IAM ポリシーを使用して組織ビューへのアクセスを許可する

PDFRSS

次の AWS Identity and Access Management (IAM) ポリシーを使用して、アカウントのユーザーまたはロールに の組織ビューへのアクセスを許可できます AWS Trusted Advisor。

例 : 組織ビューへのフルアクセス

次のポリシーは、組織ビュー機能へのフルアクセスを許可します。これらのアクセス許可が付与されているユーザーは、次のことを行うことができます。

• 組織ビューを有効または無効にする

• レポートを作成、表示、およびダウンロードする。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadStatement",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccountsForParent",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:DescribeOrganization",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeChecks",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:DescribeReports",
                "trustedadvisor:DescribeServiceMetadata",
                "trustedadvisor:DescribeOrganizationAccounts",
                "trustedadvisor:ListAccountsForParent",
                "trustedadvisor:ListRoots",
                "trustedadvisor:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateReportStatement",
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:GenerateReport"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ManageOrganizationalViewStatement",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess",
                "trustedadvisor:SetOrganizationAccess"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleStatement",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting"
        }
    ]
}

例 : 組織ビューへの読み取りアクセス

次のポリシーでは、 の組織ビューへの読み取り専用アクセスを許可します Trusted Advisor。これらのアクセス許可を持つユーザーは、既存のレポートを表示およびダウンロードできます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadStatement",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccountsForParent",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:DescribeOrganization",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeChecks",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:DescribeReports",
                "trustedadvisor:ListAccountsForParent",
                "trustedadvisor:ListRoots",
                "trustedadvisor:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        }
    ]
}

独自の IAM ポリシーを作成することもできます。詳細については、IAM ユーザーガイド の「IAM ポリシーの作成」を参照してください。

注記

アカウント AWS CloudTrail で を有効にした場合、ログエントリに次のロールが表示されます。

• AWSServiceRoleForTrustedAdvisorReporting – が組織内のアカウントにアクセス Trusted Advisor するために使用するサービスにリンクされたロール。

• AWSServiceRoleForTrustedAdvisor – が組織内のサービスにアクセス Trusted Advisor するために使用するサービスにリンクされたロール。

サービスにリンクされたロールの詳細については、「Trusted Advisorのサービスにリンクされたロールの使用」を参照してください。