AWS Políticas de administradas por para AWS Trusted Advisor - AWS Support
AWSTrustedAdvisorPriorityFullAccess AWSTrustedAdvisorPriorityReadOnlyAccess AWSTrustedAdvisorServiceRolePolicy AWSTrustedAdvisorReportingServiceRolePolicy Actualizaciones de políticas

AWS Políticas de administradas por para AWS Trusted Advisor

Trusted Advisor tiene las siguientes políticas administradas de AWS.

AWS Política administrada por: AWSTrustedAdvisorPriorityFullAccess

La política administrada AWSTrustedAdvisorPriorityFullAccess concede acceso total a Trusted Advisor Priority. Esta política también permite al usuario agregar Trusted Advisor como servicio de confianza con AWS Organizations y para especificar las cuentas de administrador delegadas para Trusted Advisor Priority.

Detalles de los permisos

En la primera declaración, la política debe incluir los siguientes permisos para trustedadvisor:

  • Describe su cuenta y su organización.

  • Describe los riesgos identificados de Trusted Advisor Priority. Los permisos le permiten descargar y actualizar el estado del riesgo.

  • Describe sus configuraciones para las notificaciones por correo electrónico de Trusted Advisor. Los permisos le permiten configurar las notificaciones por correo electrónico y deshabilitarlas para los administradores delegados.

  • Configura Trusted Advisor para que su cuenta pueda habilitar AWS Organizations.

En la segunda declaración, la política debe incluir los siguientes permisos para organizations:

  • Describe su cuenta de Trusted Advisor y su organización.

  • Enumera los Servicios de AWS que habilitó para usar Organizations.

En la tercera declaración, la política debe incluir los siguientes permisos para organizations:

  • Enumera los administradores delegados de Trusted Advisor Priority.

  • Habilita y deshabilita el acceso confiable con Organizations.

En la cuarta declaración, la política debe incluir los siguientes permisos para iam:

  • Crea el rol vinculado al servicio AWSServiceRoleForTrustedAdvisorReporting.

En la quinta declaración, la política debe incluir los siguientes permisos para organizations:

  • Le permite registrar y anular el registro de los administradores delegados de Trusted Advisor Priority.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityFullAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:UpdateRiskStatus",
				"trustedadvisor:DescribeNotificationConfigurations",
				"trustedadvisor:UpdateNotificationConfigurations",
				"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
				"trustedadvisor:SetOrganizationAccess"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:EnableAWSServiceAccess",
				"organizations:DisableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowCreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
				}
			}
		},
		{
			"Sid": "AllowRegisterDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:RegisterDelegatedAdministrator",
				"organizations:DeregisterDelegatedAdministrator"
			],
			"Resource": "arn:aws:organizations::*:*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS Política administrada por: AWSTrustedAdvisorPriorityReadOnlyAccess

La política AWSTrustedAdvisorPriorityReadOnlyAccess concede permisos de solo lectura a Trusted Advisor Priority, incluido el permiso para ver las cuentas de administrador delegadas.

Detalles de los permisos

En la primera declaración, la política debe incluir los siguientes permisos para trustedadvisor:

  • Describe su cuenta de Trusted Advisor y su organización.

  • Describe los riesgos identificados de Trusted Advisor Priority y permite descargarlos.

  • Describe las configuraciones de las notificaciones por correo electrónico de Trusted Advisor Priority.

En la segunda y tercera declaración, la política incluye los siguientes permisos para organizations:

  • Describe su organización con Organizations.

  • Enumera los Servicios de AWS que habilitó para usar Organizations.

  • Enumera los administradores delegados de Trusted Advisor Priority

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:DescribeNotificationConfigurations"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS Política administrada por: AWSTrustedAdvisorServiceRolePolicy

Esta política se adjunta al rol vinculado al servicio de AWSServiceRoleForTrustedAdvisor. Permite al rol vinculado al servicio llevar a cabo acciones en su nombre. No puede adjuntar AWSTrustedAdvisorServiceRolePolicy a sus entidades de AWS Identity and Access Management (IAM). Para obtener más información, consulte Cómo utilizar roles vinculados a servicios de Trusted Advisor.

Esta política concede permisos administrativos que autorizan al rol vinculado al servicio acceder a Servicios de AWS. Estos permisos permiten que las verificaciones de Trusted Advisor evalúen su cuenta.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • accessanalyzer: describe los recursos de AWS Identity and Access Management Access Analyzer

  • Auto Scaling: describe los recursos y las cuotas de cuenta de Amazon EC2 Auto Scaling

  • cloudformation: describe las cuotas y pilas de cuentas de AWS CloudFormation (CloudFormation)

  • cloudfront: describe las distribuciones de Amazon CloudFront

  • cloudtrail: describe los seguimientos de AWS CloudTrail (CloudTrail)

  • dynamodb: describe los recursos y las cuotas de cuenta de Amazon DynamoDB

  • dynamodbaccelerator: describe los recursos de DynamoDB Accelerator

  • ec2: describe las cuotas de cuenta y los recursos de Amazon Elastic Compute Cloud (Amazon EC2)

  • elasticloadbalancing: describe las cuotas de cuenta y los recursos de Elastic Load Balancing (ELB)

  • iam: obtiene recursos de IAM, como credenciales, políticas de contraseñas y certificados

  • networkfirewall: describe los recursos de AWS Network Firewall

  • kinesis: describe las cuotas de cuenta de Amazon Kinesis (Kinesis)

  • rds: describe recursos de Amazon Relational Database Service (Amazon RDS)

  • redshift: describe recursos de Amazon Redshift

  • route53: describe los recursos y las cuotas de cuenta de Amazon Route 53

  • s3: describe los recursos de Amazon Simple Storage Service (Amazon S3)

  • ses: obtiene cuotas de envío de Amazon Simple Email Service (Amazon SES)

  • sqs: enumera colas de Amazon Simple Queue Service (Amazon SQS)

  • cloudwatch: obtiene estadísticas de métrica de Amazon CloudWatch Events (eventos de CloudWatch)

  • ce: obtiene recomendaciones de Cost Explorer Service (Cost Explorer)

  • route53resolver: obtiene recursos y puntos de conexión de Amazon Route 53 Resolver Resolver

  • kafka: obtiene recursos de Amazon Managed Streaming para Apache Kafka

  • ecs: obtiene recursos de Amazon ECS

  • outposts: obtiene recursos de AWS Outposts

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "TrustedAdvisorServiceRolePermissions",
            "Effect": "Allow",
            "Action": [
                "access-analyzer:ListAnalyzers",
                "autoscaling:DescribeAccountLimits",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "ce:GetReservationPurchaseRecommendation",
                "ce:GetSavingsPlansPurchaseRecommendation",
                "cloudformation:DescribeAccountLimits",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStacks",
                "cloudfront:ListDistributions",
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetTrail",
                "cloudtrail:ListTrails",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "dax:DescribeClusters",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "ec2:DescribeAddresses",
                "ec2:DescribeReservedInstances",
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeImages",
                "ec2:DescribeNatGateways",
                "ec2:DescribeVolumes",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:DescribeReservedInstancesOfferings",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpnConnections",
                "ec2:DescribeVpnGateways",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:GetManagedPrefixListEntries",
                "ecs:DescribeTaskDefinition",
                "ecs:ListTaskDefinitions",
                "elasticloadbalancing:DescribeAccountLimits",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancerAttributes",
                "elasticloadbalancing:DescribeLoadBalancerPolicies",
                "elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeRules",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "iam:GenerateCredentialReport",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary",
                "iam:GetCredentialReport",
                "iam:GetServerCertificate",
                "iam:ListServerCertificates",
                "iam:ListSAMLProviders",
                "kinesis:DescribeLimits",
                "kafka:DescribeClusterV2",
                "kafka:ListClustersV2",
                "kafka:ListNodes",
                "network-firewall:ListFirewalls",
                "network-firewall:DescribeFirewall",
                "outposts:GetOutpost",
                "outposts:ListAssets",
                "outposts:ListOutposts",
                "rds:DescribeAccountAttributes",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSecurityGroups",
                "rds:DescribeDBSnapshots",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEngineDefaultParameters",
                "rds:DescribeEvents",
                "rds:DescribeOptionGroupOptions",
                "rds:DescribeOptionGroups",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribeReservedDBInstances",
                "rds:DescribeReservedDBInstancesOfferings",
                "rds:ListTagsForResource",
                "redshift:DescribeClusters",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "route53:GetAccountLimit",
                "route53:GetHealthCheck",
                "route53:GetHostedZone",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListHostedZonesByName",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetLifecycleConfiguration",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "ses:GetSendQuota",
                "sqs:GetQueueAttributes",
                "sqs:ListQueues"
            ],
            "Resource": "*"
        }
    ]
}

AWS Política administrada por: AWSTrustedAdvisorReportingServiceRolePolicy

Esta política se adjunta al rol vinculado al servicio AWSServiceRoleForTrustedAdvisorReporting que permite a Trusted Advisor llevar a cabo acciones para la característica de vista organizativa. No puede adjuntar AWSTrustedAdvisorReportingServiceRolePolicy a sus entidades de IAM. Para obtener más información, consulte Cómo utilizar roles vinculados a servicios de Trusted Advisor.

Esta política concede permisos administrativos que permiten que el rol vinculado al servicio lleve a cabo acciones de AWS Organizations.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • organizations: describe su organización y enumera el acceso al servicio, las cuentas, los elementos principales, los elementos secundarios y las unidades organizativas

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Actualizaciones de Trusted Advisor para las políticas administradas de AWS

Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para AWS Support y Trusted Advisor, ya que estos servicios comenzaron a hacer el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Historial de documentos.

En la siguiente tabla se describen las actualizaciones importantes de las políticas administradas de Trusted Advisor a partir del 10 de agosto de 2021.

Trusted Advisor
Cambio Descripción Fecha

AWSTrustedAdvisorServiceRolePolicy

Actualización de una política existente.

Trusted Advisor agregó nuevas acciones para conceder los permisos elasticloadbalancing:DescribeListeners, y elasticloadbalancing:DescribeRules.

 30 de octubre de 2024

AWSTrustedAdvisorServiceRolePolicy

Actualización de una política existente.

Trusted Advisor agregó nuevas acciones para conceder los permisos access-analyzer:ListAnalyzers, cloudwatch:ListMetrics, dax:DescribeClusters, ec2:DescribeNatGateways, ec2:DescribeRouteTables, ec2:DescribeVpcEndpoints, ec2:GetManagedPrefixListEntries, elasticloadbalancing:DescribeTargetHealth, iam:ListSAMLProviders, kafka:DescribeClusterV2 network-firewall:ListFirewalls network-firewall:DescribeFirewall y sqs:GetQueueAttributes.

 11 de junio de 2024

AWSTrustedAdvisorServiceRolePolicy

Actualización de una política existente.

Trusted Advisor agregó nuevas acciones para conceder los permisos cloudtrail:GetTrail cloudtrail:ListTrails cloudtrail:GetEventSelectors outposts:GetOutpost, outposts:ListAssets y outposts:ListOutposts.

 18 de enero de 2024

AWSTrustedAdvisorPriorityFullAccess

Actualización de una política existente.

Trusted Advisor actualizó la política AWSTrustedAdvisorPriorityFullAccess administrada de AWS para incluir los identificadores de las declaraciones.

 6 de diciembre de 2023

AWSTrustedAdvisorPriorityReadOnlyAccess

Actualización de una política existente.

Trusted Advisor actualizó la política AWSTrustedAdvisorPriorityReadOnlyAccess administrada de AWS para incluir los identificadores de las declaraciones.

 6 de diciembre de 2023

AWSTrustedAdvisorServiceRolePolicy – actualización de una política actual

Trusted Advisor agregó nuevas acciones para conceder los permisos ec2:DescribeRegions s3:GetLifecycleConfiguration ecs:DescribeTaskDefinition y ecs:ListTaskDefinitions.

 9 de noviembre de 2023

AWSTrustedAdvisorServiceRolePolicy – actualización de una política actual

Trusted Advisor agregó acciones de IAM nuevas route53resolver:ListResolverEndpoints, route53resolver:ListResolverEndpointIpAddresses, ec2:DescribeSubnets, kafka:ListClustersV2 y kafka:ListNodes para incorporar comprobaciones de resiliencia nuevas.

 14 de septiembre de 2023

AWSTrustedAdvisorReportingServiceRolePolicy

Versión 2 de la política administrada adjunta al rol vinculado al servicio de Trusted Advisor: AWSServiceRoleForTrustedAdvisorReporting

Actualice la política administrada de AWS a la versión 2 para el rol vinculado al servicio de Trusted Advisor: AWSServiceRoleForTrustedAdvisorReporting. La versión 2 agregará una acción de IAM más: organizations:ListDelegatedAdministrators

28 de febrero de 2023

AWSTrustedAdvisorPriorityFullAccess y AWSTrustedAdvisorPriorityReadOnlyAccess

Nuevas políticas administradas de AWS para Trusted Advisor

Trusted Advisor agregó dos nuevas políticas administradas que puede usar para controlar el acceso a Trusted Advisor Priority.

17 de agosto de 2022

AWSTrustedAdvisorServiceRolePolicy – actualización de una política actual

Trusted Advisor agregó nuevas acciones para conceder los permisos DescribeTargetGroups y GetAccountPublicAccessBlock.

El permiso DescribeTargetGroup es necesario para que la Comprobación de estado de grupos de Auto Scaling pueda recuperar balanceadores de carga no clásicos adjuntos a un grupo de Auto Scaling.

El permiso GetAccountPublicAccessBlock es necesario para que la verificación Permisos de bucket de Amazon S3 pueda recuperar la configuración de acceso público del bloque para una Cuenta de AWS.

 10 de agosto de 2021

Registro de cambios publicado

Trusted Advisor comenzó el seguimiento de los cambios de las políticas administradas de AWS.

 10 de agosto de 2021