AWS politiche gestite per AWS Trusted Advisor - AWS Support
AWSTrustedAdvisorPriorityFullAccess AWSTrustedAdvisorPriorityReadOnlyAccess AWSTrustedAdvisorServiceRolePolicy AWSTrustedAdvisorReportingServiceRolePolicy Aggiornamenti alle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per AWS Trusted Advisor

Trusted Advisor dispone delle seguenti politiche AWS gestite.

AWS politica gestita: AWSTrustedAdvisorPriorityFullAccess

Il AWSTrustedAdvisorPriorityFullAccessla politica garantisce l'accesso completo a Trusted Advisor Priority. Questa politica consente inoltre all'utente di aggiungere Trusted Advisor come servizio affidabile AWS Organizations e di specificare gli account di amministratore delegato per Trusted Advisor Priority.

Dettagli dell'autorizzazione

Nella prima espressione, la policy include le seguenti autorizzazioni per trustedadvisor:

  • Descrive l'account e l'organizzazione.

  • Descrive i rischi identificati da Trusted Advisor Priority. Le autorizzazioni consentono di scaricare e aggiornare lo stato del rischio.

  • Descrive le configurazioni per le notifiche e-mail Trusted Advisor Priority. Le autorizzazioni ti consentono di configurare le notifiche e-mail e di disabilitarle per gli amministratori delegati.

  • Si configura Trusted Advisor in modo che il tuo account possa essere abilitato. AWS Organizations

Nella seconda espressione, la policy include le seguenti autorizzazioni per organizations:

  • Descrive il tuo Trusted Advisor account e la tua organizzazione.

  • Elenca le organizzazioni Servizi AWS che hai abilitato all'uso.

Nella terza espressione, la policy include le seguenti autorizzazioni per organizations:

  • Elenca gli amministratori delegati per Trusted Advisor Priority.

  • Abilita e disabilita l'accesso attendibile con Organizations.

Nella quarta espressione, la policy include le seguenti autorizzazioni per iam:

  • Crea il ruolo collegato al servizio AWSServiceRoleForTrustedAdvisorReporting.

Nella quinta espressione, la policy include le seguenti autorizzazioni per organizations:

  • Consente di registrare e annullare la registrazione degli amministratori delegati per Trusted Advisor Priority.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityFullAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:UpdateRiskStatus",
				"trustedadvisor:DescribeNotificationConfigurations",
				"trustedadvisor:UpdateNotificationConfigurations",
				"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
				"trustedadvisor:SetOrganizationAccess"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:EnableAWSServiceAccess",
				"organizations:DisableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowCreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
				}
			}
		},
		{
			"Sid": "AllowRegisterDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:RegisterDelegatedAdministrator",
				"organizations:DeregisterDelegatedAdministrator"
			],
			"Resource": "arn:aws:organizations::*:*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS politica gestita: AWSTrustedAdvisorPriorityReadOnlyAccess

Il AWSTrustedAdvisorPriorityReadOnlyAccessla politica concede autorizzazioni di sola lettura a Trusted Advisor Priority, inclusa l'autorizzazione a visualizzare gli account degli amministratori delegati.

Dettagli dell'autorizzazione

Nella prima espressione, la policy include le seguenti autorizzazioni per trustedadvisor:

  • Descrive il tuo account e la tua organizzazione. Trusted Advisor

  • Descrive i rischi identificati da Trusted Advisor Priority e consente di scaricarli.

  • Descrive le configurazioni per le notifiche e-mail Trusted Advisor prioritarie.

Nella seconda e terza espressione, la policy include le seguenti autorizzazioni per organizations:

  • Descrive la tua organizzazione in Organizations.

  • Elenca le organizzazioni Servizi AWS che hai abilitato all'uso.

  • Elenca gli amministratori delegati per Priority Trusted Advisor 

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:DescribeNotificationConfigurations"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS politica gestita: AWSTrustedAdvisorServiceRolePolicy

Questa policy è attribuita al ruolo collegato ai servizi AWSServiceRoleForTrustedAdvisor. Consente al ruolo collegato ai servizi di eseguire operazioni per tuo conto. Non è possibile allegare il AWSTrustedAdvisorServiceRolePolicyalle tue AWS Identity and Access Management (IAM) entità. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Trusted Advisor.

Questa policy concede autorizzazioni amministrative che consentono al ruolo collegato ai servizi di accedere a Servizi AWS. Queste autorizzazioni consentono ai controlli di Trusted Advisor valutare il tuo account.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • accessanalyzer— Descrive le risorse AWS Identity and Access Management Access Analyzer

  • Auto Scaling— Descrive le quote e le risorse degli account Amazon EC2 Auto Scaling

  • cloudformation— Descrive AWS CloudFormation (CloudFormation) le quote e gli stack degli account

  • cloudfront— Descrive le CloudFront distribuzioni Amazon

  • cloudtrail— Descrive AWS CloudTrail (CloudTrail) percorsi

  • dynamodb: Descrive le quote e le risorse dell'account Amazon DynamoDB

  • dynamodbaccelerator— Descrive le risorse di DynamoDB Accelerator

  • ec2— Descrive le quote e le risorse degli account Amazon Elastic Compute Cloud (AmazonEC2)

  • elasticloadbalancing— Descrive le quote e le risorse degli account Elastic Load Balancing (ELB)

  • iam— Ottiene IAM risorse, come credenziali, criteri per le password e certificati

  • networkfirewall— Descrive le risorse AWS Network Firewall

  • kinesis: Descrive le quote dell'account Amazon Kinesis (Kinesis)

  • rds— Descrive le risorse di Amazon Relational Database Service (RDSAmazon)

  • redshift: Descrive le risorse Amazon Redshift

  • route53: Descrive le quote e le risorse dell'account Amazon Route 53

  • s3: Descrive le risorse Amazon Simple Storage Service (Amazon S3)

  • ses— Ottiene le quote di invio di Amazon Simple Email Service (AmazonSES)

  • sqs— Elenca le code di Amazon Simple Queue Service (AmazonSQS)

  • cloudwatch— Ottiene le statistiche dei parametri di Amazon CloudWatch CloudWatch Events (Events)

  • ce: Ottiene i consigli del servizio Cost Explorer (Cost Explorer)

  • route53resolver— Ottiene endpoint Amazon Route 53 Resolver e risorse Resolver

  • kafka: ottiene Amazon Managed Streaming per risorse Apache Kafka

  • ecs— Ottiene ECS risorse Amazon

  • outposts— Ottiene AWS Outposts risorse

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "access-analyzer:ListAnalyzers"
                "autoscaling:DescribeAccountLimits",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "ce:GetReservationPurchaseRecommendation",
                "ce:GetSavingsPlansPurchaseRecommendation",
                "cloudformation:DescribeAccountLimits",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStacks",
                "cloudfront:ListDistributions",
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetTrail",
                "cloudtrail:ListTrails",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "dax:DescribeClusters",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "ec2:DescribeAddresses",
                "ec2:DescribeReservedInstances",
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeImages",
                "ec2:DescribeNatGateways",
                "ec2:DescribeVolumes",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:DescribeReservedInstancesOfferings",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpnConnections",
                "ec2:DescribeVpnGateways",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:GetManagedPrefixListEntries",
                "ecs:DescribeTaskDefinition",
                "ecs:ListTaskDefinitions"
                "elasticloadbalancing:DescribeAccountLimits",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancerAttributes",
                "elasticloadbalancing:DescribeLoadBalancerPolicies",
                "elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "iam:GenerateCredentialReport",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary",
                "iam:GetCredentialReport",
                "iam:GetServerCertificate",
                "iam:ListServerCertificates",
                "iam:ListSAMLProviders",
                "kinesis:DescribeLimits",
                "kafka:DescribeClusterV2",
                "kafka:ListClustersV2",
                "kafka:ListNodes",
                "network-firewall:ListFirewalls",
                "network-firewall:DescribeFirewall",
                "outposts:GetOutpost",
                "outposts:ListAssets",
                "outposts:ListOutposts",
                "rds:DescribeAccountAttributes",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSecurityGroups",
                "rds:DescribeDBSnapshots",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEngineDefaultParameters",
                "rds:DescribeEvents",
                "rds:DescribeOptionGroupOptions",
                "rds:DescribeOptionGroups",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribeReservedDBInstances",
                "rds:DescribeReservedDBInstancesOfferings",
                "rds:ListTagsForResource",
                "redshift:DescribeClusters",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "route53:GetAccountLimit",
                "route53:GetHealthCheck",
                "route53:GetHostedZone",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListHostedZonesByName",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetLifecycleConfiguration",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "ses:GetSendQuota",
                "sqs:GetQueueAttributes",
                "sqs:ListQueues"
            ],
            "Resource": "*"
        }
    ]
}

AWS politica gestita: AWSTrustedAdvisorReportingServiceRolePolicy

Questa policy è associata al ruolo AWSServiceRoleForTrustedAdvisorReporting collegato al servizio che consente di Trusted Advisor eseguire azioni per la funzionalità di visualizzazione organizzativa. Non è possibile allegare il AWSTrustedAdvisorReportingServiceRolePolicyalle tue IAM entità. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Trusted Advisor.

Questa politica concede autorizzazioni amministrative che consentono al ruolo collegato al servizio di eseguire azioni. AWS Organizations

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • organizations: Descrive l'organizzazione ed elenca l'accesso al servizio, gli account, le entità padre, le entità figlio e le unità organizzative

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Trusted Advisor aggiornamenti alle politiche gestite AWS

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per AWS Support e Trusted Advisor da quando questi servizi hanno iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed sulla Cronologia dei documenti pagina.

La tabella seguente descrive importanti aggiornamenti alle politiche Trusted Advisor gestite dal 10 agosto 2021.

Trusted Advisor
Modifica Descrizione Data

AWSTrustedAdvisorServiceRolePolicy

Aggiornamento a una politica esistente.

Trusted Advisor ha aggiunto nuove azioni per concedere le access-analyzer:ListAnalyzerscloudwatch:ListMetrics,dax:DescribeClusters,ec2:DescribeNatGateways,ec2:DescribeRouteTables,ec2:DescribeVpcEndpoints,ec2:GetManagedPrefixListEntries, elasticloadbalancing:DescribeTargetHealthiam:ListSAMLProviders, kafka:DescribeClusterV2 network-firewall:ListFirewalls network-firewall:DescribeFirewall e sqs:GetQueueAttributes le autorizzazioni.

 11 giugno 2024

AWSTrustedAdvisorServiceRolePolicy

Aggiornamento a una politica esistente.

Trusted Advisor ha aggiunto nuove azioni per concedere cloudtrail:GetTrail cloudtrail:ListTrails cloudtrail:GetEventSelectors outposts:GetOutpost le outposts:ListOutposts autorizzazioni outposts:ListAssets e.

 18 gennaio 2024

AWSTrustedAdvisorPriorityFullAccess

Aggiornamento a una politica esistente.

Trusted Advisor ha aggiornato la politica AWSTrustedAdvisorPriorityFullAccess AWS gestita per includere una dichiarazioneIDs.

 6 dicembre 2023

AWSTrustedAdvisorPriorityReadOnlyAccess

Aggiornamento a una politica esistente.

Trusted Advisor ha aggiornato la politica AWSTrustedAdvisorPriorityReadOnlyAccess AWS gestita per includere una dichiarazioneIDs.

 6 dicembre 2023

AWSTrustedAdvisorServiceRolePolicy: aggiornamento a una policy esistente

Trusted Advisor ha aggiunto nuove azioni per concedere le ecs:ListTaskDefinitions autorizzazioni ec2:DescribeRegions s3:GetLifecycleConfiguration ecs:DescribeTaskDefinition e.

 9 novembre 2023

AWSTrustedAdvisorServiceRolePolicy: aggiornamento a una policy esistente

Trusted Advisor ha aggiunto nuove IAM azioni route53resolver:ListResolverEndpoints kafka:ListClustersV2 e ha ec2:DescribeSubnets introdotto nuovi kafka:ListNodes controlli di resilienza. route53resolver:ListResolverEndpointIpAddresses

 14 settembre 2023

AWSTrustedAdvisorReportingServiceRolePolicy

V2 della policy gestita allegata al ruolo collegato al servizio Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting

Aggiorna la policy AWS gestita alla V2 per il ruolo collegato al servizio. Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting La V2 aggiungerà un'altra azione IAM organizations:ListDelegatedAdministrators

28 febbraio 2023

AWSTrustedAdvisorPriorityFullAccess e AWSTrustedAdvisorPriorityReadOnlyAccess

Nuove politiche AWS gestite per Trusted Advisor

Trusted Advisor sono state aggiunte due nuove politiche gestite che è possibile utilizzare per controllare l'accesso a Trusted Advisor Priority.

17 agosto 2022

AWSTrustedAdvisorServiceRolePolicy: aggiornamento a una policy esistente

Trusted Advisor ha aggiunto nuove azioni per concedere le GetAccountPublicAccessBlock autorizzazioni DescribeTargetGroups e.

È richiesta l'autorizzazione DescribeTargetGroup per il Controllo dello stato del gruppo Auto Scaling per recuperare i non-Classic Load Balancers attribuiti a un gruppo Auto Scaling.

È necessaria l'autorizzazione GetAccountPublicAccessBlock per consentire al controllo Autorizzazioni Bucket Amazon S3 di recuperare le impostazioni di blocco dell'accesso pubblico per un Account AWS.

 10 agosto 2021

Log delle modifiche pubblicato

Trusted Advisor ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.

 10 agosto 2021