组织视图Amazon Trusted Advisor - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

组织视图Amazon Trusted Advisor

“组织” 视图允许您查看Trusted Advisor检查您的所有帐户Amazon Organizations. 启用此功能后,您可以创建报表来聚合组织中所有成员帐户的检查结果。该报告包括检查结果的摘要以及每个账户的受影响资源的信息。例如,您可以使用报告来确定组织中使用的账户。Amazon Identity and Access Management(IAM),或者您是否已通过 Amazon S3 存储桶权限检查对亚马逊 Simple Storage Service (Amazon S3) 存储桶采取了建议的操作。

注意

组织视图功能在中国区域中不可用。

Prerequisites

您必须满足以下要求才能启用组织视图:

启用组织视图

满足先决条件之后,请按照以下步骤启用组织视图。启用此功能后,将出现以下情况:

  • Trusted Advisor启用为可信服务在组织中。有关更多信息,请参阅 。启用其他可信访问Amazon服务中的Amazon Organizations用户指南.

  • 这些区域有:AWSServiceRoleForTrustedAdvisorReporting服务链接角色是在组织的管理帐户中为您创建的。此角色包括Trusted Advisor需要代表您调用 Organizations。此与服务链接的角色已锁定,您无法手动删除它。有关更多信息,请参阅 将服务相关角色用于 Trusted Advisor

启用组织视图从Trusted Advisor控制台。

启用组织视图

  1. 以组织的管理账户中的管理员身份登录,打开Amazon Trusted Advisor控制台位置在https://console.aws.amazon.com/trustedadvisor.

  2. 在导航窗格中,选择组织视图.

  3. 选择启用组织视图.

RefreshTrusted AdvisorCheck

在为组织创建报告之前,我们建议您刷新Trusted AdvisorCheck。您可以下载报告,而无需刷新Trusted Advisor检查,但您的报告可能没有最新信息。

如果您拥有商业或企业账户,Trusted Advisor每周会自动刷新您帐户中的支票。

注意

如果您的组织中有具有开发人员或基本支持计划的帐户,则这些帐户的用户必须登录Trusted Advisor控制台以刷新检查。您无法刷新组织管理帐户中的所有帐户的检查。

刷新Trusted AdvisorCheck

  1. 导航到Amazon Trusted Advisor控制台位置在https://console.aws.amazon.com/trustedadvisor.

  2. 在存储库的控制面板页面上,选择刷新所有检查. 此操作将刷新您账户中的所有支票。

您也可以通过以下方式刷新特定检查:

创建组织视图报告

启用组织视图后,您可以创建报表,以便查看Trusted Advisor检查组织的结果。

您最多可以创建 50 个报告。如果创建超出此配额的报表,Trusted Advisor将删除最早的报告。您无法恢复已删除的报告。

创建组织视图报表

  1. 登录组织的管理账户,然后打开Amazon Trusted Advisor控制台位置在https://console.aws.amazon.com/trustedadvisor.

  2. 在导航窗格中,选择组织视图.

  3. 选择创建报告

  4. 默认情况下,报告包含所有Amazon区域、检查类别、检查和资源状态。在存储库的创建报告页面上,您可以使用筛选器选项自定义报表。例如,您可以清除全部选项区域,然后指定要包括在报告中的单个区域。

    1. 输入名称以获取报告。

    2. 对于 Format,选择 JSONCSV

    3. 适用于区域中,指定Amazon区域或选择全部.

    4. 适用于Check 类别,选择检查类别或选择全部.

    5. 适用于Check,选择该类别的特定检查,或选择全部.

    6. 适用于资源状态中,选择要筛选的状态,例如警告,或选择全部.

  5. 适用于Amazon组织中,选择要包括在报告中的组织单位 (OU)。有关 OU 的更多信息,请参阅管理组织单位中的Amazon Organizations用户指南.

  6. 选择创建报告

例 :创建报告筛选器选项

以下示例为以下内容创建 JSON 报告:

  • 三个Amazon区域

  • 全部安全性能Check

在以下示例中,报表包含支持团队OU 和一个Amazon账户,此类账户属于组织的账户。

Notes
  • 创建报告所需的时间量取决于组织中的账户数量以及每个账户中的资源数量。

  • 您不能一次创建多个报告,除非当前报告已运行超过 6 个小时。

  • 如果您没有看到页面上显示报告,请刷新页面。

查看报告摘要

报告准备就绪后,您可以从Trusted Advisor控制台。这样,您就可以快速查看整个组织的检查结果摘要。

查看报告摘要

  1. 登录组织的管理账户,然后打开Amazon Trusted Advisor控制台位置在https://console.aws.amazon.com/trustedadvisor.

  2. 在导航窗格中,选择组织视图.

  3. 选择报告名称。

  4. 在存储库的摘要页面上,查看每个类别的检查状态。还可以选择下载报告.

下载组织视图报告

报告准备就绪后,请从Trusted Advisor控制台。报告是一个 .zip 文件,其中包含三个文件:

  • summary.json— 包含每个校验类别的检查结果摘要。

  • schema.json— 包含报告中指定检查的架构。

  • 资源文件(.json 或 .csv)— 包含有关组织中资源的检查状态的详细信息。

下载组织视图报告

  1. 登录组织的管理账户,然后打开Amazon Trusted Advisor控制台位置在https://console.aws.amazon.com/trustedadvisor.

  2. 在导航窗格中,选择组织视图.

    这些区域有:组织视图页面显示可供下载的报告。

  3. 选择一个报表,选择下载报告,然后保存文件。一次只能下载一个报告。

  4. 解压缩该文件。

  5. 使用文本编辑器打开.json文件或电子表格应用程序打开.csv文件。

    注意

    如果您的报告大于或大于 5 MB,您可能会收到多个文件。

例 :.json 文件摘要

这些区域有:summary.json文件显示组织中的帐户数量以及每个类别中支票的状态。

Trusted Advisor使用以下颜色代码进行检查结果:

  • Green–Trusted Advisor检测不到检查的问题。

  • Yellow–Trusted Advisor检测到检查的可能问题。

  • Red–Trusted Advisor检测到错误并建议执行检查操作。

  • Blue–Trusted Advisor无法确定检查的状态。

在以下示例中,两个检查是Red,其中一个是Green,其中一个是Yellow.

{ "numAccounts": 3, "filtersApplied": { "accountIds": ["123456789012","111122223333","111111111111"], "checkIds": "All", "categories": [ "security", "performance" ], "statuses": "All", "regions": [ "us-west-1", "us-west-2", "us-east-1" ], "organizationalUnitIds": [ "ou-xa9c-EXAMPLE1", "ou-xa9c-EXAMPLE2" ] }, "categoryStatusMap": { "security": { "statusMap": { "ERROR": { "name": "Red", "count": 2 }, "OK": { "name": "Green", "count": 1 }, "WARN": { "name": "Yellow", "count": 1 } }, "name": "Security" } }, "accountStatusMap": { "123456789012": { "security": { "statusMap": { "ERROR": { "name": "Red", "count": 2 }, "OK": { "name": "Green", "count": 1 }, "WARN": { "name": "Yellow", "count": 1 } }, "name": "Security" } } } }

例 :模式 .json 文件

这些区域有:schema.json文件包含报表中检查的架构。以下示例包括 IAM 密码策略的 ID 和属性 (Yw2K9puPzl)和 IAM 密钥轮换(DqdJqYeRm5) 检查。

{ "Yw2K9puPzl": [ "Password Policy", "Uppercase", "Lowercase", "Number", "Non-alphanumeric", "Status", "Reason" ], "DqdJqYeRm5": [ "Status", "IAM User", "Access Key", "Key Last Rotated", "Reason" ], ... }

这些区域有:resources.csv文件包含有关组织中资源的信息。此示例显示了报告中显示的一些数据列,如下所示:

  • 受影响账户的账户 ID

  • 这些区域有:Trusted AdvisorCheck ID

  • 资源 ID

  • 报告的时间戳

  • 对象的全名Trusted AdvisorCheck

  • 这些区域有:Trusted AdvisorCheck 类别

  • 父组织单位 (OU) 或根目录的账户 ID

仅当资源级别存在检查结果时,资源文件包含条目。出于以下原因,您可能无法在报告中看到检查:

  • 某些检查,例如根账户上的 MFA,没有资源,也不会显示在报告中。没有资源的检查会显示在summary.json文件。

  • 有些检查只显示资源,如果它们是Red或者Yellow. 如果所有资源都是Green,则它们可能不会出现在您的报告中。

  • 如果没有为需要检查的服务启用帐户,则该检查可能不会显示在报告中。例如,如果您的组织中没有使用 Amazon 弹性计算云预留实例,则 Amazon EC2 预留实例租赁过期检查将不会显示在您的报告中。

  • 帐户尚未刷新检查结果。当具有基本或开发人员支持计划的用户登录Trusted Advisor控制台首次。如果您拥有商业或企业支持计划,则从账户注册起最多可能需要一周才能看到检查结果。有关更多信息,请参阅 RefreshTrusted AdvisorCheck

  • 如果只有组织的管理帐户启用了检查建议,则报表将不会包括组织中其他帐户的资源。

对于资源文件,您可以使用常用软件(如 Microsoft Excel)来打开 .csv 文件格式。您可以使用 .csv 文件对组织中跨所有账户来一次性分析所有支票。如果要将报告与应用程序一起使用,则可以将报告作为 .json 文件下载。

.json 文件格式比 .csv 文件格式提供了更大的灵活性,用于高级用例,例如聚合和使用多个数据集的高级分析。例如,您可以将 SQL 接口与Amazon服务,例如 Amazon Athena 对您的报告运行查询。您还可以使用 Amazon QuickSight 创建仪表板和可视化您的数据。有关更多信息,请参阅 使用其他Amazon查看的服务Trusted Advisor报告

禁用组织视图

按照此过程禁用组织视图。您必须登录组织的管理账户或承担具有所需权限的角色才能禁用此功能。您无法从组织中的其他帐户禁用此功能。

禁用此功能后,将出现以下情况:

  • Trusted Advisor将作为 Organizations 中的可信服务删除。

  • 这些区域有:AWSServiceRoleForTrustedAdvisorReporting服务相关角色在组织的管理账户中解除锁定。这意味着如果需要,您可以手动删除它。

  • 您无法为组织创建、查看或下载报告。要访问以前创建的报表,必须从Trusted Advisor控制台。请参阅 启用组织视图

要禁用Trusted Advisor

  1. 登录组织的管理账户,然后打开Amazon Trusted Advisor控制台位置在https://console.aws.amazon.com/trustedadvisor.

  2. 在导航窗格中,选择 Preferences

  3. 位置在组织视图中,选择禁用组织视图.

禁用组织视图后,Trusted Advisor不再聚合来自其他Amazon账户。但是,AWSServiceRoleForTrustedAdvisorReporting服务关联角色仍然保留在组织的管理账户上,直到您通过 IAM 控制台、IAM API 或将其删除为止。Amazon Command Line Interface(Amazon CLI)。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色

注意

您可以使用其他Amazon服务查询和可视化组织视图报表的数据。有关更多信息,请参阅以下资源: