AWS Trusted Advisor へのアクセスを管理する
AWS Trusted Advisor は AWS マネジメントコンソール からアクセスできます。すべての AWS アカウント は、一部のコア Trusted Advisor チェック
AWS Identity and Access Management (IAM) を使用して、Trusted Advisor へのアクセスを制御できます。
Trusted Advisor コンソールのアクセス許可
Trusted Advisor コンソールにアクセスするには、一連の最小限の許可が必要です。これらの許可により、AWS アカウント アカウントの Trusted Advisor リソースの詳細をリストおよび表示できます。
次のオプションを使用して、Trusted Advisor へのアクセスを制御できます。
-
Trusted Advisor コンソールのタグフィルター機能を使用します。ユーザーまたはロールには、タグに関連付けられたアクセス許可が必要です。
AWS 管理ポリシーまたはカスタムポリシーを使用して、タグでアクセス許可を割り当てることができます。詳細については、「タグを使用した IAM ユーザーおよびロールへのアクセスのアクセスの制御」を参照してください。
-
trustedadvisor名前空間を使用して IAM ポリシーを作成します。このポリシーを使用して、アクションとリソースの許可を指定できます。
ポリシーを作成するときに、アクションを許可または拒否するサービスの名前空間を指定できます。Trusted Advisor の名前空間は trustedadvisor です。ただし、trustedadvisor 名前空間を使用して、サポート API での Trusted Advisor API オペレーションを許可または拒否することはできません。代わりに、サポート の support 名前空間を使用する必要があります。
注記
AWS サポート API へ のアクセス許可を有している場合、AWS マネジメントコンソール の Trusted Advisor ウィジェットに Trusted Advisor の結果の要約ビューが表示されます。Trusted Advisor コンソールで結果を表示するには、trustedadvisor 名前空間へのアクセス許可が必要です。
Trusted Advisor アクション
コンソールでは、次の Trusted Advisor アクションを実行できます。これらの Trusted Advisor アクションを IAM ポリシーで指定して、特定のアクションを許可または拒否することもできます。
| アクション | 説明 |
|---|---|
|
|
サポート プランおよびさまざまな Trusted Advisor 設定を表示する許可を付与します。 |
|
|
AWS アカウント が Trusted Advisor を有効または無効にしたかどうかを表示する許可を付与します。 |
|
|
チェックアイテムの詳細を表示するアクセス許可を付与します。 |
|
|
Trusted Advisor チェックの更新ステータスを表示するアクセス許可を付与します。 |
|
|
Trusted Advisor チェックのサマリーを表示するアクセス許可を付与します。 |
|
|
Trusted Advisor チェックの詳細を表示するアクセス許可を付与します。 |
|
|
AWS アカウントの通知設定を表示するアクセス許可を付与します。 |
|
|
Trusted Advisor チェックのレコメンデーションを除外するアクセス許可を付与します。 |
|
|
Trusted Advisor チェックのレコメンデーションを含めるアクセス許可を付与します。 |
|
|
Trusted Advisor チェックを更新するアクセス許可を付与します。 |
|
|
アカウントの Trusted Advisor を有効または無効にする許可を付与します。 |
|
|
Trusted Advisor の通知設定を更新するアクセス許可を付与します。 |
|
|
過去 30 日間のチェックについて、その結果と変化したステータスを表示するための許可を付与します。 |
Trusted Advisor組織ビューの アクション
次の Trusted Advisor アクションは、組織ビュー機能用です。詳細については、「AWS Trusted Advisor の組織ビュー」を参照してください。
| アクション | 説明 |
|---|---|
|
|
AWS アカウント が組織ビュー機能を有効にする要件を満たしているかどうかを表示する許可を付与します。 |
|
|
組織内のリンクされた AWS アカウントを表示するアクセス許可を付与します。 |
|
|
組織ビューレポートの詳細 (レポート名、ランタイム、作成日、ステータス、形式など) を表示するアクセス許可を付与します。 |
|
|
AWS リージョン、チェックカテゴリ、チェック名、リソースステータスなど、組織ビューレポートに関する情報を表示する許可を付与します。 |
|
|
組織内の Trusted Advisor チェックのレポートを作成するアクセス許可を付与します。 |
|
|
ルートまたは組織単位 (OU) に含まれる AWS 組織内のすべてのアカウントを Trusted Advisor コンソールで表示するアクセス許可を付与します。 |
|
|
親組織単位またはルート内のすべての組織単位 (OU)を Trusted Advisor コンソールで表示するアクセス許可を付与します。 |
|
|
AWS 組織で定義されたすべてのルートを Trusted Advisor コンソールで表示するアクセス許可を付与します。 |
|
|
Trusted Advisor の組織ビュー機能を有効にするアクセス許可を付与します。 |
Trusted Advisor 優先度アクション
自分のアカウントで Trusted Advisor Priority を有効化していると、次の Trusted Advisor アクションをコンソールで実行できます。また、これらの Trusted Advisor アクションを IAM ポリシーに追加し、特定のアクションを許可または拒否することもできます。詳細については、「Trusted Advisor Priority の IAM ポリシー例」を参照してください。
注記
Trusted Advisor 優先度に現れるリスクは、テクニカルアカウントマネージャー (TAM) がアカウントに対して特定したレコメンデーションです。Trusted Advisor チェックなどのサービスからのレコメンデーションは、自動的に作成されます。TAM からのレコメンデーションは手動で作成されます。次に、TAM がこれらのレコメンデーションを送信して、アカウントの Trusted Advisor 優先順位に表示されます。
詳細については、「AWS Trusted Advisor Priority の開始方法」を参照してください。
| アクション | 説明 |
|---|---|
|
|
Trusted Advisor Priority でリスクを表示する許可を付与します |
|
|
Trusted Advisor Priority でリスクの詳細を表示する許可を付与します |
|
|
Trusted Advisor Priority でリスクの影響を受けるリソースを表示する許可を付与します |
|
|
Trusted Advisor Priority でリスクに関する詳細を含むファイルをダウンロードする許可を付与します |
|
|
Trusted Advisor Priority でリスクステータスを更新する許可を付与します |
|
|
Trusted Advisor Priority のメール通知設定を取得する許可を付与します。 |
|
|
Trusted Advisor Priority のメール通知設定を作成または更新する許可を付与します。 |
|
|
Trusted Advisor Priority の委任管理者アカウントからメール通知設定を削除する許可を組織管理アカウントに付与します。 |
IAM ポリシーの例
次のポリシーは、Trusted Advisor へのアクセスを許可および拒否する方法を示しています。以下のいずれかのポリシーを使用して、IAM コンソールでカスタマーマネージドポリシーを作成できます。例えば、サンプルポリシーをコピーして IAM コンソールの [JSON] タブに貼り付けることができます。次に、IAM ユーザー、グループ、またはロールにポリシーをアタッチします。
IAM ポリシーの作成方法の詳細については、IAM ユーザーガイドの「IAM ポリシーの作成 (コンソール)」を参照してください。
例
Trusted Advisor へのフルアクセス
次のポリシーでは、ユーザーは、Trusted Advisor コンソールですべての Trusted Advisor チェックに対するすべてのアクションを表示および実行できます。
Trusted Advisor への読み取り専用アクセス
以下のポリシーでは、ユーザーに Trusted Advisor コンソールへの読み取り専用アクセスを許可します。ユーザーは、変更 (更新チェックや通知設定の変更など) を行うことはできません。
Trusted Advisor へのアクセスを拒否する
次のポリシーでは、ユーザーは、Trusted Advisor コンソールで Trusted Advisor チェックのアクションを表示することや実行することはできません。
特定のアクションを許可および拒否する
次のポリシーでは、ユーザーは Trusted Advisor コンソールですべての Trusted Advisor チェックを表示できますが、チェックを更新することはできません。
サポート の Trusted Advisor API オペレーションへのアクセスを制御する
AWS マネジメントコンソール では、個別の trustedadvisor IAM 名前空間によって Trusted Advisor へのアクセスが制御されます。trustedadvisor 名前空間を使用して、Trusted Advisor API での サポート API オペレーションを許可または拒否することはできません。代わりに、support 名前空間を使用します。サポート をプログラムで呼び出すには、Trusted Advisor API に対するアクセス許可が必要です。
たとえば、RefreshTrustedAdvisorCheck オペレーションを呼び出す場合は、ポリシーでこのアクションに対するアクセス許可が必要です。
例 : Trusted Advisor API オペレーションのみを許可します。
次のポリシーでは、ユーザーは Trusted Advisor の サポート API オペレーションにアクセスできますが、残りの サポート API オペレーションにアクセスすることはできません。例えば、ユーザーは API を使用してチェックを表示および更新できます。ユーザーは、AWS サポートケースを作成、表示、更新、および解決することはできません。
このポリシーを使用して、Trusted Advisor API オペレーションをプログラムで呼び出すことができますが、このポリシーを使用して Trusted Advisor コンソールでチェックを表示することや更新することはできません。
IAM と サポート および Trusted Advisor が連携する方法の詳細については、「アクション」を参照してください。
Trusted Advisor Priority の IAM ポリシー例
Trusted Advisor Priority へのアクセスを制御するには、次の AWS マネージドポリシーを使用します。詳細については、「AWS の マネージドポリシーAWS Trusted Advisor」および「AWS Trusted Advisor Priority の開始方法」を参照してください。
Trusted Advisor Engage の IAM ポリシー例
注記
Trusted Advisor Engage はプレビューリリース中であり、現在のところ AWS マネージドポリシーはありません。以下のいずれかのポリシーを使用して、IAM コンソールでカスタマーマネージドポリシーを作成できます。
Trusted Advisor Engage での読み取りおよび書き込みアクセス権を付与するポリシーの例:
Trusted Advisor Engage での読み取り専用アクセス権を付与するポリシーの例:
Trusted Advisor Engage での読み取り/書き込みアクセス権の付与と、Trusted Advisor への信頼されたアクセスを有効にする権限の付与を行うポリシーの例:
関連情報
Trusted Advisor アクセス許可の詳細については、次のリソースを参照してください。
