管理对 Amazon Trusted Advisor 的访问 - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理对 Amazon Trusted Advisor 的访问

您可以从 Amazon Web Services Management Console访问 Amazon Trusted Advisor。所有 Amazon 账户都有权访问特色级核心 Trusted Advisor 检查。如果您有商业或企业支持计划,则可以访问所有 Trusted Advisor 检查

您可以使用Amazon Identity and Access Management(IAM) 控制对Trusted Advisor.

Trusted Advisor 控制台的权限

您必须具有一组最低的权限才能访问 Trusted Advisor 控制台。这些权限必须允许您列出和查看有关您的 Amazon 账户中的 Trusted Advisor 资源的详细信息。

可以使用以下选项来控制对 Trusted Advisor 的访问:

  • 使用 Trusted Advisor 控制台的标签筛选条件功能。用户或角色必须具有与标签关联的权限。

    可以使用 Amazon 托管策略或自定义策略来按标签分配权限。有关更多信息,请参阅获取标记权限

  • 使用创建 IAM 策略trustedadvisor命名空间,以便能够指定操作和资源的权限。

创建策略时,可以指定服务的命名空间来允许或拒绝操作。Trusted Advisor 的命名空间为 trustedadvisor.

重要

不能使用 trustedadvisor 命名空间来允许或拒绝 Amazon Web Services Support API 中的 Trusted Advisor API 操作。Amazon Web Services Support 的命名空间为 support

Trusted Advisor 操作

可以在控制台中执行以下 Trusted Advisor 操作。您也可以指定这些Trusted Advisor操作来允许或拒绝特定的操作。

操作 说明

DescribeAccount

授予权限以查看Amazon Web Services Support计划和各种Trusted Advisor首选项。

DescribeAccountAccess

授予权限以查看Amazon账户已启用或禁用Trusted Advisor.

DescribeCheckItems

授予权限以查看检查项目的详细信息。

DescribeCheckRefreshStatuses

授予权限以查看Trusted Advisor检查。

DescribeCheckSummaries

授予查看权限Trusted Advisor检查摘要。

DescribeChecks

授予权限以查看的详细信息Trusted Advisor检查。

DescribeNotificationPreferences

授予权限以查看的通知首选项Amazonaccount.

ExcludeCheckItems

授予权限以排除Trusted Advisor检查。

IncludeCheckItems

授予权限以包含Trusted Advisor检查。

RefreshCheck

授予权限以刷新Trusted Advisor检查。

SetAccountAccess

授予权限以启用或禁用Trusted Advisor对于该帐户。

UpdateNotificationPreferences

授予权限以更新的通知首选项Trusted Advisor.

以下Trusted Advisor操作用于组织视图功能。有关更多信息,请参阅 组织视图Amazon Trusted Advisor

操作 说明

DescribeOrganization

授予权限以查看Amazon帐户满足启用组织视图功能的要求。

DescribeOrganizationAccounts

授予权限以查看链接Amazon在组织中的帐户。

DescribeReports

授予权限以查看组织视图报告的详细信息(例如,报告名称、运行时间、创建日期、状态和格式)。

DescribeServiceMetadata

授予权限以查看有关组织视图报告的信息(例如,Amazon区域、检查类别、检查名称和资源状态。

GenerateReport

授予权限以创建Trusted Advisor在组织中签入。

ListAccountsForParent

授予权限以查看Trusted Advisor控制台中的所有账户Amazon组织中包含于根或组织单位 (OU) 之中的组织。

ListOrganizationalUnitsForParent

授予权限以查看Trusted Advisor控制台中,父级组织单位或根中的所有组织单位 (OU)。

ListRoots

授予权限以查看Trusted Advisor控制台中定义的所有根Amazon组织。

SetOrganizationAccess

授予权限以便为Trusted Advisor.

IAM 策略示例

以下策略介绍如何允许和拒绝对 Trusted Advisor 的访问。您可以使用以下策略之一来创建客户管理的策略在 IAM 控制台中。例如,您可以复制示例策略,然后将其粘贴到“JSON” 选项卡的操作。然后,您将该策略附加到您的 IAM 用户、组或角色。

有关如何创建 IAM 策略的更多信息,请参阅创建 IAM 策略(控制台)中的IAM 用户指南.

对 Trusted Advisor 的完全访问权限

以下策略允许用户查看和执行针对所有Trusted Advisor检查Trusted Advisor控制台。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" } ] }

对 Trusted Advisor 的只读访问权限

以下策略允许用户对 Trusted Advisor 控制台进行只读访问。用户无法进行任何更改,例如刷新检查或更改通知首选项。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:Describe*", "Resource": "*" } ] }

拒绝对 Trusted Advisor 的访问

以下策略不允许用户查看或执行针对Trusted Advisor检查Trusted Advisor控制台。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "trustedadvisor:*", "Resource": "*" } ] }

允许和拒绝特定操作

以下策略允许用户查看所有Trusted Advisor检查Trusted Advisor控制台,但不允许它们刷新任何检查。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:RefreshCheck", "Resource": "*" } ] }

控制对 Trusted Advisor 的 Amazon Web Services Support API 操作的访问

在 Amazon Web Services Management Console中,单独的 trustedadvisor IAM 命名空间控制对 Trusted Advisor 的访问。不能使用 trustedadvisor 命名空间来允许或拒绝 Amazon Web Services Support API 中的 Trusted Advisor API 操作。相反,可以使用 support IAM 命名空间。您必须具有对 Amazon Web Services Support API 的权限才能以编程方式调用 Trusted Advisor。

例如,如果您要调用 RefreshTrustedAdvisorCheck 操作,则必须在策略中具有此操作的权限。

例 :允许Trusted Advisor仅限 API 操作

以下策略允许用户访问Amazon Web Services Support的 API 操作Trusted Advisor,但不会使用Amazon Web Services SupportAPI 操作。例如,用户可以使用 API 查看和刷新检查。它们无法创建、查看、更新或解析Amazon Web Services Support案例。

您可以使用此策略调用Trusted AdvisorAPI 操作以编程方式进行,但您无法使用此策略在Trusted Advisor控制台。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:DescribeTrustedAdvisorCheckRefreshStatuses", "support:DescribeTrustedAdvisorCheckResult", "support:DescribeTrustedAdvisorChecks", "support:DescribeTrustedAdvisorCheckSummaries", "support:RefreshTrustedAdvisorCheck", "trustedadvisor:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeServices", "support:DescribeSeverityLevels", "support:ResolveCase" ], "Resource": "*" } ] }

有关 IAM 如何将与Amazon Web Services Support和Trusted Advisor,请参阅Actions.

另请参阅

有关 Trusted Advisor 权限的更多信息,请参阅以下资源: