AWS의 관리형 정책AWS Trusted Advisor - AWS Support
AWSTrustedAdvisorPriorityFullAccess AWSTrustedAdvisorPriorityReadOnlyAccess AWSTrustedAdvisorServiceRolePolicy AWSTrustedAdvisorReportingServiceRolePolicy 정책 업데이트

AWS의 관리형 정책AWS Trusted Advisor

Trusted Advisor는 다음과 같은 AWS 관리형 정책을 사용합니다.

AWS 관리형 정책:AWSTrustedAdvisorPriorityFullAccess .

AWSTrustedAdvisorPriorityFullAccess 정책은 Trusted Advisor Priority에 대한 모든 액세스 권한을 부여합니다. 또한 이 정책을 사용하면 Trusted Advisor를 AWS Organizations과 상호 신뢰할 수 있는 서비스로 추가하고 Trusted Advisor Priority에 대한 위임된 관리자 계정을 지정할 수 있습니다.

권한 세부 정보

첫 번째 문의 정책에 trustedadvisor에 대한 다음 권한이 포함되어 있습니다.

  • 계정 및 조직에 대해 설명합니다.

  • Trusted Advisor Priority에서 식별된 위험에 대해 설명합니다. 권한을 활용하여 위험 상태를 다운로드하고 업데이트할 수 있습니다.

  • Trusted Advisor Priority 이메일 알림에 대한 구성을 설명합니다. 권한을 활용하여 이메일 알림을 구성하고 위임된 관리자의 이메일 알림을 비활성화할 수 있습니다.

  • 사용자 계정에서 AWS Organizations을 활성화할 수 있도록 Trusted Advisor를 설정합니다.

두 번째 문의 정책에 organizations에 대한 다음 권한이 포함되어 있습니다.

  • Trusted Advisor 계정 및 조직에 대해 설명합니다.

  • Organizations를 사용하기 위해 활성화한 AWS 서비스를 나열합니다.

세 번째 문의 정책에 organizations에 대한 다음 권한이 포함되어 있습니다.

  • Trusted Advisor Priority에 대해 위임된 관리자를 나열합니다.

  • Organizations와 상호 신뢰할 수 있는 액세스를 활성화 및 비활성화합니다.

네 번째 문의 정책에 iam에 대한 다음 권한이 포함되어 있습니다.

  • AWSServiceRoleForTrustedAdvisorReporting 서비스 연결 역할을 생성합니다.

다섯 번째 문의 정책에 organizations에 대한 다음 권한이 포함되어 있습니다.

  • Trusted Advisor Priority에 대해 위임된 관리자를 등록 및 등록 취소할 수 있습니다.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityFullAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:UpdateRiskStatus",
				"trustedadvisor:DescribeNotificationConfigurations",
				"trustedadvisor:UpdateNotificationConfigurations",
				"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
				"trustedadvisor:SetOrganizationAccess"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:EnableAWSServiceAccess",
				"organizations:DisableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowCreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
				}
			}
		},
		{
			"Sid": "AllowRegisterDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:RegisterDelegatedAdministrator",
				"organizations:DeregisterDelegatedAdministrator"
			],
			"Resource": "arn:aws:organizations::*:*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS 관리형 정책:AWSTrustedAdvisorPriorityReadOnlyAccess .

AWSTrustedAdvisorPriorityReadOnlyAccess 정책은 Trusted Advisor Priority에 읽기 전용 권한(위임된 관리자 계정을 볼 수 있는 권한 포함)을 부여합니다.

권한 세부 정보

첫 번째 문의 정책에 trustedadvisor에 대한 다음 권한이 포함되어 있습니다.

  • Trusted Advisor 계정 및 조직에 대해 설명합니다.

  • Trusted Advisor Priority에서 식별된 위험에 대해 설명하고 해당 위험을 다운로드할 수 있도록 허용합니다.

  • Trusted Advisor Priority 이메일 알림에 대한 구성을 설명합니다.

두 번째 및 세 번째 문의 정책에 organizations에 대한 다음 권한이 포함되어 있습니다.

  • Organizations를 사용하여 조직을 설명합니다.

  • Organizations를 사용하기 위해 활성화한 AWS 서비스를 나열합니다.

  • Trusted Advisor Priority에 대해 위임된 관리자를 나열합니다.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:DescribeNotificationConfigurations"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS 관리형 정책: AWSTrustedAdvisorServiceRolePolicy

이 정책은 AWSServiceRoleForTrustedAdvisor 서비스 역할에 연결됩니다. 이 정책을 사용하면 서비스 연결 역할이 사용자를 대신하여 작업을 수행할 수 있습니다. AWSTrustedAdvisorServiceRolePolicy를 AWS Identity and Access Management(IAM) 엔터티에 연결할 수 없습니다. 자세한 내용은 Trusted Advisor의 서비스 링크 역할 사용 섹션을 참조하세요.

이 정책은 서비스 연결 역할이 AWS 서비스에 액세스할 수 있도록 하는 관리 권한을 부여합니다. 이러한 권한을 통해 Trusted Advisor의 검사가 계정을 평가할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • accessanalyzer - AWS Identity and Access Management Access Analyzer 리소스를 설명합니다.

  • Auto Scaling - Amazon EC2 Auto Scaling 계정 할당량 및 리소스에 관해 설명합니다

  • cloudformation - AWS CloudFormation(CloudFormation) 계정 할당량 및 스택에 관해 설명합니다

  • cloudfront – Amazon CloudFront 배포에 관해 설명합니다

  • cloudtrail - AWS CloudTrail(CloudTrail) 추적에 관해 설명합니다

  • dynamodb - Amazon DynamoDB 계정 할당량 및 리소스에 관해 설명합니다

  • dynamodbaccelerator - DynamoDB Accelerator 리소스를 설명합니다.

  • ec2 - Amazon Elastic Compute Cloud(Amazon EC2) 계정 할당량 및 리소스에 관해 설명합니다

  • elasticloadbalancing - Elastic Load Balancing(ELB) 계정 할당량 및 리소스에 관해 설명합니다

  • iam - 자격 증명, 암호 정책 및 인증서와 같은 IAM 리소스를 가져옵니다

  • networkfirewall - AWS Network Firewall 리소스를 설명합니다.

  • kinesis - Amazon Kinesis(Kinesis) 계정 할당량에 관해 설명합니다

  • rds – Amazon Relational Database Service(Amazon RDS) 리소스에 관해 설명합니다

  • redshift - Amazon Redshift 리소스에 관해 설명합니다

  • route53 - Amazon Route 53 계정 할당량 및 리소스에 관해 설명합니다

  • s3 - Amazon Simple Storage Service(Amazon S3) 리소스에 관해 설명합니다

  • ses – Amazon Simple Email Service(Amazon SES) 전송 할당량을 가져옵니다

  • sqs – Amazon Simple Queue Service(Amazon SQS) 대기열을 목록으로 만듭니다

  • cloudwatch - Amazon CloudWatch Events(CloudWatch 이벤트) 지표 통계를 가져옵니다

  • ce - Cost Explorer 서비스(Cost Explorer) 권장 사항을 가져옵니다

  • route53resolver - Amazon Route 53 Resolver Resolve 엔드포인트 및 리소스 확보

  • kafka - Amazon Managed Streaming for Apache Kafka 리소스 확보

  • ecs - Amazon ECS 리소스를 가져옵니다.

  • outposts - AWS Outposts 리소스를 가져옵니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "TrustedAdvisorServiceRolePermissions",
            "Effect": "Allow",
            "Action": [
                "access-analyzer:ListAnalyzers",
                "autoscaling:DescribeAccountLimits",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "ce:GetReservationPurchaseRecommendation",
                "ce:GetSavingsPlansPurchaseRecommendation",
                "cloudformation:DescribeAccountLimits",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStacks",
                "cloudfront:ListDistributions",
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetTrail",
                "cloudtrail:ListTrails",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "dax:DescribeClusters",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "ec2:DescribeAddresses",
                "ec2:DescribeReservedInstances",
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeImages",
                "ec2:DescribeNatGateways",
                "ec2:DescribeVolumes",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:DescribeReservedInstancesOfferings",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpnConnections",
                "ec2:DescribeVpnGateways",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:GetManagedPrefixListEntries",
                "ecs:DescribeTaskDefinition",
                "ecs:ListTaskDefinitions",
                "elasticloadbalancing:DescribeAccountLimits",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancerAttributes",
                "elasticloadbalancing:DescribeLoadBalancerPolicies",
                "elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeRules",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "iam:GenerateCredentialReport",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary",
                "iam:GetCredentialReport",
                "iam:GetServerCertificate",
                "iam:ListServerCertificates",
                "iam:ListSAMLProviders",
                "kinesis:DescribeLimits",
                "kafka:DescribeClusterV2",
                "kafka:ListClustersV2",
                "kafka:ListNodes",
                "network-firewall:ListFirewalls",
                "network-firewall:DescribeFirewall",
                "outposts:GetOutpost",
                "outposts:ListAssets",
                "outposts:ListOutposts",
                "rds:DescribeAccountAttributes",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSecurityGroups",
                "rds:DescribeDBSnapshots",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEngineDefaultParameters",
                "rds:DescribeEvents",
                "rds:DescribeOptionGroupOptions",
                "rds:DescribeOptionGroups",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribeReservedDBInstances",
                "rds:DescribeReservedDBInstancesOfferings",
                "rds:ListTagsForResource",
                "redshift:DescribeClusters",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "route53:GetAccountLimit",
                "route53:GetHealthCheck",
                "route53:GetHostedZone",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListHostedZonesByName",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetLifecycleConfiguration",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "ses:GetSendQuota",
                "sqs:GetQueueAttributes",
                "sqs:ListQueues"
            ],
            "Resource": "*"
        }
    ]
}

AWS 관리형 정책: AWSTrustedAdvisorReportingServiceRolePolicy

이 정책은 AWSServiceRoleForTrustedAdvisorReporting 서비스 연결 역할에 연결되어 Trusted Advisor가 조직 보기 기능에 대한 작업을 수행하도록 허용합니다. AWSTrustedAdvisorReportingServiceRolePolicy를 IAM 엔터티에 연결할 수 없습니다. 자세한 내용은 Trusted Advisor의 서비스 링크 역할 사용 단원을 참조하세요.

이 정책은 서비스 연결 역할이 AWS Organizations 작업을 수행할 수 있도록 하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • organizations – 조직을 설명하고 서비스 액세스, 계정, 상위, 하위 및 조직 단위를 나열합니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS 관리형 정책으로 Trusted Advisor 업데이트

이 서비스가 이러한 변경 내용을 추적하기 시작한 이후부터 AWS Support와 Trusted Advisor의 AWS 관리형 정책 업데이트에 대한 세부 정보를 검토하세요. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 문서 기록 페이지에서 RSS 피드를 구독하세요.

다음 표에서는 2021년 8월 10일부터의 Trusted Advisor관리형 정책에 대한 중요 업데이트에 대해 설명합니다.

Trusted Advisor
변경 사항 설명 날짜

AWSTrustedAdvisorServiceRolePolicy

기존 정책에 대한 업데이트.

Trusted Advisor가 elasticloadbalancing:DescribeListeners,elasticloadbalancing:DescribeRules 권한을 부여하기 위해 새로운 작업을 추가했습니다.

 2024년 10월 30일

AWSTrustedAdvisorServiceRolePolicy

기존 정책에 대한 업데이트.

Trusted Advisor가 access-analyzer:ListAnalyzers, cloudwatch:ListMetrics, dax:DescribeClusters, ec2:DescribeNatGateways, ec2:DescribeRouteTables, ec2:DescribeVpcEndpoints, ec2:GetManagedPrefixListEntries, elasticloadbalancing:DescribeTargetHealth, iam:ListSAMLProviders, kafka:DescribeClusterV2 network-firewall:ListFirewalls network-firewall:DescribeFirewall, sqs:GetQueueAttributes 권한을 부여하기 위해 새로운 작업을 추가했습니다.

 2024년 6월 11일

AWSTrustedAdvisorServiceRolePolicy

기존 정책에 대한 업데이트.

Trusted Advisor가 cloudtrail:GetTrail cloudtrail:ListTrails cloudtrail:GetEventSelectors outposts:GetOutpost, outposts:ListAssets, outposts:ListOutposts 권한을 부여하기 위해 새로운 작업을 추가했습니다.

 2024년 1월 18일

AWSTrustedAdvisorPriorityFullAccess

기존 정책에 대한 업데이트.

Trusted Advisor가 문 ID를 포함하도록 AWSTrustedAdvisorPriorityFullAccess AWS 관리형 정책을 업데이트했습니다.

 2023년 12월 6일

AWSTrustedAdvisorPriorityReadOnlyAccess

기존 정책에 대한 업데이트.

Trusted Advisor가 문 ID를 포함하도록 AWSTrustedAdvisorPriorityReadOnlyAccess AWS 관리형 정책을 업데이트했습니다.

 2023년 12월 6일

AWSTrustedAdvisorServiceRolePolicy -기존 정책 업데이트

Trusted Advisor가 ec2:DescribeRegions s3:GetLifecycleConfiguration ecs:DescribeTaskDefinitionecs:ListTaskDefinitions 권한을 부여하기 위해 새로운 작업을 추가했습니다.

 2023년 11월 9일

AWSTrustedAdvisorServiceRolePolicy -기존 정책 업데이트

Trusted Advisor은(는) 새 복원력 검사를 온보딩하기 위해 새 IAM 작업 route53resolver:ListResolverEndpoints, route53resolver:ListResolverEndpointIpAddresses, ec2:DescribeSubnets, kafka:ListClustersV2kafka:ListNodes을(를) 추가했습니다.

 2023년 9월 14일

AWSTrustedAdvisorReportingServiceRolePolicy

이 관리형 정책의 V2는 Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting 서비스 연결 역할에 연결됩니다.

Trusted Advisor AWSServiceRoleForTrustedAdvisorReporting 서비스 연결 역할을 위해 AWS 관리형 정책을 V2로 업그레이드합니다. V2에는 IAM 작업 organizations:ListDelegatedAdministrators이(가) 하나 더 추가됩니다.

2023년 2월 28일

AWSTrustedAdvisorPriorityFullAccessAWSTrustedAdvisorPriorityReadOnlyAccess

Trusted Advisor의 새로운 AWS 관리형 정책

Trusted Advisor는 Trusted Advisor Priority에 대한 액세스를 제어하는 데 사용할 수 있는 두 개의 새로운 관리형 정책을 추가했습니다.

2022년 8월 17일

AWSTrustedAdvisorServiceRolePolicy -기존 정책 업데이트

Trusted Advisor가 DescribeTargetGroupsGetAccountPublicAccessBlock 권한을 부여하기 위해 새로운 작업을 추가했습니다.

DescribeTargetGroup 권한은 Auto Scaling 그룹 상태 확인이 Auto Scaling 그룹에 연결된 비클래식 로드 밸런서를 검색하는 데 필요합니다.

GetAccountPublicAccessBlock 권한은 Amazon S3 버킷 권한 검사가 AWS 계정에 대한 퍼블릭 액세스 차단 설정을 검색하는 데 필요합니다.

 2021년 8월 10일

변경 로그 게시

Trusted Advisor에서 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다.

 2021년 8월 10일