翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# へのアクセスを管理する AWS Trusted Advisor
AWS Trusted Advisor から にアクセスできます AWS マネジメントコンソール。すべての AWS アカウント は、選択したコア[Trusted Advisor チェック](https://aws.amazon.com//premiumsupport/faqs/#TaFree)にアクセスできます。Business AWS Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランをお持ちの場合は、すべてのチェックにアクセスできます。詳細については、「」を参照してください[AWS Trusted Advisor チェックリファレンス](trusted-advisor-check-reference.md)。
AWS Identity and Access Management (IAM) を使用して、 へのアクセスを制御できます Trusted Advisor。
**Topics**
+ [Trusted Advisor コンソールのアクセス許可](#using-the-trusted-advisor-console)
+ [Trusted Advisor アクション](#trusted-advisor-operations)
+ [IAM ポリシーの例](#iam-policy-examples-trusted-advisor)
+ [関連情報](#see-also-security-trusted-advisor)
## Trusted Advisor コンソールのアクセス許可
Trusted Advisor コンソールにアクセスするには、ユーザーに最小限のアクセス許可のセットが必要です。これらのアクセス許可により、ユーザーは 内の Trusted Advisor リソースの詳細を一覧表示および表示できます AWS アカウント。
次のオプションを使用して、 Trusted Advisorへのアクセスを制御できます。
+ Trusted Advisor コンソールのタグフィルター機能を使用します。ユーザーまたはロールには、タグに関連付けられたアクセス許可が必要です。
AWS 管理ポリシーまたはカスタムポリシーを使用して、タグごとにアクセス許可を割り当てることができます。詳細については、「[タグを使用した IAM ユーザーおよびロールへのアクセスのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)」を参照してください。
+ `trustedadvisor` 名前空間を使用して IAM ポリシーを作成します。このポリシーを使用して、アクションとリソースの許可を指定できます。
ポリシーを作成するときに、アクションを許可または拒否するサービスの名前空間を指定できます。の名前空間は Trusted Advisor です`trustedadvisor`。ただし、 `trustedadvisor`名前空間を使用して API での Trusted Advisor API オペレーションを許可または拒否することはできません サポート 。代わりに、 サポート の `support` 名前空間を使用する必要があります。
**注記**
[AWS サポート](https://docs.aws.amazon.com/awssupport/latest/APIReference/) API へのアクセス許可がある場合、 の Trusted Advisor ウィジェットには Trusted Advisor 結果の概要ビュー AWS マネジメントコンソール が表示されます。 Trusted Advisor コンソールで結果を表示するには、 `trustedadvisor`名前空間へのアクセス許可が必要です。
## Trusted Advisor アクション
コンソールで次の Trusted Advisor アクションを実行できます。これらの Trusted Advisor アクションを IAM ポリシーで指定して、特定のアクションを許可または拒否することもできます。
| [アクション] | 説明 |
| --- | --- |
| `DescribeAccount` | サポート プランとさまざまな Trusted Advisor 設定を表示するアクセス許可を付与します。 |
| `DescribeAccountAccess` | AWS アカウント が有効か無効かを表示するアクセス許可を付与します Trusted Advisor。 |
| `DescribeCheckItems` | チェックアイテムの詳細を表示するアクセス許可を付与します。 |
| `DescribeCheckRefreshStatuses` | Trusted Advisor チェックの更新ステータスを表示するアクセス許可を付与します。 |
| `DescribeCheckSummaries` | Trusted Advisor チェックの概要を表示するアクセス許可を付与します。 |
| `DescribeChecks` | Trusted Advisor チェックの詳細を表示するアクセス許可を付与します。 |
| `DescribeNotificationPreferences` | AWS アカウントの通知設定を表示するアクセス許可を付与します。 |
| `ExcludeCheckItems` | Trusted Advisor チェックのレコメンデーションを除外するアクセス許可を付与します。 |
| `IncludeCheckItems` | Trusted Advisor チェックのレコメンデーションを含めるアクセス許可を付与します。 |
| `RefreshCheck` | Trusted Advisor チェックを更新するアクセス許可を付与します。 |
| `SetAccountAccess` | アカウントの を有効または無効に Trusted Advisor するアクセス許可を付与します。 |
| `UpdateNotificationPreferences` | Trusted Advisorの通知設定を更新するアクセス許可を付与します。 |
| `DescribeCheckStatusHistoryChanges` | 過去 30 日間のチェックについて、その結果と変化したステータスを表示するための許可を付与します。 |
### Trusted Advisor 組織ビューの アクション
次の Trusted Advisor アクションは、組織ビュー機能用です。詳細については、「[の組織ビュー AWS Trusted Advisor](organizational-view.md)」を参照してください。
| [アクション] | 説明 |
| --- | --- |
| `DescribeOrganization` | が組織ビュー機能を有効にする AWS アカウント 要件を満たしているかどうかを表示するアクセス許可を付与します。 |
| `DescribeOrganizationAccounts` | 組織内のリンクされた AWS アカウントを表示するアクセス許可を付与します。 |
| `DescribeReports` | 組織ビューレポートの詳細 (レポート名、ランタイム、作成日、ステータス、形式など) を表示するアクセス許可を付与します。 |
| `DescribeServiceMetadata` | チェックカテゴリ、チェック名、リソースステータスなど AWS リージョン、組織ビューレポートに関する情報を表示するアクセス許可を付与します。 |
| `GenerateReport` | 組織内の Trusted Advisor チェックのレポートを作成するアクセス許可を付与します。 |
| `ListAccountsForParent` | ルートまたは組織単位 (OU) に含まれる AWS 組織内のすべてのアカウントを Trusted Advisor コンソールで表示するアクセス許可を付与します。 |
| `ListOrganizationalUnitsForParent` | Trusted Advisor コンソールで、親組織単位またはルート内のすべての組織単位 (OUs) を表示するアクセス許可を付与します。 |
| `ListRoots` | AWS 組織で定義されているすべてのルートを Trusted Advisor コンソールで表示するアクセス許可を付与します。 |
| `SetOrganizationAccess` | 組織ビュー機能を有効にするアクセス許可を付与します Trusted Advisor。 |
### Trusted Advisor Priority アクション
アカウントで Trusted Advisor Priority が有効になっている場合は、 コンソールで次の Trusted Advisor アクションを実行できます。また、これらの Trusted Advisor アクションを IAM ポリシーに追加し、特定のアクションを許可または拒否することもできます。詳細については、「[Trusted Advisor Priority の IAM ポリシーの例](#trusted-advisor-priority-policies)」を参照してください。
**注記**
Trusted Advisor Priority に表示されるリスクは、テクニカルアカウントマネージャー (TAM) がアカウントに対して特定した推奨事項です。 Trusted Advisor チェックなどのサービスからのレコメンデーションが自動的に作成されます。TAM からのレコメンデーションは手動で作成されます。次に、TAM はこれらの推奨事項を送信して、アカウントの Trusted Advisor Priority に表示されます。
詳細については、「[AWS Trusted Advisor Priority の使用を開始する](trusted-advisor-priority.md)」を参照してください。
| [アクション] | 説明 |
| --- | --- |
| `DescribeRisks` | Trusted Advisor Priority でリスクを表示するアクセス許可を付与します。 |
| `DescribeRisk` | Trusted Advisor Priority でリスクの詳細を表示するアクセス許可を付与します。 |
| `DescribeRiskResources` | Trusted Advisor Priority でリスクの影響を受けるリソースを表示する許可を付与します |
| `DownloadRisk` | Trusted Advisor Priority のリスクに関する詳細を含むファイルをダウンロードするアクセス許可を付与します。 |
| `UpdateRiskStatus` | Trusted Advisor Priority でリスクステータスを更新する許可を付与します |
| `DescribeNotificationConfigurations` | Trusted Advisor Priority の E メール通知設定を取得するアクセス許可を付与します。 |
| `UpdateNotificationConfigurations` | Trusted Advisor Priority のメール通知設定を作成または更新する許可を付与します。 |
| `DeleteNotificationConfigurationForDelegatedAdmin` | Trusted Advisor Priority の委任管理者アカウントから E メール通知設定を削除するアクセス許可を組織管理アカウントに付与します。 |
## IAM ポリシーの例
次のポリシーは、 Trusted Advisorへのアクセスを許可および拒否する方法を示しています。以下のいずれかのポリシーを使用して、IAM コンソールで*カスタマーマネージドポリシー*を作成できます。例えば、サンプルポリシーをコピーして IAM コンソールの [[JSON] タブ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor)に貼り付けることができます。次に、IAM ユーザー、グループ、またはロールにポリシーをアタッチします。
IAM ポリシーの作成方法の詳細については、*IAM ユーザーガイド*の「[IAM ポリシーの作成 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
**Topics**
+ [へのフルアクセス Trusted Advisor](#full-access-trusted-advisor)
+ [への読み取り専用アクセス Trusted Advisor](#read-only-access-trusted-advisor)
+ [へのアクセスを拒否する Trusted Advisor](#no-access-trusted-advisor)
+ [特定のアクションを許可および拒否する](#allow-specific-actions-trusted-advisor)
+ [の サポート API オペレーションへのアクセスを制御する Trusted Advisor](#control-access-to-trusted-advisor-deny-support)
+ [Trusted Advisor Priority の IAM ポリシーの例](#trusted-advisor-priority-policies)
### へのフルアクセス Trusted Advisor
次のポリシーでは、 Trusted Advisor コンソールのすべての Trusted Advisor チェックですべてのアクションを表示および実行することをユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "trustedadvisor:*",
"Resource": "*"
}
]
}
```
------
### への読み取り専用アクセス Trusted Advisor
次のポリシーでは、 Trusted Advisor コンソールへの読み取り専用アクセスをユーザーに許可します。ユーザーは、変更 (更新チェックや通知設定の変更など) を行うことはできません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:Describe*",
"trustedadvisor:Get*",
"trustedadvisor:List*"
],
"Resource": "*"
}
]
}
```
------
### へのアクセスを拒否する Trusted Advisor
次のポリシーでは、ユーザーが Trusted Advisor コンソールでチェックを表示またはアクションを実行 Trusted Advisor することはできません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "trustedadvisor:*",
"Resource": "*"
}
]
}
```
------
### 特定のアクションを許可および拒否する
次のポリシーでは、ユーザーはコンソール Trusted Advisor ですべての Trusted Advisor チェックを表示できますが、チェックの更新は許可されません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "trustedadvisor:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "trustedadvisor:RefreshCheck",
"Resource": "*"
}
]
}
```
------
### の サポート API オペレーションへのアクセスを制御する Trusted Advisor
では AWS マネジメントコンソール、別の `trustedadvisor` IAM 名前空間が へのアクセスを制御します Trusted Advisor。`trustedadvisor` 名前空間を使用して API での Trusted Advisor API オペレーションを許可または拒否することはできません サポート 。代わりに、`support` 名前空間を使用します。 Trusted Advisor プログラムで を呼び出すには、 サポート API へのアクセス許可が必要です。
たとえば、[RefreshTrustedAdvisorCheck](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_RefreshTrustedAdvisorCheck.html) オペレーションを呼び出す場合は、ポリシーでこのアクションに対するアクセス許可が必要です。
**Example : Trusted Advisor API オペレーションのみを許可する**
次のポリシーでは、ユーザーは の サポート API オペレーションにアクセスできますが Trusted Advisor、残りの サポート API オペレーションにはアクセスできません。例えば、ユーザーは API を使用してチェックを表示および更新できます。 AWS サポート ケースを作成、表示、更新、解決することはできません。
このポリシーを使用して Trusted Advisor API オペレーションをプログラムで呼び出すことはできますが、このポリシーを使用してコンソールで Trusted Advisor チェックを表示または更新することはできません。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeTrustedAdvisorCheckRefreshStatuses",
"support:DescribeTrustedAdvisorCheckResult",
"support:DescribeTrustedAdvisorChecks",
"support:DescribeTrustedAdvisorCheckSummaries",
"support:RefreshTrustedAdvisorCheck",
"trustedadvisor:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:DescribeAttachment",
"support:DescribeCases",
"support:DescribeCommunications",
"support:DescribeServices",
"support:DescribeSeverityLevels",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
IAM が サポート および と連携する方法の詳細については Trusted Advisor、「」を参照してください[アクション](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions)。
### Trusted Advisor Priority の IAM ポリシーの例
Priority へのアクセスを制御するには、次の AWS 管理ポリシーを使用できます Trusted Advisor 。詳細については、「[AWS の 管理ポリシー AWS Trusted Advisor](aws-managed-policies-for-trusted-advisor.md)」および「[AWS Trusted Advisor Priority の使用を開始する](trusted-advisor-priority.md)」を参照してください。
## 関連情報
アクセス Trusted Advisor 許可の詳細については、次のリソースを参照してください。
+ *IAM ユーザーガイド*の「[AWS Trusted Advisorで定義されるアクション](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awstrustedadvisor.html#awstrustedadvisor-actions-as-permissions)」
+ [Trusted Advisor コンソールへのアクセスの制御](https://aws.amazon.com/premiumsupport/ta-iam/)