AWSTrustedAdvisorPriorityFullAccess AWSTrustedAdvisorPriorityReadOnlyAccess AWSTrustedAdvisorServiceRolePolicy AWSTrustedAdvisorReportingServiceRolePolicy ポリシーの更新

AWS のマネージドポリシーAWS Trusted Advisor

Trusted Advisor には、次の AWS マネージドポリシーがあります。

AWS マネージドポリシー: AWSTrustedAdvisorPriorityFullAccess

AWSTrustedAdvisorPriorityFullAccess マネージドポリシーは Trusted Advisor Priority へのフルアクセスを付与します。またこのポリシーは、ユーザーが AWS Organizations を使って Trusted Advisor を信頼されたサービスとして追加し、Trusted Advisor Priority で委任管理者アカウントを指定することを許可します。

アクセス許可の詳細

このポリシーは、最初のステートメントに trustedadvisor の以下のアクセス許可を含みます。

アカウントと組織について説明します。
Trusted Advisor Priority の特定済みリスクについて説明します。このアクセス許可により、リスクステータスをダウンロードし、更新することができます。
Trusted Advisor Priority メール通知の設定について説明します。このアクセス許可により、メール通知を設定したり、委任管理者に対して無効にしたりできます。
Trusted Advisor をセットアップして、アカウントで AWS Organizations を有効化できるようにします。

2 番目のステートメントには、organizations の以下のアクセス許可が含まれます。

Trusted Advisor アカウントと組織について説明します。
Organizations を使用するために有効化した AWS のサービスを一覧表示します。

3 番目のステートメントには、organizations の以下のアクセス許可が含まれます。

Trusted Advisor Priority の委任管理者を一覧表示します。
Organizations で信頼されたアクセスを有効または無効にします。

4 番目のステートメントには、iam の以下のアクセス許可が含まれます。

AWSServiceRoleForTrustedAdvisorReporting サービスにリンクされたロールを作成します。

5 番目のステートメントには、organizations の以下のアクセス許可が含まれます。

Trusted Advisor Priority の委任管理者を登録または登録解除することを許可します。

JSON


{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityFullAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:UpdateRiskStatus",
				"trustedadvisor:DescribeNotificationConfigurations",
				"trustedadvisor:UpdateNotificationConfigurations",
				"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
				"trustedadvisor:SetOrganizationAccess"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:EnableAWSServiceAccess",
				"organizations:DisableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowCreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
				}
			}
		},
		{
			"Sid": "AllowRegisterDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:RegisterDelegatedAdministrator",
				"organizations:DeregisterDelegatedAdministrator"
			],
			"Resource": "arn:aws:organizations::*:*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS マネージドポリシー: AWSTrustedAdvisorPriorityReadOnlyAccess

AWSTrustedAdvisorPriorityReadOnlyAccess ポリシーは、Trusted Advisor Priority への読み取り専用のアクセス許可を付与します (委任管理者アカウントを表示する許可を含む)。

アクセス許可の詳細

このポリシーは、最初のステートメントに trustedadvisor の以下のアクセス許可を含みます。

Trusted Advisor アカウントと組織について説明します。
Trusted Advisor Priority の特定済みリスクについて説明し、それらのダウンロードを許可します。
Trusted Advisor Priority メール通知の設定について説明します。

2 番目と 3 番目のステートメントには、organizations の以下のアクセス許可が含まれます。

組織を Organizations で説明します。
Organizations を使用するために有効化した AWS のサービスを一覧表示します。
Trusted Advisor Priority の委任管理者を一覧表示します。

AWS マネージドポリシー: AWSTrustedAdvisorServiceRolePolicy

このポリシーは、AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールにアタッチされます。これは、サービスにリンクされたロールがユーザーに代わってアクションを実行することを許可します。AWSTrustedAdvisorServiceRolePolicy を AWS Identity and Access Management (IAM) エンティティにアタッチすることはできません。詳細については、「Trusted Advisor のサービスにリンクされたロールの使用」を参照してください。

このポリシーは、サービスにリンクされたロールが AWS のサービスにアクセスすることを許可する、管理アクセス許可を付与します。これらのアクセス許可により、アカウントを評価する Trusted Advisor のチェックを許可します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

accessanalyzer – AWS Identity and Access Management Access Analyzer リソースについて説明します。
Auto Scaling — Amazon EC2 Auto Scaling アカウントのクォータとリソースを示します。
cloudformation — AWS CloudFormation (CloudFormation) アカウントのクォータとスタックを示します。
cloudfront — Amazon CloudFront ディストリビューションを示します。
cloudtrail — AWS CloudTrail (CloudTrail) 追跡を示します。
dynamodb — Amazon DynamoDB アカウントのクォータとリソースを示します。
dynamodbaccelerator – DynamoDB Accelerator リソースについて説明します。
ec2 — Amazon Elastic Compute Cloud (Amazon EC2) アカウントのクォータとリソースを示します。
elasticloadbalancing — Elastic Load Balancing (ELB) アカウントのクォータとリソースを説明します。
iam — 認証情報、パスワードポリシー、証明書などの IAM リソースを取得します。
networkfirewall – AWS Network Firewall リソースについて説明します。
kinesis — Amazon Kinesis (Kinesis) アカウントのクォータを示します。
rds — Amazon Relational Database Service (Amazon RDS) リソースを示します。
redshift — Amazon Redshift のリソースを示します。
route53 — Amazon Route 53 アカウントのクォータとリソースを示します。
s3 — Amazon Simple Storage Service (Amazon S3) リソースを示します。
ses — Amazon Simple Email Service (Amazon SES) 送信クォータを取得します。
sqs – Amazon Simple Queue Service (Amazon SQS) キューを一覧表示します。
cloudwatch — Amazon CloudWatch Events (CloudWatch Events) メトリクス統計を取得します。
ce — Cost Explorer サービス (Cost Explorer) のレコメンデーションを取得します。
route53resolver — Amazon Route 53 Resolver リゾルバーのエンドポイントとリソースを取得します
kafka — Amazon Managed Streaming for Apache Kafka リソースを取得します
ecs - Amazon ECS リソースの取得
outposts – AWS Outposts リソースを取得します。

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "TrustedAdvisorServiceRolePermissions",
            "Effect": "Allow",
            "Action": [
                "access-analyzer:ListAnalyzers",
                "autoscaling:DescribeAccountLimits",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "ce:GetReservationPurchaseRecommendation",
                "ce:GetSavingsPlansPurchaseRecommendation",
                "cloudformation:DescribeAccountLimits",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStacks",
                "cloudfront:ListDistributions",
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetTrail",
                "cloudtrail:ListTrails",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "dax:DescribeClusters",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "ec2:DescribeAddresses",
                "ec2:DescribeReservedInstances",
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeImages",
                "ec2:DescribeNatGateways",
                "ec2:DescribeVolumes",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:DescribeReservedInstancesOfferings",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpnConnections",
                "ec2:DescribeVpnGateways",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:GetManagedPrefixListEntries",
                "ecs:DescribeTaskDefinition",
                "ecs:ListTaskDefinitions",
                "elasticloadbalancing:DescribeAccountLimits",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancerAttributes",
                "elasticloadbalancing:DescribeLoadBalancerPolicies",
                "elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeRules",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "iam:GenerateCredentialReport",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary",
                "iam:GetCredentialReport",
                "iam:GetServerCertificate",
                "iam:ListServerCertificates",
                "iam:ListSAMLProviders",
                "kinesis:DescribeLimits",
                "kafka:DescribeClusterV2",
                "kafka:ListClustersV2",
                "kafka:ListNodes",
                "network-firewall:ListFirewalls",
                "network-firewall:DescribeFirewall",
                "outposts:GetOutpost",
                "outposts:ListAssets",
                "outposts:ListOutposts",
                "rds:DescribeAccountAttributes",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSecurityGroups",
                "rds:DescribeDBSnapshots",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEngineDefaultParameters",
                "rds:DescribeEvents",
                "rds:DescribeOptionGroupOptions",
                "rds:DescribeOptionGroups",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribeReservedDBInstances",
                "rds:DescribeReservedDBInstancesOfferings",
                "rds:ListTagsForResource",
                "redshift:DescribeClusters",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "route53:GetAccountLimit",
                "route53:GetHealthCheck",
                "route53:GetHostedZone",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListHostedZonesByName",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetLifecycleConfiguration",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "ses:GetSendQuota",
                "sqs:GetQueueAttributes",
                "sqs:ListQueues"
            ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AWSTrustedAdvisorReportingServiceRolePolicy

このポリシーは、組織ビュー機能のアクションを実行することを Trusted Advisor に許可する AWSServiceRoleForTrustedAdvisorReporting サービスにリンクされたロールにアタッチされます。IAM エンティティに AWSTrustedAdvisorReportingServiceRolePolicy をアタッチすることはできません。詳細については、「Trusted Advisor のサービスにリンクされたロールの使用」を参照してください。

このポリシーは、サービスにアタッチされたロールが AWS Organizations アクションを実行することを許可する管理アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

organizations — 組織を説明し、サービスアクセス、アカウント、親、子、および組織単位を一覧表示します。

AWS マネージドポリシーの Trusted Advisor 更新

AWS サポートと Trusted Advisor が変更の追跡を開始してからの AWS マネージドポリシーに対する更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、ドキュメント履歴ページの RSS フィードを購読してください。

次の表は、2021 年 8 月 10 日現在の Trusted Advisor マネージドポリシーの重要な更新について説明しています。

Trusted Advisor
変更	説明	日付
AWSTrustedAdvisorServiceRolePolicy 既存のポリシーの更新	Trusted Advisor で `elasticloadbalancing:DescribeListeners,` および `elasticloadbalancing:DescribeRules` アクセス許可を付与する新しいアクションが追加されました。	2024 年 10 月 30 日
AWSTrustedAdvisorServiceRolePolicy 既存のポリシーの更新	Trusted Advisor で `access-analyzer:ListAnalyzers`、`cloudwatch:ListMetrics`、`dax:DescribeClusters`、`ec2:DescribeNatGateways`、`ec2:DescribeRouteTables`、`ec2:DescribeVpcEndpoints`、`ec2:GetManagedPrefixListEntries`、`elasticloadbalancing:DescribeTargetHealth`、`iam:ListSAMLProviders`、`kafka:DescribeClusterV2`、`network-firewall:ListFirewalls`、`network-firewall:DescribeFirewall` および `sqs:GetQueueAttributes` アクセス許可を付与する新しいアクションが追加されました。	2024 年 6 月 11 日
AWSTrustedAdvisorServiceRolePolicy 既存のポリシーの更新	Trusted Advisor で `cloudtrail:GetTrail` `cloudtrail:ListTrails` `cloudtrail:GetEventSelectors` `outposts:GetOutpost`、`outposts:ListAssets` および `outposts:ListOutposts` アクセス許可を付与する新しいアクションが追加されました。	2024 年 1 月 18 日
AWSTrustedAdvisorPriorityFullAccess 既存のポリシーの更新	Trusted Advisor が、ステートメント ID を含むように `AWSTrustedAdvisorPriorityFullAccess` AWS 管理ポリシーを更新しました。	2023 年 12 月 6 日
AWSTrustedAdvisorPriorityReadOnlyAccess 既存のポリシーの更新	Trusted Advisor が、ステートメント ID を含むように `AWSTrustedAdvisorPriorityReadOnlyAccess` AWS 管理ポリシーを更新しました。	2023 年 12 月 6 日
AWSTrustedAdvisorServiceRolePolicy – 既存ポリシーへの更新。	Trusted Advisor で `ec2:DescribeRegions` `s3:GetLifecycleConfiguration` `ecs:DescribeTaskDefinition` および `ecs:ListTaskDefinitions` アクセス許可を付与する新しいアクションが追加されました。	2023 年 11 月 9 日
AWSTrustedAdvisorServiceRolePolicy – 既存ポリシーへの更新	Trusted Advisor では、新しい耐障害性チェックをオンボードするために、新しい IAM アクション `route53resolver:ListResolverEndpoints`、`route53resolver:ListResolverEndpointIpAddresses`、`ec2:DescribeSubnets`、`kafka:ListClustersV2`、`kafka:ListNodes` が追加されました。	2023 年 9 月 14 日
AWSTrustedAdvisorReportingServiceRolePolicy マネージドポリシーの V2 は、Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting` サービスにリンクされたロールにアタッチされました。	Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting` サービスにリンクされたロールの AWS マネージドポリシーを V2 にアップグレードしました。V2 では、もう 1 つの IAM アクション `organizations:ListDelegatedAdministrators` が追加されました。	2023 年 2 月 28 日
AWSTrustedAdvisorPriorityFullAccess および AWSTrustedAdvisorPriorityReadOnlyAccess Trusted Advisor の新規 AWS マネージドポリシー	Trusted Advisor Priority へのアクセスを制御するために使用できる 2 つの新しいマネージドポリシーが、Trusted Advisor に追加されました。	2022 年 8 月 17 日
AWSTrustedAdvisorServiceRolePolicy – 既存ポリシーへの更新。	Trusted Advisor で `DescribeTargetGroups` および `GetAccountPublicAccessBlock` アクセス許可を付与する新しいアクションが追加されました。 `DescribeTargetGroup` アクセス許可は、Auto Scaling グループヘルスチェックが Auto Scaling グループにアタッチされた非 Classic Load Balancer を取得するために必要です。 `GetAccountPublicAccessBlock` アクセス許可は、Amazon S3 バケット許可チェックが AWS アカウントのブロックパブリックアクセス設定を取得するために必要です。	2021 年 8 月 10 日
変更ログが発行されました	Trusted Advisor が AWS マネージドポリシーの変更の追跡を開始しました。	2021 年 8 月 10 日

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Slack での AWS サポートアプリの AWS マネージドポリシー

AWS サポートプランの AWS マネージドポリシー

AWS の マネージドポリシーAWS Trusted Advisor

目次

AWS マネージドポリシー: AWSTrustedAdvisorPriorityFullAccess

AWS マネージドポリシー: AWSTrustedAdvisorPriorityReadOnlyAccess

AWS マネージドポリシー: AWSTrustedAdvisorServiceRolePolicy

AWS マネージドポリシー: AWSTrustedAdvisorReportingServiceRolePolicy

AWS マネージドポリシーの Trusted Advisor 更新

AWS のマネージドポリシーAWS Trusted Advisor