AWS políticas gerenciadas da para AWS Trusted Advisor - AWS Support
AWSTrustedAdvisorPriorityFullAccess AWSTrustedAdvisorPriorityReadOnlyAccess AWSTrustedAdvisorServiceRolePolicy AWSTrustedAdvisorReportingServiceRolePolicy Atualizações da política

AWS políticas gerenciadas da para AWS Trusted Advisor

O Trusted Advisor oferece as políticas gerenciadas pela AWS a seguir.

AWS Política gerenciada pela: AWSTrustedAdvisorPriorityFullAccess

A política AWSTrustedAdvisorPriorityFullAccess concede acesso completo ao Trusted Advisor Priority. Essa política também permite que o usuário adicione o Trusted Advisor como um serviço confiável com o AWS Organizations e especifique as contas de administrador delegadas para o Trusted Advisor Priority.

Detalhes relacionados às permissões

Na primeira declaração, a política inclui as seguintes permissões para trustedadvisor:

  • Descreve a sua conta e a sua organização.

  • Descreve os riscos identificados do Trusted Advisor Priority. As permissões permitem que você baixe e atualize o status de risco.

  • Descreve suas configurações de notificações por e-mail para o Trusted Advisor Priority. As permissões permitem que você configure as notificações por e-mail e as desative para os seus administradores delegados.

  • Configura o Trusted Advisor para que sua conta possa habilitar o AWS Organizations.

Na segunda declaração, a política inclui as seguintes permissões para organizations:

  • Descreve a sua conta e a sua organização do Trusted Advisor.

  • Lista os Serviços da AWS que você habilitou para usar o Organizations.

Na terceira declaração, a política inclui as seguintes permissões para organizations:

  • Lista os administradores delegados para o Trusted Advisor Priority.

  • Ativa e desativa o acesso confiável com o Organizations.

Na quarta declaração, a política inclui as seguintes permissões para iam:

  • Cria o perfil vinculado ao serviço AWSServiceRoleForTrustedAdvisorReporting.

Na quinta declaração, a política inclui as seguintes permissões para organizations:

  • Permite que você registre e cancele o registro de administradores delegados para o Trusted Advisor Priority.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityFullAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:UpdateRiskStatus",
				"trustedadvisor:DescribeNotificationConfigurations",
				"trustedadvisor:UpdateNotificationConfigurations",
				"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
				"trustedadvisor:SetOrganizationAccess"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:EnableAWSServiceAccess",
				"organizations:DisableAWSServiceAccess"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowCreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
			"Condition": {
				"StringLike": {
					"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
				}
			}
		},
		{
			"Sid": "AllowRegisterDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:RegisterDelegatedAdministrator",
				"organizations:DeregisterDelegatedAdministrator"
			],
			"Resource": "arn:aws:organizations::*:*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS Política gerenciada pela: AWSTrustedAdvisorPriorityReadOnlyAccess

A política AWSTrustedAdvisorPriorityReadOnlyAccess concede permissões somente leitura ao Trusted Advisor Priority, incluindo permissão para visualizar as contas de administrador delegadas.

Detalhes relacionados às permissões

Na primeira declaração, a política inclui as seguintes permissões para trustedadvisor:

  • Descreve a sua conta e a sua organização do Trusted Advisor.

  • Descreve os riscos identificados do Trusted Advisor Priority e permite que você os baixe.

  • Descreve as configurações de notificações por e-mail para o Trusted Advisor Priority.

Na segunda e terceira declarações, a política inclui as seguintes permissões para organizations:

  • Descreve sua organização com o Organizations.

  • Lista os Serviços da AWS que você habilitou para usar o Organizations.

  • Lista os administradores delegados para o Trusted Advisor Priority

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeAccount*",
				"trustedadvisor:DescribeOrganization",
				"trustedadvisor:DescribeRisk*",
				"trustedadvisor:DownloadRisk",
				"trustedadvisor:DescribeNotificationConfigurations"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessForOrganization",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeOrganization",
				"organizations:ListAWSServiceAccessForOrganization"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowListDelegatedAdministrators",
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"organizations:ServicePrincipal": [
						"reporting.trustedadvisor.amazonaws.com"
					]
				}
			}
		}
	]
}

AWS Política gerenciada da: AWSTrustedAdvisorServiceRolePolicy

Esta política é anexada à função vinculada ao serviço AWSServiceRoleForTrustedAdvisor. Isso permite que o perfil vinculado ao serviço execute ações em seu nome. Não é possível anexar a política AWSTrustedAdvisorServiceRolePolicy às suas entidades do AWS Identity and Access Management (IAM). Para obter mais informações, consulte Usar perfis vinculados ao serviço do Trusted Advisor.

Essa política concede permissões administrativas que permitem que o perfil vinculado ao serviço acesse os Serviços da AWS. Essas permissões permitem que as verificações para Trusted Advisor avaliem a sua conta.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • accessanalyzer: descreve recursos do AWS Identity and Access Management Access Analyzer

  • Auto Scaling - Descreve cotas e recursos da conta do Amazon EC2 Auto Scaling

  • cloudformation - Descreve cotas e pilhas de conta do AWS CloudFormation (CloudFormation)

  • cloudfront - Descreve as distribuições do Amazon CloudFront

  • cloudtrail - Descreve as trilhas do AWS CloudTrail (CloudTrail)

  • dynamodb - Descreve cotas e recursos da conta do Amazon DynamoDB

  • dynamodbaccelerator: descreve recursos do DynamoDB Accelerator

  • ec2 - Descreve cotas e recursos da conta do Amazon Elastic Compute Cloud (Amazon EC2)

  • elasticloadbalancing: descreve as cotas e recursos da conta do Elastic Load Balancing (ELB)

  • iam - Obtém recursos do IAM, como credenciais, política de senha e certificados

  • networkfirewall: descreve recursos do AWS Network Firewall

  • kinesis - Descreve cotas de contas do Amazon Kinesis (Kinesis)

  • rds - Descrever recursos do Amazon Relational Database Service (Amazon RDS)

  • redshift - Descreve os recursos do Amazon Redshift

  • route53 - Descreve cotas e recursos da conta do Amazon Route 53

  • s3 - Descreve recursos do Amazon Simple Storage Service (Amazon S3)

  • ses - Faz o Amazon Simple Email Service (Amazon SES) enviar cotas

  • sqs - Lista as filas do Amazon Simple Queue Service (Amazon SQS)

  • cloudwatch - Obtém estatísticas métricas do Amazon CloudWatch Events (CloudWatch Events)

  • ce - Obtém recomendações do Serviço Cost Explorer (Cost Explorer)

  • route53resolver: obtém os resolver endpoints e recursos do Amazon Route 53 Resolver

  • kafka: obtém o Amazon Managed Streaming para os recursos do Apache Kafka

  • ecs: obtém recursos do Amazon ECS

  • outposts: obtém recursos do AWS Outposts

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "TrustedAdvisorServiceRolePermissions",
            "Effect": "Allow",
            "Action": [
                "access-analyzer:ListAnalyzers",
                "autoscaling:DescribeAccountLimits",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "ce:GetReservationPurchaseRecommendation",
                "ce:GetSavingsPlansPurchaseRecommendation",
                "cloudformation:DescribeAccountLimits",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStacks",
                "cloudfront:ListDistributions",
                "cloudtrail:DescribeTrails",
                "cloudtrail:GetTrailStatus",
                "cloudtrail:GetTrail",
                "cloudtrail:ListTrails",
                "cloudtrail:GetEventSelectors",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "dax:DescribeClusters",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "ec2:DescribeAddresses",
                "ec2:DescribeReservedInstances",
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeImages",
                "ec2:DescribeNatGateways",
                "ec2:DescribeVolumes",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:DescribeReservedInstancesOfferings",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpnConnections",
                "ec2:DescribeVpnGateways",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:GetManagedPrefixListEntries",
                "ecs:DescribeTaskDefinition",
                "ecs:ListTaskDefinitions",
                "elasticloadbalancing:DescribeAccountLimits",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancerAttributes",
                "elasticloadbalancing:DescribeLoadBalancerPolicies",
                "elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeRules",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "iam:GenerateCredentialReport",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary",
                "iam:GetCredentialReport",
                "iam:GetServerCertificate",
                "iam:ListServerCertificates",
                "iam:ListSAMLProviders",
                "kinesis:DescribeLimits",
                "kafka:DescribeClusterV2",
                "kafka:ListClustersV2",
                "kafka:ListNodes",
                "network-firewall:ListFirewalls",
                "network-firewall:DescribeFirewall",
                "outposts:GetOutpost",
                "outposts:ListAssets",
                "outposts:ListOutposts",
                "rds:DescribeAccountAttributes",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSecurityGroups",
                "rds:DescribeDBSnapshots",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEngineDefaultParameters",
                "rds:DescribeEvents",
                "rds:DescribeOptionGroupOptions",
                "rds:DescribeOptionGroups",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribeReservedDBInstances",
                "rds:DescribeReservedDBInstancesOfferings",
                "rds:ListTagsForResource",
                "redshift:DescribeClusters",
                "redshift:DescribeReservedNodeOfferings",
                "redshift:DescribeReservedNodes",
                "route53:GetAccountLimit",
                "route53:GetHealthCheck",
                "route53:GetHostedZone",
                "route53:ListHealthChecks",
                "route53:ListHostedZones",
                "route53:ListHostedZonesByName",
                "route53:ListResourceRecordSets",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:ListResolverEndpointIpAddresses",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketLocation",
                "s3:GetBucketLogging",
                "s3:GetBucketVersioning",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetLifecycleConfiguration",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "ses:GetSendQuota",
                "sqs:GetQueueAttributes",
                "sqs:ListQueues"
            ],
            "Resource": "*"
        }
    ]
}

AWS Política gerenciada da: AWSTrustedAdvisorReportingServiceRolePolicy

Essa política é anexada à função vinculada ao serviço do AWSServiceRoleForTrustedAdvisorReporting que permite que ao Trusted Advisor executar ações para o recurso de visualização organizacional. Não é possível anexar o AWSTrustedAdvisorReportingServiceRolePolicy às suas entidades do IAM. Para obter mais informações, consulte Usar perfis vinculados ao serviço do Trusted Advisor.

Essa política concede permissões administrativas que permitem que a função vinculada ao serviço execute ações do AWS Organizations.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • organizations - Descreve sua organização e lista o acesso ao serviço, contas, pais, filhos e unidades organizacionais

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Atualizações do Trusted Advisor para políticas gerenciadas pela AWS

Visualize detalhes sobre atualizações em políticas gerenciadas da AWS para o AWS Support e o Trusted Advisor desde que esse serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico do documento.

A tabela a seguir descreve atualizações importantes nas políticas gerenciadas pelo Trusted Advisor desde 10 de agosto de 2021.

Trusted Advisor
Alteração Descrição Data

AWSTrustedAdvisorServiceRolePolicy

Atualize para uma política existente.

O Trusted Advisor adicionou novas ações para conceder as permissões elasticloadbalancing:DescribeListeners, e elasticloadbalancing:DescribeRules.

 30 de outubro de 2024

AWSTrustedAdvisorServiceRolePolicy

Atualize para uma política existente.

O Trusted Advisor adicionou novas ações para conceder as permissões access-analyzer:ListAnalyzers, cloudwatch:ListMetrics, dax:DescribeClusters, ec2:DescribeNatGateways, ec2:DescribeRouteTables, ec2:DescribeVpcEndpoints, ec2:GetManagedPrefixListEntries, elasticloadbalancing:DescribeTargetHealth, iam:ListSAMLProviders, kafka:DescribeClusterV2 network-firewall:ListFirewalls network-firewall:DescribeFirewall e sqs:GetQueueAttributes.

 11 de junho de 2024

AWSTrustedAdvisorServiceRolePolicy

Atualize para uma política existente.

O Trusted Advisor adicionou novas ações para conceder as permissões cloudtrail:GetTrail cloudtrail:ListTrails cloudtrail:GetEventSelectors outposts:GetOutpost, outposts:ListAssets e outposts:ListOutposts.

 18 de janeiro de 2024

AWSTrustedAdvisorPriorityFullAccess

Atualize para uma política existente.

O Trusted Advisor atualizou a política AWSTrustedAdvisorPriorityFullAccess gerenciada pela AWS para incluir IDs de declaração.

 6 de dezembro de 2023

AWSTrustedAdvisorPriorityReadOnlyAccess

Atualize para uma política existente.

O Trusted Advisor atualizou a política AWSTrustedAdvisorPriorityReadOnlyAccess gerenciada pela AWS para incluir IDs de declaração.

 6 de dezembro de 2023

AWSTrustedAdvisorServiceRolePolicy – atualização para uma política existente

O Trusted Advisor adicionou novas ações para conceder as permissões ec2:DescribeRegions s3:GetLifecycleConfiguration ecs:DescribeTaskDefinition e ecs:ListTaskDefinitions.

 9 de novembro de 2023

AWSTrustedAdvisorServiceRolePolicy – atualização para uma política existente

O Trusted Advisor adicionou novas ações route53resolver:ListResolverEndpoints, route53resolver:ListResolverEndpointIpAddresses, ec2:DescribeSubnets, kafka:ListClustersV2 e kafka:ListNodes do IAM para integrar novas verificações de resiliência.

 14 de setembro de 2023

AWSTrustedAdvisorReportingServiceRolePolicy

V2 da política gerenciada anexada ao perfil vinculado ao serviço AWSServiceRoleForTrustedAdvisorReporting do Trusted Advisor.

Atualize a política gerenciada da AWS para V2 para o perfil vinculado ao serviço AWSServiceRoleForTrustedAdvisorReporting do Trusted Advisor. A V2 adicionará mais uma ação organizations:ListDelegatedAdministrators do IAM

28 de fevereiro de 2023

AWSTrustedAdvisorPriorityFullAccess e AWSTrustedAdvisorPriorityReadOnlyAccess

Novas políticas gerenciadas pela AWS para o Trusted Advisor

O Trusted Advisor adicionou duas novas políticas gerenciadas que você pode usar para controlar o acesso ao Trusted Advisor Priority.

17 de agosto de 2022

AWSTrustedAdvisorServiceRolePolicy – atualização para uma política existente

O Trusted Advisor adicionou novas ações para conceder as permissões DescribeTargetGroups e GetAccountPublicAccessBlock.

DescribeTargetGroup é necessário para a permissão Auto Scaling Group Health Check (Verificação de integridade do grupo do Auto Scaling) para recuperar balanceadores de carga não clássicos anexados a um grupo do Auto Scaling.

GetAccountPublicAccessBlock é necessário para a permissão Amazon S3 Bucket Permissions (Permissões do bucket do Amazon S3) para recuperar as configurações de acesso público de bloqueio para um Conta da AWS.

 10 de agosto de 2021

Publicação do log de alterações

O Trusted Advisor começou a monitorar as alterações para as políticas gerenciadas pela AWS.

 10 de agosto de 2021