IAM ポリシーを使用して組織ビューへのアクセスを許可する - AWS Support

IAM ポリシーを使用して組織ビューへのアクセスを許可する

AWS Identity and Access Management (IAM) ポリシーを使用して、アカウント内のユーザーまたはロールに AWS Trusted Advisor の組織ビューへのアクセスを許可できます。

例 : 組織ビューへのフルアクセス

次のポリシーは、組織ビュー機能へのフルアクセスを許可します。これらのアクセス許可が付与されているユーザーは、次のことを行うことができます。

  • 組織ビューを有効または無効にする

  • レポートを作成、表示、およびダウンロードする。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadStatement", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:ListRoots", "organizations:DescribeOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAWSServiceAccessForOrganization", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeChecks", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeOrganization", "trustedadvisor:DescribeReports", "trustedadvisor:DescribeServiceMetadata", "trustedadvisor:DescribeOrganizationAccounts", "trustedadvisor:ListAccountsForParent", "trustedadvisor:ListRoots", "trustedadvisor:ListOrganizationalUnitsForParent" ], "Resource": "*" }, { "Sid": "CreateReportStatement", "Effect": "Allow", "Action": [ "trustedadvisor:GenerateReport" ], "Resource": "*" }, { "Sid": "ManageOrganizationalViewStatement", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess", "trustedadvisor:SetOrganizationAccess" ], "Resource": "*" }, { "Sid": "CreateServiceLinkedRoleStatement", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting" } ] }

例 : 組織ビューへの読み取りアクセス

次のポリシーは、Trusted Advisor の組織ビュー機能への読み取り専用アクセスを許可します。これらのアクセス許可を持つユーザーは、既存のレポートを表示およびダウンロードできます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadStatement", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:ListRoots", "organizations:DescribeOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAWSServiceAccessForOrganization", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeChecks", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeOrganization", "trustedadvisor:DescribeReports", "trustedadvisor:ListAccountsForParent", "trustedadvisor:ListRoots", "trustedadvisor:ListOrganizationalUnitsForParent" ], "Resource": "*" } ] }

独自の IAM ポリシーを作成することもできます。詳細については、IAM ユーザーガイド の「IAM ポリシーの作成」を参照してください。

注記

アカウントで AWS CloudTrail を有効にすると、次のロールがログエントリに表示されます。

  • AWSServiceRoleForTrustedAdvisorReporting — Trusted Advisor が組織内のアカウントにアクセスするために使用するサービスにリンクされたロール。

  • AWSServiceRoleForTrustedAdvisor — Trusted Advisor が組織内のサービスにアクセスするために使用するサービスにリンクされたロール。

サービスにリンクされたロールの詳細については、「Trusted Advisor のサービスにリンクされたロールの使用」を参照してください。