本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理对的访问权限 AWS Trusted Advisor
您可以 AWS Trusted Advisor 从中访问 AWS 管理控制台。所有 AWS 账户 人都可以访问精选的核心[Trusted Advisor 支票](https://aws.amazon.com//premiumsupport/faqs/#TaFree)。如果您有 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划,则可以访问所有支票。有关更多信息,请参阅。[AWS Trusted Advisor 查看参考资料](trusted-advisor-check-reference.md)
您可以使用 AWS Identity and Access Management (IAM) 来控制对的访问权限 Trusted Advisor。
**Topics**
+ [Trusted Advisor 控制台的权限](#using-the-trusted-advisor-console)
+ [Trusted Advisor 行动](#trusted-advisor-operations)
+ [IAM 策略示例](#iam-policy-examples-trusted-advisor)
+ [另请参阅](#see-also-security-trusted-advisor)
## Trusted Advisor 控制台的权限
要访问 Trusted Advisor 控制台,用户必须拥有一组最低权限。这些权限必须允许用户列出和查看有关您的 Trusted Advisor 资源的详细信息 AWS 账户。
可以使用以下选项来控制对 Trusted Advisor的访问:
+ 使用 Trusted Advisor 控制台的标签筛选功能。用户或角色必须具有与标签关联的权限。
您可以使用 AWS 托管策略或自定义策略按标签分配权限。有关更多信息,请参阅 [使用标签控制对 IAM 用户和角色的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)。
+ 使用 `trustedadvisor` 命名空间创建 IAM policy。您可以使用此策略来指定操作和资源的权限。
创建策略时,可以指定服务的命名空间来允许或拒绝操作。的命名空间 Trusted Advisor 是`trustedadvisor`。但是,您不能使用`trustedadvisor`命名空间来允许或拒绝 Trusted Advisor API 中的 支持 API 操作。相反,您必须使用 支持 的 `support` 命名空间。
**注意**
如果您拥有[AWS 支持](https://docs.aws.amazon.com/awssupport/latest/APIReference/)该 API 的权限,则中的 Trusted Advisor 微件会 AWS 管理控制台 显示 Trusted Advisor 结果的摘要视图。要在 Trusted Advisor 控制台中查看结果,您必须拥有`trustedadvisor`命名空间的权限。
## Trusted Advisor 行动
您可以在控制台中执行以下 Trusted Advisor 操作。您也可以在 IAM 策略中指定这些 Trusted Advisor 操作以允许或拒绝特定操作。
| Action | 说明 |
| --- | --- |
| `DescribeAccount` | 授予查看 支持 计划和各种 Trusted Advisor 首选项的权限。 |
| `DescribeAccountAccess` | 授予查看是 AWS 账户 启用还是禁用的权限 Trusted Advisor。 |
| `DescribeCheckItems` | 授予权限以查看检查项目的详细信息。 |
| `DescribeCheckRefreshStatuses` | 授予权限以查看 Trusted Advisor 检查的刷新状态。 |
| `DescribeCheckSummaries` | 授予 Trusted Advisor 查看支票摘要的权限。 |
| `DescribeChecks` | 授予查看 Trusted Advisor 支票详细信息的权限。 |
| `DescribeNotificationPreferences` | 授予权限以查看 AWS 账户的通知首选项。 |
| `ExcludeCheckItems` | 授予权限以排除 Trusted Advisor 检查的建议。 |
| `IncludeCheckItems` | 授予权限以包含 Trusted Advisor 检查的建议。 |
| `RefreshCheck` | 授予刷新 Trusted Advisor 支票的权限。 |
| `SetAccountAccess` | 授予账户启用或禁 Trusted Advisor 用的权限。 |
| `UpdateNotificationPreferences` | 授予权限以更新 Trusted Advisor的通知首选项。 |
| `DescribeCheckStatusHistoryChanges` | 授予查看过去 30 天内检查的结果和更改状态的权限。 |
### Trusted Advisor 组织视图的操作
以下 Trusted Advisor 操作适用于组织视图功能。有关更多信息,请参阅 [的组织视图 AWS Trusted Advisor](organizational-view.md)。
| Action | 说明 |
| --- | --- |
| `DescribeOrganization` | 授予查看是否 AWS 账户 满足启用组织视图功能的要求的权限。 |
| `DescribeOrganizationAccounts` | 授予查看组织中关联 AWS 账户的权限。 |
| `DescribeReports` | 授予权限以查看组织视图报告的详细信息(例如,报告名称、运行时间、创建日期、状态和格式)。 |
| `DescribeServiceMetadata` | 授予查看组织视图报告相关信息的权限,例如支票类别、支票名称和资源状态。 AWS 区域 |
| `GenerateReport` | 授予在组织中创建 Trusted Advisor 支票报告的权限。 |
| `ListAccountsForParent` | 授予在 Trusted Advisor 控制台中查看组织中由根或 AWS 组织单位 (OU) 包含的所有账户的权限。 |
| `ListOrganizationalUnitsForParent` | 授予在 Trusted Advisor 控制台中查看上级组织单位或根目录中所有组织单位 (OUs) 的权限。 |
| `ListRoots` | 授予在 Trusted Advisor 控制台中查看 AWS 组织中定义的所有根目录的权限。 |
| `SetOrganizationAccess` | 授予启用组织视图功能的权限 Trusted Advisor。 |
### Trusted Advisor 优先行动
如果您为账户启用了 Trusted Advisor 优先级,则可以在控制台中执行以下 Trusted Advisor 操作。还可以在 IAM policy 中添加这些 Trusted Advisor 操作以允许或拒绝特定操作。有关更多信息,请参阅 [Trusted Advisor 优先级的 IAM 策略示例](#trusted-advisor-priority-policies)。
**注意**
Trusted Advisor 优先级中显示的风险是您的技术客户经理 (TAM) 为您的账户确定的建议。系统会自动为您创建来自服务的推荐,例如 Trusted Advisor 支票。来自 TAM 的建议是手动为您创建的。接下来,您的 TAM 会发送这些推荐,使其显示在您账户的 “ Trusted Advisor 优先级” 中。
有关更多信息,请参阅 [开始使用 P AWS Trusted Advisor riority](trusted-advisor-priority.md)。
| Action | 说明 |
| --- | --- |
| `DescribeRisks` | 授予按 Trusted Advisor 优先级查看风险的权限。 |
| `DescribeRisk` | 授予按 Trusted Advisor 优先级查看风险详细信息的权限。 |
| `DescribeRiskResources` | 授予权限以查看 Trusted Advisor Priority 中受影响的风险资源。 |
| `DownloadRisk` | 授予下载包含 Trusted Advisor 优先级风险详细信息的文件的权限。 |
| `UpdateRiskStatus` | 授予权限以更新 Trusted Advisor Priority 中的风险状态。 |
| `DescribeNotificationConfigurations` | 授予获取 “ Trusted Advisor 优先级” 电子邮件通知首选项的权限。 |
| `UpdateNotificationConfigurations` | 授予权限以创建或更新 Trusted Advisor Priority 的电子邮件通知首选项。 |
| `DeleteNotificationConfigurationForDelegatedAdmin` | 向组织管理账户授予权限,允许其从 Priority 的委托管理员账户中删除电子邮件通知首选项。 Trusted Advisor |
## IAM 策略示例
以下策略介绍如何允许和拒绝对 Trusted Advisor的访问。您可以使用下面的策略之一来在 IAM 控制台中创建*客户托管策略*。例如,您可以复制示例策略,然后将其粘贴到 IAM 控制台的 [JSON 选项卡](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor)中。然后,将策略附加您的 IAM 用户、组或角色。
有关如何创建 IAM policy 的更多信息,请参阅 *IAM 用户指南*中的[创建 IAM policy(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
**Topics**
+ [完全访问权限 Trusted Advisor](#full-access-trusted-advisor)
+ [只读访问权限 Trusted Advisor](#read-only-access-trusted-advisor)
+ [拒绝访问 Trusted Advisor](#no-access-trusted-advisor)
+ [允许和拒绝特定操作](#allow-specific-actions-trusted-advisor)
+ [控制对 支持 API 操作的访问权限 Trusted Advisor](#control-access-to-trusted-advisor-deny-support)
+ [Trusted Advisor 优先级的 IAM 策略示例](#trusted-advisor-priority-policies)
### 完全访问权限 Trusted Advisor
以下策略允许用户在 Trusted Advisor 控制台中查看所有 Trusted Advisor 检查并对其执行所有操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "trustedadvisor:*",
"Resource": "*"
}
]
}
```
------
### 只读访问权限 Trusted Advisor
以下策略允许用户对 Trusted Advisor 控制台进行只读访问。用户无法进行任何更改,例如刷新检查或更改通知首选项。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:Describe*",
"trustedadvisor:Get*",
"trustedadvisor:List*"
],
"Resource": "*"
}
]
}
```
------
### 拒绝访问 Trusted Advisor
以下政策不允许用户在 Trusted Advisor 控制台中查看 Trusted Advisor 支票或对其执行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "trustedadvisor:*",
"Resource": "*"
}
]
}
```
------
### 允许和拒绝特定操作
以下策略允许用户在 Trusted Advisor 控制台中查看所有 Trusted Advisor 支票,但不允许他们刷新任何支票。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "trustedadvisor:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "trustedadvisor:RefreshCheck",
"Resource": "*"
}
]
}
```
------
### 控制对 支持 API 操作的访问权限 Trusted Advisor
在中 AWS 管理控制台,单独的 `trustedadvisor` IAM 命名空间控制对的访问权限 Trusted Advisor。您不能使用`trustedadvisor`命名空间来允许或拒绝 Trusted Advisor API 中的 支持 API 操作。相反,可以使用 `support` 命名空间。您必须拥有 支持 API 权限才能以 Trusted Advisor 编程方式调用。
例如,如果要调用该[RefreshTrustedAdvisorCheck](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_RefreshTrustedAdvisorCheck.html)操作,则必须在策略中拥有执行此操作的权限。
**Example : 仅允许 Trusted Advisor API 操作**
以下策略允许用户访问其他 支持 API 操作的 API 操作 Trusted Advisor,但不允许访问其他 支持 API 操作。例如,用户可以使用 API 查看和刷新检查。他们无法创建、查看、更新或解决 AWS 支持 案例。
您可以使用此策略以编程方式调用 Trusted Advisor API 操作,但不能使用此策略在 Trusted Advisor 控制台中查看或刷新检查。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeTrustedAdvisorCheckRefreshStatuses",
"support:DescribeTrustedAdvisorCheckResult",
"support:DescribeTrustedAdvisorChecks",
"support:DescribeTrustedAdvisorCheckSummaries",
"support:RefreshTrustedAdvisorCheck",
"trustedadvisor:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:DescribeAttachment",
"support:DescribeCases",
"support:DescribeCommunications",
"support:DescribeServices",
"support:DescribeSeverityLevels",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
有关 IAM 如何与 支持 和配合使用的更多信息 Trusted Advisor,请参阅[操作](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions)。
### Trusted Advisor 优先级的 IAM 策略示例
您可以使用以下 AWS 托管策略来控制对 Priority 的 Trusted Advisor 访问权限。有关更多信息,请参阅[AWS 的托管策略 AWS Trusted Advisor](aws-managed-policies-for-trusted-advisor.md)和[开始使用 P AWS Trusted Advisor riority](trusted-advisor-priority.md)。
## 另请参阅
有关 Trusted Advisor 权限的更多信息,请参阅以下资源:
+ *IAM 用户指南*中的[由 AWS Trusted Advisor定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awstrustedadvisor.html#awstrustedadvisor-actions-as-permissions)。
+ [控制对 Trusted Advisor 控制台的访问](https://aws.amazon.com/premiumsupport/ta-iam/)