Permissões para o console do Trusted Advisor Trusted Advisor ações Exemplos de política do IAM Consulte também

Gerencie o acesso ao AWS Trusted Advisor

Você pode acessar AWS Trusted Advisor a partir do AWS Management Console. Todos Contas da AWS têm acesso a uma seleção de Trusted Advisor verificações básicas. Se você tiver um plano de suporte Business, Enterprise On-Ramp ou Enterprise, será possível acessar todas as verificações. Para obter mais informações, consulte AWS Trusted Advisor verifique a referência.

Você pode usar AWS Identity and Access Management (IAM) para controlar o acesso Trusted Advisor a.

Tópicos

Permissões para o console do Trusted Advisor
Trusted Advisor ações
Exemplos de política do IAM
Consulte também

Permissões para o console do Trusted Advisor

Para acessar o Trusted Advisor console, o usuário deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que o usuário liste e visualize detalhes sobre os Trusted Advisor recursos em seu Conta da AWS.

É possível usar as seguintes opções para controlar o acesso ao Trusted Advisor:

Use o recurso de filtro de tags do Trusted Advisor console. O usuário ou a função deve ter permissões associadas às tags.

Você pode usar políticas AWS gerenciadas ou políticas personalizadas para atribuir permissões por tags. Para obter mais informações, consulte Controlar o acesso a/para usuários e funções do IAM usando tags.
Crie uma política do IAM com o namespace trustedadvisor. É possível usar essa política para especificar permissões para ações e recursos.

Ao criar uma política, é possível especificar o namespace do serviço para permitir ou negar uma ação. O namespace para Trusted Advisor é. trustedadvisor No entanto, você não pode usar o trustedadvisor namespace para permitir ou negar operações de Trusted Advisor API na AWS Support API. Em vez disso, use o namespace support para AWS Support .

nota

Se você tiver permissões para a AWS SupportAPI, o Trusted Advisor widget no AWS Management Console mostra uma visão resumida dos seus Trusted Advisor resultados. Para ver seus resultados no Trusted Advisor console, você deve ter permissão para o trustedadvisor namespace.

Trusted Advisor ações

Você pode realizar as seguintes Trusted Advisor ações no console. Você também pode especificar essas Trusted Advisor ações em uma política do IAM para permitir ou negar ações específicas.

Ação	Descrição
`DescribeAccount`	Concede permissão para visualizar o AWS Support plano e várias Trusted Advisor preferências.
`DescribeAccountAccess`	Concede permissão para ver se o Conta da AWS foi ativado ou desativado Trusted Advisor.
`DescribeCheckItems`	Concede permissão para visualizar detalhes dos itens de verificação.
`DescribeCheckRefreshStatuses`	Concede permissão para visualizar os status de atualização para verificações do Trusted Advisor .
`DescribeCheckSummaries`	Concede permissão para visualizar resumos de Trusted Advisor cheques.
`DescribeChecks`	Concede permissão para visualizar os detalhes dos Trusted Advisor cheques.
`DescribeNotificationPreferences`	Concede permissão para visualizar as preferências de notificação para a conta da AWS .
`ExcludeCheckItems`	Concede permissão para excluir recomendações para verificações do Trusted Advisor .
`IncludeCheckItems`	Concede permissão para incluir recomendações para verificações do Trusted Advisor .
`RefreshCheck`	Concede permissão para atualizar um Trusted Advisor cheque.
`SetAccountAccess`	Concede permissão para ativar ou desativar Trusted Advisor a conta.
`UpdateNotificationPreferences`	Concede permissão para atualizar as preferências de notificação do Trusted Advisor.
`DescribeCheckStatusHistoryChanges`	Concede permissão para visualizar os resultados e os status alterados das verificações nos últimos 30 dias.

Trusted Advisor ações para visão organizacional

As Trusted Advisor ações a seguir são para o recurso de visualização organizacional. Para obter mais informações, consulte Visualização organizacional para AWS Trusted Advisor.

Ação	Descrição
`DescribeOrganization`	Concede permissão para ver se Conta da AWS ele atende aos requisitos para ativar o recurso de visualização organizacional.
`DescribeOrganizationAccounts`	Concede permissão para visualizar as AWS contas vinculadas que estão na organização.
`DescribeReports`	Concede permissão para visualizar detalhes para relatórios de visualização organizacional, como o nome do relatório, o runtime, a data de criação, o status e o formato
`DescribeServiceMetadata`	Concede permissão para visualizar informações sobre relatórios de exibição organizacional, como categorias de verificação Regiões da AWS, nomes de cheques e status de recursos.
`GenerateReport`	Concede permissão para criar um relatório para Trusted Advisor cheques em sua organização.
`ListAccountsForParent`	Concede permissão para visualizar, no Trusted Advisor console, todas as contas em uma AWS organização que estão contidas em uma unidade raiz ou organizacional (OU).
`ListOrganizationalUnitsForParent`	Concede permissão para visualizar, no Trusted Advisor console, todas as unidades organizacionais (OUs) em uma unidade organizacional principal ou raiz.
`ListRoots`	Concede permissão para visualizar, no Trusted Advisor console, todas as raízes definidas em uma AWS organização.
`SetOrganizationAccess`	Concede permissão para ativar o recurso de visualização organizacional para Trusted Advisor.

Trusted Advisor Ações prioritárias

Se você tiver a Trusted Advisor Prioridade ativada para sua conta, poderá realizar as seguintes Trusted Advisor ações no console. Você também pode adicionar essas ações do Trusted Advisor em uma política do IAM para permitir ou negar ações específicas. Para obter mais informações, consulte Exemplos de políticas do IAM para o Trusted Advisor Priority.

nota

Os riscos que aparecem em Trusted Advisor Prioridade são recomendações que seu gerente técnico de contas (TAM) identificou para sua conta. As recomendações de um serviço, como um Trusted Advisor cheque, são criadas automaticamente para você. As recomendações do seu TAM são criadas manualmente. Em seguida, seu TAM envia essas recomendações para que elas apareçam em Trusted Advisor Prioridade para sua conta.

Para obter mais informações, consulte Conceitos básicos do AWS Trusted Advisor Priority.

Ação	Descrição
`DescribeRisks`	Concede permissão para visualizar riscos em Trusted Advisor Prioridade.
`DescribeRisk`	Concede permissão para visualizar os detalhes do risco em Trusted Advisor Prioridade.
`DescribeRiskResources`	Concede permissão para exibir recursos afetados para um risco no Trusted Advisor Priority.
`DownloadRisk`	Concede permissão para baixar um arquivo que contém detalhes sobre o risco em Trusted Advisor Prioridade.
`UpdateRiskStatus`	Concede permissão para atualizar o status do risco no Trusted Advisor Priority.
`DescribeNotificationConfigurations`	Concede permissão para obter suas preferências de notificação por e-mail para Trusted Advisor Priority.
`UpdateNotificationConfigurations`	Concede permissão para criar ou atualizar as preferências de notificação por e-mail do Trusted Advisor Priority.
`DeleteNotificationConfigurationForDelegatedAdmin`	Concede permissão à conta de gerenciamento da organização para excluir as preferências de notificação por e-mail de uma conta de administrador delegado do Trusted Advisor Priority.

Trusted Advisor Engajar ações

Se você tiver o Trusted Advisor Engage ativado para sua conta, poderá realizar as seguintes Trusted Advisor ações no console. Você também pode adicionar essas Trusted Advisor ações em uma política do IAM para permitir ou negar ações específicas. Para obter mais informações, consulteExemplos de políticas do IAM para o Trusted Advisor Engage.

Para obter mais informações, consulte Comece a usar o AWS Trusted Advisor Engage (versão pré-visualização).

Ação	Descrição
`CreateEngagement`	Concede permissão para criar um engajamento no Trusted Advisor Engage.
`CreateEngagementAttachment`	Concede permissão para criar um anexo de engajamento no Trusted Advisor Engage.
`CreateEngagementCommunication`	Concede permissão para criar uma comunicação de engajamento no Trusted Advisor Engage.
`GetEngagement`	Concede permissão para visualizar um engajamento no Trusted Advisor Engage.
`GetEngagementAttachment`	Concede permissão para visualizar um anexo de engajamento no Trusted Advisor Engage.
`GetEngagementType`	Concede permissão para visualizar um tipo específico de engajamento no Trusted Advisor Engage.
`ListEngagementCommunications`	Concede permissão para visualizar todas as comunicações de uma interação no Trusted Advisor Engage.
`ListEngagements`	Concede permissão para visualizar todos os engajamentos no Trusted Advisor Engage.
`ListEngagementTypes`	Concede permissão para visualizar todos os tipos de engajamento no Trusted Advisor Engage.
`UpdateEngagement`	Concede permissão para atualizar os detalhes de um engajamento no Trusted Advisor Engage.
`UpdateEngagementStatus`	Concede permissão para atualizar o status de um engajamento no Trusted Advisor Engage.

Exemplos de política do IAM

As políticas a seguir mostram como permitir e negar acesso ao Trusted Advisor. É possível usar uma das políticas a seguir para criar uma política gerenciada pelo cliente no console do IAM. Por exemplo, é possível copiar uma política de exemplo e colá-la na Guia JSON do console do IAM. Em seguida, é possível anexar a política a um usuário, grupo ou função do IAM.

Para obter mais informações sobre como criar uma política do IAM, consulte Criar políticas do IAM (console) no Manual do usuário do IAM.

Exemplos

Acesso total ao Trusted Advisor
Acesso somente leitura ao Trusted Advisor
Negar acesso a Trusted Advisor
Permitir e negar ações específicas
Controle o acesso às operações AWS Support da API para Trusted Advisor
Exemplos de políticas do IAM para o Trusted Advisor Priority
Exemplos de políticas do IAM para o Trusted Advisor Engage.

Acesso total ao Trusted Advisor

A política a seguir permite que os usuários visualizem e realizem todas as ações em todas as Trusted Advisor verificações no Trusted Advisor console.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}

Acesso somente leitura ao Trusted Advisor

A política a seguir permite que os usuários tenham acesso somente de leitura ao Trusted Advisor console. Os usuários não podem fazer alterações, como verificações de atualização ou alterar preferências de notificação.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:Describe*",
                "trustedadvisor:Get*",
                "trustedadvisor:List*"
            ],
            "Resource": "*"
        }
    ]
}

Negar acesso a Trusted Advisor

A política a seguir não permite que os usuários visualizem ou realizem Trusted Advisor verificações no Trusted Advisor console.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}

Permitir e negar ações específicas

A política a seguir permite que os usuários visualizem todas as Trusted Advisor verificações no Trusted Advisor console, mas não permite que eles atualizem nenhuma verificação.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "trustedadvisor:RefreshCheck",
            "Resource": "*"
        }
    ]
}

Controle o acesso às operações AWS Support da API para Trusted Advisor

No AWS Management Console, um namespace trustedadvisor do IAM separado controla o acesso a. Trusted Advisor Você não pode usar o trustedadvisor namespace para permitir ou negar operações de Trusted Advisor API na AWS Support API. Em vez disso, use o namespace support. Você precisa ter permissões na AWS Support API para fazer chamadas Trusted Advisor programaticamente.

Por exemplo, se você quiser chamar a RefreshTrustedAdvisorCheckoperação, deverá ter permissões para essa ação na política.

exemplo : permitir somente operações de Trusted Advisor API

A política a seguir permite que os usuários acessem as operações da AWS Support API Trusted Advisor, mas não o resto das operações da AWS Support API. Por exemplo, os usuários podem usar a API para exibir e atualizar verificações. Eles não podem criar, visualizar, atualizar ou resolver AWS Support casos.

Você pode usar essa política para chamar as operações da Trusted Advisor API programaticamente, mas não pode usar essa política para visualizar ou atualizar as verificações no console. Trusted Advisor


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "support:DescribeTrustedAdvisorCheckRefreshStatuses",
                "support:DescribeTrustedAdvisorCheckResult",
                "support:DescribeTrustedAdvisorChecks",
                "support:DescribeTrustedAdvisorCheckSummaries",
                "support:RefreshTrustedAdvisorCheck",
                "trustedadvisor:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "support:AddAttachmentsToSet",
                "support:AddCommunicationToCase",
                "support:CreateCase",
                "support:DescribeAttachment",
                "support:DescribeCases",
                "support:DescribeCommunications",
                "support:DescribeServices",
                "support:DescribeSeverityLevels",
                "support:ResolveCase"
            ],
            "Resource": "*"
        }
    ]
}

Para obter mais informações sobre como o IAM funciona com AWS Support e Trusted Advisor, consulteAções.

Exemplos de políticas do IAM para o Trusted Advisor Priority

Você pode usar as seguintes políticas AWS gerenciadas para controlar o acesso à Trusted Advisor Prioridade. Para obter mais informações, consulte AWS políticas gerenciadas para AWS Trusted Advisor e Conceitos básicos do AWS Trusted Advisor Priority.

Exemplos de políticas do IAM para o Trusted Advisor Engage.

nota

Trusted Advisor O Engage está em versão prévia e atualmente não tem nenhuma política AWS gerenciada. É possível usar uma das políticas a seguir para criar uma política gerenciada pelo cliente no console do IAM.

Um exemplo de política que concede acesso de leitura e gravação no Trusted Advisor Engage:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:CreateEngagement*",
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*",
                "trustedadvisor:UpdateEngagement*"
            ],
            "Resource": "*"
        }
    ]
}

Um exemplo de política que concede acesso somente para leitura no Engage: Trusted Advisor


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*"
            ],
            "Resource": "*"
        }
    ]
}

Um exemplo de política que concede acesso de leitura e gravação no Trusted Advisor Engage e a capacidade de habilitar acesso confiável a Trusted Advisor:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:CreateEngagement*",
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*",
                "trustedadvisor:SetOrganizationAccess",
                "trustedadvisor:UpdateEngagement*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "reporting.trustedadvisor.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
                }
            }
        }
    ]
}

Consulte também

Para obter mais informações sobre Trusted Advisor permissões, consulte os seguintes recursos:

Ações definidas pelo AWS Trusted Advisor no Manual do usuário do IAM.
Controlar o acesso ao console do Trusted Advisor

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerencie o acesso aos AWS Support planos

Políticas de controle de serviço de exemplo para o AWS Trusted Advisor