管理对 Amazon Trusted Advisor 的访问 - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

管理对 Amazon Trusted Advisor 的访问

您可以从 Amazon Trusted Advisor访问 Amazon Web Services Management Console。所有 Amazon 账户都有权访问特色级核心 Trusted Advisor 检查。如果您拥有商业、Enterprise On-Ramp 或企业 Support 计划,则可以访问所有检查。有关更多信息,请参阅 Amazon Trusted Advisor 检查引用

您可以使用 Amazon Identity and Access Management (IAM) 控制对 Trusted Advisor 的访问权限。

Trusted Advisor 控制台的权限

要访问 Trusted Advisor 控制台,用户必须拥有一组最低的权限。这些权限必须允许用户列出和查看有关您的 Amazon Web Services 账户 中的 Trusted Advisor 资源的详细信息。

可以使用以下选项来控制对 Trusted Advisor 的访问:

  • 使用 Trusted Advisor 控制台的标签筛选条件功能。用户或角色必须具有与标签关联的权限。

    可以使用 Amazon 托管策略或自定义策略来按标签分配权限。有关更多信息,请参阅 使用标签控制对 IAM 用户和角色的访问

  • 使用 trustedadvisor 命名空间创建 IAM 策略。您可以使用此策略来指定操作和资源的权限。

创建策略时,可以指定服务的命名空间来允许或拒绝操作。Trusted Advisor 的命名空间为 trustedadvisor。但是,不能使用 trustedadvisor 命名空间来允许或拒绝 Amazon Web Services Support API 中的 Trusted Advisor API 操作。相反,您必须使用 Amazon Web Services Support 的 support 命名空间。

注意

如果您具有 Amazon Web Services Support API 的权限,则 Amazon Web Services Management Console 中的 Trusted Advisor 小部件将显示 Trusted Advisor 结果的摘要视图。要在 Trusted Advisor 控制台中查看结果,您必须具有 trustedadvisor 命名空间的权限。

Trusted Advisor 操作

可以在控制台中执行以下 Trusted Advisor 操作。还可以在 IAM 策略中指定这些 Trusted Advisor 操作以允许或拒绝特定操作。

操作 说明

DescribeAccount

授予权限以查看 Amazon Web Services Support 计划和各种 Trusted Advisor 首选项。

DescribeAccountAccess

授予权限以查看 Amazon 账户启用还是禁用了 Trusted Advisor。

DescribeCheckItems

授予权限以查看检查项目的详细信息。

DescribeCheckRefreshStatuses

授予权限以查看 Trusted Advisor 检查的刷新状态。

DescribeCheckSummaries

授予权限以查看 Trusted Advisor 检查摘要。

DescribeChecks

授予权限以查看 Trusted Advisor 检查的详细信息。

DescribeNotificationPreferences

授予权限以查看 Amazon 账户的通知首选项。

ExcludeCheckItems

授予权限以排除 Trusted Advisor 检查的建议。

IncludeCheckItems

授予权限以包含 Trusted Advisor 检查的建议。

RefreshCheck

授予权限以刷新 Trusted Advisor 检查。

SetAccountAccess

授予权限以便为账户启用或禁用 Trusted Advisor。

UpdateNotificationPreferences

授予权限以更新 Trusted Advisor 的通知首选项。

组织视图的 Trusted Advisor 操作

以下 Trusted Advisor 操作用于组织视图功能。有关更多信息,请参阅 Amazon Trusted Advisor 的组织视图

操作 说明

DescribeOrganization

授予权限以查看 Amazon 账户是否满足启用组织视图功能的要求。

DescribeOrganizationAccounts

授予权限以查看组织中的关联 Amazon 账户。

DescribeReports

授予权限以查看组织视图报告的详细信息(例如,报告名称、运行时间、创建日期、状态和格式)。

DescribeServiceMetadata

授予权限以查看有关组织视图报告的信息(例如,Amazon 区域、检查类别、检查名称和资源状态)。

GenerateReport

授予权限以便为组织中的 Trusted Advisor 检查创建报告。

ListAccountsForParent

授予在 Trusted Advisor 控制台中查看 Amazon 组织中由根或组织单位 (OU) 包含的所有账户的权限。

ListOrganizationalUnitsForParent

授予在 Trusted Advisor 控制台中查看父组织单位或根中所有组织单位 (OU) 的权限。

ListRoots

授予在 Trusted Advisor 控制台中查看 Amazon 组织中定义的所有根的权限。

SetOrganizationAccess

授予权限以便为 Trusted Advisor 启用组织视图功能。

Amazon Trusted Advisor Priority 操作

如果为您的账户启用了 Amazon Trusted Advisor Priority,则可以在控制台中执行以下 Trusted Advisor 操作;您还可以在 IAM 策略中添加这些 Trusted Advisor 操作来允许或拒绝特定操作。有关更多信息,请参阅 Amazon Trusted Advisor Priority 的 IAM 策略示例

注意

Amazon Trusted Advisor Priority 中出现的风险是您的技术客户经理 (TAM) 为您的账户确定的建议。系统会自动为您创建来自服务的建议,例如 Trusted Advisor 检查。来自 TAM 的建议是手动为您创建的。接下来,您的 TAM 会发送这些建议,以便它们出现在您账户的 Amazon Trusted Advisor Priority 中。

有关更多信息,请参阅 Amazon Trusted Advisor Priority 入门

操作 说明

DescribeRisks

授予权限以查看 Amazon Trusted Advisor Priority 中的风险。

DescribeRisk

授予权限以查看 Amazon Trusted Advisor Priority 中的风险详细信息。

DescribeRiskResources

授予权限以查看 Amazon Trusted Advisor Priority 中受影响的风险资源。

UpdateRiskStatus

授予权限以更新 Amazon Trusted Advisor Priority 中的风险状态。

DownloadRisk

授予权限以下载包含 Amazon Trusted Advisor Priority 中风险详细信息的文件。

IAM 策略示例

以下策略介绍如何允许和拒绝对 Trusted Advisor 的访问。您可以使用下面的策略之一来在 IAM 控制台中创建客户托管策略。例如,您可以复制示例策略,然后将其粘贴到 IAM 控制台的 JSON 选项卡中。然后,将策略附加您的 IAM 用户、组或角色。

有关如何创建 IAM 策略的更多信息,请参阅 IAM 用户指南中的创建 IAM 策略(控制台)

对 Trusted Advisor 的完全访问权限

以下策略允许用户在 Trusted Advisor 控制台中查看和执行针对所有 Trusted Advisor 检查的所有操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" } ] }

对 Trusted Advisor 的只读访问权限

以下策略允许用户对 Trusted Advisor 控制台进行只读访问。用户无法进行任何更改,例如刷新检查或更改通知首选项。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:Describe*", "Resource": "*" } ] }

拒绝对 Trusted Advisor 的访问

以下策略不允许用户在 Trusted Advisor 控制台中查看或执行针对 Trusted Advisor 检查的操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "trustedadvisor:*", "Resource": "*" } ] }

允许和拒绝特定操作

以下策略允许用户在 Trusted Advisor 控制台中查看所有 Trusted Advisor 检查,但不允许用户刷新任何检查。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:RefreshCheck", "Resource": "*" } ] }

控制对 Amazon Web Services Support 的 Trusted Advisor API 操作的访问

在 Amazon Web Services Management Console中,单独的 trustedadvisor IAM 命名空间控制对 Trusted Advisor 的访问。不能使用 trustedadvisor 命名空间来允许或拒绝 Trusted Advisor API 中的 Amazon Web Services Support API 操作。相反,可以使用 support IAM 命名空间。您必须具有对 Amazon Web Services Support API 的权限才能以编程方式调用 Trusted Advisor。

例如,如果您要调用 RefreshTrustedAdvisorCheck 操作,则必须在策略中具有此操作的权限。

例 :仅允许 Trusted Advisor API 操作

以下策略允许用户访问 Trusted Advisor 的 Amazon Web Services Support API 操作,而不允许用户访问其余的 Amazon Web Services Support API 操作。例如,用户可以使用 API 查看和刷新检查。它们无法创建、查看、更新或解析 Amazon Web Services Support 案例。

您可以使用此策略以编程方式调用 Trusted Advisor API 操作,但您无法使用此策略在 Trusted Advisor 控制台中查看或刷新检查。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:DescribeTrustedAdvisorCheckRefreshStatuses", "support:DescribeTrustedAdvisorCheckResult", "support:DescribeTrustedAdvisorChecks", "support:DescribeTrustedAdvisorCheckSummaries", "support:RefreshTrustedAdvisorCheck", "trustedadvisor:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeServices", "support:DescribeSeverityLevels", "support:ResolveCase" ], "Resource": "*" } ] }

有关 IAM 如何使用 Amazon Web Services Support 和 Trusted Advisor 的更多信息,请参阅 操作

Amazon Trusted Advisor Priority 的 IAM 策略示例

您可以使用以下示例策略来管理对 Amazon Trusted Advisor Priority 的访问。有关更多信息,请参阅 Amazon Trusted Advisor Priority 入门

对 Amazon Trusted Advisor Priority 进行完全访问

以下策略允许用户对 Amazon Trusted Advisor Priority 进行完全访问。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:DescribeRisk*", "Resource": "*" }, { "Effect": "Allow", "Action": "trustedadvisor:DownloadRisk*", "Resource": "*" }, { "Effect": "Allow", "Action": "trustedadvisor:UpdateRiskStatus", "Resource": "*" } ] }

对 Amazon Trusted Advisor Priority 进行只读访问

以下策略允许对 Amazon Trusted Advisor Priority 进行只读访问。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:DescribeRisk*", "Resource": "*" }, { "Effect": "Allow", "Action": "trustedadvisor:DownloadRisk*", "Resource": "*" } ] }

拒绝访问 Amazon Trusted AdvisorPriority

以下策略不允许用户访问 Amazon Trusted Advisor Priority。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "trustedadvisor:DescribeRisk*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:DownloadRisk*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:UpdateRiskStatus", "Resource": "*" } ] }

允许和拒绝 Amazon Trusted Advisor Priority 的操作

以下策略允许用户查看 Amazon Trusted Advisor Priority 中的风险,但不能下载有关风险的文件。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:DescribeRisk*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:DownloadRisk*", "Resource": "*" } ] }

另请参阅

有关 Trusted Advisor 权限的更多信息,请参阅以下资源: