管理访问权限 Amazon Trusted Advisor - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理访问权限 Amazon Trusted Advisor

您可以 Amazon Trusted Advisor 从中访问 Amazon Web Services Management Console。所有 Amazon Web Services 账户 人都可以访问精选的核心Trusted Advisor 支票。如果您拥有商业、Enterprise On-Ramp 或企业 Support 计划,则可以访问所有检查。有关更多信息,请参阅 Amazon Trusted Advisor 检查引用

您可以使用 Amazon Identity and Access Management (IAM) 来控制对的访问权限 Trusted Advisor。

Trusted Advisor 控制台的权限

要访问 Trusted Advisor 控制台,用户必须拥有一组最低权限。这些权限必须允许用户列出和查看有关您的 Trusted Advisor 资源的详细信息 Amazon Web Services 账户。

可以使用以下选项来控制对 Trusted Advisor的访问:

  • 使用 Trusted Advisor 控制台的标签筛选功能。用户或角色必须具有与标签关联的权限。

    您可以使用 Amazon 托管策略或自定义策略按标签分配权限。有关更多信息,请参阅 使用标签控制对 IAM 用户和角色的访问

  • 使用 trustedadvisor 命名空间创建 IAM policy。您可以使用此策略来指定操作和资源的权限。

创建策略时,可以指定服务的命名空间来允许或拒绝操作。的命名空间 Trusted Advisor 是trustedadvisor。但是,您不能使用trustedadvisor命名空间来允许或拒绝 Trusted Advisor API 中的 Amazon Web Services Support API 操作。相反,您必须使用 Amazon Web Services Support 的 support 命名空间。

注意

如果您拥有Amazon Web Services Support该 API 的权限,则中的 Trusted Advisor 微件会 Amazon Web Services Management Console 显示 Trusted Advisor 结果的摘要视图。要在 Trusted Advisor 控制台中查看结果,您必须拥有trustedadvisor命名空间的权限。

Trusted Advisor 行动

您可以在控制台中执行以下 Trusted Advisor 操作。您也可以在 IAM 策略中指定这些 Trusted Advisor 操作以允许或拒绝特定操作。

操作 描述

DescribeAccount

授予查看 Amazon Web Services Support 计划和各种 Trusted Advisor 首选项的权限。

DescribeAccountAccess

授予查看是 Amazon Web Services 账户 启用还是禁用的权限 Trusted Advisor。

DescribeCheckItems

授予权限以查看检查项目的详细信息。

DescribeCheckRefreshStatuses

授予权限以查看 Trusted Advisor 检查的刷新状态。

DescribeCheckSummaries

授予 Trusted Advisor 查看支票摘要的权限。

DescribeChecks

授予查看 Trusted Advisor 支票详细信息的权限。

DescribeNotificationPreferences

授予权限以查看 Amazon 账户的通知首选项。

ExcludeCheckItems

授予权限以排除 Trusted Advisor 检查的建议。

IncludeCheckItems

授予权限以包含 Trusted Advisor 检查的建议。

RefreshCheck

授予刷新 Trusted Advisor 支票的权限。

SetAccountAccess

授予账户启用或禁 Trusted Advisor 用的权限。

UpdateNotificationPreferences

授予权限以更新 Trusted Advisor的通知首选项。

DescribeCheckStatusHistoryChanges

授予查看过去 30 天内检查的结果和更改状态的权限。

Trusted Advisor 组织视图的操作

以下 Trusted Advisor 操作适用于组织视图功能。有关更多信息,请参阅 Amazon Trusted Advisor 的组织视图

操作 描述

DescribeOrganization

授予查看是否 Amazon Web Services 账户 满足启用组织视图功能的要求的权限。

DescribeOrganizationAccounts

授予查看组织中关联 Amazon 账户的权限。

DescribeReports

授予权限以查看组织视图报告的详细信息(例如,报告名称、运行时间、创建日期、状态和格式)。

DescribeServiceMetadata

授予查看组织视图报告相关信息的权限,例如支票类别、支票名称和资源状态。 Amazon Web Services 区域

GenerateReport

授予在组织中创建 Trusted Advisor 支票报告的权限。

ListAccountsForParent

授予在 Trusted Advisor 控制台中查看组织中由根或 Amazon 组织单位 (OU) 包含的所有账户的权限。

ListOrganizationalUnitsForParent

授予在 Trusted Advisor 控制台中查看上级组织单位或根目录中所有组织单位 (OU) 的权限。

ListRoots

授予在 Trusted Advisor 控制台中查看 Amazon 组织中定义的所有根目录的权限。

SetOrganizationAccess

授予启用组织视图功能的权限 Trusted Advisor。

Trusted Advisor 优先行动

如果您为账户启用了 Trusted Advisor 优先级,则可以在控制台中执行以下 Trusted Advisor 操作。还可以在 IAM policy 中添加这些 Trusted Advisor 操作以允许或拒绝特定操作。有关更多信息,请参阅 Trusted Advisor Priority 的 IAM policy 示例

注意

Trusted Advisor 优先级中显示的风险是您的技术客户经理 (TAM) 为您的账户确定的建议。系统会自动为您创建来自服务的推荐,例如 Trusted Advisor 支票。来自 TAM 的建议是手动为您创建的。接下来,您的 TAM 会发送这些推荐,使其显示在您账户的 “ Trusted Advisor 优先级” 中。

有关更多信息,请参阅 Amazon Trusted Advisor Priority 入门

操作 描述

DescribeRisks

授予按 Trusted Advisor 优先级查看风险的权限。

DescribeRisk

授予在 “ Trusted Advisor 优先级” 中查看风险详细信息的权限。

DescribeRiskResources

授予权限以查看 Trusted Advisor Priority 中受影响的风险资源。

DownloadRisk

授予下载包含 Trusted Advisor 优先级风险详细信息的文件的权限。

UpdateRiskStatus

授予权限以更新 Trusted Advisor Priority 中的风险状态。

DescribeNotificationConfigurations

授予获取 Trusted Advisor 优先级电子邮件通知首选项的权限。

UpdateNotificationConfigurations

授予权限以创建或更新 Trusted Advisor Priority 的电子邮件通知首选项。

DeleteNotificationConfigurationForDelegatedAdmin

向组织管理账户授予权限,允许其从 Priority 的委托管理员账户中删除电子邮件通知首选项。 Trusted Advisor

Trusted Advisor 参与行动

如果您为账户启用了 Eng Trusted Advisor age,则可以在控制台中执行以下 Trusted Advisor 操作。您也可以在 IAM 策略中添加这些 Trusted Advisor 操作以允许或拒绝特定操作。有关更多信息,请参阅 Trusted Advisor Engage 的 IAM policy 示例

有关更多信息,请参阅 开始使用 Amazon Trusted Advisor Engage(预览版)

操作 描述

CreateEngagement

授予在 Engage 中创建 Trusted Advisor 互动的权限。

CreateEngagementAttachment

授予在 Engage 中创建 Trusted Advisor 参与附件的权限。

CreateEngagementCommunication

授予在 Eng Trusted Advisor age 中创建互动沟通的权限。

GetEngagement

授予在 Engage 中 Trusted Advisor 查看互动的权限。

GetEngagementAttachment

授予在 Engage 中查看互动附件的 Trusted Advisor 权限。

GetEngagementType

授予在 Eng Trusted Advisor age 中查看特定互动类型的权限。

ListEngagementCommunications

在 Trusted Advisor Engage 中授予查看所有参与通信的权限。

ListEngagements

授予在 Engage 中查看所有 Trusted Advisor 互动的权限。

ListEngagementTypes

授予在 Engage 中查看所有 Trusted Advisor 互动类型的权限。

UpdateEngagement

授予在 Engage 中更新 Trusted Advisor 参与详情的权限。

UpdateEngagementStatus

授予在 Engage 中更新 Trusted Advisor 参与状态的权限。

IAM 策略 示例

以下策略介绍如何允许和拒绝对 Trusted Advisor的访问。您可以使用下面的策略之一来在 IAM 控制台中创建客户托管策略。例如,您可以复制示例策略,然后将其粘贴到 IAM 控制台的 JSON 选项卡中。然后,将策略附加您的 IAM 用户、组或角色。

有关如何创建 IAM policy 的更多信息,请参阅 IAM 用户指南中的创建 IAM policy(控制台)

完全访问权限 Trusted Advisor

以下策略允许用户在 Trusted Advisor 控制台中查看所有 Trusted Advisor 检查并对其执行所有操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" } ] }

对 Trusted Advisor的只读访问权限

以下策略允许用户对 Trusted Advisor 控制台进行只读访问。用户无法进行任何更改,例如刷新检查或更改通知首选项。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:Describe*", "trustedadvisor:Get*", "trustedadvisor:List*" ], "Resource": "*" } ] }

拒绝访问 Trusted Advisor

以下政策不允许用户在 Trusted Advisor 控制台中查看 Trusted Advisor 支票或对其执行操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "trustedadvisor:*", "Resource": "*" } ] }

允许和拒绝特定操作

以下策略允许用户在 Trusted Advisor 控制台中查看所有 Trusted Advisor 支票,但不允许他们刷新任何支票。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:RefreshCheck", "Resource": "*" } ] }

控制对 Amazon Web Services Support API 操作的访问权限 Trusted Advisor

在中 Amazon Web Services Management Console,单独的 trustedadvisor IAM 命名空间控制对的访问权限 Trusted Advisor。您不能使用trustedadvisor命名空间来允许或拒绝 Trusted Advisor API 中的 Amazon Web Services Support API 操作。相反,可以使用 support 命名空间。您必须拥有 Amazon Web Services Support API 权限才能以 Trusted Advisor 编程方式调用。

例如,如果要调用该RefreshTrustedAdvisorCheck操作,则必须在策略中拥有执行此操作的权限。

例 : 仅允许 Trusted Advisor API 操作

以下策略允许用户访问其他 Amazon Web Services Support API 操作的 API 操作 Trusted Advisor,但不能访问其他 Amazon Web Services Support API 操作。例如,用户可以使用 API 查看和刷新检查。他们无法创建、查看、更新或解决 Amazon Web Services Support 案例。

您可以使用此策略以编程方式调用 Trusted Advisor API 操作,但不能使用此策略在 Trusted Advisor 控制台中查看或刷新检查。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:DescribeTrustedAdvisorCheckRefreshStatuses", "support:DescribeTrustedAdvisorCheckResult", "support:DescribeTrustedAdvisorChecks", "support:DescribeTrustedAdvisorCheckSummaries", "support:RefreshTrustedAdvisorCheck", "trustedadvisor:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeServices", "support:DescribeSeverityLevels", "support:ResolveCase" ], "Resource": "*" } ] }

有关 IAM 如何使用 Amazon Web Services Support 和的更多信息 Trusted Advisor,请参阅操作

Trusted Advisor Priority 的 IAM policy 示例

您可以使用以下 Amazon 托管策略来控制对 Priority 的 Trusted Advisor 访问权限。有关更多信息,请参阅 Amazon Web Services 的托管策略 Amazon Trusted AdvisorAmazon Trusted Advisor Priority 入门

Trusted Advisor Engage 的 IAM policy 示例

注意

Trusted Advisor Engage 处于预览版,目前没有任何 Amazon 托管政策。您可以使用下面的策略之一来在 IAM 控制台中创建客户托管策略

在 Eng Trusted Advisor age 中授予读写权限的策略示例:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:CreateEngagement*", "trustedadvisor:DescribeAccount*", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*", "trustedadvisor:UpdateEngagement*" ], "Resource": "*" } ] }

在 Eng Trusted Advisor age 中授予只读访问权限的策略示例:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeAccount*", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*" ], "Resource": "*" } ] }

在 Eng Trusted Advisor age 中授予读取和写入权限以及启用可信访问权限的策略示例 Trusted Advisor:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "trustedadvisor:CreateEngagement*", "trustedadvisor:DescribeAccount*", "trustedadvisor:DescribeOrganization", "trustedadvisor:GetEngagement*", "trustedadvisor:ListEngagement*", "trustedadvisor:SetOrganizationAccess", "trustedadvisor:UpdateEngagement*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting", "Condition": { "StringLike": { "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com" } } } ] }

另请参阅

有关 Trusted Advisor 权限的更多信息,请参阅以下资源: