Vue organisationnelle pour AWS Trusted Advisor

La vue organisationnelle vous permet d'afficher les vérifications Trusted Advisor pour tous les comptes de votre AWS Organizations. Après avoir activé cette fonctionnalité, vous pouvez créer des rapports pour agréger les résultats de vérification de tous les comptes de membres de votre organisation. Le rapport comprend un résumé des résultats des vérifications et des informations sur les ressources affectées pour chaque compte. Par exemple, vous pouvez utiliser les rapports pour identifier les comptes de votre organisation qui utilisent AWS Identity and Access Management (IAM) avec la vérification d'utilisation IAM ou si vous avez recommandé des actions pour les compartiments Amazon Simple Storage Service (Amazon S3) avec la vérification des autorisations de compartiment Amazon S3.

Rubriques

• Prérequis
• Activer la vue organisationnelle
• Actualiser les vérifications Trusted Advisor
• Créer des rapports de vue organisationnelle
• Consulter le résumé du rapport
• Télécharger un rapport de vue organisationnelle
• Désactiver la vue organisationnelle
• Utilisation des politiques IAM pour autoriser l'accès à la vue organisationnelle
• Utilisation d'autres services AWS pour afficher les rapports Trusted Advisor

Prérequis

Vous devez respecter les exigences suivantes pour activer l'affichage organisationnel :

• Vos comptes doivent être membres de votre organisation AWS.

• Toutes les fonctions de votre organisation doivent être activées pour Organisations. Pour de plus amples informations, consultez Activation de toutes les fonctionnalités de l'organisation dans le Guide de l'utilisateur AWS Organizations.

• Le compte de gestion de votre organisation doit posséder un plan de support Business, Enterprise On-Ramp ou Enterprise. Vous pouvez trouver votre plan d'assistance à partir du Centre AWS Support ou à partir de la page Plans de support. Voir Comparer les plans AWS Support.

• Vous devez être connecté en tant qu'utilisateur dans le compte de gestion (ou un rôle équivalent supposé). Que vous vous connectiez en tant qu'utilisateur IAM ou en tant que rôle IAM, vous devez disposer d'une politique avec les autorisations requises. Consultez Utilisation des politiques IAM pour autoriser l'accès à la vue organisationnelle.

Activer la vue organisationnelle

Une fois les prérequis respectés, procédez comme suit pour activer l'affichage organisationnel. Une fois que vous avez activé cette fonctionnalité, voici ce qui se produit :

• Trusted Advisor est activé en tant que service approuvé dans votre organisation. Pour de plus amples informations, consultez Activation de l'accès approuvé avec d'autres services AWS dans le Guide de l'utilisateur AWS Organizations.

• Le rôle lié au service AWSServiceRoleForTrustedAdvisorReporting est créé pour vous dans le compte de gestion de votre organisation. Ce rôle inclut les autorisations nécessaires à Trusted Advisor pour appeler Organizations en votre nom. Ce rôle lié au service est verrouillé et vous ne pouvez pas le supprimer manuellement. Pour plus d’informations, consultez Utilisation des rôles liés aux services pour Trusted Advisor.

Vous activez la vue organisationnelle à partir de la console Trusted Advisor.

Pour activer la vue organisationnelle

1. Connectez-vous en tant qu'administrateur dans le compte de gestion de l'organisation et ouvrez la console AWS Trusted Advisor sur https://console.aws.amazon.com/trustedadvisor.

2. Dans le panneau de navigation, sous Preferences (Préférences), choisissez Your organization (Votre organisation).

3. Sous Enable trusted access with AWS Organizations (Activer l'accès de confiance avec ), activez Enabled (Activé).

Note

L'activation de la vue organisationnelle pour le compte de gestion ne fournit pas les mêmes vérifications pour tous les comptes membres. Par exemple, si vos comptes membres bénéficient tous d'un support basique, ces comptes n'auront pas les mêmes vérifications disponibles que votre compte de gestion. Le plan AWS Support détermine les vérifications Trusted Advisor disponibles pour un compte.

Actualiser les vérifications Trusted Advisor

Avant de créer un rapport pour votre organisation, nous vous recommandons d'actualiser les statuts de vos vérifications Trusted Advisor. Vous pouvez télécharger un rapport sans actualiser vos vérifications Trusted Advisor, mais il se peut que votre rapport ne dispose pas des informations les plus récentes.

Si vous possédez un plan de support Business, Enterprise On-Ramp ou Enterprise, Trusted Advisor actualise automatiquement les vérifications de votre compte de manière hebdomadaire.

Note

Si vous avez des comptes dans votre organisation qui disposent d'un plan de support Developer ou Basic, un utilisateur de ces comptes doit se connecter à la console Trusted Advisor pour actualiser les vérifications. Vous ne pouvez pas actualiser les vérifications pour tous les comptes à partir du compte de gestion de l'organisation.

Pour actualiser les vérifications Trusted Advisor

1. Accédez à la console AWS Trusted Advisor sur https://console.aws.amazon.com/trustedadvisor.

2. Sur la page Trusted Advisor Recommendations, choisissez l'option Refresh all checks (Actualiser toutes les vérifications). Cette opération actualise toutes les vérifications de votre compte.

Vous pouvez aussi actualiser des vérifications spécifiques des manières suivantes :

• Utilisez l'opération d'API RefreshTrustedAdvisorCheck.

• Choisissez l'icône d'actualisation ( ) pour une vérification individuelle.

Créer des rapports de vue organisationnelle

Une fois que vous avez activé la vue organisationnelle, vous pouvez créer des rapports afin de pouvoir afficher les résultats des vérifications Trusted Advisor de votre organisation.

Vous pouvez créer jusqu'à 50 rapports. Si vous créez des rapports au-delà de ce quota, Trusted Advisor supprime le rapport le plus ancien. Il n'est pas possible de récupérer les rapports supprimés.

Pour créer des rapports de vue organisationnelle

1. Connectez-vous au compte de gestion de l'organisation et ouvrez la console AWS Trusted Advisor sur https://console.aws.amazon.com/trustedadvisor.

2. Dans le volet de navigation, choisissez Organizational View (Vue organisationnelle).

3. Choisissez Créer un rapport.

4. Par défaut, le rapport inclut l'ensemble des régions AWS, des catégories de vérification, des vérifications et des statuts des ressources. Dans la page Create report (Créer un rapport), vous pouvez utiliser les options de filtre pour personnaliser votre rapport. Par exemple, vous pouvez désélectionner l'option All (Tout) pour Region (Région), puis spécifiez les régions individuelles à inclure dans le rapport.

   1. Entrez un nom pour le rapport.

   2. Sous Format, choisissez JSON ou CSV.

   3. Pour Region (Région), spécifiez la région AWS ou choisissez All (Tout).

   4. Pour Check category (Catégorie de vérification), choisissez la catégorie de vérification ou choisissez All (Tout).

   5. Pour Checks (Vérifications), choisissez les vérifications spécifiques pour cette catégorie ou choisissez All (Tout).

      Note

      Le filtre Check category (Catégorie de vérification) remplace le filtre Check (Vérification). Par exemple, si vous choisissez la catégorie Security (Sécurité), puis choisissez un nom de vérification spécifique, votre rapport inclut tous les résultats de vérification pour cette catégorie. Pour créer un rapport pour des vérifications spécifiques uniquement, conservez la valeur par défaut All (Tout) pour Check category (Catégorie de vérification), puis choisissez vos noms de vérification.

   6. Pour Resource status (Statut de la ressource), choisissez le statut pour filtrer, tel que Warning (Avertissement) ou choisissez All (Tout).

5. Pour AWS Organization (Organisation AWS), sélectionnez les unités organisationnelles (UO) à inclure dans votre rapport. Pour plus d'informations sur les UO, consultez Gestion des unités d'organisation dans le Guide de l'utilisateur AWS Organizations.

6. Choisissez Créer un rapport.

Exemple  : Créer des options de filtre de rapport

L'exemple suivant crée un rapport JSON pour les éléments suivants :

• Trois régions AWS

• Toutes les vérifications Security (Sécurité) et Performance

Dans l'exemple suivant, le rapport inclut l'UO support-team et un compte AWS qui font partie de l'organisation.

Remarques

• Le temps nécessaire à la création du rapport dépend du nombre de comptes dans l'organisation et du nombre de ressources dans chaque compte.

• Vous ne pouvez pas créer plus d'un rapport à la fois à moins que le rapport actuel ne soit exécuté depuis plus de six heures.

• Actualisez la page si le rapport ne s'affiche pas sur la page.

Consulter le résumé du rapport

Une fois le rapport prêt, vous pouvez afficher le résumé du rapport à partir de la console Trusted Advisor. Cela vous permet d'afficher rapidement le résumé des résultats de vos vérifications dans l'ensemble de votre organisation.

Pour afficher le résumé du rapport

1. Connectez-vous au compte de gestion de l'organisation et ouvrez la console AWS Trusted Advisor à l'adresse suivante : https://console.aws.amazon.com/trustedadvisor.

2. Dans le volet de navigation, choisissez Organizational View (Vue organisationnelle).

3. Choisissez le nom du rapport.

4. Dans la page Summary (Résumé), affichez les statuts de vérification de chaque catégorie. Vous pouvez également sélectionner Download report (Téléchargement du rapport).

Exemple  : Synthèse du rapport pour une organisation

Télécharger un rapport de vue organisationnelle

Une fois que votre rapport est prêt, téléchargez-le à partir de la console Trusted Advisor. Le rapport est un fichier .zip reprenant trois fichiers :

• summary.json : contient un résumé des résultats de la vérification pour chaque catégorie de contrôle.

• schema.json : contient le schéma des vérifications spécifiées dans le rapport.

• Fichier de ressources (.json ou .csv) : contient des informations détaillées sur les statuts de vérification des ressources de votre organisation.

Pour télécharger un rapport de vue organisationnelle

1. Connectez-vous au compte de gestion de l'organisation et ouvrez la console AWS Trusted Advisor à l'adresse suivante : https://console.aws.amazon.com/trustedadvisor.

2. Dans le volet de navigation, choisissez Organizational View (Vue organisationnelle).

   La page Organizational View (Vue organisationnelle) affiche les rapports disponibles à télécharger.

3. Sélectionnez un rapport, choisissez Download report (Télécharger le rapport), puis enregistrez le fichier. Vous ne pouvez télécharger qu'un seul rapport à la fois.

   

4. Décompressez le fichier.

5. Utilisez un éditeur de texte pour ouvrir le fichier .json ou une application de feuille de calcul pour ouvrir le fichier .csv.

   Note

   Vous pouvez recevoir plusieurs fichiers si la taille de votre rapport est égale à 5 Mo ou plus.

Exemple  : fichier summary.json

Le fichier summary.json indique le nombre de comptes dans l'organisation et les statuts des vérifications dans chaque catégorie.

Trusted Advisor utilise le code couleur suivant pour les résultats de vérification :

• Green : Trusted Advisor ne détecte pas de problème pour la vérification.

• Yellow : Trusted Advisor détecte un problème possible pour la vérification.

• Red : Trusted Advisor détecte une erreur et recommande une action pour la vérification.

• Blue : Trusted Advisor ne peut pas déterminer le statut de la vérification.

Dans l'exemple suivant, deux vérifications sont Red, l'une est Green et l'une est Yellow.

{
    "numAccounts": 3,
    "filtersApplied": {
        "accountIds": ["123456789012","111122223333","111111111111"],
        "checkIds": "All",
        "categories": [
            "security",
            "performance"
        ],
        "statuses": "All",
        "regions": [
            "us-west-1",
            "us-west-2",
            "us-east-1"
        ],
        "organizationalUnitIds": [
            "ou-xa9c-EXAMPLE1",
            "ou-xa9c-EXAMPLE2"
        ]
    },
    "categoryStatusMap": {
        "security": {
            "statusMap": {
                "ERROR": {
                    "name": "Red",
                    "count": 2
                },
                "OK": {
                    "name": "Green",
                    "count": 1
                },
                "WARN": {
                    "name": "Yellow",
                    "count": 1
                }
            },
            "name": "Security"
        }
    },
    "accountStatusMap": {
        "123456789012": {
            "security": {
                "statusMap": {
                    "ERROR": {
                        "name": "Red",
                        "count": 2
                    },
                    "OK": {
                        "name": "Green",
                        "count": 1
                    },
                    "WARN": {
                        "name": "Yellow",
                        "count": 1
                    }
                },
                "name": "Security"
            }
        }
    }
}

Exemple  : fichier schema.json

Le fichier schema.json inclut le schéma des vérifications dans le rapport. L'exemple suivant inclut les ID et les propriétés des vérifications de la politique de mot de passe IAM (Yw2K9puPzl) et la rotation des clés IAM (DqdJqYeRm5).

{
    "Yw2K9puPzl": [
        "Password Policy",
        "Uppercase",
        "Lowercase",
        "Number",
        "Non-alphanumeric",
        "Status",
        "Reason"
    ],
    "DqdJqYeRm5": [
        "Status",
        "IAM User",
        "Access Key",
        "Key Last Rotated",
        "Reason"
    ],
    ...
}

Exemple  : fichier resources.csv

Le fichier resources.csv contient des informations sur les ressources de l'organisation. Cet exemple montre certaines des colonnes de données qui apparaissent dans le rapport, telles que les suivantes :

• ID de compte du compte affecté

• L'ID de la vérification Trusted Advisor

• L'ID de la ressource

• Horodatage du rapport

• Le nom complet de la vérification Trusted Advisor

• La catégorie de vérification Trusted Advisor

• ID de compte de l'unité organisationnelle ou racine parent

Le fichier de ressources ne contient des entrées que si un résultat de vérification existe au niveau de la ressource. Il est possible que vous ne voyiez pas les vérifications dans le rapport pour les raisons suivantes :

• Certaines vérifications, telles que MFA on Root Account (MFA sur le compte racine), n'ont pas de ressources et n'apparaîtront pas dans le rapport. Les vérifications sans ressources apparaissent dans le fichier summary.json à la place.

• Certaines vérifications ne montrent que les ressources si elles sont Red ou Yellow. Si toutes les ressources sont Green, elles peuvent ne pas apparaître dans votre rapport.

• Si un compte n'est pas activé pour un service nécessitant la vérification, la vérification peut ne pas apparaître dans le rapport. Par exemple, si vous n'utilisez pas les instances réservées Amazon Elastic Compute Cloud dans votre organisation, la vérification Amazon EC2 Reserved Instance Lease Expiration n'apparaît pas dans votre rapport.

• Le compte n'a pas actualisé les résultats de la vérification. Cela peut se produire lorsque les utilisateurs disposant d'un plan de support Basic ou Developer se connectent à la console Trusted Advisor pour la première fois. Si vous possédez un plan de support Business, Enterprise On-Ramp ou Enterprise, il faudra peut-être une semaine maximum à compter de l’inscription d’un compte pour que les utilisateurs puissent voir les résultats de la vérification. Pour de plus amples informations, veuillez consulter Actualiser les vérifications Trusted Advisor.

• Si seul le compte de gestion de l'organisation a activé les recommandations pour les contrôles, l'état n'inclut pas de ressources pour les autres comptes de l'organisation.

Pour le fichier resources, vous pouvez utiliser un logiciel commun tel que Microsoft Excel pour ouvrir le format de fichier .csv. Vous pouvez utiliser le fichier .csv pour une analyse unique de toutes les vérifications entre tous les comptes de votre organisation. Si vous souhaitez utiliser votre rapport avec une application, vous pouvez le télécharger en tant que fichier .json à la place.

Le format de fichier .json offre plus de flexibilité que le format de fichier .csv pour les cas d'utilisation avancés tels que l'agrégation et l'analyse avancée avec plusieurs jeux de données. Par exemple, vous pouvez utiliser une interface SQL avec un service AWS tel qu'Amazon Athena pour exécuter des requêtes sur vos rapports. Vous pouvez également utiliser Amazon QuickSight pour créer des tableaux de bord et visualiser vos données. Pour plus d’informations, consultez Utilisation d'autres services AWS pour afficher les rapports Trusted Advisor.

Désactiver la vue organisationnelle

Suivez cette procédure pour désactiver la vue organisationnelle. Vous devez vous connecter au compte de gestion de l'organisation ou assumer un rôle avec les autorisations requises pour désactiver cette fonction. Vous ne pouvez pas désactiver cette fonctionnalité à partir d'un autre compte de l'organisation.

Une fois que vous avez désactivé cette fonctionnalité, voici ce qui se produit :

• Trusted Advisor est supprimé en tant que service approuvé dans Organizations.

• Le rôle lié à un service AWSServiceRoleForTrustedAdvisorReporting est déverrouillé dans le compte de gestion de l'organisation. Cela signifie que vous pouvez le supprimer manuellement, si nécessaire.

• Vous ne pouvez pas créer, afficher ou télécharger des rapports pour votre organisation. Pour accéder aux rapports créés précédemment, vous devez réactiver la vue organisationnelle à partir de la console Trusted Advisor. Consultez Activer la vue organisationnelle.

Pour désactiver la vue organisationnelle pour Trusted Advisor

1. Connectez-vous au compte de gestion de l'organisation et ouvrez la console AWS Trusted Advisor à l'adresse suivante : https://console.aws.amazon.com/trustedadvisor.

2. Dans le panneau de navigation, sélectionnez Préférences.

3. Sous Organizational View (Vue organisationnelle), choisissez Disable organizational view (Désactiver la vue organisationnelle).

   

Après avoir désactivé la vue organisationnelle, Trusted Advisor n'agrège plus les vérifications d'autres comptes AWS de votre organisation. Cependant, le rôle lié à un service AWSServiceRoleForTrustedAdvisorReporting reste sur le compte de gestion de l'organisation jusqu'à ce que vous le supprimiez via la console IAM, l'API IAM ou AWS Command Line Interface (AWS CLI). Pour plus d'informations, veuillez consulter Suppression d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Note

Vous pouvez utiliser d'autres services AWS pour interroger et visualiser vos données pour les rapports de vue organisationnelle. Pour plus d'informations, consultez les ressources suivantes :

• Afficher les recommandations AWS Trusted Advisor à grande échelle avec AWS Organizations dans le Blog Gestion & Gouvernance AWS (en anglais)

• Utilisation d'autres services AWS pour afficher les rapports Trusted Advisor