IAM ポリシーを使用した、組織ビューへのアクセスを許可する - AWS Support

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ポリシーを使用した、組織ビューへのアクセスを許可する

以下を使用できます。AWS Identity and Access Management(IAM) ポリシーを使用して、アカウント内のユーザーまたはロールがAWS Trusted Advisor。

例 :組織ビューへのフルアクセス

次のポリシーでは、組織ビュー機能へのフルアクセスを許可します。これらの権限を持つユーザーは次のことを行うことができます。

  • 組織ビューを有効にします。

  • レポートを作成、表示、およびダウンロードします。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadStatement", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:ListRoots", "organizations:DescribeOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAWSServiceAccessForOrganization", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeChecks", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeOrganization", "trustedadvisor:DescribeReports", "trustedadvisor:DescribeServiceMetadata", "trustedadvisor:DescribeOrganizationAccounts", "trustedadvisor:ListAccountsForParent", "trustedadvisor:ListRoots", "trustedadvisor:ListOrganizationalUnitsForParent" ], "Resource": "*" }, { "Sid": "MutatingStatement", "Effect": "Allow", "Action": [ "trustedadvisor:GenerateReport" ], "Resource": "*" }, { "Sid": "OnboardingStatement1", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "trustedadvisor:SetOrganizationAccess" ], "Resource": "*" }, { "Sid": "OnboardingStatement2", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting" } ] }

例 : 組織ビューへの読み取りアクセス

次のポリシーでは、の組織ビューへの読み取り専用アクセスが許可されています。Trusted Advisor。これらの権限を持つユーザーは、既存のレポートを表示およびダウンロードすることしかできません。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadStatement", "Effect": "Allow", "Action": [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:ListRoots", "organizations:DescribeOrganization", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAWSServiceAccessForOrganization", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeChecks", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeOrganization", "trustedadvisor:DescribeReports", "trustedadvisor:ListAccountsForParent", "trustedadvisor:ListRoots", "trustedadvisor:ListOrganizationalUnitsForParent" ], "Resource": "*" } ] }

独自の IAM ポリシーを作成することもできます。詳細については、「」を参照してください。IAM ポリシーを作成する()IAM ユーザーガイド

注記

有効にした場合AWS CloudTrailでは、次のロールがログエントリに表示されます。

  • AWSServiceRoleForTrustedAdvisorReporting— サービスにリンクされたロールTrusted Advisor組織内のアカウントにアクセスするために使用する。

  • AWSServiceRoleForTrustedAdvisor— サービスにリンクされたロールTrusted Advisor組織内のサービスにアクセスするために使用する。

サービスにリンクされたロールの詳細については、「 のサービスにリンクされたロールの使用Trusted Advisor」を参照してください。