Amazon Trusted Advisor 和 Amazon Organizations - Amazon Organizations
服务相关角色服务委托人启用信任访问权限禁用信任访问权限为 Trusted Advisor 启用委托管理员账户为 Trusted Advisor 禁用委托管理员
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Trusted Advisor 和 Amazon Organizations

Amazon Trusted Advisor 可检查您的Amazon环境,并在有可能节省开支、提高系统可用性和性能或弥补安全漏洞时为您提供建议。与 Organizations 集成后,您可以接收组织中所有账户的 Trusted Advisor 检查结果,并下载报告以查看检查结果和任何受影响资源的摘要。

有关更多信息,请参阅《Amazon Web Services Support 用户指南》中的 Amazon Trusted Advisor 的组织视图

以下信息可帮助您将 Amazon Trusted Advisor 与 Amazon Organizations 集成。

启用集成时,创建了一个服务相关角色

以下服务相关角色会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Trusted Advisor 在您组织中的组织账户内执行支持的操作。

只有在禁用 Trusted Advisor 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。

  • AWSServiceRoleForTrustedAdvisorReporting

服务相关角色使用的服务委托人

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Trusted Advisor 使用的服务相关角色为以下服务委托人授予访问权限:

  • reporting.trustedadvisor.amazonaws.com

使用 Trusted Advisor 启用信任访问权限

有关启用信任访问权限所需权限的信息,请参阅允许可信访问所需的权限

您只能使用 Amazon Trusted Advisor 启用信任访问权限。

使用 Trusted Advisor 控制台启用可信访问权限

请参阅《Amazon Web Services Support 用户指南》中的启用组织视图

使用 Trusted Advisor 禁用信任访问权限

有关禁用信任访问所需权限的信息,请参阅禁止可信访问所需的权限

禁用此功能后,Trusted Advisor 停止记录您组织中所有其他账户的检查信息。您无法查看或下载现有报告或创建新报告。

您可以使用 Amazon Trusted Advisor 或者 Amazon Organizations 工具禁用信任访问权限。

重要

强烈建议您尽可能使用 Amazon Trusted Advisor 控制台或工具来禁用与 Organizations 的集成。这可让 Amazon Trusted Advisor 执行所需的任何清理,例如删除服务不再需要的资源或访问角色。仅当您无法使用 Amazon Trusted Advisor 提供的工具禁用集成时,才会使用这些步骤进行处理。

如果您使用 Amazon Trusted Advisor 控制台或工具禁用信任访问权限,则您无需完成这些步骤。

使用 Trusted Advisor 控制台禁用信任访问权限

请参阅《Amazon Web Services Support 用户指南》中的禁用组织视图

您可以通过运行 Organizations Amazon CLI 命令,或者调用某个 Amazon SDK 中的 Organizations API 操作来禁用信任访问权限。

Amazon CLI, Amazon API
使用 Organizations CLI/SDK 禁用信任服务访问权限

您可以使用以下 Amazon CLI 命令或 API 操作禁用信任服务访问:

  • Amazon CLI:disable-aws-service-access

    您可以运行以下命令以禁用 Amazon Trusted Advisor 作为 Organizations 的信任服务。

    $ aws organizations disable-aws-service-access \
    --service-principal reporting.trustedadvisor.amazonaws.com

    如果成功,此命令不会产生任何输出。

  • Amazon API:DisableAWSServiceAccess

为 Trusted Advisor 启用委托管理员账户

当您将某个成员账户指定为组织的委托管理员时,来自指定账户的用户和角色将可以管理组织内其他成员账户的 Amazon Web Services 账户元数据。如果您没有启用委托管理员账户,则这些任务只能由组织的管理账户执行。这有利于您将组织的管理与您的账户详细信息的管理分开。

最小权限

只有 Organizations 管理账户中的用户或角色才能将某个成员账户配置为组织的 Trusted Advisor 委托管理员。

有关如何为 Trusted Advisor 启用委托管理员账户的说明,请参阅 Amazon Web Services Support 用户指南中的注册委托管理员

Amazon CLI, Amazon API

如果要使用 Amazon CLI 或某个 Amazon SDK 配置委托管理员账户,您可以使用以下命令:

  • Amazon CLI: 

    $  aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal reporting.trustedadvisor.amazonaws.com

  • Amazon SDK:调用 Organizations RegisterDelegatedAdministrator 操作和成员账户的 ID 号,并将账户服务主体 account.amazonaws.com 确定为参数。

为 Trusted Advisor 禁用委托管理员

您可以使用 Trusted Advisor 控制台或者通过使用 Organizations DeregisterDelegatedAdministrator CLI 或 SDK 操作来删除委托管理员。有关如何使用 Trusted Advisor 控制台禁用委托管理员 Trusted Advisor 账户的信息,请参阅 Amazon Web Services Support 用户指南中的取消注册委托管理员