Trusted Advisor コンソールのアクセス許可 Trusted Advisor アクション IAM ポリシーの例関連情報

へのアクセスを管理する AWS Trusted Advisor

AWS Trusted Advisor からにアクセスできます AWS Management Console。すべての AWS アカウントは、選択したコアTrusted Advisor チェックにアクセスできます。Business、Enterprise On-Ramp、または Enterprise Support プランをお持ちの場合は、すべてのチェックにアクセスできます。詳細については、AWS Trusted Advisor チェックリファレンスを参照してください。

AWS Identity and Access Management (IAM) を使用してアクセスを制御できます Trusted Advisor。

Trusted Advisor コンソールのアクセス許可

Trusted Advisor コンソールにアクセスするには、ユーザーに最小限のアクセス許可が必要です。これらのアクセス許可により、ユーザーは内の Trusted Advisor リソースの詳細を一覧表示および表示できます AWS アカウント。

次のオプションを使用して、 Trusted Advisorへのアクセスを制御できます。

Trusted Advisor コンソールのタグフィルター機能を使用します。ユーザーまたはロールには、タグに関連付けられたアクセス許可が必要です。

AWS 管理ポリシーまたはカスタムポリシーを使用して、タグごとにアクセス許可を割り当てることができます。詳細については、「タグを使用した IAM ユーザーおよびロールへのアクセスのアクセスの制御」を参照してください。
trustedadvisor 名前空間を使用して IAM ポリシーを作成します。このポリシーを使用して、アクションとリソースの許可を指定できます。

ポリシーを作成するときに、アクションを許可または拒否するサービスの名前空間を指定できます。の名前空間は Trusted Advisor ですtrustedadvisor。ただし、 trustedadvisor名前空間を使用して API の Trusted Advisor API オペレーションを許可または拒否することはできませんサポート。代わりに、サポートの support 名前空間を使用する必要があります｡

注記

AWS サポート API へのアクセス許可がある場合、の Trusted Advisor ウィジェットには Trusted Advisor 結果の概要ビュー AWS Management Console が表示されます。 Trusted Advisor コンソールで結果を表示するには、 trustedadvisor名前空間へのアクセス許可が必要です。

Trusted Advisor アクション

コンソールで次の Trusted Advisor アクションを実行できます。これらの Trusted Advisor アクションを IAM ポリシーで指定して、特定のアクションを許可または拒否することもできます。

[アクション]	説明
`DescribeAccount`	サポートプランとさまざまな Trusted Advisor 設定を表示する許可を付与。
`DescribeAccountAccess`	AWS アカウントが有効か無効かを表示する許可を付与 Trusted Advisor。
`DescribeCheckItems`	チェックアイテムの詳細を表示するアクセス許可を付与します。
`DescribeCheckRefreshStatuses`	Trusted Advisor チェックの更新ステータスを表示するアクセス許可を付与します。
`DescribeCheckSummaries`	Trusted Advisor チェックの概要を表示する許可を付与。
`DescribeChecks`	Trusted Advisor チェックの詳細を表示する許可を付与。
`DescribeNotificationPreferences`	AWS アカウントの通知設定を表示するアクセス許可を付与します。
`ExcludeCheckItems`	Trusted Advisor チェックのレコメンデーションを除外するアクセス許可を付与します。
`IncludeCheckItems`	Trusted Advisor チェックのレコメンデーションを含めるアクセス許可を付与します。
`RefreshCheck`	Trusted Advisor チェックを更新する許可を付与。
`SetAccountAccess`	アカウントのを有効または無効に Trusted Advisor するアクセス許可を付与します。
`UpdateNotificationPreferences`	Trusted Advisorの通知設定を更新するアクセス許可を付与します。
`DescribeCheckStatusHistoryChanges`	過去 30 日間のチェックについて、その結果と変化したステータスを表示するための許可を付与します。

Trusted Advisor 組織ビューのアクション

以下の Trusted Advisor アクションは、組織ビュー機能用です。詳細については、「AWS Trusted Advisor の組織ビュー」を参照してください。

[アクション]	説明
`DescribeOrganization`	が組織ビュー機能を有効にする AWS アカウント要件を満たしているかどうかを表示するアクセス許可を付与します。
`DescribeOrganizationAccounts`	組織内の連結 AWS アカウントを表示する許可を付与。
`DescribeReports`	組織ビューレポートの詳細 (レポート名、ランタイム、作成日、ステータス、形式など) を表示するアクセス許可を付与します。
`DescribeServiceMetadata`	チェックカテゴリ、チェック名、リソースステータスなど AWS リージョン、組織ビューレポートに関する情報を表示する許可を付与。
`GenerateReport`	組織内の Trusted Advisor チェックのレポートを作成する許可を付与。
`ListAccountsForParent`	ルートまたは組織単位 (OU) に含まれる AWS 組織内のすべてのアカウントを Trusted Advisor コンソールで表示する許可を付与。
`ListOrganizationalUnitsForParent`	Trusted Advisor コンソールで、親組織単位またはルート内のすべての組織単位 (OUs) を表示するアクセス許可を付与します。
`ListRoots`	AWS 組織で定義されているすべてのルートを Trusted Advisor コンソールで表示する許可を付与。
`SetOrganizationAccess`	組織ビュー機能を有効にするアクセス許可を付与します Trusted Advisor。

Trusted Advisor Priority アクション

アカウントで Trusted Advisor Priority が有効になっている場合は、コンソールで次の Trusted Advisor アクションを実行できます。また、これらの Trusted Advisor アクションを IAM ポリシーに追加し、特定のアクションを許可または拒否することもできます。詳細については、「Trusted Advisor Priority の IAM ポリシー例」を参照してください。

注記

Trusted Advisor Priority に表示されるリスクは、テクニカルアカウントマネージャー (TAM) がアカウントに対して特定した推奨事項です。 Trusted Advisor チェックなどのサービスからの推奨事項が自動的に作成されます。TAM からのレコメンデーションは手動で作成されます。次に、TAM はこれらのレコメンデーションを送信して、アカウントの Trusted Advisor Priority に表示されます。

詳細については、「AWS Trusted Advisor Priority の開始方法」を参照してください。

[アクション]	説明
`DescribeRisks`	Trusted Advisor Priority でリスクを表示する許可を付与。
`DescribeRisk`	Trusted Advisor Priority でリスクの詳細を表示する許可を付与。
`DescribeRiskResources`	Trusted Advisor Priority でリスクの影響を受けるリソースを表示する許可を付与します
`DownloadRisk`	Trusted Advisor Priority のリスクに関する詳細を含むファイルをダウンロードする許可を付与。
`UpdateRiskStatus`	Trusted Advisor Priority でリスクステータスを更新する許可を付与します
`DescribeNotificationConfigurations`	Trusted Advisor Priority の E メール通知設定を取得する許可を付与。
`UpdateNotificationConfigurations`	Trusted Advisor Priority のメール通知設定を作成または更新する許可を付与します。
`DeleteNotificationConfigurationForDelegatedAdmin`	Trusted Advisor Priority の委任管理者アカウントから E メール通知設定を削除するアクセス許可を組織管理アカウントに付与します。

Trusted Advisor Engage アクション

アカウントで Trusted Advisor Engage を有効にしている場合は、コンソールで次の Trusted Advisor アクションを実行できます。これらの Trusted Advisor アクションを IAM ポリシーに追加して、特定のアクションを許可または拒否することもできます。詳細については、「Trusted Advisor Engage の IAM ポリシー例」を参照してください。

詳細については、「AWS Trusted Advisor Engage の使用を開始する (プレビュー）」を参照してください。

[アクション]	説明
`CreateEngagement`	Trusted Advisor Engage でエンゲージメントを作成する許可を付与。
`CreateEngagementAttachment`	Trusted Advisor Engage でエンゲージメントアタッチメントを作成する許可を付与。
`CreateEngagementCommunication`	Trusted Advisor Engage でエンゲージメントコミュニケーションを作成する許可を付与。
`GetEngagement`	Trusted Advisor Engage でエンゲージメントを表示する許可を付与。
`GetEngagementAttachment`	Trusted Advisor Engage でエンゲージメントアタッチメントを表示する許可を付与。
`GetEngagementType`	Trusted Advisor Engage で特定のエンゲージメントタイプを表示する許可を付与。
`ListEngagementCommunications`	エンゲージメントに対するすべてのコミュニケーションを Trusted Advisor Engage で表示するアクセス許可を付与。
`ListEngagements`	Trusted Advisor Engage ですべてのエンゲージメントを表示する許可を付与。
`ListEngagementTypes`	Trusted Advisor Engage ですべてのエンゲージメントタイプを表示する許可を付与。
`UpdateEngagement`	Trusted Advisor Engage でエンゲージメントの詳細を更新する許可を付与。
`UpdateEngagementStatus`	Trusted Advisor Engage でエンゲージメントのステータスを更新する許可を付与。

IAM ポリシーの例

次のポリシーは、 Trusted Advisorへのアクセスを許可および拒否する方法を示しています。以下のいずれかのポリシーを使用して、IAM コンソールでカスタマーマネージドポリシーを作成できます。例えば、サンプルポリシーをコピーして IAM コンソールの [JSON] タブに貼り付けることができます。次に、IAM ユーザー、グループ、またはロールにポリシーをアタッチします。

IAM ポリシーの作成方法の詳細については、IAM ユーザーガイドの「IAM ポリシーの作成 (コンソール)」を参照してください。

例

へのフルアクセス Trusted Advisor
Trusted Advisorへの読み取り専用アクセス
へのアクセスを拒否する Trusted Advisor
特定のアクションを許可および拒否する
のサポート API オペレーションへのアクセスを制御する Trusted Advisor
Trusted Advisor Priority の IAM ポリシー例
Trusted Advisor Engage の IAM ポリシー例

へのフルアクセス Trusted Advisor

次のポリシーでは、 Trusted Advisor コンソールですべてのチェックを表示してすべての Trusted Advisor アクションを実行することをユーザーに許可します。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}

Trusted Advisorへの読み取り専用アクセス

次のポリシーでは、 Trusted Advisor コンソールへの読み取り専用アクセスをユーザーに許可します。ユーザーは、変更 (更新チェックや通知設定の変更など) を行うことはできません。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:Describe*",
                "trustedadvisor:Get*",
                "trustedadvisor:List*"
            ],
            "Resource": "*"
        }
    ]
}

へのアクセスを拒否する Trusted Advisor

次のポリシーでは、ユーザーが Trusted Advisor コンソールでチェックを表示またはアクションを実行 Trusted Advisor することはできません。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}

特定のアクションを許可および拒否する

次のポリシーでは、ユーザーは Trusted Advisor コンソールですべての Trusted Advisor チェックを表示できますが、チェックの更新は許可されません。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "trustedadvisor:RefreshCheck",
            "Resource": "*"
        }
    ]
}

のサポート API オペレーションへのアクセスを制御する Trusted Advisor

では AWS Management Console、別の IAM trustedadvisor 名前空間がアクセスを制御します Trusted Advisor。trustedadvisor 名前空間を使用して API の Trusted Advisor API オペレーションを許可または拒否することはできませんサポート。代わりに、support 名前空間を使用します。 Trusted Advisor プログラムでを呼び出すには、サポート API へのアクセス許可が必要です。

たとえば、RefreshTrustedAdvisorCheck オペレーションを呼び出す場合は、ポリシーでこのアクションに対するアクセス許可が必要です。

例 : Trusted Advisor API オペレーションのみを許可する

次のポリシーでは、のサポート API オペレーションへのアクセスをユーザーに許可しますが Trusted Advisor、残りのサポート API オペレーションへのアクセスは許可しません。例えば、ユーザーは API を使用してチェックを表示および更新できます。 AWS サポートケースを作成、表示、更新、解決することはできません。

このポリシーを使用して Trusted Advisor API オペレーションをプログラムで呼び出すことはできますが、このポリシーを使用してコンソールで Trusted Advisor チェックを表示または更新することはできません。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "support:DescribeTrustedAdvisorCheckRefreshStatuses",
                "support:DescribeTrustedAdvisorCheckResult",
                "support:DescribeTrustedAdvisorChecks",
                "support:DescribeTrustedAdvisorCheckSummaries",
                "support:RefreshTrustedAdvisorCheck",
                "trustedadvisor:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "support:AddAttachmentsToSet",
                "support:AddCommunicationToCase",
                "support:CreateCase",
                "support:DescribeAttachment",
                "support:DescribeCases",
                "support:DescribeCommunications",
                "support:DescribeServices",
                "support:DescribeSeverityLevels",
                "support:ResolveCase"
            ],
            "Resource": "*"
        }
    ]
}

IAM がサポートおよびと連携する方法の詳細については Trusted Advisor、「」を参照してくださいアクション。

Trusted Advisor Priority の IAM ポリシー例

Priority へのアクセスを制御するには、次の AWS マネージドポリシーを使用できます Trusted Advisor 。詳細については、AWS のマネージドポリシー AWS Trusted AdvisorおよびAWS Trusted Advisor Priority の開始方法を参照してください。

Trusted Advisor Engage の IAM ポリシー例

注記

Trusted Advisor Engage はプレビューリリースであり、現在 AWS 管理ポリシーはありません。以下のいずれかのポリシーを使用して、IAM コンソールでカスタマーマネージドポリシーを作成できます。

Trusted Advisor Engage で読み取りおよび書き込みアクセスを許可するポリシーの例：


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:CreateEngagement*",
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*",
                "trustedadvisor:UpdateEngagement*"
            ],
            "Resource": "*"
        }
    ]
}

Trusted Advisor Engage で読み取り専用アクセスを許可するポリシーの例：


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*"
            ],
            "Resource": "*"
        }
    ]
}

Trusted Advisor Engage での読み取りおよび書き込みアクセスと、以下への信頼されたアクセスを有効にする機能を付与するポリシーの例 Trusted Advisor。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:CreateEngagement*",
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*",
                "trustedadvisor:SetOrganizationAccess",
                "trustedadvisor:UpdateEngagement*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "reporting.trustedadvisor.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
                }
            }
        }
    ]
}