本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理對 的存取 AWS Trusted Advisor
您可以從 存取 AWS Trusted Advisor AWS Management Console。所有 AWS 帳戶 都可以存取選取的核心Trusted Advisor 檢查
您可以使用 AWS Identity and Access Management (IAM) 控制對 的存取 Trusted Advisor。
Trusted Advisor 主控台的許可
若要存取 Trusted Advisor 主控台,使用者必須具有一組最低許可。這些許可必須允許使用者列出和檢視 中 Trusted Advisor 資源的詳細資訊 AWS 帳戶。
您可以使用下列選項來控制 Trusted Advisor的存取權:
-
使用 Trusted Advisor 主控台的標籤篩選功能。使用者或角色必須具有與標籤相關聯的許可。
您可以使用 AWS 受管政策或自訂政策,依標籤指派許可。如需詳細資訊,請參閱使用標籤 控制IAM對 和 的存取。
-
使用
trustedadvisor命名空間建立IAM政策。您可使用此政策指定動作和資源的許可。
當您建立政策時,可以指定服務的命名空間,以允許或拒絕動作。的命名空間 Trusted Advisor 為 trustedadvisor。不過,您無法使用trustedadvisor命名空間來允許或拒絕 Trusted Advisor API 中的操作 AWS Support API。但針對 AWS Support
,您必須使用 support 命名空間。
注意
如果您有 AWS Support 的許可API, 中的 Trusted Advisor 小工具 AWS Management Console 會顯示 Trusted Advisor 結果的摘要檢視。若要在 Trusted Advisor 主控台中檢視結果,您必須具有trustedadvisor命名空間的許可。
Trusted Advisor 動作
您可以在主控台中執行下列 Trusted Advisor 動作。您也可以在IAM政策中指定這些 Trusted Advisor 動作,以允許或拒絕特定動作。
| 動作 | 描述 |
|---|---|
|
|
准許檢視 AWS Support 計劃和各種 Trusted Advisor 偏好設定。 |
|
|
准許檢視 AWS 帳戶 是否已啟用或停用 Trusted Advisor。 |
|
|
准許檢視檢查項目的詳細資訊。 |
|
|
准許檢視 Trusted Advisor 檢查的重新整理狀態。 |
|
|
准許檢視 Trusted Advisor 檢查摘要。 |
|
|
准許檢視 Trusted Advisor 檢查的詳細資訊。 |
|
|
准許檢視 AWS 帳戶的通知偏好設定。 |
|
|
准許排除 Trusted Advisor 檢查的建議。 |
|
|
准許包含 Trusted Advisor 檢查的建議。 |
|
|
准許重新整理 Trusted Advisor 檢查。 |
|
|
准許 Trusted Advisor 啟用或停用 帳戶的 。 |
|
|
准許更新 Trusted Advisor的通知偏好設定。 |
|
|
准許檢視過去 30 天內檢查的結果和變更狀態。 |
Trusted Advisor 組織檢視的動作
下列 Trusted Advisor 動作適用於組織檢視功能。如需詳細資訊,請參閱AWS Trusted Advisor 的組織檢視。
| 動作 | 描述 |
|---|---|
|
|
准許檢視 是否符合啟用組織檢視功能 AWS 帳戶 的要求。 |
|
|
准許檢視組織中的連結 AWS 帳戶。 |
|
|
准許檢視組織檢視報告的詳細資訊,例如報告名稱、執行時間、建立日期、狀態和格式。 |
|
|
准許檢視組織檢視報告的相關資訊,例如 AWS 區域、檢查類別、檢查名稱和資源狀態。 |
|
|
准許建立組織中 Trusted Advisor 檢查的報告。 |
|
|
准許在 Trusted Advisor 主控台中檢視根或組織單位 (OU) 所包含 AWS 組織中的所有帳戶。 |
|
|
准許在 Trusted Advisor 主控台中檢視父組織單位或根中的所有組織單位 (OUs)。 |
|
|
准許在 Trusted Advisor 主控台中檢視 AWS 組織中定義的所有根。 |
|
|
准許啟用 的組織檢視功能 Trusted Advisor。 |
Trusted Advisor 優先順序動作
如果您的 帳戶已啟用 Trusted Advisor 優先順序,您可以在 主控台中執行下列 Trusted Advisor 動作。您也可以在IAM政策中新增這些 Trusted Advisor 動作,以允許或拒絕特定動作。如需詳細資訊,請參閱Trusted Advisor 優先順序IAM的政策範例。
注意
Priority 中顯示的風險 Trusted Advisor 是您的技術帳戶管理員 (TAM) 為您的帳戶識別的建議。會自動為您建立服務的建議,例如 Trusted Advisor 檢查。來自 的建議TAM會手動為您建立。接下來,您的 TAM會傳送這些建議,以便它們在帳戶的 Trusted Advisor 優先順序中顯示。
如需詳細資訊,請參閱開始使用 AWS Trusted Advisor 優先權。
| 動作 | 描述 |
|---|---|
|
|
准許在 Trusted Advisor Priority 中檢視風險。 |
|
|
准許在 Trusted Advisor Priority 中檢視風險詳細資訊。 |
|
|
授予許可以檢視 Trusted Advisor 優先權中風險的受影響資源。 |
|
|
准許下載包含 Trusted Advisor Priority 風險詳細資訊的檔案。 |
|
|
授予許可以更新 Trusted Advisor 優先權中的風險狀態。 |
|
|
准許取得 Trusted Advisor 優先順序的電子郵件通知偏好設定。 |
|
|
准許建立或更新 Trusted Advisor Priority 的電子郵件通知偏好設定。 |
|
|
准許組織管理帳戶從委派的管理員帳戶刪除 Trusted Advisor 優先順序的電子郵件通知偏好設定。 |
Trusted Advisor 參與動作
如果您為帳戶啟用 Trusted Advisor 了 Engage,您可以在主控台中執行下列 Trusted Advisor 動作。您也可以在IAM政策中新增這些 Trusted Advisor 動作,以允許或拒絕特定動作。如需詳細資訊,請參閱 Trusted Advisor Engage IAM的政策範例。
如需詳細資訊,請參閱開始使用 AWS Trusted Advisor Engage (預覽)。
| 動作 | 描述 |
|---|---|
|
|
准許在 Trusted Advisor Engage 中建立參與。 |
|
|
准許在 Trusted Advisor Engage 中建立參與附件。 |
|
|
准許在 Trusted Advisor Engage 中建立參與通訊。 |
|
|
准許在 Trusted Advisor Engage 中檢視參與。 |
|
|
准許在 Trusted Advisor Engage 中檢視參與連接。 |
|
|
准許在 Trusted Advisor Engage 中檢視特定參與類型。 |
|
|
准許在 Trusted Advisor Engage 中檢視業務開發的所有通訊。 |
|
|
准許在 Trusted Advisor Engage 中檢視所有參與。 |
|
|
准許在 Trusted Advisor Engage 中檢視所有參與類型。 |
|
|
准許更新 Trusted Advisor Engage 中參與的詳細資訊。 |
|
|
准許在 Trusted Advisor Engage 中更新參與狀態。 |
IAM 政策範例
下列政策會告訴您如何允許和拒絕 Trusted Advisor的存取權。您可以使用下列其中一個政策,在IAM主控台中建立客戶受管政策。例如,您可以複製範例政策,然後將其貼到IAM主控台的JSON索引標籤中。然後,您將政策連接至您的IAM使用者、群組或角色。
如需如何建立IAM政策的詳細資訊,請參閱 IAM 使用者指南 中的建立IAM政策 (主控台)。
範例
完整存取 Trusted Advisor
下列政策可讓使用者檢視 Trusted Advisor 主控台中所有檢查的所有動作,並採取所有 Trusted Advisor 動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" } ] }
唯讀存取 Trusted Advisor
下列政策允許使用者對 Trusted Advisor 主控台進行唯讀存取。使用者無法進行變更,例如重新整理檢查或變更通知偏好設定。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:Describe*", "trustedadvisor:Get*", "trustedadvisor:List*" ], "Resource": "*" } ] }
拒絕存取 Trusted Advisor
下列政策不允許使用者檢視 Trusted Advisor 主控台中的檢查或採取檢查 Trusted Advisor 動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "trustedadvisor:*", "Resource": "*" } ] }
允許和拒絕特定動作
下列政策允許使用者檢視主控台中的所有 Trusted Advisor Trusted Advisor 檢查,但不允許他們重新整理任何檢查。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:RefreshCheck", "Resource": "*" } ] }
控制 AWS Support API操作的存取權 Trusted Advisor
在 中 AWS Management Console,單獨的trustedadvisorIAM命名空間控制對 的存取 Trusted Advisor。您不能使用trustedadvisor命名空間來允許或拒絕 Trusted Advisor API 中的操作 AWS Support API。相反地,您可以使用 support 命名空間。您必須擁有 的許可,才能以 Trusted Advisor 程式設計方式呼叫 AWS Support API。
例如,如果您想要呼叫 RefreshTrustedAdvisorCheck操作,您必須在 政策中擁有此動作的許可。
範例 : Trusted Advisor API僅允許操作
下列政策允許使用者存取 的操作 AWS Support API Trusted Advisor,但不允許存取其餘 AWS Support API的操作。例如,使用者可以使用 API 檢視和重新整理檢查。他們無法建立、檢視、更新或解決 AWS Support 案例。
您可以使用此政策以程式設計方式呼叫 Trusted Advisor API操作,但您無法使用此政策在主控台中 Trusted Advisor 檢視或重新整理檢查。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:DescribeTrustedAdvisorCheckRefreshStatuses", "support:DescribeTrustedAdvisorCheckResult", "support:DescribeTrustedAdvisorChecks", "support:DescribeTrustedAdvisorCheckSummaries", "support:RefreshTrustedAdvisorCheck", "trustedadvisor:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeServices", "support:DescribeSeverityLevels", "support:ResolveCase" ], "Resource": "*" } ] }
如需如何使用 IAM AWS Support 和 的詳細資訊 Trusted Advisor,請參閱 動作。
Trusted Advisor 優先順序IAM的政策範例
您可以使用下列 AWS 受管政策來控制對 Trusted Advisor Priority 的存取。如需詳細資訊,請參閱 AWS 的 受管政策 AWS Trusted Advisor 和 開始使用 AWS Trusted Advisor 優先權。
Trusted Advisor Engage IAM的政策範例
注意
Trusted Advisor Engage 處於預覽版本中,目前沒有任何 AWS 受管政策。您可以使用下列其中一個政策,在IAM主控台中建立客戶受管政策。
在 Trusted Advisor Engage 中授予讀取和寫入存取權的範例政策:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:CreateEngagement*", "trustedadvisor:DescribeAccount*", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*", "trustedadvisor:UpdateEngagement*" ], "Resource": "*" } ] }
在 Trusted Advisor Engage 中授予唯讀存取權的範例政策:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeAccount*", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*" ], "Resource": "*" } ] }
在 Trusted Advisor Engage 中授予讀取和寫入存取權,以及對 啟用受信任存取權之功能的範例政策 Trusted Advisor:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "trustedadvisor:CreateEngagement*", "trustedadvisor:DescribeAccount*", "trustedadvisor:DescribeOrganization", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*", "trustedadvisor:SetOrganizationAccess", "trustedadvisor:UpdateEngagement*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting", "Condition": { "StringLike": { "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com" } } } ] }
另請參閱
如需 Trusted Advisor 許可的詳細資訊,請參閱下列資源:
