Permisos para la consola de Trusted Advisor Acciones de Trusted Advisor Ejemplos de políticas de IAM Véase también

Administración del acceso a AWS Trusted Advisor

Puede acceder a AWS Trusted Advisor desde la AWS Management Console. Todas las Cuentas de AWS tienen acceso a una selección de comprobaciones de Trusted Advisor básicas. Si tiene un plan de soporte Business, Enterprise On-Ramp o Enterprise, puede obtener acceso a todas las verificaciones. Para obtener más información, consulte referencia de verificaciones de AWS Trusted Advisor.

Puede utilizar AWS Identity and Access Management (IAM) para controlar el acceso a Trusted Advisor.

Temas

Permisos para la consola de Trusted Advisor
Acciones de Trusted Advisor
Ejemplos de políticas de IAM
Véase también

Permisos para la consola de Trusted Advisor

Para acceder a la consola de Trusted Advisor, un usuario debe tener un conjunto mínimo de permisos. Estos permisos deben permitir al usuario registrar y consultar los detalles sobre los recursos de Trusted Advisor en su cuenta de Cuenta de AWS.

Puede utilizar las siguientes opciones para controlar el acceso a Trusted Advisor:

Utilice la función de filtro de etiquetas de la consola de Trusted Advisor. El usuario o el rol deben tener permisos asociados a las etiquetas.

Puede utilizar directivas administradas de AWS o directivas personalizadas para asignar permisos por etiquetas. Para obtener más información, consulte Control de acceso desde y hasta usuarios y roles de IAM mediante etiquetas.
Cree una política de IAM con espacio de nombres trustedadvisor. Puede utilizar esta política para especificar permisos para acciones y recursos.

Al crear una directiva, puede especificar el espacio de nombres del servicio para permitir o denegar una acción. El espacio de nombres para Trusted Advisor es trustedadvisor. Sin embargo, no puede usar el espacio de nombres trustedadvisor para permitir o denegar operaciones de API de Trusted Advisor en la API de AWS Support. Debe utilizar el espacio de nombres support para AWS Support en su lugar.

nota

Si tiene permisos para la API de AWS Support, el widget de Trusted Advisor de la AWS Management Console mostrará una vista de resumen de los resultados de Trusted Advisor. Para ver los resultados en la consola de Trusted Advisor, debe contar con los permisos del espacio de nombres trustedadvisor.

Acciones de Trusted Advisor

Puede realizar las siguientes acciones de Trusted Advisor en la consola. También puede especificar estas acciones de Trusted Advisor en una política de IAM para permitir o denegar acciones específicas.

Acción	Descripción
`DescribeAccount`	Otorga permiso para ver el plan de AWS Support y distintas preferencias de Trusted Advisor.
`DescribeAccountAccess`	Concede permisos para ver si la Cuenta de AWS habilitó o deshabilitó Trusted Advisor.
`DescribeCheckItems`	Otorga permiso para ver los detalles de los elementos de verificación.
`DescribeCheckRefreshStatuses`	Otorga permiso para ver los estados de actualización de las verificaciones de Trusted Advisor.
`DescribeCheckSummaries`	Otorga permiso para ver los resúmenes de las verificaciones de Trusted Advisor.
`DescribeChecks`	Otorga permiso para ver los detalles de las verificaciones de Trusted Advisor.
`DescribeNotificationPreferences`	Otorga permiso para ver las preferencias de notificación de la cuenta de AWS.
`ExcludeCheckItems`	Otorga permiso para excluir recomendaciones para las verificaciones de Trusted Advisor.
`IncludeCheckItems`	Otorga permiso para incluir recomendaciones para las verificaciones de Trusted Advisor.
`RefreshCheck`	Otorga permiso para actualizar una verificación de Trusted Advisor.
`SetAccountAccess`	Otorga permiso para habilitar o desactivar Trusted Advisor para la cuenta.
`UpdateNotificationPreferences`	Otorga permiso para actualizar las preferencias de notificación para Trusted Advisor.
`DescribeCheckStatusHistoryChanges`	Concede permiso para ver los resultados y los estados modificados de las comprobaciones en los últimos 30 días.

Acciones de Trusted Advisor para la vista organizativa

Las siguientes acciones de Trusted Advisor son para la característica de vista organizativa. Para obtener más información, consulte Vista organizativa para AWS Trusted Advisor.

Acción	Descripción
`DescribeOrganization`	Concede permisos para ver si la Cuenta de AWS cumple con los requisitos para habilitar la característica de vista organizativa.
`DescribeOrganizationAccounts`	Otorga permiso para ver las cuentas de AWS vinculadas que se encuentran en la organización.
`DescribeReports`	Otorga permiso para ver los detalles de los informes de vista organizativa, como el nombre del informe, el tiempo de ejecución, la fecha de creación, el estado y el formato.
`DescribeServiceMetadata`	Concede permiso para ver información sobre informes de vista organizativa, como las Regiones de AWS, las categorías y los nombres de comprobación, y los estados de los recursos.
`GenerateReport`	Otorga permiso para crear un informe para las verificaciones de Trusted Advisor en su organización.
`ListAccountsForParent`	Otorga permiso para ver en la consola de Trusted Advisor todas las cuentas de una organización de AWS contenidas en una raíz o una unidad organizativa (OU).
`ListOrganizationalUnitsForParent`	Otorga permiso para ver, en la consola de Trusted Advisor, todas las unidades organizativas (OU) de una unidad organizativa principal o una raíz.
`ListRoots`	Otorga permiso para ver en la consola de Trusted Advisor todas las raíces definidas en una organización de AWS.
`SetOrganizationAccess`	Otorga permiso para habilitar la característica de vista organizativa para Trusted Advisor.

Acciones de Trusted Advisor Priority

Si tiene Trusted Advisor Priority habilitado para su cuenta, puede llevar a cabo las siguientes acciones de Trusted Advisor en la consola. También puede agregar estas acciones de Trusted Advisor en una política de IAM para permitir o denegar acciones específicas. Para obtener más información, consulte Ejemplos de políticas de IAM para Trusted Advisor Priority.

nota

Los riesgos que aparecen en Trusted Advisor Priority son las recomendaciones que su administrador técnico de cuentas (TAM) ha identificado para su cuenta. Recomendaciones de un servicio, como una verificación de Trusted Advisor, se crean automáticamente. Las recomendaciones de su TAM se crean manualmente. A continuación, el TAM envía estas recomendaciones para que aparezcan en Trusted Advisor Priority para su cuenta.

Para obtener más información, consulte Introducción a AWS Trusted Advisor Priority.

Acción	Descripción
`DescribeRisks`	Concede permiso para ver riesgos en Trusted Advisor Priority
`DescribeRisk`	Concede permiso para ver los detalles de los riesgos en Trusted Advisor Priority
`DescribeRiskResources`	Concede permiso para ver los recursos afectados por un riesgo en Trusted Advisor Priority
`DownloadRisk`	Concede permiso para descargar un archivo que contenga detalles sobre el riesgo en Trusted Advisor Priority
`UpdateRiskStatus`	Concede permiso para actualizar el estado de riesgo en Trusted Advisor Priority
`DescribeNotificationConfigurations`	Concede permisos para obtener las preferencias de notificación por correo electrónico para Trusted Advisor Priority.
`UpdateNotificationConfigurations`	Concede permisos para crear o actualizar las preferencias de notificación por correo electrónico para Trusted Advisor Priority.
`DeleteNotificationConfigurationForDelegatedAdmin`	Concede permisos a la cuenta de administración de la organización para eliminar las preferencias de notificación por correo electrónico de una cuenta de administrador delegado de Trusted Advisor Priority.

Acciones de Trusted Advisor Engage

Si tiene Trusted Advisor Engage habilitado en su cuenta, puede llevar a cabo las siguientes acciones de Trusted Advisor en la consola. También puede agregar estas acciones de Trusted Advisor en una política de IAM para permitir o denegar acciones específicas. Para obtener más información, consulte Ejemplos de políticas de IAM para Trusted Advisor Engage.

Para obtener más información, consulte Comience a usar AWS Trusted Advisor Engage (vista previa).

Acción	Descripción
`CreateEngagement`	Concede permiso para crear una interacción en Trusted Advisor Engage.
`CreateEngagementAttachment`	Concede permiso para crear un adjunto de interacción en Trusted Advisor Engage.
`CreateEngagementCommunication`	Concede permiso para crear una comunicación de interacción en Trusted Advisor Engage.
`GetEngagement`	Concede permiso para ver una interacción en Trusted Advisor Engage.
`GetEngagementAttachment`	Concede permiso para ver un adjunto de interacción en Trusted Advisor Engage.
`GetEngagementType`	Concede permiso para ver un tipo de interacción específico en Trusted Advisor Engage.
`ListEngagementCommunications`	Concede permiso para ver todas las comunicaciones de una interacción en Trusted Advisor Engage.
`ListEngagements`	Concede permiso para ver todas las interacciones en Trusted Advisor Engage.
`ListEngagementTypes`	Concede permiso para ver todos los tipos de interacción en Trusted Advisor Engage.
`UpdateEngagement`	Concede permiso para actualizar los detalles de una interacción en Trusted Advisor Engage.
`UpdateEngagementStatus`	Concede permiso para actualizar el estado de una interacción en Trusted Advisor Engage.

Ejemplos de políticas de IAM

Las siguientes directivas muestran cómo permitir y denegar el acceso a Trusted Advisor. Puede utilizar una de las siguientes políticas para crear una política administrada por el cliente en la consola de IAM. Por ejemplo, puede copiar una política de ejemplo y, a continuación, pegarla en el cuadro de diálogo Pestaña JSON de la consola de IAM. A continuación, adjunte la política a su usuario, grupo o rol de IAM.

Para obtener más información sobre cómo crear una política de IAM, consulte Creación de directivas de IAM (Consola) en la Guía del usuario de IAM.

Ejemplos

Acceso completo a Trusted Advisor
Acceso de solo lectura a Trusted Advisor
Denegar acceso a Trusted Advisor
Permitir y denegar acciones específicas
Controle el acceso a las operaciones de API de AWS Support para Trusted Advisor
Ejemplos de políticas de IAM para Trusted Advisor Priority
Ejemplos de políticas de IAM para Trusted Advisor Engage

Acceso completo a Trusted Advisor

La siguiente política permite a los usuarios ver y hacer todas las acciones en todas las verificaciones de Trusted Advisor en la consola de Trusted Advisor.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}

Acceso de solo lectura a Trusted Advisor

La siguiente política permite a los usuarios acceso de solo lectura a la consola de Trusted Advisor. Los usuarios no pueden realizar cambios, como comprobaciones de actualización o cambiar las preferencias de notificación.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:Describe*",
                "trustedadvisor:Get*",
                "trustedadvisor:List*"
            ],
            "Resource": "*"
        }
    ]
}

Denegar acceso a Trusted Advisor

La siguiente política no permite a los usuarios ver ni hacer acciones para las verificaciones de Trusted Advisor en la consola de Trusted Advisor.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}

Permitir y denegar acciones específicas

La siguiente política permite a los usuarios ver todas las verificaciones de Trusted Advisor en la consola de Trusted Advisor, pero no permite actualizar ninguna verificación.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "trustedadvisor:RefreshCheck",
            "Resource": "*"
        }
    ]
}

Controle el acceso a las operaciones de API de AWS Support para Trusted Advisor

En la AWS Management Console, un espacio de nombres de IAM independiente trustedadvisor controla el acceso a Trusted Advisor. No puede usar el espacio de nombres trustedadvisor para permitir o denegar operaciones de API de Trusted Advisor en la API de AWS Support. En su lugar, use el espacio de nombres de support. Debe tener permisos para que la API de AWS Support pueda llamar a Trusted Advisor mediante programación.

Por ejemplo, si desea llamar a la operación RefreshTrustedAdvisorCheck debe tener permisos para esta acción en la directiva.

ejemplo : permitir solo operaciones de la API de Trusted Advisor

La siguiente política permite a los usuarios obtener acceso a las operaciones de API de AWS Support para Trusted Advisor, pero no al resto de las operaciones de API de AWS Support. Por ejemplo, los usuarios pueden utilizar la API para ver y actualizar las verificaciones. Sin embargo, no pueden crear, ver, actualizar ni resolver casos de AWS Support.

Puede utilizar esta política para llamar a las operaciones de la API de Trusted Advisor mediante programación, pero no puede utilizar esta política para ver ni actualizar verificaciones en la consola de Trusted Advisor.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "support:DescribeTrustedAdvisorCheckRefreshStatuses",
                "support:DescribeTrustedAdvisorCheckResult",
                "support:DescribeTrustedAdvisorChecks",
                "support:DescribeTrustedAdvisorCheckSummaries",
                "support:RefreshTrustedAdvisorCheck",
                "trustedadvisor:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "support:AddAttachmentsToSet",
                "support:AddCommunicationToCase",
                "support:CreateCase",
                "support:DescribeAttachment",
                "support:DescribeCases",
                "support:DescribeCommunications",
                "support:DescribeServices",
                "support:DescribeSeverityLevels",
                "support:ResolveCase"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener más información sobre cómo funciona IAM con AWS Support y Trusted Advisor, consulte Acciones.

Ejemplos de políticas de IAM para Trusted Advisor Priority

Puede usar las siguientes políticas administradas de AWS para controlar el acceso a Trusted Advisor Priority. Para obtener más información, consulte Políticas administradas de AWS para AWS Trusted Advisor y Introducción a AWS Trusted Advisor Priority.

Ejemplos de políticas de IAM para Trusted Advisor Engage

nota

Trusted Advisor Engage se encuentra en una versión preliminar y, en la actualidad, no tiene políticas de AWS administradas. Puede utilizar una de las siguientes políticas para crear una política administrada por el cliente en la consola de IAM.

Un ejemplo de política que otorga acceso de lectura y escritura en Trusted Advisor Engage:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:CreateEngagement*",
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*",
                "trustedadvisor:UpdateEngagement*"
            ],
            "Resource": "*"
        }
    ]
}

Un ejemplo de política que otorga acceso de solo lectura en Trusted Advisor Engage:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*"
            ],
            "Resource": "*"
        }
    ]
}

Un ejemplo de política que otorga acceso de lectura y escritura en Trusted Advisor Engage y la capacidad de habilitar el acceso de confianza a Trusted Advisor:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:CreateEngagement*",
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*",
                "trustedadvisor:SetOrganizationAccess",
                "trustedadvisor:UpdateEngagement*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "reporting.trustedadvisor.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
                }
            }
        }
    ]
}

Véase también

Para obtener más información acerca de los permisos de Trusted Advisor, consulte los siguientes recursos:

Acciones definidas por AWS Trusted Advisor en la Guía del usuario de IAM.
Control del acceso a la consola de Trusted Advisor

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administrar el acceso a AWS Support Plans

Ejemplo de políticas de control de servicios para AWS Trusted Advisor