Autorizzazioni per la console Trusted Advisor Trusted Advisor azioni IAMesempi di politiche Consulta anche

Gestisci l'accesso a AWS Trusted Advisor

Puoi accedere AWS Trusted Advisor da. AWS Management Console Tutti Account AWS hanno accesso a una selezione di Trusted Advisor controlli di base. Se hai sottoscritto un piano di supporto Business, Enterprise On-Ramp o Enterprise, puoi accedere a tutti i controlli. Per ulteriori informazioni, consulta AWS Trusted Advisor verifica riferimento.

Puoi usare AWS Identity and Access Management (IAM) per controllare l'accesso a Trusted Advisor.

Argomenti

Autorizzazioni per la console Trusted Advisor
Trusted Advisor azioni
IAMesempi di politiche
Consulta anche

Autorizzazioni per la console Trusted Advisor

Per accedere alla Trusted Advisor console, un utente deve disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentire all'utente di elencare e visualizzare i dettagli sulle Trusted Advisor risorse del tuo. Account AWS

Puoi utilizzare le seguenti opzioni per controllare l'accesso a Trusted Advisor:

Utilizza la funzionalità di filtro dei tag della Trusted Advisor console. L'utente o il ruolo devono avere autorizzazioni associate ai tag.

Puoi utilizzare politiche AWS gestite o politiche personalizzate per assegnare le autorizzazioni tramite tag. Per ulteriori informazioni, vedere Controllo dell'accesso a e per IAM utenti e ruoli utilizzando i tag.
Crea una IAM policy con il trustedadvisor namespace. È possibile utilizzare questa policy per specificare le autorizzazioni per operazioni e risorse.

Quando crei una policy puoi specificare lo spazio dei nomi del servizio per consentire o negare un'operazione. Lo spazio dei nomi per è. Trusted Advisor trustedadvisor Tuttavia, non è possibile utilizzare lo spazio dei trustedadvisor nomi per consentire o Trusted Advisor API negare operazioni in. AWS Support API Invece, devi utilizzare lo spazio dei nomi support per AWS Support .

Nota

Se disponi delle autorizzazioni necessarie AWS SupportAPI, il Trusted Advisor widget nella finestra AWS Management Console mostra una visualizzazione riepilogativa dei risultati. Trusted Advisor Per visualizzare i risultati nella Trusted Advisor console, devi disporre dell'autorizzazione per il trustedadvisor namespace.

Trusted Advisor azioni

È possibile eseguire le seguenti Trusted Advisor azioni nella console. È inoltre possibile specificare queste Trusted Advisor azioni in una IAM policy per consentire o negare azioni specifiche.

Azione	Descrizione
`DescribeAccount`	Concede l'autorizzazione a visualizzare il AWS Support piano e varie Trusted Advisor preferenze.
`DescribeAccountAccess`	Concede il permesso di visualizzare se Account AWS è abilitato o disabilitato. Trusted Advisor
`DescribeCheckItems`	Concede l'autorizzazione a visualizzare i dettagli degli elementi di controllo.
`DescribeCheckRefreshStatuses`	Concede l'autorizzazione a visualizzare gli stati di aggiornamento per i controlli Trusted Advisor .
`DescribeCheckSummaries`	Concede l'autorizzazione a visualizzare i riepiloghi degli Trusted Advisor assegni.
`DescribeChecks`	Concede l'autorizzazione a visualizzare i dettagli dei controlli. Trusted Advisor
`DescribeNotificationPreferences`	Concede l'autorizzazione a visualizzare le preferenze di notifica per l'account AWS .
`ExcludeCheckItems`	Concede l'autorizzazione a escludere i suggerimenti per i controlli Trusted Advisor .
`IncludeCheckItems`	Concede l'autorizzazione a includere suggerimenti per i controlli Trusted Advisor .
`RefreshCheck`	Concede l'autorizzazione ad aggiornare un assegno. Trusted Advisor
`SetAccountAccess`	Concede l'autorizzazione all'attivazione o alla disattivazione Trusted Advisor dell'account.
`UpdateNotificationPreferences`	Concede l'autorizzazione ad aggiornare le preferenze di notifica per Trusted Advisor.
`DescribeCheckStatusHistoryChanges`	Concede l'autorizzazione a visualizzare i risultati e gli stati modificati dei controlli negli ultimi 30 giorni.

Trusted Advisor azioni per la visualizzazione organizzativa

Le Trusted Advisor azioni seguenti riguardano la funzionalità di visualizzazione organizzativa. Per ulteriori informazioni, consulta Visualizzazione organizzativa per AWS Trusted Advisor.

Azione	Descrizione
`DescribeOrganization`	Concede l'autorizzazione alla visualizzazione se Account AWS soddisfa i requisiti per abilitare la funzionalità di visualizzazione organizzativa.
`DescribeOrganizationAccounts`	Concede l'autorizzazione a visualizzare gli AWS account collegati presenti nell'organizzazione.
`DescribeReports`	Concede l'autorizzazione a visualizzare i dettagli dei report delle viste organizzative, ad esempio il nome del report, il runtime, la data di creazione, lo stato e il formato.
`DescribeServiceMetadata`	Concede l'autorizzazione a visualizzare informazioni sulla visualizzazione organizzativa, ad esempio i report di controllo delle categorie Regioni AWS, dei nomi di controllo e dello stato delle risorse.
`GenerateReport`	Concede l'autorizzazione a creare un rapporto per i Trusted Advisor controlli nell'organizzazione.
`ListAccountsForParent`	Concede l'autorizzazione a visualizzare, nella Trusted Advisor console, tutti gli account di un' AWS organizzazione contenuti da un'unità organizzativa principale o da un'unità organizzativa (OU).
`ListOrganizationalUnitsForParent`	Concede l'autorizzazione a visualizzare, nella Trusted Advisor console, tutte le unità organizzative (OUs) dell'unità organizzativa principale o principale.
`ListRoots`	Concede il permesso di visualizzare, nella Trusted Advisor console, tutte le radici definite in un' AWS organizzazione.
`SetOrganizationAccess`	Concede l'autorizzazione ad abilitare la funzionalità di visualizzazione organizzativa per. Trusted Advisor

Trusted Advisor Azioni prioritarie

Se hai abilitato la Trusted Advisor priorità per il tuo account, puoi eseguire le seguenti Trusted Advisor azioni nella console. Puoi anche aggiungere queste Trusted Advisor azioni in una IAM policy per consentire o negare azioni specifiche. Per ulteriori informazioni, consulta IAMCriteri di esempio per Trusted Advisor Priority.

Nota

I rischi che appaiono in Trusted Advisor Priority sono raccomandazioni che il responsabile tecnico dell'account (TAM) ha identificato per il tuo account. I consigli di un servizio, ad esempio un Trusted Advisor assegno, vengono creati automaticamente per te. I tuoi consigli TAM vengono creati manualmente. Successivamente, TAM invia questi consigli in modo che vengano visualizzati in Trusted Advisor Priority per il tuo account.

Per ulteriori informazioni, consulta Nozioni di base su AWS Trusted Advisor Priority.

Azione	Descrizione
`DescribeRisks`	Concede l'autorizzazione a visualizzare i rischi in Trusted Advisor Priority.
`DescribeRisk`	Concede l'autorizzazione a visualizzare i dettagli del rischio in Trusted Advisor Priority.
`DescribeRiskResources`	Concede l'autorizzazione per visualizzare le risorse interessate per un rischio in Trusted Advisor Priority
`DownloadRisk`	Concede l'autorizzazione a scaricare un file che contiene dettagli sul rischio in Trusted Advisor Priority.
`UpdateRiskStatus`	Concede l'autorizzazione per aggiornare lo stato di rischio in Trusted Advisor Priority
`DescribeNotificationConfigurations`	Concede l'autorizzazione a ricevere le preferenze di notifica e-mail per Trusted Advisor Priority.
`UpdateNotificationConfigurations`	Concede l'autorizzazione per creare o aggiornare le preferenze di notifica e-mail per Trusted Advisor Priority.
`DeleteNotificationConfigurationForDelegatedAdmin`	Concede l'autorizzazione all'account di gestione dell'organizzazione per eliminare le preferenze di notifica e-mail da un account amministratore delegato per Priority. Trusted Advisor

Trusted Advisor Intraprendi azioni

Se hai attivato Trusted Advisor Engage per il tuo account, puoi eseguire le seguenti Trusted Advisor azioni nella console. Puoi anche aggiungere queste Trusted Advisor azioni in una IAM policy per consentire o negare azioni specifiche. Per ulteriori informazioni, consulta IAMPolitiche di esempio per Trusted Advisor Engage.

Per ulteriori informazioni, consulta Inizia a usare AWS Trusted Advisor Engage (anteprima).

Azione	Descrizione
`CreateEngagement`	Concede l'autorizzazione a creare un coinvolgimento in Trusted Advisor Engage.
`CreateEngagementAttachment`	Concede l'autorizzazione a creare un allegato di coinvolgimento in Trusted Advisor Engage.
`CreateEngagementCommunication`	Concede l'autorizzazione a creare una comunicazione di coinvolgimento in Trusted Advisor Engage.
`GetEngagement`	Concede l'autorizzazione a visualizzare un coinvolgimento in Engage. Trusted Advisor
`GetEngagementAttachment`	Concede l'autorizzazione a visualizzare un allegato di coinvolgimento in Engage. Trusted Advisor
`GetEngagementType`	Concede l'autorizzazione a visualizzare un tipo di coinvolgimento specifico in Engage. Trusted Advisor
`ListEngagementCommunications`	Concede l'autorizzazione a visualizzare tutte le comunicazioni un impegno su Trusted Advisor Engage.
`ListEngagements`	Concede l'autorizzazione a visualizzare tutte le interazioni in Engage. Trusted Advisor
`ListEngagementTypes`	Concede l'autorizzazione a visualizzare tutti i tipi di coinvolgimento in Engage. Trusted Advisor
`UpdateEngagement`	Concede l'autorizzazione ad aggiornare i dettagli di un coinvolgimento in Trusted Advisor Engage.
`UpdateEngagementStatus`	Concede l'autorizzazione ad aggiornare lo stato di un impegno in Trusted Advisor Engage.

IAMesempi di politiche

Le policy seguenti mostrano come consentire e negare l'accesso a Trusted Advisor. È possibile utilizzare una delle seguenti politiche per creare una politica gestita dal cliente nella IAM console. Ad esempio, puoi copiare una policy di esempio e incollarla nella JSONscheda della IAM console. Quindi, alleghi la politica al tuo IAM utente, gruppo o ruolo.

Per ulteriori informazioni su come creare una IAM politica, consulta Creazione IAM di politiche (console) nella Guida per l'IAMutente.

Esempi

Accesso completo a Trusted Advisor
Accesso in sola lettura a Trusted Advisor
Negare l'accesso a Trusted Advisor
Operazioni specifiche consentite o negate
Controlla l'accesso alle AWS Support API operazioni per Trusted Advisor
IAMCriteri di esempio per Trusted Advisor Priority
IAMPolitiche di esempio per Trusted Advisor Engage

Accesso completo a Trusted Advisor

La seguente politica consente agli utenti di visualizzare e eseguire tutte le azioni relative a tutti i Trusted Advisor controlli nella Trusted Advisor console.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}

Accesso in sola lettura a Trusted Advisor

La seguente politica consente agli utenti l'accesso in sola lettura alla Trusted Advisor console. Gli utenti non possono apportare modifiche, ad esempio aggiornare i controlli o modificare le preferenze di notifica.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:Describe*",
                "trustedadvisor:Get*",
                "trustedadvisor:List*"
            ],
            "Resource": "*"
        }
    ]
}

Negare l'accesso a Trusted Advisor

La seguente politica non consente agli utenti di visualizzare o eseguire azioni per Trusted Advisor i controlli nella Trusted Advisor console.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}

Operazioni specifiche consentite o negate

La seguente politica consente agli utenti di visualizzare tutti i Trusted Advisor controlli nella Trusted Advisor console, ma non consente loro di aggiornare alcun controllo.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "trustedadvisor:RefreshCheck",
            "Resource": "*"
        }
    ]
}

Controlla l'accesso alle AWS Support API operazioni per Trusted Advisor

In AWS Management Console, un trustedadvisor IAM namespace separato controlla l'accesso a. Trusted Advisor Non è possibile utilizzare lo spazio dei trustedadvisor nomi per consentire o Trusted Advisor API negare operazioni in. AWS Support API Al contrario, utilizza lo spazio dei nomi support. È necessario disporre delle autorizzazioni per effettuare chiamate a livello di codice AWS Support API. Trusted Advisor

Ad esempio, se si desidera chiamare l'RefreshTrustedAdvisorCheckoperazione, è necessario disporre delle autorizzazioni per questa azione nella politica.

Esempio : Consenti solo Trusted Advisor API le operazioni

La seguente politica consente agli utenti di accedere alle AWS Support API operazioni per Trusted Advisor, ma non alle altre AWS Support API operazioni. Ad esempio, gli utenti possono utilizzare il API per visualizzare e aggiornare i controlli. Non possono creare, visualizzare, aggiornare o risolvere AWS Support casi.

È possibile utilizzare questo criterio per richiamare le Trusted Advisor API operazioni a livello di codice, ma non è possibile utilizzare questo criterio per visualizzare o aggiornare i controlli nella console. Trusted Advisor


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "support:DescribeTrustedAdvisorCheckRefreshStatuses",
                "support:DescribeTrustedAdvisorCheckResult",
                "support:DescribeTrustedAdvisorChecks",
                "support:DescribeTrustedAdvisorCheckSummaries",
                "support:RefreshTrustedAdvisorCheck",
                "trustedadvisor:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "support:AddAttachmentsToSet",
                "support:AddCommunicationToCase",
                "support:CreateCase",
                "support:DescribeAttachment",
                "support:DescribeCases",
                "support:DescribeCommunications",
                "support:DescribeServices",
                "support:DescribeSeverityLevels",
                "support:ResolveCase"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni su come IAM funziona con AWS Support and Trusted Advisor, consulta. Azioni

IAMCriteri di esempio per Trusted Advisor Priority

È possibile utilizzare le seguenti politiche AWS gestite per controllare l'accesso a Trusted Advisor Priority. Per ulteriori informazioni, consulta AWS politiche gestite per AWS Trusted Advisor e Nozioni di base su AWS Trusted Advisor Priority.

IAMPolitiche di esempio per Trusted Advisor Engage

Nota

Trusted Advisor Engage è in versione di anteprima e attualmente non dispone di politiche AWS gestite. Puoi utilizzare una delle seguenti politiche per creare una politica gestita dai clienti nella IAM console.

Un esempio di policy che garantisce l'accesso in lettura e scrittura in Trusted Advisor Engage:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:CreateEngagement*",
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*",
                "trustedadvisor:UpdateEngagement*"
            ],
            "Resource": "*"
        }
    ]
}

Un esempio di policy che garantisce l'accesso in sola lettura in Engage: Trusted Advisor


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*"
            ],
            "Resource": "*"
        }
    ]
}

Un esempio di policy che garantisce l'accesso in lettura e scrittura in Trusted Advisor Engage e la possibilità di abilitare l'accesso affidabile a: Trusted Advisor


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:CreateEngagement*",
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*",
                "trustedadvisor:SetOrganizationAccess",
                "trustedadvisor:UpdateEngagement*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "reporting.trustedadvisor.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
                }
            }
        }
    ]
}

Consulta anche

Per ulteriori informazioni sulle Trusted Advisor autorizzazioni, consulta le seguenti risorse:

Azioni definite AWS Trusted Advisor nella Guida per l'IAMutente.
Controllo dell'accesso alla console Trusted Advisor

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestisci l'accesso ai piani AWS Support

Policy di controllo dei servizi di esempio per AWS Trusted Advisor