本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 的组织视图 Amazon Trusted Advisor
组织视图允许您查看您中所有账户的 Trusted Advisor 支票[Amazon Organizations](https://www.amazonaws.cn/organizations/)。启用此功能后,您可以创建报告来聚合组织中所有成员账户的检查结果。该报告包括检查结果的摘要以及每个账户的受影响资源的信息。例如,您可以使用这些报告通过 IAM 使用检查来确定组织中的哪些账户正在使用 Amazon Identity and Access Management (IAM),或者您是否有通过 Amazon S3 存储桶权限检查对亚马逊简单存储服务 (Amazon S3) Simple S3 存储桶执行的操作建议。
**注意**
组织视图功能在中国区域中不可用。
**Topics**
+ [先决条件](#prerequisites-organizational-view)
+ [启用组织视图](#enable-organizational-view)
+ [刷新 Trusted Advisor 支票](#refresh-trusted-advisor-checks)
+ [创建组织视图报告](#create-organizational-view-reports)
+ [查看报告摘要](#view-organizational-reports)
+ [下载组织视图报告](#download-organizational-view-reports)
+ [禁用组织视图](#disable-organizational-view)
+ [使用 IAM 策略允许访问组织视图](organizational-view-iam-policies.md)
+ [使用其他 Amazon 服务查看 Trusted Advisor 报告](use-other-aws-services-with-trusted-advisor-reports.md)
## 先决条件
您必须满足以下要求才能启用组织视图:
+ 您的账户必须是 [Amazon Organizations](https://www.amazonaws.cn/organizations/) 的成员。
+ 您的组织必须已启用 Organizations 的所有功能。有关更多信息,请参阅 *Amazon Organizations 用户指南*中的[启用组织中的所有功能](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 组织中的管理账户必须有 B Amazon usiness Support\$1、En Amazon terprise Support 或 Amazon 统一运营计划。您可以从 Amazon Web Services 支持 中心或 Support plans 页面找到您的[支持计划](https://console.amazonaws.cn/support/plans)。请参阅[比较 Amazon Web Services 支持 计划](https://www.amazonaws.cn/premiumsupport/plans/)。
+ 您必须以[管理账户](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_accounts.html)中的用户身份(或[承担的等效角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use_switch-role-console.html))登录。无论您是以 IAM 用户还是 IAM 角色登录,您都必须拥有具有所需权限的策略。请参阅[使用 IAM 策略允许访问组织视图](organizational-view-iam-policies.md)。
## 启用组织视图
满足上述先决条件之后,请按照以下步骤启用组织视图。启用此功能后,将出现以下情况:
+ Trusted Advisor 已作为*可信服务*在您的组织中启用。有关更多信息,请参阅 *Amazon Organizations 用户指南*中的[使用其他 Amazon 服务启用可信访问权限](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_integrate_services.html)。
+ `AWSServiceRoleForTrustedAdvisorReporting` service-linked-role是在您组织的管理账户中为您创建的。此角色包括代表您调用 Organizations Trusted Advisor 所需的权限。此服务关联角色已锁定,您无法手动删除它。有关更多信息,请参阅 [将服务相关角色用于 Trusted Advisor](using-service-linked-roles-ta.md)。
您可以从 Trusted Advisor 控制台启用组织视图。
**要启用组织视图**
1. 以管理员身份登录组织的管理账户,然后在 [https://console.aws.amazon.com/trust](https://console.amazonaws.cn/trustedadvisor/) edadviso Amazon Trusted Advisor r 上打开控制台。
1. 在导航窗格中的 **Preferences**(首选项)下,选择 **Your organization**(您的组织)。
1. 在 “通过以下**方式启用可信访问” 下 Amazon Organizations**,打开 “**启用”**。
**注意**
为管理账户启用组织视图不会为所有成员账户提供相同的检查。例如,如果您的成员账户都具有基本支持,那么这些账户将不会拥有与管理账户相同的检查。该 Amazon Web Services 支持 计划决定了哪些 Trusted Advisor 支票可用于账户。
## 刷新 Trusted Advisor 支票
在为组织创建报告之前,我们建议您刷新 Trusted Advisor 支票的状态。您可以下载报告,而无需刷新 Trusted Advisor 检查,但您的报告可能不包含最新信息。
如果您有 B Amazon usiness Support\$1、En Amazon terprise Support 或 Amazon 统一运营计划,则每周 Trusted Advisor 自动刷新账户中的支票。
**注意**
如果您的组织中有拥有开发者或基本支持计划的账户,则这些账户的用户必须登录 Trusted Advisor 控制台才能刷新支票。您无法刷新组织管理账户中的所有账户的检查。
**刷新 Trusted Advisor 支票**
1. 在 [https://console.aws.amazon.com/trust](https://console.amazonaws.cn/trustedadvisor/) edad Amazon Trusted Advisor visor 上导航到控制台。
1. 在 **Trusted Advisor 建议**页面上,选择**刷新所有检查**。这将刷新您账户中的所有检查。
您也可以通过以下方式刷新特定检查:
+ 使用 [RefreshTrustedAdvisorCheck](https://docs.amazonaws.cn/awssupport/latest/APIReference/API_RefreshTrustedAdvisorCheck.html) API 操作。
+ 选择刷新图标 (![\[Circular arrow icon representing a refresh or reload action.\]](http://docs.amazonaws.cn/awssupport/latest/user/images/refresh.png)) 进行单独检查。
## 创建组织视图报告
启用组织视图后,您可以创建报告,以便可以查看组织的 Trusted Advisor 检查结果。
您最多可以创建 50 个报告。如果创建的报告超出此配额, Trusted Advisor 会删除最早的报告。您无法恢复已删除的报告。
**要创建组织视图报告**
1. 登录组织的管理账户,然后在 [https://console.aws.amazon.com/trust](https://console.amazonaws.cn/trustedadvisor/) edadviso Amazon Trusted Advisor r 上打开控制台。
1. 在导航窗格中,选择 **Organizational View**(组织视图)。
1. 选择**创建报告**。
1. 默认情况下,该报告包括全部 Amazon Web Services 区域、支票类别、支票和资源状态。在 **Create report**(创建报告)页面上,您可以使用筛选条件选项自定义报告。例如,您可以清除**区域**的 **All**(全部)选项,然后指定要包括在报告中的单个区域。
1. 输入报告的 **Name**(名称)。
1. 对于 **Format**,选择 **JSON** 或 **CSV**。
1. 对于 “**区域**”,指定 Amazon Web Services 区域 或选择 “**全部**”。
1. 对于 **Check category**(检查类别),选择检查类别或选择 **All**(全部)。
1. 对于 **Checks**(检查),选择该类别的特定检查,或选择 **All**(全部)。
**注意**
**Check category**(检查类别)筛选条件将覆盖 **Checks**(检查)筛选条件。例如,如果您选择 **Security**(安全)类别,然后选择特定的检查名称,则您的报告将包含该类别的所有检查结果。若要仅针对特定检查创建报告,请为**检查类别**保留默认的 **All**(全部)值,然后选择您的检查名称。
1. 对于 **Resource status**(资源状态),选择要筛选的状态,如 **Warning**(警告),或选择 **All**(全部)。
1. 对于 **Amazon Organizations**,请选择要包含在报告中的组织单位 (OUs)。有关的更多信息 OUs,请参阅《*Amazon Organizations 用户指南》*中的[管理组织单位](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_ous.html)。
1. 选择**创建报告**。
**Example :创建报告筛选条件选项**
以下示例为以下选项创建 JSON 报告:
+ 三 Amazon Web Services 区域
+ 所有的**安全**和**性能**检查
在以下示例中,该报告包括**支持小组**组织单位和一个属于该组织的 Amazon 账户。
**注意**
创建报告所需的时间量取决于组织中的账户数量以及每个账户中的资源数量。
您不能一次创建多个报告,除非当前报告已运行超过 6 个小时。
如果您没有看到报告显示在页面上,请刷新页面。
## 查看报告摘要
报告准备就绪后,您可以从 Trusted Advisor 控制台查看报告摘要。这样,您就可以快速查看整个组织的检查结果摘要。
**要查看报告摘要**
1. 登录组织的管理账户,然后在 [https://console.aws.amazon.com/trust](https://console.amazonaws.cn/trustedadvisor/) edadviso Amazon Trusted Advisor r 上打开控制台。
1. 在导航窗格中,选择 **Organizational View**(组织视图)。
1. 选择报告名称。
1. 在 **Summary**(摘要)页面上,查看每种类别的检查状态。您还可以选择 **Download report**(下载报告)。
## 下载组织视图报告
报告准备就绪后,从 Trusted Advisor 控制台下载。报告是一个 .zip 文件,其中包含三个文件:
+ `summary.json` – 包含每种检查类别的检查结果的摘要。
+ `schema.json` – 包含报告中指定检查的 schema。
+ 资源文件(.json 或 .csv)– 包含有关组织中资源的检查状态的详细信息。
**要下载组织视图报告**
1. 登录组织的管理账户,然后在 [https://console.aws.amazon.com/trust](https://console.amazonaws.cn/trustedadvisor/) edadviso Amazon Trusted Advisor r 上打开控制台。
1. 在导航窗格中,选择 **Organizational View**(组织视图)。
**Organizational View**(组织视图)页面显示可供下载的报告。
1. 选择一个报告,选择 **Download report**(下载报告),然后保存文件。一次只能下载一个报告。
1. 解压缩该文件。
1. 使用文本编辑器打开 `.json`文件或使用电子表格应用程序打开 `.csv` 文件。
**注意**
如果您的报告为 5MB 或以上,您可能会收到多个文件。
**Example :summary.json 文件**
`summary.json` 文件显示组织中的账户数量以及每种类别中的检查的状态。
Trusted Advisor 使用以下颜色代码来表示检查结果:
+ `Green`— Trusted Advisor 未检测到支票存在问题。
+ `Yellow`— Trusted Advisor 检测支票可能存在的问题。
+ `Red`— Trusted Advisor 检测到错误并建议检查操作。
+ `Blue`— Trusted Advisor 无法确定支票的状态。
在以下示例中,两个检查为 `Red`,一个为 `Green`,一个为 `Yellow`。
```
{
"numAccounts": 3,
"filtersApplied": {
"accountIds": ["123456789012","111122223333","111111111111"],
"checkIds": "All",
"categories": [
"security",
"performance"
],
"statuses": "All",
"regions": [
"us-west-1",
"us-west-2",
"us-east-1"
],
"organizationalUnitIds": [
"ou-xa9c-EXAMPLE1",
"ou-xa9c-EXAMPLE2"
]
},
"categoryStatusMap": {
"security": {
"statusMap": {
"ERROR": {
"name": "Red",
"count": 2
},
"OK": {
"name": "Green",
"count": 1
},
"WARN": {
"name": "Yellow",
"count": 1
}
},
"name": "Security"
}
},
"accountStatusMap": {
"123456789012": {
"security": {
"statusMap": {
"ERROR": {
"name": "Red",
"count": 2
},
"OK": {
"name": "Green",
"count": 1
},
"WARN": {
"name": "Yellow",
"count": 1
}
},
"name": "Security"
}
}
}
}
```
**Example :schema.json 文件**
`schema.json` 文件包含报告中的检查的 schema。以下示例包括 IAM 密码策略 (Yw2K9puPzl) IDs 和 IAM 密钥轮换 (DqdJqYeRm5) 检查的和属性。
```
{
"Yw2K9puPzl": [
"Password Policy",
"Uppercase",
"Lowercase",
"Number",
"Non-alphanumeric",
"Status",
"Reason"
],
"DqdJqYeRm5": [
"Status",
"IAM User",
"Access Key",
"Key Last Rotated",
"Reason"
],
...
}
```
**Example**
`resources.csv` 文件包含组织中资源的相关信息。此示例显示了报告中显示的一些数据列,如下所示:
+ 受影响账户的账户 ID
+ 支 Trusted Advisor 票编号
+ 资源 ID
+ 报告的时间戳
+ Trusted Advisor 支票的全名
+ 支 Trusted Advisor 票类别
+ 父组织单位 (OU) 或根账户的账户 ID
仅当存在资源级别检查结果时,资源文件才包含条目。您可能不会在报告中看到检查,原因如下:
+ 某些检查,例如**根账户上的 MFA**,没有资源,也不会显示在报告中。无资源的检查将改为显示在 `summary.json` 文件中。
+ 有些检查仅在它们为 `Red` 或者 `Yellow` 时显示资源。如果所有资源都为 `Green`,则它们可能不会出现在您的报告中。
+ 如果没有为需要检查的服务启用账户,则检查可能不会显示在报告中。例如,如果您的组织中没有使用 Amazon Elastic Compute Cloud 预留实例,则 Amazon EC2 Reserved Instance Lease Expiration 检查将不会显示在您的报告中。
+ 账户尚未刷新检查结果。当拥有基本或开发者支持计划的用户首次登录 Trusted Advisor 主机时,可能会发生这种情况。如果您有 B Amazon usiness Support\$1、En Amazon terprise Support 或 Amazon Unified Operations 计划,则用户从注册账户起最多可能需要一周的时间才能看到检查结果。有关更多信息,请参阅 [刷新 Trusted Advisor 支票](#refresh-trusted-advisor-checks)。
+ 如果只有组织的管理账户启用了检查建议,则报告将不会包括组织中其他账户的资源。
对于资源文件,您可以使用常用软件(如 Microsoft Excel)打开 .csv 文件格式。您可以使用 .csv 文件对组织中所有账户中的所有检查进行一次性分析。如果要将报告与应用程序一起使用,则可以将报告作为 .json 文件下载。
.json 文件格式比 .csv 文件格式提供的灵活度更大,可用于高级使用案例,例如使用多个数据集的聚合和高级分析。例如,您可以将 SQL 接口与诸如 Amazon Athena 之类的 Amazon 服务结合使用,对您的报告进行查询。您还可以使用 Amazon Quick 创建控制面板并可视化您的数据。有关更多信息,请参阅 [使用其他 Amazon 服务查看 Trusted Advisor 报告](use-other-aws-services-with-trusted-advisor-reports.md)。
## 禁用组织视图
按照此程序来禁用组织视图。您必须登录组织的管理账户,或承担具有禁用此功能所需权限的角色。您无法从组织中的其他账户禁用此功能。
禁用此功能后,将出现以下情况:
+ Trusted Advisor 已作为可信服务在 Organizations 中删除。
+ `AWSServiceRoleForTrustedAdvisorReporting` 服务关联角色在您组织的管理账户中解锁。这意味着如果需要,您可以手动删除它。
+ 您无法为组织创建、查看或下载报告。要访问以前创建的报告,您必须从 Trusted Advisor 控制台中重新启用组织视图。请参阅[启用组织视图](#enable-organizational-view)。
**要禁用组织视图 Trusted Advisor**
1. 登录组织的管理账户,然后在 [https://console.aws.amazon.com/trust](https://console.amazonaws.cn/trustedadvisor/) edadviso Amazon Trusted Advisor r 上打开控制台。
1. 在导航窗格中,选择**首选项**。
1. 在 **Organizational View**(组织视图)下,选择 **Disable organizational view**(禁用组织视图)。
禁用组织视图后,将 Trusted Advisor 不再汇总组织中其他 Amazon 账户的支票。但是,在您通过 IAM 控制台、IAM API 或 Amazon Command Line Interface (Amazon CLI) 将其删除之前,`AWSServiceRoleForTrustedAdvisorReporting`服务相关角色仍保留在组织的管理账户中。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
**注意**
您可以使用其他 Amazon 服务来查询和可视化组织视图报告中的数据。有关更多信息,请参阅以下资源:
*Amazon 管理和治理博客*中的[使用 Amazon Organizations大规模查看 Amazon Trusted Advisor 建议](https://www.amazonaws.cn/blogs/mt/organizational-view-for-trusted-advisor/)
[使用其他 Amazon 服务查看 Trusted Advisor 报告](use-other-aws-services-with-trusted-advisor-reports.md)