IAM 정책을 사용하여 조직 보기에 대한 액세스 허용 - AWS Support

IAM 정책을 사용하여 조직 보기에 대한 액세스 허용

다음 AWS Identity and Access Management(IAM) 정책을 사용하여 계정의 사용자 또는 역할이 AWS Trusted Advisor의 조직 보기에 액세스할 수 있도록 허용할 수 있습니다.

예 : 조직 보기에 대한 모든 액세스 권한

다음 정책은 조직 보기 기능에 대한 모든 액세스를 허용합니다. 이 권한이 있는 사용자는 다음을 수행할 수 있습니다.

  • 조직 보기 사용 및 사용 중지

  • 보고서 작성, 보기 및 다운로드.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadStatement",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccountsForParent",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:DescribeOrganization",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeChecks",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:DescribeReports",
                "trustedadvisor:DescribeServiceMetadata",
                "trustedadvisor:DescribeOrganizationAccounts",
                "trustedadvisor:ListAccountsForParent",
                "trustedadvisor:ListRoots",
                "trustedadvisor:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateReportStatement",
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:GenerateReport"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ManageOrganizationalViewStatement",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess",
                "trustedadvisor:SetOrganizationAccess"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateServiceLinkedRoleStatement",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting"
        }
    ]
}
예 : 조직 보기에 대한 읽기 액세스

다음 정책은 Trusted Advisor에 대해 조직 보기에 대한 읽기 전용 액세스를 허용합니다. 이러한 권한이 있는 사용자는 기존 보고서를 보거나 다운로드할 수만 있습니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadStatement",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccountsForParent",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:DescribeOrganization",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeChecks",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:DescribeReports",
                "trustedadvisor:ListAccountsForParent",
                "trustedadvisor:ListRoots",
                "trustedadvisor:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        }
    ]
}

또한 사용자 고유의 IAM 정책을 만들 수도 있습니다. 자세한 내용은 IAM 사용 설명서에서 IAM 정책 생성을 참조하세요.

참고

계정에서 AWS CloudTrail을(를) 활성화한 경우 로그 항목에 다음 역할이 나타날 수 있습니다.

  • AWSServiceRoleForTrustedAdvisorReporting - Trusted Advisor가 조직의 계정에 액세스하는 데 사용하는 서비스 연결 역할입니다.

  • AWSServiceRoleForTrustedAdvisor - Trusted Advisor가 조직의 서비스에 액세스하는 데 사용하는 서비스 연결 역할입니다.

서비스 연결 역할에 대한 자세한 내용은 Trusted Advisor의 서비스 링크 역할 사용 단원을 참조하세요.