AWS políticas gerenciadas para AWS Trusted Advisor - AWS Support
AWSTrustedAdvisorPriorityFullAccess AWSTrustedAdvisorPriorityReadOnlyAccess AWSTrustedAdvisorServiceRolePolicy AWSTrustedAdvisorReportingServiceRolePolicy Atualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para AWS Trusted Advisor

Trusted Advisor tem as seguintes políticas AWS gerenciadas.

AWS política gerenciada: AWSTrustedAdvisorPriorityFullAccess

A AWSTrustedAdvisorPriorityFullAccesspolítica concede acesso total ao Trusted Advisor Priority. Essa política também permite que o usuário adicione Trusted Advisor como um serviço confiável AWS Organizations e especifique as contas de administrador delegado para o Trusted Advisor Priority.

Detalhes das permissões

Na primeira declaração, a política inclui as seguintes permissões para trustedadvisor:

  • Descreve a sua conta e a sua organização.

  • Descreve os riscos identificados pelo Trusted Advisor Priority. As permissões permitem que você baixe e atualize o status de risco.

  • Descreve suas configurações para notificações Trusted Advisor prioritárias por e-mail. As permissões permitem que você configure as notificações por e-mail e as desative para os seus administradores delegados.

  • Configura Trusted Advisor para que sua conta possa ser ativada AWS Organizations.

Na segunda declaração, a política inclui as seguintes permissões para organizations:

  • Descreve sua Trusted Advisor conta e organização.

  • Lista as Serviços da AWS que você habilitou para usar Organizations.

Na terceira declaração, a política inclui as seguintes permissões para organizations:

  • Lista os administradores delegados para Trusted Advisor Prioridade.

  • Ativa e desativa o acesso confiável com o Organizations.

Na quarta declaração, a política inclui as seguintes permissões para iam:

  • Cria o perfil vinculado ao serviço AWSServiceRoleForTrustedAdvisorReporting.

Na quinta declaração, a política inclui as seguintes permissões para organizations:

  • Permite que você registre e cancele o registro de administradores delegados para o Trusted Advisor Priority.

JSON
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityFullAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:UpdateRiskStatus",
				"trustedadvisor:DescribeNotificationConfigurations",
				"trustedadvisor:UpdateNotificationConfigurations",
				"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
				"trustedadvisor:SetOrganizationAccess"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:EnableAWSServiceAccess",
				"organizations:DisableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowCreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
				}
			}
		},
		{
			"Sid": "AllowRegisterDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:RegisterDelegatedAdministrator",
				"organizations:DeregisterDelegatedAdministrator"
			],
			"Resource": "arn:aws:organizations::*:*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS política gerenciada: AWSTrustedAdvisorPriorityReadOnlyAccess

A AWSTrustedAdvisorPriorityReadOnlyAccesspolítica concede permissões somente de leitura à Trusted Advisor Priority, incluindo permissão para visualizar as contas de administrador delegado.

Detalhes das permissões

Na primeira declaração, a política inclui as seguintes permissões para trustedadvisor:

  • Descreve sua Trusted Advisor conta e organização.

  • Descreve os riscos identificados pelo Trusted Advisor Priority e permite que você os baixe.

  • Descreve as configurações das notificações Trusted Advisor prioritárias por e-mail.

Na segunda e terceira declarações, a política inclui as seguintes permissões para organizations:

  • Descreve sua organização com o Organizations.

  • Lista as Serviços da AWS que você habilitou para usar Organizations.

  • Lista os administradores delegados para Priority Trusted Advisor

JSON
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:DescribeNotificationConfigurations"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

Política gerenciada da AWS : AWSTrustedAdvisorServiceRolePolicy

Esta política é anexada à função vinculada ao serviço AWSServiceRoleForTrustedAdvisor. Isso permite que o perfil vinculado ao serviço execute ações em seu nome. Não é possível anexar a política AWSTrustedAdvisorServiceRolePolicy às suas entidades do AWS Identity and Access Management (IAM). Para obter mais informações, consulte Usar perfis vinculados ao serviço do Trusted Advisor.

Essa política concede permissões administrativas que permitem que o perfil vinculado ao serviço acesse os Serviços da AWS. Essas permissões permitem que as verificações avaliem sua conta. Trusted Advisor

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • accessanalyzer— Descreve AWS Identity and Access Management Access Analyzer os recursos

  • Auto Scaling— Descreve as cotas e os recursos da conta Amazon EC2 Auto Scaling

  • cloudformation— Descreve AWS CloudFormation (CloudFormation) cotas e pilhas de contas

  • cloudfront— Descreve as CloudFront distribuições da Amazon

  • cloudtrail— Descreve AWS CloudTrail (CloudTrail) trilhas

  • dynamodb - Descreve cotas e recursos da conta do Amazon DynamoDB

  • dynamodbaccelerator— Descreve os recursos do DynamoDB Accelerator

  • ec2— Descreve as cotas e os recursos da conta Amazon Elastic Compute Cloud (Amazon EC2)

  • elasticloadbalancing: descreve as cotas e recursos da conta do Elastic Load Balancing (ELB)

  • iam - Obtém recursos do IAM, como credenciais, política de senha e certificados

  • networkfirewall— Descreve AWS Network Firewall os recursos

  • kinesis - Descreve cotas de contas do Amazon Kinesis (Kinesis)

  • rds - Descrever recursos do Amazon Relational Database Service (Amazon RDS)

  • redshift - Descreve os recursos do Amazon Redshift

  • route53 - Descreve cotas e recursos da conta do Amazon Route 53

  • s3 - Descreve recursos do Amazon Simple Storage Service (Amazon S3)

  • ses - Faz o Amazon Simple Email Service (Amazon SES) enviar cotas

  • sqs - Lista as filas do Amazon Simple Queue Service (Amazon SQS)

  • cloudwatch— Obtém estatísticas métricas da Amazon CloudWatch CloudWatch Events (Events)

  • ce - Obtém recomendações do Serviço Cost Explorer (Cost Explorer)

  • route53resolver— Obtém endpoints e recursos do Amazon Route 53 Resolver Resolver

  • kafka: obtém o Amazon Managed Streaming para os recursos do Apache Kafka

  • ecs— Obtém recursos do Amazon ECS

  • outposts— Obtém AWS Outposts recursos

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TrustedAdvisorServiceRolePermissions",
            "Effect": "Allow",
            "Action": [
                "access-analyzer:ListAnalyzers",
                "autoscaling:DescribeAccountLimits",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "ce:GetReservationPurchaseRecommendation",
                "ce:GetSavingsPlansPurchaseRecommendation",
                "cloudformation:DescribeAccountLimits",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStacks",
                "cloudfront:ListDistributions",
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetTrail",
                "cloudtrail:ListTrails",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "dax:DescribeClusters",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "ec2:DescribeAddresses",
                "ec2:DescribeReservedInstances",
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeImages",
                "ec2:DescribeNatGateways",
                "ec2:DescribeVolumes",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:DescribeReservedInstancesOfferings",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpnConnections",
                "ec2:DescribeVpnGateways",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:GetManagedPrefixListEntries",
                "ecs:DescribeTaskDefinition",
                "ecs:ListTaskDefinitions",
                "elasticloadbalancing:DescribeAccountLimits",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancerAttributes",
                "elasticloadbalancing:DescribeLoadBalancerPolicies",
                "elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeRules",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "iam:GenerateCredentialReport",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary",
                "iam:GetCredentialReport",
                "iam:GetServerCertificate",
                "iam:ListServerCertificates",
                "iam:ListSAMLProviders",
                "kinesis:DescribeLimits",
                "kafka:DescribeClusterV2",
                "kafka:ListClustersV2",
                "kafka:ListNodes",
                "network-firewall:ListFirewalls",
                "network-firewall:DescribeFirewall",
                "outposts:GetOutpost",
                "outposts:ListAssets",
                "outposts:ListOutposts",
                "rds:DescribeAccountAttributes",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSecurityGroups",
                "rds:DescribeDBSnapshots",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEngineDefaultParameters",
                "rds:DescribeEvents",
                "rds:DescribeOptionGroupOptions",
                "rds:DescribeOptionGroups",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribeReservedDBInstances",
                "rds:DescribeReservedDBInstancesOfferings",
                "rds:ListTagsForResource",
                "redshift:DescribeClusters",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "route53:GetAccountLimit",
                "route53:GetHealthCheck",
                "route53:GetHostedZone",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListHostedZonesByName",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetLifecycleConfiguration",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "ses:GetSendQuota",
                "sqs:GetQueueAttributes",
                "sqs:ListQueues"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gerenciada: AWSTrustedAdvisorReportingServiceRolePolicy

Essa política é anexada à função AWSServiceRoleForTrustedAdvisorReporting vinculada ao serviço que permite realizar ações Trusted Advisor para o recurso de visão organizacional. Não é possível anexar o AWSTrustedAdvisorReportingServiceRolePolicy às suas entidades do IAM. Para obter mais informações, consulte Usar perfis vinculados ao serviço do Trusted Advisor.

Essa política concede permissões administrativas que permitem que a função vinculada ao serviço execute ações AWS Organizations .

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • organizations - Descreve sua organização e lista o acesso ao serviço, contas, pais, filhos e unidades organizacionais

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Atualizações do Trusted Advisor para políticas gerenciadas pela AWS

Veja detalhes sobre as atualizações das políticas AWS gerenciadas para AWS Support e Trusted Advisor desde que esses serviços começaram a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico do documento.

A tabela a seguir descreve atualizações importantes nas políticas Trusted Advisor gerenciadas desde 10 de agosto de 2021.

Trusted Advisor
Alteração Descrição Data

AWSTrustedAdvisorServiceRolePolicy

Atualize para uma política existente.

Trusted Advisor adicionou novas ações para conceder elasticloadbalancing:DescribeListeners, as elasticloadbalancing:DescribeRules permissões e.

 30 de outubro de 2024

AWSTrustedAdvisorServiceRolePolicy

Atualize para uma política existente.

Trusted Advisor adicionou novas ações para conceder as sqs:GetQueueAttributes permissões access-analyzer:ListAnalyzers cloudwatch:ListMetricsdax:DescribeClusters,ec2:DescribeNatGateways,ec2:DescribeRouteTables,ec2:DescribeVpcEndpoints,ec2:GetManagedPrefixListEntries,elasticloadbalancing:DescribeTargetHealth,iam:ListSAMLProviders,, kafka:DescribeClusterV2 network-firewall:ListFirewalls network-firewall:DescribeFirewall e.

 11 de junho de 2024

AWSTrustedAdvisorServiceRolePolicy

Atualize para uma política existente.

Trusted Advisor adicionou novas ações para conceder o cloudtrail:GetTrail cloudtrail:ListTrails cloudtrail:GetEventSelectorsoutposts:GetOutpost, outposts:ListAssets e outposts:ListOutposts permissões.

 18 de janeiro de 2024

AWSTrustedAdvisorPriorityFullAccess

Atualize para uma política existente.

Trusted Advisor atualizou a política AWSTrustedAdvisorPriorityFullAccess AWS gerenciada para incluir a declaração IDs.

 6 de dezembro de 2023

AWSTrustedAdvisorPriorityReadOnlyAccess

Atualize para uma política existente.

Trusted Advisor atualizou a política AWSTrustedAdvisorPriorityReadOnlyAccess AWS gerenciada para incluir a declaração IDs.

 6 de dezembro de 2023

AWSTrustedAdvisorServiceRolePolicy: atualização para uma política existente

Trusted Advisor adicionou novas ações para conceder ec2:DescribeRegions s3:GetLifecycleConfiguration ecs:DescribeTaskDefinition as ecs:ListTaskDefinitions permissões e.

 9 de novembro de 2023

AWSTrustedAdvisorServiceRolePolicy: atualização para uma política existente

Trusted Advisor adicionou novas ações do IAMroute53resolver:ListResolverEndpoints, route53resolver:ListResolverEndpointIpAddressesec2:DescribeSubnets, kafka:ListClustersV2 e kafka:ListNodes para integrar novas verificações de resiliência.

 14 de setembro de 2023

AWSTrustedAdvisorReportingServiceRolePolicy

V2 da política gerenciada anexada à função vinculada ao Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting serviço

Atualize a política AWS gerenciada para V2 para a função vinculada ao Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting serviço. A V2 adicionará mais uma ação organizations:ListDelegatedAdministrators do IAM

28 de fevereiro de 2023

AWSTrustedAdvisorPriorityFullAccess e AWSTrustedAdvisorPriorityReadOnlyAccess

Novas políticas AWS gerenciadas para o Trusted Advisor

Trusted Advisor adicionou duas novas políticas gerenciadas que você pode usar para controlar o acesso ao Trusted Advisor Priority.

17 de agosto de 2022

AWSTrustedAdvisorServiceRolePolicy: atualização para uma política existente

Trusted Advisor adicionou novas ações para conceder DescribeTargetGroups as GetAccountPublicAccessBlock permissões e.

DescribeTargetGroup é necessário para a permissão Auto Scaling Group Health Check (Verificação de integridade do grupo do Auto Scaling) para recuperar balanceadores de carga não clássicos anexados a um grupo do Auto Scaling.

GetAccountPublicAccessBlock é necessário para a permissão Amazon S3 Bucket Permissions (Permissões do bucket do Amazon S3) para recuperar as configurações de acesso público de bloqueio para um Conta da AWS.

 10 de agosto de 2021

Publicação do log de alterações

Trusted Advisor começou a rastrear as mudanças em suas políticas AWS gerenciadas.

 10 de agosto de 2021