Amazon Trusted Advisor 的组织视图 - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon Trusted Advisor 的组织视图

组织视图允许您查看 Amazon Organizations 中所有账户的 Trusted Advisor 检查。启用此功能后,您可以创建报告来聚合组织中所有成员账户的检查结果。该报告包括检查结果的摘要以及每个账户的受影响资源的信息。例如,您可以使用报告通过 IAM 使用检查确定组织中的哪些账户正在使用 Amazon Identity and Access Management (IAM),或者您是否已通过 Amazon S3 存储桶权限检查对 Amazon Simple Storage Service (Amazon S3) 存储桶提出操作建议。

注意

组织视图功能在中国区域中不可用。

Prerequisites

您必须满足以下要求才能启用组织视图:

启用组织视图

满足上述先决条件之后,请按照以下步骤启用组织视图。启用此功能后,将出现以下情况:

  • Trusted Advisor 被启用为组织中的可信服务。有关更多信息,请参阅 Amazon Organizations 用户指南中的使用其他 Amazon 服务启用可信访问权限

  • AWSServiceRoleForTrustedAdvisorReporting service-linked-role 在您组织中的管理账户中为您创建。此角色包括 Trusted Advisor 代表您调用 Organizations 所需的权限。此服务关联角色已锁定,您无法手动删除它。有关更多信息,请参阅 将服务相关角色用于 Trusted Advisor

从 Trusted Advisor 控制台中启用组织视图。

要启用组织视图

  1. 以管理员身份登录组织的管理账户,并打开位于 https://console.aws.amazon.com/trustedadvisor 的 Amazon Trusted Advisor 控制台。

  2. 在导航窗格中,选择 Organizational View(组织视图)。

  3. 选择 Enable organizational view(启用组织视图)。

刷新 Trusted Advisor 检查

在您为组织创建报告之前,我们建议您刷新您的 Trusted Advisor 检查的状态。您可以下载报告,而无需刷新 Trusted Advisor 检查,但您的报告可能不包含最新信息。

如果您拥有商业、Enterprise On-Ramp 和企业 Support 计划,则 Trusted Advisor 会每周自动刷新您账户中的检查。

注意

如果您的组织中有具有开发人员或基本支持计划的账户,则这些账户的用户必须登录 Trusted Advisor 控制台刷新检查。您无法刷新组织管理账户中的所有账户的检查。

要刷新 Trusted Advisor 检查

  1. 导航到位于 https://console.aws.amazon.com/trustedadvisor 的 Amazon Trusted Advisor 控制台。

  2. 控制面板页面上,选择刷新所有检查。这将刷新您账户中的所有检查。

您也可以通过以下方式刷新特定检查:

创建组织视图报告

启用组织视图后,您可以创建报告,以便可以查看组织的 Trusted Advisor 检查结果。

您最多可以创建 50 个报告。如果创建的报告超出此配额,Trusted Advisor 会删除最早的报告。您无法恢复已删除的报告。

要创建组织视图报告

  1. 登录组织的管理账户,并打开位于 https://console.aws.amazon.com/trustedadvisor 的 Amazon Trusted Advisor 控制台。

  2. 在导航窗格中,选择 Organizational View(组织视图)。

  3. 选择创建报告

  4. 默认情况下,报告包含所有 Amazon 区域、检查类别、检查和资源状态。在 Create report(创建报告)页面上,您可以使用筛选条件选项自定义报告。例如,您可以清除区域All(全部)选项,然后指定要包括在报告中的单个区域。

    1. 输入报告的 Name(名称)。

    2. 对于 Format,选择 JSONCSV

    3. 对于 Region(区域),指定 Amazon 区域或选择 All(全部)。

    4. 对于 Check category(检查类别),选择检查类别或选择 All(全部)。

    5. 对于 Checks(检查),选择该类别的特定检查,或选择 All(全部)。

      注意

      Check category(检查类别)筛选条件将覆盖 Checks(检查)筛选条件。例如,如果您选择 Security(安全)类别,然后选择特定的检查名称,则您的报告将包含该类别的所有检查结果。若要仅针对特定检查创建报告,请为检查类别保留默认的 All(全部)值,然后选择您的检查名称。

    6. 对于 Resource status(资源状态),选择要筛选的状态,如 Warning(警告),或选择 All(全部)。

  5. 对于 Amazon 组织,选择要包含在您的报告中的组织单位 (OU)。有关 OU 的更多信息,请参阅 Amazon Organizations 用户指南中的管理组织单位

  6. 选择创建报告

例 :创建报告筛选条件选项

以下示例为以下选项创建 JSON 报告:

  • 三个 Amazon 区域

  • 所有的安全性能检查

在以下示例中,报告包含 support-team OU 和属于组织一部分的一个 Amazon 账户。

Notes
  • 创建报告所需的时间量取决于组织中的账户数量以及每个账户中的资源数量。

  • 您不能一次创建多个报告,除非当前报告已运行超过 6 个小时。

  • 如果您没有看到报告显示在页面上,请刷新页面。

查看报告摘要

报告准备就绪后,您可以从 Trusted Advisor 控制台中查看报告摘要。这样,您就可以快速查看整个组织的检查结果摘要。

要查看报告摘要

  1. 登录组织的管理账户,并打开位于 https://console.aws.amazon.com/trustedadvisor 的 Amazon Trusted Advisor 控制台。

  2. 在导航窗格中,选择 Organizational View(组织视图)。

  3. 选择报告名称。

  4. Summary(摘要)页面上,查看每种类别的检查状态。您还可以选择 Download report(下载报告)。

下载组织视图报告

报告准备好后,请从 Trusted Advisor 控制台中下载报告。报告是一个 .zip 文件,其中包含三个文件:

  • summary.json – 包含每种检查类别的检查结果的摘要。

  • schema.json – 包含报告中指定检查的 schema。

  • 资源文件(.json 或 .csv)– 包含有关组织中资源的检查状态的详细信息。

要下载组织视图报告

  1. 登录组织的管理账户,并打开位于 https://console.aws.amazon.com/trustedadvisor 的 Amazon Trusted Advisor 控制台。

  2. 在导航窗格中,选择 Organizational View(组织视图)。

    Organizational View(组织视图)页面显示可供下载的报告。

  3. 选择一个报告,选择 Download report(下载报告),然后保存文件。一次只能下载一个报告。

  4. 解压缩该文件。

  5. 使用文本编辑器打开 .json文件或使用电子表格应用程序打开 .csv 文件。

    注意

    如果您的报告为 5MB 或以上,您可能会收到多个文件。

例 :summary.json 文件

summary.json 文件显示组织中的账户数量以及每种类别中的检查的状态。

Trusted Advisor 使用以下颜色代码表示检查结果:

  • Green – Trusted Advisor 没有检测到检查的问题。

  • Yellow – Trusted Advisor 检测到检查的可能问题。

  • Red – Trusted Advisor 检测到错误并建议执行检查操作。

  • Blue – Trusted Advisor 无法确定检查的状态。

在以下示例中,两个检查为 Red,一个为 Green,一个为 Yellow

{ "numAccounts": 3, "filtersApplied": { "accountIds": ["123456789012","111122223333","111111111111"], "checkIds": "All", "categories": [ "security", "performance" ], "statuses": "All", "regions": [ "us-west-1", "us-west-2", "us-east-1" ], "organizationalUnitIds": [ "ou-xa9c-EXAMPLE1", "ou-xa9c-EXAMPLE2" ] }, "categoryStatusMap": { "security": { "statusMap": { "ERROR": { "name": "Red", "count": 2 }, "OK": { "name": "Green", "count": 1 }, "WARN": { "name": "Yellow", "count": 1 } }, "name": "Security" } }, "accountStatusMap": { "123456789012": { "security": { "statusMap": { "ERROR": { "name": "Red", "count": 2 }, "OK": { "name": "Green", "count": 1 }, "WARN": { "name": "Yellow", "count": 1 } }, "name": "Security" } } } }

例 :schema.json 文件

schema.json 文件包含报告中的检查的 schema。以下示例包括 IAM 密码策略的 ID 和属性 (Yw2K9puPzl)和 IAM 密钥轮换 (DqdJqYeRm5) 检查。

{ "Yw2K9puPzl": [ "Password Policy", "Uppercase", "Lowercase", "Number", "Non-alphanumeric", "Status", "Reason" ], "DqdJqYeRm5": [ "Status", "IAM User", "Access Key", "Key Last Rotated", "Reason" ], ... }

resources.csv 文件包含组织中资源的相关信息。此示例显示了报告中显示的一些数据列,如下所示:

  • 受影响账户的账户 ID

  • Trusted Advisor 检查 ID

  • 资源 ID

  • 报告的时间戳

  • Trusted Advisor 检查的完整名称

  • Trusted Advisor 检查类别

  • 父组织单位 (OU) 或根账户的账户 ID

仅当存在资源级别检查结果时,资源文件才包含条目。您可能不会在报告中看到检查,原因如下:

  • 某些检查,例如根账户上的 MFA,没有资源,也不会显示在报告中。无资源的检查将改为显示在 summary.json 文件中。

  • 有些检查仅在它们为 Red 或者 Yellow 时显示资源。如果所有资源都为 Green,则它们可能不会出现在您的报告中。

  • 如果没有为需要检查的服务启用账户,则检查可能不会显示在报告中。例如,如果您的组织中没有使用 Amazon Elastic Compute Cloud 预留实例,则 Amazon EC2 Reserved Instance Lease Expiration 检查将不会显示在您的报告中。

  • 账户尚未刷新检查结果。当具有基本支持计划或开发人员支持计划的用户首次登录 Trusted Advisor 控制台时可能会发生此情况。如果您拥有商业、Enterprise On-Ramp 和企业 Support 计划,则用户最长可能需要在账户注册后一周才能看到检查结果。有关更多信息,请参阅 刷新 Trusted Advisor 检查

  • 如果只有组织的管理账户启用了检查建议,则报告将不会包括组织中其他账户的资源。

对于资源文件,您可以使用常用软件(如 Microsoft Excel)打开 .csv 文件格式。您可以使用 .csv 文件对组织中所有账户中的所有检查进行一次性分析。如果要将报告与应用程序一起使用,则可以将报告作为 .json 文件下载。

.json 文件格式比 .csv 文件格式提供的灵活度更大,可用于高级使用案例,例如使用多个数据集的聚合和高级分析。例如,您可以将 SQL 界面与 Amazon 服务(例如 Amazon Athena)结合使用以对您的报告运行查询。您还可以使用 Amazon QuickSight 创建控制面板并可视化您的数据。有关更多信息,请参阅 使用其他 Amazon 服务查看 Trusted Advisor 报告

禁用组织视图

按照此程序来禁用组织视图。您必须登录组织的管理账户,或承担具有禁用此功能所需权限的角色。您无法从组织中的其他账户禁用此功能。

禁用此功能后,将出现以下情况:

  • Trusted Advisor 将作为 Organizations 中的可信服务删除。

  • AWSServiceRoleForTrustedAdvisorReporting 服务关联角色在您组织的管理账户中解锁。这意味着如果需要,您可以手动删除它。

  • 您无法为组织创建、查看或下载报告。要访问以前创建的报告,您必须从 Trusted Advisor 控制台中重新启用组织视图。请参阅 启用组织视图

要禁用 Trusted Advisor 的组织视图

  1. 登录组织的管理账户,并打开位于 https://console.aws.amazon.com/trustedadvisor 的 Amazon Trusted Advisor 控制台。

  2. 在导航窗格中,选择 Preferences

  3. Organizational View(组织视图)下,选择 Disable organizational view(禁用组织视图)。

禁用组织视图后,Trusted Advisor 不再聚合来自组织其他 Amazon 账户中的检查。但是,AWSServiceRoleForTrustedAdvisorReporting 服务相关角色保留在组织的管理账户上,直到您通过 IAM 控制台、IAM API 或 Amazon Command Line Interface (Amazon CLI) 将其删除为止。有关更多信息,请参阅 IAM 用户指南中的删除服务相关角色

注意

您可以使用其他 Amazon 服务查询和可视化组织视图报告的数据。有关更多信息,请参阅以下资源: