IAM ポリシーを使用して組織ビューへのアクセスを許可する - AWS Support

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ポリシーを使用して組織ビューへのアクセスを許可する

AWS Identity and Access Management (IAM) ポリシーを使用して、アカウント内のユーザーまたはロールに AWS Trusted Advisor の組織ビューへのアクセスを許可できます。

例 : 組織ビューへのフルアクセス

次のポリシーは、組織ビュー機能へのフルアクセスを許可します。これらのアクセス許可が付与されているユーザーは、次のことを行うことができます。

  • 組織ビューを有効または無効にする

  • レポートを作成、表示、およびダウンロードする。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadStatement",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccountsForParent",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:DescribeOrganization",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeChecks",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:DescribeReports",
                "trustedadvisor:DescribeServiceMetadata",
                "trustedadvisor:DescribeOrganizationAccounts",
                "trustedadvisor:ListAccountsForParent",
                "trustedadvisor:ListRoots",
                "trustedadvisor:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateReportStatement",
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:GenerateReport"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ManageOrganizationalViewStatement",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess",
                "trustedadvisor:SetOrganizationAccess"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleStatement",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting"
        }
    ]
}
例 : 組織ビューへの読み取りアクセス

次のポリシーは、Trusted Advisor の組織ビュー機能への読み取り専用アクセスを許可します。これらのアクセス許可を持つユーザーは、既存のレポートを表示およびダウンロードできます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadStatement",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccountsForParent",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:DescribeOrganization",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeChecks",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:DescribeReports",
                "trustedadvisor:ListAccountsForParent",
                "trustedadvisor:ListRoots",
                "trustedadvisor:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        }
    ]
}

独自の IAM ポリシーを作成することもできます。詳細については、IAM ユーザーガイド の「IAM ポリシーの作成」を参照してください。

注記

アカウントで AWS CloudTrail を有効にすると、次のロールがログエントリに表示されます。

  • AWSServiceRoleForTrustedAdvisorReporting — Trusted Advisor が組織内のアカウントにアクセスするために使用するサービスにリンクされたロール。

  • AWSServiceRoleForTrustedAdvisor — Trusted Advisor が組織内のサービスにアクセスするために使用するサービスにリンクされたロール。

サービスにリンクされたロールの詳細については、「Trusted Advisorのサービスにリンクされたロールの使用」を参照してください。