AWS Trusted Advisor e AWS Organizations - AWS Organizations

AWS Trusted Advisor e AWS Organizations

O AWS Trusted Advisor inspeciona seu ambiente da AWS e faz recomendações quando existem oportunidades de poupar, melhorar a performance do sistema ou ajudar a corrigir falhas de segurança. Quando integrado com o Organizations, você pode receber os resultados das verificações do Trusted Advisor para todas as contas de sua organização e baixar relatórios para ver os resumos de suas verificações e todos os recursos afetados.

Para obter mais informações, consulte Visualização organizacional para o AWS Trusted Advisor no Guia do usuário do AWS Support.

Use as informações a seguir para ajudá-lo a integrar o AWS Trusted Advisor ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o Trusted Advisor realize as operações suportadas nas contas de sua organização.

Você pode excluir ou modificar essa função apenas se desabilitar o acesso confiável entre o Trusted Advisor e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleForTrustedAdvisorReporting

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Trusted Advisor concedem acesso às seguintes entidades de serviço primárias:

  • reporting.trustedadvisor.amazonaws.com

Habilitar o acesso confiável no Trusted Advisor

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando apenas o AWS Trusted Advisor.

Para habilitar o acesso confiável usando o console do Trusted Advisor

Consulte Habilitar a visualização organizacional no Guia do usuário do AWS Support.

Desabilitar o acesso confiável no Trusted Advisor

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Depois que esse recurso é desabilitado, o Trusted Advisor para de registrar informações de verificação de todas as outras contas de sua organização. Não é possível exibir ou baixar relatórios existentes nem criar novos relatórios.

Você pode desabilitar o acesso confiável usando as ferramentas do AWS Trusted Advisor ou do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do AWS Trusted Advisor para desabilitar a integração com o Organizations. Isso permite que o AWS Trusted Advisor realize qualquer limpeza necessária, como excluir recursos ou funções de acesso que não são mais necessários para o serviço. Continue com estas etapas apenas se você não puder desabilitar a integração usando as ferramentas fornecidas pelo AWS Trusted Advisor.

Se você desabilitar o acesso confiável usando o console ou as ferramentas do AWS Trusted Advisor, não é necessário concluir estas etapas.

Para desabilitar o acesso confiável usando o console do Trusted Advisor

Consulte Desabilitar a visualização organizacional no Guia do usuário do AWS Support.

Você pode desabilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

  • AWS CLI: disable-aws-service-access

    Você pode executar o comando a seguir para desabilitar o AWS Trusted Advisor como um serviço confiável com o Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal reporting.trustedadvisor.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: DisableAWSServiceAccess

Como habilitar uma conta de administrador delegado para o Trusted Advisor

Quando você designa uma conta-membro como administrador delegado da organização, os usuários e as funções da conta designada podem gerenciar os metadados da Conta da AWS de outras contas-membro na organização. Se você não habilitar uma conta de administrador delegado, essas tarefas só poderão ser executadas pela conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento de detalhes da sua conta.

Permissões mínimas

Somente um usuário ou perfil do IAM na conta de gerenciamento do Organizations pode configurar uma conta-membro como um administrador delegado para o Trusted Advisor na organização

Para obter instruções sobre como ativar uma conta de administrador delegado para o Trusted Advisor, consulte Registrar administradores delegados no Guia do usuário do AWS Support.

AWS CLI, AWS API

Se você quiser configurar uma conta de administrador delegado usando a AWS CLI ou um dos AWS SDKs, poderá usar os seguintes comandos:

  • AWS CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal reporting.trustedadvisor.amazonaws.com
  • AWS SDK: chame a operação RegisterDelegatedAdministrator do Organizations e o número de ID da conta-membro e identifique o serviço de conta principal account.amazonaws.com como parâmetros.

Desabilitar um administrador delegado para o Trusted Advisor

É possível remover a conta de administrador delegado usando o console do Trusted Advisor ou a operação DeregisterDelegatedAdministrator da CLI ou do SDK do Organizations. Para obter informações sobre como desativar a conta do administrador delegado do Trusted Advisor usando o console do Trusted Advisor, consulte Cancelar o registro de administradores delegados no Guia do usuário do AWS Support.