AWS の マネージドポリシー AWS Trusted Advisor - AWS Support

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS の マネージドポリシー AWS Trusted Advisor

Trusted Advisor には、次の AWS 管理ポリシーがあります。

AWS マネージドポリシー: AWSTrustedAdvisorPriorityFullAccess

このAWSTrustedAdvisorPriorityFullAccessポリシーは Trusted Advisor Priority へのフルアクセスを許可します。このポリシーでは、ユーザーは を信頼されたサービス Trusted Advisor として に追加 AWS Organizations し、 Trusted Advisor Priority の委任管理者アカウントを指定することもできます。

許可の詳細

このポリシーは、最初のステートメントに trustedadvisor の以下のアクセス許可を含みます。

  • アカウントと組織について説明します。

  • Trusted Advisor Priority から特定されたリスクについて説明します。このアクセス許可により、リスクステータスをダウンロードし、更新することができます。

  • Trusted Advisor Priority E メール通知の設定について説明します。このアクセス許可により、メール通知を設定したり、委任管理者に対して無効にしたりできます。

  • アカウントが を有効に Trusted Advisor できるように を設定します AWS Organizations。

2 番目のステートメントには、organizations の以下のアクセス許可が含まれます。

  • Trusted Advisor アカウントと組織について説明します。

  • Organizations の使用を有効に AWS サービス した を一覧表示します。

3 番目のステートメントには、organizations の以下のアクセス許可が含まれます。

  • Trusted Advisor Priority の委任された管理者を一覧表示します。

  • Organizations で信頼されたアクセスを有効または無効にします。

4 番目のステートメントには、iam の以下のアクセス許可が含まれます。

  • AWSServiceRoleForTrustedAdvisorReporting サービスにリンクされたロールを作成します。

5 番目のステートメントには、organizations の以下のアクセス許可が含まれます。

  • Trusted Advisor Priority の委任管理者を登録または登録解除することを許可します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSTrustedAdvisorPriorityFullAccess", "Effect": "Allow", "Action": [ "trustedadvisor:DescribeAccount*", "trustedadvisor:DescribeOrganization", "trustedadvisor:DescribeRisk*", "trustedadvisor:DownloadRisk", "trustedadvisor:UpdateRiskStatus", "trustedadvisor:DescribeNotificationConfigurations", "trustedadvisor:UpdateNotificationConfigurations", "trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin", "trustedadvisor:SetOrganizationAccess" ], "Resource": "*" }, { "Sid": "AllowAccessForOrganization", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Sid": "AllowListDelegatedAdministrators", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } }, { "Sid": "AllowCreateServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting", "Condition": { "StringLike": { "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com" } } }, { "Sid": "AllowRegisterDelegatedAdministrators", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } } ] }

AWS マネージドポリシー: AWSTrustedAdvisorPriorityReadOnlyAccess

このAWSTrustedAdvisorPriorityReadOnlyAccessポリシーは、委任された管理者アカウントを表示するアクセス許可を含む読み取り専用アクセス許可を Trusted Advisor Priority に付与します。

許可の詳細

このポリシーは、最初のステートメントに trustedadvisor の以下のアクセス許可を含みます。

  • Trusted Advisor アカウントと組織について説明します。

  • Trusted Advisor Priority から特定されたリスクについて説明し、ダウンロードできるようにします。

  • Trusted Advisor Priority E メール通知の設定について説明します。

2 番目と 3 番目のステートメントには、organizations の以下のアクセス許可が含まれます。

  • 組織を Organizations で説明します。

  • Organizations の使用を有効に AWS サービス した を一覧表示します。

  • Trusted Advisor Priority の委任された管理者を一覧表示します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess", "Effect": "Allow", "Action": [ "trustedadvisor:DescribeAccount*", "trustedadvisor:DescribeOrganization", "trustedadvisor:DescribeRisk*", "trustedadvisor:DownloadRisk", "trustedadvisor:DescribeNotificationConfigurations" ], "Resource": "*" }, { "Sid": "AllowAccessForOrganization", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Sid": "AllowListDelegatedAdministrators", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } } ] }

AWS マネージドポリシー: AWSTrustedAdvisorServiceRolePolicy

このポリシーは、AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールにアタッチされます。これは、サービスにリンクされたロールがユーザーに代わってアクションを実行することを許可します。(IAM) エンティティAWSTrustedAdvisorServiceRolePolicyに を AWS Identity and Access Management アタッチすることはできません。詳細については、「Trusted Advisorのサービスにリンクされたロールの使用」を参照してください。

このポリシーは、サービスにリンクされたロールが AWS サービスにアクセスすることを許可する、管理アクセス許可を付与します。これらのアクセス許可により、 のチェック Trusted Advisor でアカウントを評価できます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • accessanalyzer – AWS Identity and Access Management Access Analyzer リソースについて説明します。

  • Auto Scaling – Amazon EC2 Auto Scaling アカウントのクォータとリソースについて説明します。

  • cloudformation – AWS CloudFormation (CloudFormation) アカウントのクォータとスタックについて説明します。

  • cloudfront – Amazon CloudFront ディストリビューションについて説明します。

  • cloudtrail – AWS CloudTrail (CloudTrail) 証跡の説明を表示します。

  • dynamodb — Amazon DynamoDB アカウントのクォータとリソースを示します。

  • dynamodbaccelerator – DynamoDB Accelerator リソースについて説明します。

  • ec2 – Amazon Elastic Compute Cloud (Amazon EC2) アカウントのクォータとリソースについて説明します。

  • elasticloadbalancing – Elastic Load Balancing (ELB) アカウントのクォータとリソースについて説明します。

  • iam – 認証情報、パスワードポリシー、証明書などのIAMリソースを取得します。

  • networkfirewall – AWS Network Firewall リソースについて説明します。

  • kinesis — Amazon Kinesis (Kinesis) アカウントのクォータを示します。

  • rds – Amazon Relational Database Service (Amazon RDS) リソースについて説明します。

  • redshift — Amazon Redshift のリソースを示します。

  • route53 — Amazon Route 53 アカウントのクォータとリソースを示します。

  • s3 — Amazon Simple Storage Service (Amazon S3) リソースを示します。

  • ses — Amazon Simple Email Service (Amazon SES) の送信クォータを取得します。

  • sqs — Amazon Simple Queue Service (Amazon SQS) キューを一覧表示します。

  • cloudwatch — Amazon CloudWatch Events (CloudWatch Events) メトリクス統計を取得します。

  • ce — Cost Explorer サービス (Cost Explorer) のレコメンデーションを取得します。

  • route53resolver — Resolver Amazon Route 53 Resolver エンドポイントとリソースを取得します。

  • kafka — Amazon Managed Streaming for Apache Kafka リソースを取得します

  • ecs — Amazon ECSリソースを取得します。

  • outposts – AWS Outposts リソースを取得します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "access-analyzer:ListAnalyzers" "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "ce:GetReservationPurchaseRecommendation", "ce:GetSavingsPlansPurchaseRecommendation", "cloudformation:DescribeAccountLimits", "cloudformation:DescribeStacks", "cloudformation:ListStacks", "cloudfront:ListDistributions", "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetTrail", "cloudtrail:ListTrails", "cloudtrail:GetEventSelectors", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "dax:DescribeClusters", "dynamodb:DescribeLimits", "dynamodb:DescribeTable", "dynamodb:ListTables", "ec2:DescribeAddresses", "ec2:DescribeReservedInstances", "ec2:DescribeInstances", "ec2:DescribeVpcs", "ec2:DescribeInternetGateways", "ec2:DescribeImages", "ec2:DescribeNatGateways", "ec2:DescribeVolumes", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeRegions", "ec2:DescribeReservedInstancesOfferings", "ec2:DescribeRouteTables", "ec2:DescribeSnapshots", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:DescribeLaunchTemplateVersions", "ec2:GetManagedPrefixListEntries", "ecs:DescribeTaskDefinition", "ecs:ListTaskDefinitions" "elasticloadbalancing:DescribeAccountLimits", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:DescribeLoadBalancerAttributes", "elasticloadbalancing:DescribeLoadBalancerPolicies", "elasticloadbalancing:DescribeLoadBalancerPolicyTypes", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "iam:GenerateCredentialReport", "iam:GetAccountPasswordPolicy", "iam:GetAccountSummary", "iam:GetCredentialReport", "iam:GetServerCertificate", "iam:ListServerCertificates", "iam:ListSAMLProviders", "kinesis:DescribeLimits", "kafka:DescribeClusterV2", "kafka:ListClustersV2", "kafka:ListNodes", "network-firewall:ListFirewalls", "network-firewall:DescribeFirewall", "outposts:GetOutpost", "outposts:ListAssets", "outposts:ListOutposts", "rds:DescribeAccountAttributes", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSnapshots", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultParameters", "rds:DescribeEvents", "rds:DescribeOptionGroupOptions", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribeReservedDBInstances", "rds:DescribeReservedDBInstancesOfferings", "rds:ListTagsForResource", "redshift:DescribeClusters", "redshift:DescribeReservedNodeOfferings", "redshift:DescribeReservedNodes", "route53:GetAccountLimit", "route53:GetHealthCheck", "route53:GetHostedZone", "route53:ListHealthChecks", "route53:ListHostedZones", "route53:ListHostedZonesByName", "route53:ListResourceRecordSets", "route53resolver:ListResolverEndpoints", "route53resolver:ListResolverEndpointIpAddresses", "s3:GetAccountPublicAccessBlock", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketVersioning", "s3:GetBucketPublicAccessBlock", "s3:GetLifecycleConfiguration", "s3:ListBucket", "s3:ListAllMyBuckets", "ses:GetSendQuota", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" } ] }

AWS マネージドポリシー: AWSTrustedAdvisorReportingServiceRolePolicy

このポリシーは、 が組織ビュー機能のアクションを実行できるようにするAWSServiceRoleForTrustedAdvisorReportingサービスにリンクされたロール Trusted Advisor にアタッチされます。をIAMエンティティAWSTrustedAdvisorReportingServiceRolePolicyにアタッチすることはできません。詳細については、「Trusted Advisorのサービスにリンクされたロールの使用」を参照してください。

このポリシーは、サービスにリンクされたロールが AWS Organizations アクションを実行できるようにする管理アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • organizations — 組織を説明し、サービスアクセス、アカウント、親、子、および組織単位を一覧表示します。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListChildren", "organizations:ListParents", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount" ], "Effect": "Allow", "Resource": "*" } ] }

AWS マネージドポリシーに関するTrusted Advisor の更新

これらのサービスがこれらの変更の追跡を開始 Trusted Advisor してからの AWS Support および の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を受け取るには、ドキュメント履歴ページのRSSフィードをサブスクライブします。

次の表は、2021 年 8 月 10 日以降の Trusted Advisor マネージドポリシーの重要な更新を示しています。

Trusted Advisor
変更 説明 日付

AWSTrustedAdvisorServiceRolePolicy

既存のポリシーの更新

Trusted Advisor は、access-analyzer:ListAnalyzers、、cloudwatch:ListMetrics、、dax:DescribeClustersec2:DescribeNatGateways、、、ec2:DescribeVpcEndpointsec2:DescribeRouteTables、および アクセスsqs:GetQueueAttributes許可を付与する新しいアクションを追加ec2:GetManagedPrefixListEntrieselasticloadbalancing:DescribeTargetHealthiam:ListSAMLProviderskafka:DescribeClusterV2network-firewall:ListFirewallsnetwork-firewall:DescribeFirewallしました。

2024 年 6 月 11 日

AWSTrustedAdvisorServiceRolePolicy

既存のポリシーの更新

Trusted Advisor は、、outposts:GetOutpostoutposts:ListAssetsおよび cloudtrail:GetTrail cloudtrail:ListTrails cloudtrail:GetEventSelectors アクセスoutposts:ListOutposts許可を付与する新しいアクションを追加しました。

2024 年 1 月 18 日

AWSTrustedAdvisorPriorityFullAccess

既存のポリシーの更新

Trusted Advisor は、 ステートメントを含むように AWSTrustedAdvisorPriorityFullAccess AWS マネージドポリシーを更新しましたIDs。

2023 年 12 月 6 日

AWSTrustedAdvisorPriorityReadOnlyAccess

既存のポリシーの更新

Trusted Advisor は、 ステートメントを含むように AWSTrustedAdvisorPriorityReadOnlyAccess AWS マネージドポリシーを更新しましたIDs。

2023 年 12 月 6 日

AWSTrustedAdvisorServiceRolePolicy – 既存ポリシーへの更新

Trusted Advisor は、 ec2:DescribeRegions s3:GetLifecycleConfiguration ecs:DescribeTaskDefinition および アクセスecs:ListTaskDefinitions許可を付与する新しいアクションを追加しました。

2023 年 11 月 9 日

AWSTrustedAdvisorServiceRolePolicy – 既存ポリシーへの更新

Trusted Advisor はroute53resolver:ListResolverEndpoints、新しいレジリエンスチェックをオンボードkafka:ListNodesするために、新しいIAMアクション route53resolver:ListResolverEndpointIpAddressesec2:DescribeSubnetskafka:ListClustersV2、 を追加しました。

2023 年 9 月 14 日

AWSTrustedAdvisorReportingServiceRolePolicy

サービスにリンクされたロールに Trusted Advisor AWSServiceRoleForTrustedAdvisorReportingアタッチされた マネージドポリシーの V2

サービスにリンクされたロールの AWS マネージドポリシーを Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting V2 にアップグレードします。V2 はさらに 1 つのIAMアクションを追加します。 organizations:ListDelegatedAdministrators

2023 年 2 月 28 日

AWSTrustedAdvisorPriorityFullAccess および AWSTrustedAdvisorPriorityReadOnlyAccess

の新しい AWS 管理ポリシー Trusted Advisor

Trusted Advisor は、 Trusted Advisor Priority へのアクセスを制御するために使用できる 2 つの新しい管理ポリシーを追加しました。

2022 年 8 月 17 日

AWSTrustedAdvisorServiceRolePolicy – 既存ポリシーへの更新

Trusted Advisor は、 DescribeTargetGroups および アクセスGetAccountPublicAccessBlock許可を付与する新しいアクションを追加しました。

DescribeTargetGroup アクセス許可は、Auto Scaling グループヘルスチェックが Auto Scaling グループにアタッチされた非 Classic Load Balancer を取得するために必要です。

GetAccountPublicAccessBlock アクセス許可は、Amazon S3 バケット許可チェックが AWS アカウントのブロックパブリックアクセス設定を取得するために必要です。

2021 年 8 月 10 日

変更ログが発行されました

Trusted Advisor が AWS マネージドポリシーの変更の追跡を開始しました。

2021 年 8 月 10 日