Gerenciar o acesso ao AWS Trusted Advisor - AWS Support
Permissões para o console do Trusted AdvisorTrusted AdvisorAções Exemplos de política do IAMConsulte também

Gerenciar o acesso ao AWS Trusted Advisor

É possível acessar o AWS Trusted Advisor a partir do Console de gerenciamento da AWS. Todas as Contas da AWS têm acesso a uma seleção de verificações do Trusted Advisor principais. Se você tiver um plano de suporte Business, Enterprise On-Ramp ou Enterprise, será possível acessar todas as verificações. Para obter mais informações, consulte Referência de verificação do AWS Trusted Advisor.

É possível usar o AWS Identity and Access Management (IAM) para controlar o acesso ao Trusted Advisor.

Permissões para o console do Trusted Advisor

Para acessar o console do Trusted Advisor, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que o usuário liste e visualize detalhes sobre os recursos do Trusted Advisor na conta da Conta da AWS.

É possível usar as seguintes opções para controlar o acesso ao Trusted Advisor:

  • Use o recurso de filtro de tags do console do Trusted Advisor. O usuário ou a função deve ter permissões associadas às tags.

    É possível usar políticas gerenciadas ou políticas personalizadas da AWS para atribuir permissões por tags. Para obter mais informações, consulte Controlar o acesso a/para usuários e funções do IAM usando tags.

  • Crie uma política do IAM com o namespace trustedadvisor. É possível usar essa política para especificar permissões para ações e recursos.

Ao criar uma política, é possível especificar o namespace do serviço para permitir ou negar uma ação. O namespace para o Trusted Advisor é trustedadvisor. Porém, não é possível usar o namespace trustedadvisor para permitir ou negar as operações de API do Trusted Advisor na API do Suporte. Em vez disso, use o namespace support para Suporte.

nota

Se você tiver as permissões para a API do AWS Support, o widget do Trusted Advisor no Console de gerenciamento da AWS mostrará uma visão resumida dos seus resultados do Trusted Advisor. Para visualizar os resultados no console do Trusted Advisor, você dever ter permissão para o namespace do trustedadvisor.

Trusted AdvisorAções

É possível executar as ações a seguir do Trusted Advisor no console. Também é possível especificar essas ações do Trusted Advisor em uma política do IAM para permitir ou negar ações específicas.

Ação Descrição

DescribeAccount

Concede permissão para visualizar o plano do Suporte e várias preferências do Trusted Advisor.

DescribeAccountAccess

Concede permissão para visualizar se a Conta da AWS habilitou ou desabilitou o Trusted Advisor.

DescribeCheckItems

Concede permissão para visualizar detalhes dos itens de verificação.

DescribeCheckRefreshStatuses

Concede permissão para visualizar os status de atualização para verificações do Trusted Advisor.

DescribeCheckSummaries

Concede permissão para visualizar resumos de verificação do Trusted Advisor.

DescribeChecks

Concede permissão para visualizar detalhes de verificações do Trusted Advisor

DescribeNotificationPreferences

Concede permissão para visualizar as preferências de notificação para a conta da AWS.

ExcludeCheckItems

Concede permissão para excluir recomendações para verificações do Trusted Advisor.

IncludeCheckItems

Concede permissão para incluir recomendações para verificações do Trusted Advisor.

RefreshCheck

Concede permissão para atualizar uma verificação do Trusted Advisor.

SetAccountAccess

Concede permissão para habilitar ou desabilitar o Trusted Advisor para a conta.

UpdateNotificationPreferences

Concede permissão para atualizar as preferências de notificação do Trusted Advisor.

DescribeCheckStatusHistoryChanges

Concede permissão para visualizar os resultados e os status alterados das verificações nos últimos 30 dias.

Trusted AdvisorAções do para exibição organizacional

Os exemplos a seguir de ações do Trusted Advisor são para o recurso de visualização organizacional. Para obter mais informações, consulte Visualização organizacional para AWS Trusted Advisor.

Ação Descrição

DescribeOrganization

Concede permissão para visualizar se a Conta da AWS atende aos requisitos para habilitar o recurso de visualização organizacional.

DescribeOrganizationAccounts

Concede permissão para visualizar as contas vinculadas da AWS que estão na organização.

DescribeReports

Concede permissão para visualizar detalhes para relatórios de visualização organizacional, como o nome do relatório, o runtime, a data de criação, o status e o formato

DescribeServiceMetadata

Concede permissão para visualizar informações sobre relatórios de visualização organizacional, como as Regiões da AWS, categorias de verificação, nomes de verificação e status de recursos.

GenerateReport

Concede permissão para criar um relatório para verificações do Trusted Advisor na organização.

ListAccountsForParent

Concede permissão para exibir, no console do Trusted Advisor, todas as contas em uma organização da AWS contidas por uma unidade raiz ou organizacional (UO).

ListOrganizationalUnitsForParent

Concede permissão para exibir, no console do Trusted Advisor, todas as UOs (Unidades organizacionais) em uma unidade organizacional pai ou raiz.

ListRoots

Concede permissão para exibir, no console do Trusted Advisor, todas as raízes definidas em uma organização da AWS.

SetOrganizationAccess

Concede permissão para habilitar o recurso de visualização organizacional do Trusted Advisor.

Trusted AdvisorAções do Priority

Se você tem o Trusted Advisor Priority habilitado para sua conta, pode realizar as ações a seguir do Trusted Advisor no console. Você também pode adicionar essas ações do Trusted Advisor em uma política do IAM para permitir ou negar ações específicas. Para obter mais informações, consulte Exemplos de políticas do IAM para o Trusted Advisor Priority.

nota

Os riscos indicados no Trusted Advisor Priority são recomendações que o gerente de conta técnico (TAM) detectou para a sua conta. Recomendações de um serviço, como uma verificação do Trusted Advisor, são criadas automaticamente. As recomendações do seu TAM são criadas manualmente. Em seguida, o TAM enviará essas recomendações para que elas apareçam no Trusted Advisor Priority da sua conta.

Para obter mais informações, consulte Conceitos básicos do AWS Trusted Advisor Priority.

Ação Descrição

DescribeRisks

Concede permissão para exibir riscos no Trusted Advisor Priority.

DescribeRisk

Concede permissão para exibir detalhes de riscos no Trusted Advisor Priority.

DescribeRiskResources

Concede permissão para exibir recursos afetados para um risco no Trusted Advisor Priority.

DownloadRisk

Concede permissão para baixar um arquivo que contém detalhes sobre o risco no Trusted Advisor Priority.

UpdateRiskStatus

Concede permissão para atualizar o status do risco no Trusted Advisor Priority.

DescribeNotificationConfigurations

Concede permissão para obter as preferências de notificação por e-mail do Trusted Advisor Priority.

UpdateNotificationConfigurations

Concede permissão para criar ou atualizar as preferências de notificação por e-mail do Trusted Advisor Priority.

DeleteNotificationConfigurationForDelegatedAdmin

Concede permissão à conta de gerenciamento da organização para excluir preferências de notificação por e-mail de uma conta de administrador delegado para o Trusted Advisor Priority.

Exemplos de política do IAM

As políticas a seguir mostram como permitir e negar acesso ao Trusted Advisor. É possível usar uma das políticas a seguir para criar uma política gerenciada pelo cliente no console do IAM. Por exemplo, é possível copiar uma política de exemplo e colá-la na Guia JSON do console do IAM. Em seguida, é possível anexar a política a um usuário, grupo ou função do IAM.

Para obter mais informações sobre como criar uma política do IAM, consulte Criar políticas do IAM (console) no Manual do usuário do IAM.

Acesso total ao Trusted Advisor

A política a seguir permite que os usuários visualizem e executem todas as ações em todas as verificações do Trusted Advisor no console do Trusted Advisor.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}

Acesso somente leitura ao Trusted Advisor

A política a seguir permite que os usuários tenham acesso somente leitura no console do Trusted Advisor. Os usuários não podem fazer alterações, como verificações de atualização ou alterar preferências de notificação.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:Describe*",
                "trustedadvisor:Get*",
                "trustedadvisor:List*"
            ],
            "Resource": "*"
        }
    ]
}

Negar acesso ao Trusted Advisor

A política a seguir não permite que os usuários visualizem ou executem ações para as verificações do Trusted Advisor no console do Trusted Advisor.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}

Permitir e negar ações específicas

A política a seguir permite que os usuários visualizem todas as verificações do Trusted Advisor no console do Trusted Advisor, mas não permite que eles atualizem as verificações.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "trustedadvisor:RefreshCheck",
            "Resource": "*"
        }
    ]
}

Controlar o acesso às operações de API do Suporte para o Trusted Advisor

No Console de gerenciamento da AWS, um namespace separado do IAM trustedadvisor controla o acesso ao Trusted Advisor. Não é possível usar o namespace trustedadvisor para permitir ou negar as operações de API do Trusted Advisor na API do Suporte. Em vez disso, use o namespace support. É necessário ter permissões para a API do Suporte para chamar o Trusted Advisor programaticamente.

Por exemplo, se quiser chamar a operação RefreshTrustedAdvisorCheck, será necessário ter permissões para esta ação na política.

exemplo : Permite somente operações de API do Trusted Advisor

A política a seguir permite que os usuários acessem as operações de API do Suporte para o Trusted Advisor, mas não o restante das operações de API do Suporte. Por exemplo, os usuários podem usar a API para exibir e atualizar verificações. Eles não podem criar, visualizar, atualizar nem resolver casos do AWS Support.

Use essa política para chamar o as operações de API Trusted Advisor programaticamente, mas você não pode usar essa política para exibir ou atualizar verificações no console do Trusted Advisor.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "support:DescribeTrustedAdvisorCheckRefreshStatuses",
                "support:DescribeTrustedAdvisorCheckResult",
                "support:DescribeTrustedAdvisorChecks",
                "support:DescribeTrustedAdvisorCheckSummaries",
                "support:RefreshTrustedAdvisorCheck",
                "trustedadvisor:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "support:AddAttachmentsToSet",
                "support:AddCommunicationToCase",
                "support:CreateCase",
                "support:DescribeAttachment",
                "support:DescribeCases",
                "support:DescribeCommunications",
                "support:DescribeServices",
                "support:DescribeSeverityLevels",
                "support:ResolveCase"
            ],
            "Resource": "*"
        }
    ]
}

Para obter mais informações sobre como o IAM funciona com o Suporte e o Trusted Advisor, consulte Ações.

Exemplos de políticas do IAM para o Trusted Advisor Priority

Você pode usar as políticas a seguir gerenciadas pela AWS para controlar o acesso ao Trusted Advisor Priority. Para obter mais informações, consulte AWS políticas gerenciadas da para AWS Trusted Advisor e Conceitos básicos do AWS Trusted Advisor Priority.

Exemplos de políticas do IAM para o Trusted Advisor Engage.

nota

O Trusted Advisor Engage está em versão de pré-visualização e atualmente não tem nenhuma política gerenciada da AWS. É possível usar uma das políticas a seguir para criar uma política gerenciada pelo cliente no console do IAM.

Um exemplo de política que concede acesso de leitura e gravação no Trusted Advisor Engage:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:CreateEngagement*",
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*",
                "trustedadvisor:UpdateEngagement*"
            ],
            "Resource": "*"
        }
    ]
}

Um exemplo de política que concede acesso somente leitura no Trusted Advisor Engage:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*"
            ],
            "Resource": "*"
        }
    ]
}

Um exemplo de política que concede acesso de leitura e gravação no Trusted Advisor Engage e a capacidade de habilitar acesso confiável ao Trusted Advisor:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "trustedadvisor:CreateEngagement*",
                "trustedadvisor:DescribeAccount*",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:GetEngagement*",
                "trustedadvisor:ListEngagement*",
                "trustedadvisor:SetOrganizationAccess",
                "trustedadvisor:UpdateEngagement*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": [
                        "reporting.trustedadvisor.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
                }
            }
        }
    ]
}

Consulte também

Para obter mais informações sobre as permissões do Trusted Advisor, consulte os recursos a seguir: