AWS の マネージドポリシー AWS Trusted Advisor

Trusted Advisor には、次の AWS 管理ポリシーがあります。

目次

• AWS 管理ポリシー: AWSTrustedAdvisorPriorityFullAccess

• AWS 管理ポリシー: AWSTrustedAdvisorPriorityReadOnlyAccess

• AWS マネージドポリシー: AWSTrustedAdvisorServiceRolePolicy

• AWS マネージドポリシー: AWSTrustedAdvisorReportingServiceRolePolicy

• AWS マネージドポリシーに関するTrusted Advisor の更新

AWS 管理ポリシー: AWSTrustedAdvisorPriorityFullAccess

AWSTrustedAdvisorPriorityFullAccess ポリシーは Trusted Advisor Priority へのフルアクセスを許可します。このポリシーでは、 を信頼されたサービス Trusted Advisor として に追加 AWS Organizations し、 Trusted Advisor Priority の委任管理者アカウントを指定することもできます。

アクセス許可の詳細

このポリシーは、最初のステートメントに trustedadvisor の以下のアクセス許可を含みます。

• アカウントと組織について説明します。

• Trusted Advisor Priority から特定されたリスクについて説明します。このアクセス許可により、リスクステータスをダウンロードし、更新することができます。

• Trusted Advisor Priority E メール通知の設定について説明します。このアクセス許可により、メール通知を設定したり、委任管理者に対して無効にしたりできます。

• アカウントが を有効に Trusted Advisor できるように を設定します AWS Organizations。

2 番目のステートメントには、organizations の以下のアクセス許可が含まれます。

• Trusted Advisor アカウントと組織について説明します。

• Organizations の使用を有効に AWS のサービス した を一覧表示します。

3 番目のステートメントには、organizations の以下のアクセス許可が含まれます。

• Trusted Advisor Priority の委任管理者を一覧表示します。

• Organizations で信頼されたアクセスを有効または無効にします。

4 番目のステートメントには、iam の以下のアクセス許可が含まれます。

• AWSServiceRoleForTrustedAdvisorReporting サービスにリンクされたロールを作成します。

5 番目のステートメントには、organizations の以下のアクセス許可が含まれます。

• Trusted Advisor Priority の委任管理者を登録または登録解除することを許可します。

JSON

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityFullAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:UpdateRiskStatus",
				"trustedadvisor:DescribeNotificationConfigurations",
				"trustedadvisor:UpdateNotificationConfigurations",
				"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
				"trustedadvisor:SetOrganizationAccess"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:EnableAWSServiceAccess",
				"organizations:DisableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowCreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
				}
			}
		},
		{
			"Sid": "AllowRegisterDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:RegisterDelegatedAdministrator",
				"organizations:DeregisterDelegatedAdministrator"
			],
			"Resource": "arn:aws:organizations::*:*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS 管理ポリシー: AWSTrustedAdvisorPriorityReadOnlyAccess

このAWSTrustedAdvisorPriorityReadOnlyAccessポリシーは、委任管理者アカウントを表示するアクセス許可を含む、読み取り専用アクセス許可を Trusted Advisor Priority に付与します。

アクセス許可の詳細

このポリシーは、最初のステートメントに trustedadvisor の以下のアクセス許可を含みます。

• Trusted Advisor アカウントと組織について説明します。

• Trusted Advisor Priority から特定されたリスクについて説明し、ダウンロードできるようにします。

• Trusted Advisor Priority E メール通知の設定について説明します。

2 番目と 3 番目のステートメントには、organizations の以下のアクセス許可が含まれます。

• 組織を Organizations で説明します。

• Organizations の使用を有効に AWS のサービス した を一覧表示します。

• Trusted Advisor Priority の委任管理者を一覧表示します

JSON

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:DescribeNotificationConfigurations"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS マネージドポリシー: AWSTrustedAdvisorServiceRolePolicy

このポリシーは、AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールにアタッチされます。これは、サービスにリンクされたロールがユーザーに代わってアクションを実行することを許可します。AWSTrustedAdvisorServiceRolePolicy を AWS Identity and Access Management (IAM) エンティティにアタッチすることはできません。詳細については、「Trusted Advisorのサービスにリンクされたロールの使用」を参照してください。

このポリシーは、サービスにリンクされたロールが AWS のサービスにアクセスすることを許可する、管理アクセス許可を付与します。これらのアクセス許可により、 チェック Trusted Advisor で アカウントを評価できます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• accessanalyzer – AWS Identity and Access Management Access Analyzer リソースについて説明します。

• Auto Scaling — Amazon EC2 Auto Scaling アカウントのクォータとリソースを示します。

• cloudformation – AWS CloudFormation (CloudFormation) アカウントのクォータとスタックについて説明します。

• cloudfront — Amazon CloudFront ディストリビューションを示します。

• cloudtrail – AWS CloudTrail (CloudTrail) 証跡について説明します。

• dynamodb — Amazon DynamoDB アカウントのクォータとリソースを示します。

• dynamodbaccelerator – DynamoDB Accelerator リソースについて説明します。

• ec2 — Amazon Elastic Compute Cloud (Amazon EC2) アカウントのクォータとリソースを示します。

• elasticloadbalancing — Elastic Load Balancing (ELB) アカウントのクォータとリソースを説明します。

• iam — 認証情報、パスワードポリシー、証明書などの IAM リソースを取得します。

• networkfirewall – AWS Network Firewall リソースについて説明します。

• kinesis — Amazon Kinesis (Kinesis) アカウントのクォータを示します。

• rds — Amazon Relational Database Service (Amazon RDS) リソースを示します。

• redshift — Amazon Redshift のリソースを示します。

• route53 — Amazon Route 53 アカウントのクォータとリソースを示します。

• s3 — Amazon Simple Storage Service (Amazon S3) リソースを示します。

• ses — Amazon Simple Email Service (Amazon SES) 送信クォータを取得します。

• sqs – Amazon Simple Queue Service (Amazon SQS) キューを一覧表示します。

• cloudwatch — Amazon CloudWatch Events (CloudWatch Events) メトリクス統計を取得します。

• ce — Cost Explorer サービス (Cost Explorer) のレコメンデーションを取得します。

• route53resolver — Resolver Amazon Route 53 Resolver エンドポイントとリソースを取得します

• kafka — Amazon Managed Streaming for Apache Kafka リソースを取得します

• ecs - Amazon ECS リソース の取得

• outposts – AWS Outposts リソースを取得します。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TrustedAdvisorServiceRolePermissions",
            "Effect": "Allow",
            "Action": [
                "access-analyzer:ListAnalyzers",
                "autoscaling:DescribeAccountLimits",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "ce:GetReservationPurchaseRecommendation",
                "ce:GetSavingsPlansPurchaseRecommendation",
                "cloudformation:DescribeAccountLimits",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStacks",
                "cloudfront:ListDistributions",
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetTrail",
                "cloudtrail:ListTrails",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "dax:DescribeClusters",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "ec2:DescribeAddresses",
                "ec2:DescribeReservedInstances",
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeImages",
                "ec2:DescribeNatGateways",
                "ec2:DescribeVolumes",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:DescribeReservedInstancesOfferings",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpnConnections",
                "ec2:DescribeVpnGateways",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:GetManagedPrefixListEntries",
                "ecs:DescribeTaskDefinition",
                "ecs:ListTaskDefinitions",
                "elasticloadbalancing:DescribeAccountLimits",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancerAttributes",
                "elasticloadbalancing:DescribeLoadBalancerPolicies",
                "elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeRules",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "iam:GenerateCredentialReport",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary",
                "iam:GetCredentialReport",
                "iam:GetServerCertificate",
                "iam:ListServerCertificates",
                "iam:ListSAMLProviders",
                "kinesis:DescribeLimits",
                "kafka:DescribeClusterV2",
                "kafka:ListClustersV2",
                "kafka:ListNodes",
                "network-firewall:ListFirewalls",
                "network-firewall:DescribeFirewall",
                "outposts:GetOutpost",
                "outposts:ListAssets",
                "outposts:ListOutposts",
                "rds:DescribeAccountAttributes",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSecurityGroups",
                "rds:DescribeDBSnapshots",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEngineDefaultParameters",
                "rds:DescribeEvents",
                "rds:DescribeOptionGroupOptions",
                "rds:DescribeOptionGroups",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribeReservedDBInstances",
                "rds:DescribeReservedDBInstancesOfferings",
                "rds:ListTagsForResource",
                "redshift:DescribeClusters",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "route53:GetAccountLimit",
                "route53:GetHealthCheck",
                "route53:GetHostedZone",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListHostedZonesByName",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetLifecycleConfiguration",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "ses:GetSendQuota",
                "sqs:GetQueueAttributes",
                "sqs:ListQueues"
            ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AWSTrustedAdvisorReportingServiceRolePolicy

このポリシーは、 が組織ビュー機能のアクションを実行 Trusted Advisor できるようにするAWSServiceRoleForTrustedAdvisorReportingサービスにリンクされたロールにアタッチされます。IAM エンティティに AWSTrustedAdvisorReportingServiceRolePolicy をアタッチすることはできません。詳細については、「Trusted Advisorのサービスにリンクされたロールの使用」を参照してください。

このポリシーは、サービスにリンクされたロールが AWS Organizations アクションを実行できるようにする管理アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• organizations — 組織を説明し、サービスアクセス、アカウント、親、子、および組織単位を一覧表示します。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシーに関するTrusted Advisor の更新

これらのサービスがこれらの変更の追跡を開始した Trusted Advisor 以降の AWS サポート および の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、ドキュメント履歴 ページの RSS フィードを購読してください。

次の表に、2021 年 8 月 10 日以降の Trusted Advisor マネージドポリシーの重要な更新を示します。

Trusted Advisor

変更	説明	日付
AWSTrustedAdvisorServiceRolePolicy 既存のポリシーの更新。	Trusted Advisor は、 elasticloadbalancing:DescribeListeners, および アクセスelasticloadbalancing:DescribeRules許可を付与する新しいアクションを追加しました。	2024 年 10 月 30 日
AWSTrustedAdvisorServiceRolePolicy 既存のポリシーの更新。	Trusted Advisor は、access-analyzer:ListAnalyzers、、cloudwatch:ListMetrics、、、dax:DescribeClustersec2:DescribeNatGateways、ec2:DescribeRouteTables、ec2:DescribeVpcEndpoints、、ec2:GetManagedPrefixListEntrieselasticloadbalancing:DescribeTargetHealthiam:ListSAMLProviderskafka:DescribeClusterV2network-firewall:ListFirewallsnetwork-firewall:DescribeFirewallおよび アクセスsqs:GetQueueAttributes許可を付与する新しいアクションを追加しました。	2024 年 6 月 11 日
AWSTrustedAdvisorServiceRolePolicy 既存のポリシーの更新。	Trusted Advisor は、outposts:GetOutpost、、outposts:ListAssetsおよび cloudtrail:GetTrail cloudtrail:ListTrails cloudtrail:GetEventSelectors アクセスoutposts:ListOutposts許可を付与する新しいアクションを追加しました。	2024 年 1 月 18 日
AWSTrustedAdvisorPriorityFullAccess 既存のポリシーの更新。	Trusted Advisor は、ステートメント ID を含めるように AWSTrustedAdvisorPriorityFullAccess AWS マネージドポリシーを更新しました。 IDs	2023 年 12 月 6 日
AWSTrustedAdvisorPriorityReadOnlyAccess 既存のポリシーの更新	Trusted Advisor は、ステートメント ID を含めるように AWSTrustedAdvisorPriorityReadOnlyAccess AWS マネージドポリシーを更新しました。 IDs	2023 年 12 月 6 日
AWSTrustedAdvisorServiceRolePolicy – 既存ポリシーへの更新	Trusted Advisor は、 ec2:DescribeRegionss3:GetLifecycleConfigurationecs:DescribeTaskDefinitionおよび アクセスecs:ListTaskDefinitions許可を付与する新しいアクションを追加しました。	2023 年 11 月 9 日
AWSTrustedAdvisorServiceRolePolicy – 既存ポリシーへの更新	Trusted Advisor はroute53resolver:ListResolverEndpoints、新しいレジリエンスチェックをオンボードkafka:ListNodesするために、新しい IAM アクション route53resolver:ListResolverEndpointIpAddresses、ec2:DescribeSubnets、、 kafka:ListClustersV2 を追加しました。	2023 年 9 月 14 日
AWSTrustedAdvisorReportingServiceRolePolicy サービスにリンクされたロールに Trusted Advisor AWSServiceRoleForTrustedAdvisorReportingアタッチされた マネージドポリシーの V2	サービスにリンクされたロールの AWS マネージドポリシーを V2 にアップグレードします Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting。V2 では、もう 1 つの IAM アクション organizations:ListDelegatedAdministrators が追加されました。	2023 年 2 月 28 日
AWSTrustedAdvisorPriorityFullAccess および AWSTrustedAdvisorPriorityReadOnlyAccess の新しい AWS 管理ポリシー Trusted Advisor	Trusted Advisor Trusted Advisor Priority へのアクセスを制御するために使用できる 2 つの新しい管理ポリシーが追加されました。	2022 年 8 月 17 日
AWSTrustedAdvisorServiceRolePolicy – 既存ポリシーへの更新	Trusted Advisor は、 DescribeTargetGroupsおよび アクセスGetAccountPublicAccessBlock許可を付与する新しいアクションを追加しました。 DescribeTargetGroup アクセス許可は、Auto Scaling グループヘルスチェックが Auto Scaling グループにアタッチされた非 Classic Load Balancer を取得するために必要です。 GetAccountPublicAccessBlock アクセス許可は、Amazon S3 バケット許可チェックが AWS アカウントのブロックパブリックアクセス設定を取得するために必要です。	2021 年 8 月 10 日
変更ログが発行されました	Trusted Advisor は、 AWS マネージドポリシーの変更の追跡を開始しました。	2021 年 8 月 10 日