IAM 정책을 사용하여 조직 보기에 대한 액세스 허용 - AWS Support

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM 정책을 사용하여 조직 보기에 대한 액세스 허용

다음 AWS Identity and Access Management(IAM) 정책을 사용하여 계정의 사용자 또는 역할이 AWS Trusted Advisor의 조직 보기에 액세스할 수 있도록 허용할 수 있습니다.

예 : 조직 보기에 대한 모든 액세스 권한

다음 정책은 조직 보기 기능에 대한 모든 액세스를 허용합니다. 이 권한이 있는 사용자는 다음을 수행할 수 있습니다.

  • 조직 보기 사용 및 사용 중지

  • 보고서 작성, 보기 및 다운로드.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadStatement",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccountsForParent",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:DescribeOrganization",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeChecks",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:DescribeReports",
                "trustedadvisor:DescribeServiceMetadata",
                "trustedadvisor:DescribeOrganizationAccounts",
                "trustedadvisor:ListAccountsForParent",
                "trustedadvisor:ListRoots",
                "trustedadvisor:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateReportStatement",
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:GenerateReport"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ManageOrganizationalViewStatement",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess",
                "trustedadvisor:SetOrganizationAccess"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleStatement",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting"
        }
    ]
}
예 : 조직 보기에 대한 읽기 액세스

다음 정책은 Trusted Advisor에 대해 조직 보기에 대한 읽기 전용 액세스를 허용합니다. 이러한 권한이 있는 사용자는 기존 보고서를 보거나 다운로드할 수만 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadStatement",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccountsForParent",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:DescribeOrganization",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeChecks",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:DescribeReports",
                "trustedadvisor:ListAccountsForParent",
                "trustedadvisor:ListRoots",
                "trustedadvisor:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        }
    ]
}

또한 사용자 고유의 IAM 정책을 만들 수도 있습니다. 자세한 내용은 IAM 사용 설명서에서 IAM 정책 생성을 참조하세요.

참고

계정에서 AWS CloudTrail을(를) 활성화한 경우 로그 항목에 다음 역할이 나타날 수 있습니다.

  • AWSServiceRoleForTrustedAdvisorReporting - Trusted Advisor가 조직의 계정에 액세스하는 데 사용하는 서비스 연결 역할입니다.

  • AWSServiceRoleForTrustedAdvisor - Trusted Advisor가 조직의 서비스에 액세스하는 데 사용하는 서비스 연결 역할입니다.

서비스 연결 역할에 대한 자세한 내용은 Trusted Advisor의 서비스 링크 역할 사용 단원을 참조하세요.