的组织视图AWS Trusted Advisor - AWS Support
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的组织视图AWS Trusted Advisor

利用组织视图,您可以查看 Trusted Advisor<账户名称><账户名称>AWS Organizations<账户名称> 中所有账户的 检查。启用此功能后,您可以创建报告以汇总组织中所有成员账户的检查结果。该报告包括检查结果的摘要以及有关每个账户的受影响资源的信息。例如,您可以使用报告确定组织中哪些账户使用 AWS Identity and Access Management (IAM) 与 IAM Use check,或者您是否具有针对 Amazon Simple Storage Service (Amazon S3) 存储桶和 Amazon S3 存储桶权限检查建议的操作。

Prerequisites

您必须满足以下要求才能启用组织视图:

启用组织视图

在满足先决条件后,请按照以下步骤来启用组织视图。启用此功能后,将发生以下情况:

  • Trusted Advisor 在您的组织中作为可信服务启用。有关更多信息,请参阅 中的AWS使用其他 服务启用可信访问。AWS Organizations 用户指南

  • 在您的组织的 AWSServiceRoleForTrustedAdvisorReporting中为您创建 管理账户 服务相关角色。此角色包括 Trusted Advisor 代表您调用 组织 所需的权限。此服务相关角色已锁定,您无法手动将其删除。有关更多信息,请参阅对 Trusted Advisor 使用服务相关角色

您可以从 Trusted Advisor 控制台启用组织视图。

启用组织视图

  1. 以组织 管理账户 中的管理员身份登录,并通过以下网址打开 AWS Trusted Advisor 控制台:trustedadvisorhttps://console.amazonaws.cn/。

  2. 在导航窗格中,选择 Organizational View (组织视图)

  3. Get Started 下,选择 Enable organizational view

    
                        如何在 Trusted Advisor 控制台中启用组织视图的屏幕截图。

刷新 Trusted Advisor 检查

在为您的组织创建报告之前,我们建议您刷新 Trusted Advisor 检查的状态。您可以在不刷新 Trusted Advisor 检查的情况下下载报告,但您的报告可能没有最新信息。

如果您有企业账户,Trusted Advisor 会每周自动刷新您账户中的检查。

注意

如果您的组织中有具有开发人员或基本支持计划的账户,则这些账户的用户必须登录到 Trusted Advisor 控制台才能刷新检查。您无法从组织的 管理账户 刷新所有账户的检查。

刷新 Trusted Advisor 检查

  1. 导航到位于 AWS Trusted Advisortrustedadvisor 的 https://console.amazonaws.cn/ 控制台。

  2. Dashboard 页面上,选择刷新图标。这会刷新您账户中的所有检查。

您还可以通过以下方式刷新特定检查:

创建组织视图报告

启用组织视图后,您可以创建报告,以便查看组织的 Trusted Advisor 检查结果。

您最多可以创建 50 个报告。如果您创建的报告超出此配额,Trusted Advisor 将删除最早的报告。您无法恢复已删除的报告。

创建组织视图报告

  1. 登录组织的 管理账户,并通过以下网址打开 AWS Trusted Advisor 控制台:trustedadvisorhttps://console.amazonaws.cn/。

  2. 在导航窗格中,选择 Organizational View (组织视图)

  3. 选择创建报告

  4. 默认情况下,该报告包括所有 AWS 区域、检查类别、检查和资源状态。在 Create report (创建报告) 页面上,您可以使用筛选条件选项自定义报告。例如,您可以清除 RegionAll 选项,然后指定要包含在报告中的单个区域。

    1. 输入报告的 Name (名称)

    2. 对于 Format,选择 JSONCSV

    3. 对于 Region (区域),请指定 AWS 区域或选择 All (全部)

    4. 对于 Check category,请指定检查类别或选择 All

    5. 对于 Checks (检查),选择该类别的特定检查或选择 All (全部)

    6. 对于 Resource status (资源状态),选择要筛选的状态(例如 Warning (警告)),或选择 All (全部)

  5. 对于 AWS organization,选择要包含在报告中的组织单位 (OU)。有关 OUs 的更多信息,请参阅 中的管理组织部门。AWS Organizations 用户指南

  6. 选择 Create

例 :创建报告筛选条件选项

以下示例为以下内容创建 JSON 报告:

  • 三个 AWS 区域

  • 所有 Security (安全性)Performance (性能) 检查


                    如何在 Trusted Advisor 中创建组织视图报告的屏幕截图。

在以下示例中,报告包括 support-team OU 和一个属于组织的 AWS 账户。


                组织部门 (OU) 的 AWS 组织筛选选项的屏幕截图。
Notes
  • 创建报告所需的时间取决于组织中的账户数量和每个账户中的资源数量。

  • 除非当前报告已运行超过 6 小时,否则您不能一次创建多个报告。

  • 如果您没有看到报告显示在页面上,请刷新页面。

查看报告摘要

在报告准备就绪后,您可以从 Trusted Advisor 控制台查看报告摘要。这可让您快速查看整个组织的检查结果摘要。

查看报告摘要

  1. 登录组织的 管理账户,并通过以下网址打开 AWS Trusted Advisor 控制台:trustedadvisorhttps://console.amazonaws.cn/。

  2. 在左侧导航窗格中,选择 Organizational View (组织视图)

  3. 选择报告名称。

    Summary (摘要) 页面上,查看每个类别的检查状态。

例 :组织的报告摘要


                    的示例报告摘要的屏幕截图。Trusted Advisor

下载组织视图报告

报告准备就绪后,从 Trusted Advisor 控制台下载报告。该报告是一个 .zip 文件,其中包含三个文件:

  • summary.json – 包含每个检查类别的检查结果摘要。

  • schema.json – 包含报告中指定检查的架构。

  • 资源文件(.json 或 .csv)– 包含有关您组织中资源的检查状态的详细信息。

下载组织视图报告

  1. 登录组织的 管理账户,并通过以下网址打开 AWS Trusted Advisor 控制台:trustedadvisorhttps://console.amazonaws.cn/。

  2. 在导航窗格中,选择 Organizational View (组织视图)

    Organizational View (组织视图) 页面显示可供下载的报告。

  3. 选中报告的复选框。

    
                        要为 Trusted Advisor 下载的示例报告的屏幕截图。
  4. 选择 Download report (下载报告) 并保存文件。您可以一次下载一个报告。

  5. 解压缩该文件。

  6. 使用文本编辑器打开 .json 文件或电子表格应用程序,打开 .csv 文件。

    注意

    如果您的报告为 5 MB 或更大,您可能会收到多个文件。

例 :summary.json 文件

文件显示组织中账户的数量以及每个类别的检查状态。summary.json

Trusted Advisor 对检查结果使用以下颜色代码:

  • Green – Trusted Advisor 未检测到检查问题。

  • Yellow – Trusted Advisor 检测到检查可能存在问题。

  • Red – Trusted Advisor 检测到错误并建议执行检查操作。

  • Blue – Trusted Advisor 无法确定检查的状态。

在以下示例中,两个检查是 Red,一个是 Green,一个是 Yellow

{ "numAccounts": 3, "filtersApplied": { "accountIds": ["123456789012","111122223333","111111111111"], "checkIds": "All", "categories": [ "security", "performance" ], "statuses": "All", "regions": [ "us-west-1", "us-west-2", "us-east-1" ], "organizationalUnitIds": [ "ou-xa9c-EXAMPLE1", "ou-xa9c-EXAMPLE2" ] }, "categoryStatusMap": { "security": { "statusMap": { "ERROR": { "name": "Red", "count": 2 }, "OK": { "name": "Green", "count": 1 }, "WARN": { "name": "Yellow", "count": 1 } }, "name": "Security" } }, "accountStatusMap": { "123456789012": { "security": { "statusMap": { "ERROR": { "name": "Red", "count": 2 }, "OK": { "name": "Green", "count": 1 }, "WARN": { "name": "Yellow", "count": 1 } }, "name": "Security" } } } }

例 :schema.json 文件

文件包含报告中检查的架构。schema.json以下示例包括 IDs 密码策略 (Yw2K9puPzl) 和 IAM 密钥轮换 (DqdJqYeRm5) 检查的 IAM 和属性。

{ "Yw2K9puPzl": [ "Password Policy", "Uppercase", "Lowercase", "Number", "Non-alphanumeric", "Status", "Reason" ], "DqdJqYeRm5": [ "Status", "IAM User", "Access Key", "Key Last Rotated", "Reason" ], ... }

例 :sources.csv 文件

文件包含有关组织中的资源的信息。resources.csv此示例显示报告中显示的一些数据列,如下所示:

  • 受影响账户的账户 ID

  • 检查 IDTrusted Advisor

  • 资源 ID

  • 报告的时间戳

  • 检查的全名Trusted Advisor

  • 检查类别Trusted Advisor

  • 父组织部门 (OU) 或根的账户 ID


                            的示例 CSV 资源报告的屏幕截图。Trusted Advisor

仅当资源级别存在检查结果时,资源文件才会包含条目。您可能因为以下原因在报告中看不到检查:

  • 某些检查(如根账户上的 MFA)没有资源,并且不会显示在报告中。而没有资源的检查将出现在 summary.json 文件中。

  • 某些检查仅在资源为 RedYellow 时才显示资源。 如果所有资源均为 Green,则它们可能不会显示在您的报告中。

  • 如果没有为需要检查的服务启用账户,则检查可能不会显示在报告中。例如,如果您没有在组织中使用 Amazon Elastic Compute Cloud 预留实例,则 Amazon EC2 预留实例租期检查将不会显示在您的报告中。

  • 账户未刷新检查结果。当具有基本或开发人员支持计划的用户首次登录到 Trusted Advisor 控制台时,可能会发生这种情况。如果您使用的是“商业”或“企业”支持计划,则从账户注册到用户最多可能需要一周来查看检查结果。有关更多信息,请参阅刷新 Trusted Advisor 检查

  • 如果只有组织的 管理账户 已启用检查建议,则报告不会包含组织中其他账户的资源。

对于资源文件,您可以使用 Microsoft Excel 等常见软件来打开 .csv 文件格式。您可以使用 .csv 文件对组织中所有账户的所有检查进行一次性分析。如果要将报告与应用程序一起使用,您可以改为将报告下载为 .json 文件。

与 .csv 文件格式相比,.json 文件格式为高级使用案例提供了更大的灵活性,例如使用多个数据集进行聚合和高级分析。例如,您可以将 SQL 接口与 AWS 服务(如 Amazon Athena)结合使用来对报告运行查询。您还可以使用 Amazon QuickSight 创建控制面板并实现数据可视化。有关更多信息,请参阅使用其他 AWS 服务查看 Trusted Advisor 报告

禁用组织视图

按照此过程禁用组织视图。您必须登录到组织的 管理账户,或代入具有所需权限的角色以禁用此功能。您无法从组织中的另一个账户禁用此功能。

在禁用此功能后,将发生以下情况:

  • Trusted Advisor 作为 组织 中的可信服务被删除。

  • 服务相关角色在组织的 AWSServiceRoleForTrustedAdvisorReporting 中解锁。管理账户这意味着,您可以手动删除它 (如果需要)。

  • 您无法为您的组织创建、查看或下载报告。要访问以前创建的报告,您必须从 Trusted Advisor 控制台重新启用组织视图。请参阅 启用组织视图

禁用 Trusted Advisor 的组织视图

  1. 登录组织的 管理账户,并通过以下网址打开 AWS Trusted Advisor 控制台:trustedadvisorhttps://console.amazonaws.cn/。

  2. 在左侧导航窗格中,选择 Preferences (首选项)

  3. Organizational View (组织视图) 下,选择 Disable organizational view (禁用组织视图)

    
                        如何禁用 Trusted Advisor 组织视图的屏幕截图。

禁用组织视图后,Trusted Advisor 不再聚合组织中的其他 AWS 账户的检查。但是,AWSServiceRoleForTrustedAdvisorReporting 服务相关角色保留在组织的 管理账户 上,直到您通过 IAM 控制台、IAM API 或 AWS Command Line Interface (AWS CLI) 将其删除。有关更多信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role 中的删除服务相关角色IAM 用户指南。