trusted Advisor

La siguiente política permite a los usuarios obtener acceso a las operaciones de API de AWS Support para Trusted Advisor, pero no al resto de las operaciones de API de AWS Support. Por ejemplo, los usuarios pueden utilizar la API para ver y actualizar las verificaciones. Sin embargo, no pueden crear, ver, actualizar ni resolver casos de AWS Support.

Puede utilizar esta política para llamar a las operaciones de la API de Trusted Advisor mediante programación, pero no puede utilizar esta política para ver ni actualizar verificaciones en la consola de Trusted Advisor.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:DescribeTrustedAdvisorCheckRefreshStatuses", "support:DescribeTrustedAdvisorCheckResult", "support:DescribeTrustedAdvisorChecks", "support:DescribeTrustedAdvisorCheckSummaries", "support:RefreshTrustedAdvisorCheck", "trustedadvisor:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeServices", "support:DescribeSeverityLevels", "support:ResolveCase" ], "Resource": "*" } ] }

Para obtener más información sobre cómo funciona IAM con AWS Support y Trusted Advisor, consulte Acciones.

Ejemplos de políticas de IAM para Trusted Advisor Priority

Puede usar las siguientes políticas administradas de AWS para controlar el acceso a Trusted Advisor Priority. Para obtener más información, consulte Políticas administradas de AWS para AWS Trusted Advisor y Introducción a AWS Trusted Advisor Priority.

Ejemplos de políticas de IAM para Trusted Advisor Engage

nota

Trusted Advisor Engage se encuentra en una versión preliminar y, en la actualidad, no tiene políticas de AWS administradas. Puede utilizar una de las siguientes políticas para crear una política administrada por el cliente en la consola de IAM.

Un ejemplo de política que otorga acceso de lectura y escritura en Trusted Advisor Engage:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:CreateEngagement*", "trustedadvisor:DescribeAccount*", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*", "trustedadvisor:UpdateEngagement*" ], "Resource": "*" } ] }

Un ejemplo de política que otorga acceso de solo lectura en Trusted Advisor Engage:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeAccount*", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*" ], "Resource": "*" } ] }

Un ejemplo de política que otorga acceso de lectura y escritura en Trusted Advisor Engage y la capacidad de habilitar el acceso de confianza a Trusted Advisor:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "trustedadvisor:CreateEngagement*", "trustedadvisor:DescribeAccount*", "trustedadvisor:DescribeOrganization", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*", "trustedadvisor:SetOrganizationAccess", "trustedadvisor:UpdateEngagement*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting", "Condition": { "StringLike": { "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com" } } } ] }

Véase también

Para obtener más información acerca de los permisos de Trusted Advisor, consulte los siguientes recursos: