本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理對 的存取 AWS Trusted Advisor
您可以從 存取 AWS Trusted Advisor AWS 管理主控台。所有 AWS 帳戶 都可以存取選取的核心[Trusted Advisor 檢查](https://aws.amazon.com//premiumsupport/faqs/#TaFree)。如果您有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃,您可以存取所有檢查。如需詳細資訊,請參閱 [AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
您可以使用 AWS Identity and Access Management (IAM) 來控制對 的存取 Trusted Advisor。
**Topics**
+ [Trusted Advisor 主控台的許可](#using-the-trusted-advisor-console)
+ [Trusted Advisor 動作](#trusted-advisor-operations)
+ [IAM 政策範例](#iam-policy-examples-trusted-advisor)
+ [另請參閱](#see-also-security-trusted-advisor)
## Trusted Advisor 主控台的許可
若要存取 Trusted Advisor 主控台,使用者必須擁有一組最低許可。這些許可必須允許使用者列出和檢視 中 Trusted Advisor 資源的詳細資訊 AWS 帳戶。
您可以使用下列選項來控制 Trusted Advisor的存取權:
+ 使用 Trusted Advisor 主控台的標籤篩選功能。使用者或角色必須具有與標籤相關聯的許可。
您可以使用 AWS 受管政策或自訂政策,依標籤指派許可。如需詳細資訊,請參閱[使用標籤來控制對 IAM 使用者和角色的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)。
+ 建立具有`trustedadvisor` 命名空間的 IAM 政策。您可使用此政策指定動作和資源的許可。
當您建立政策時,可以指定服務的命名空間,以允許或拒絕動作。的命名空間 Trusted Advisor 為 `trustedadvisor`。不過,您無法使用 `trustedadvisor` 命名空間來允許或拒絕 Trusted Advisor API 中的 支援 API 操作。但針對 支援 ,您必須使用 `support` 命名空間。
**注意**
如果您有 [AWS 支援](https://docs.aws.amazon.com/awssupport/latest/APIReference/) API 的許可, 中的 Trusted Advisor 小工具 AWS 管理主控台 會顯示 Trusted Advisor 結果的摘要檢視。若要在 Trusted Advisor 主控台中檢視結果,您必須擁有 `trustedadvisor` 命名空間的許可。
## Trusted Advisor 動作
您可以在 主控台中執行下列 Trusted Advisor 動作。您也可以在 IAM 政策中指定這些 Trusted Advisor 動作,以允許或拒絕特定動作。
| Action | Description |
| --- | --- |
| `DescribeAccount` | 准許檢視 支援 計劃和各種 Trusted Advisor 偏好設定。 |
| `DescribeAccountAccess` | 准許檢視 AWS 帳戶 是否已啟用或停用 Trusted Advisor。 |
| `DescribeCheckItems` | 准許檢視檢查項目的詳細資訊。 |
| `DescribeCheckRefreshStatuses` | 准許檢視 Trusted Advisor 檢查的重新整理狀態。 |
| `DescribeCheckSummaries` | 准許檢視 Trusted Advisor 檢查摘要。 |
| `DescribeChecks` | 准許檢視 Trusted Advisor 檢查的詳細資訊。 |
| `DescribeNotificationPreferences` | 准許檢視 AWS 帳戶的通知偏好設定。 |
| `ExcludeCheckItems` | 准許排除 Trusted Advisor 檢查的建議。 |
| `IncludeCheckItems` | 准許包含 Trusted Advisor 檢查的建議。 |
| `RefreshCheck` | 准許重新整理 Trusted Advisor 檢查。 |
| `SetAccountAccess` | 准許 Trusted Advisor 啟用或停用帳戶的 。 |
| `UpdateNotificationPreferences` | 准許更新 Trusted Advisor的通知偏好設定。 |
| `DescribeCheckStatusHistoryChanges` | 准許檢視過去 30 天內檢查的結果和變更狀態。 |
### Trusted Advisor 組織檢視的動作
下列 Trusted Advisor 動作適用於組織檢視功能。如需詳細資訊,請參閱[的組織檢視 AWS Trusted Advisor](organizational-view.md)。
| Action | Description |
| --- | --- |
| `DescribeOrganization` | 准許檢視 AWS 帳戶 是否符合啟用組織檢視功能的要求。 |
| `DescribeOrganizationAccounts` | 准許檢視組織中的連結 AWS 帳戶。 |
| `DescribeReports` | 准許檢視組織檢視報告的詳細資訊,例如報告名稱、執行時間、建立日期、狀態和格式。 |
| `DescribeServiceMetadata` | 准許檢視組織檢視報告的相關資訊,例如 AWS 區域、檢查類別、檢查名稱和資源狀態。 |
| `GenerateReport` | 准許建立組織中 Trusted Advisor 檢查的報告。 |
| `ListAccountsForParent` | 准許在 Trusted Advisor 主控台中檢視組織中根或 AWS 組織單位 (OU) 包含的所有帳戶。 |
| `ListOrganizationalUnitsForParent` | 准許在 Trusted Advisor 主控台中檢視父組織單位或根中的所有組織單位 OUs)。 |
| `ListRoots` | 准許在 Trusted Advisor 主控台中檢視 AWS 組織中定義的所有根目錄。 |
| `SetOrganizationAccess` | 准許啟用 的組織檢視功能 Trusted Advisor。 |
### Trusted Advisor 優先順序動作
如果您的 帳戶已啟用 Trusted Advisor Priority,您可以在 主控台中執行下列 Trusted Advisor 動作。您也可以在 IAM 政策中新增這些 Trusted Advisor 動作,以允許或拒絕特定動作。如需詳細資訊,請參閱[Priority 的 IAM 政策範例 Trusted Advisor](#trusted-advisor-priority-policies)。
**注意**
Priority 中顯示的風險 Trusted Advisor 是您的技術客戶經理 (TAM) 為您的帳戶識別的建議。系統會自動為您建立來自 服務的建議,例如 Trusted Advisor 檢查。來自您 TAM 的建議是手動為您建立的。接著,您的 TAM 會傳送這些建議,使其顯示在帳戶的 Trusted Advisor 優先順序中。
如需詳細資訊,請參閱[開始使用 AWS Trusted Advisor Priority](trusted-advisor-priority.md)。
| Action | Description |
| --- | --- |
| `DescribeRisks` | 准許在 Trusted Advisor Priority 中檢視風險。 |
| `DescribeRisk` | 准許在 Trusted Advisor Priority 中檢視風險詳細資訊。 |
| `DescribeRiskResources` | 授予許可以檢視 Trusted Advisor 優先權中風險的受影響資源。 |
| `DownloadRisk` | 准許下載檔案,其中包含 Trusted Advisor Priority 中風險的詳細資訊。 |
| `UpdateRiskStatus` | 授予許可以更新 Trusted Advisor 優先權中的風險狀態。 |
| `DescribeNotificationConfigurations` | 准許取得 Trusted Advisor Priority 的電子郵件通知偏好設定。 |
| `UpdateNotificationConfigurations` | 准許建立或更新 Trusted Advisor Priority 的電子郵件通知偏好設定。 |
| `DeleteNotificationConfigurationForDelegatedAdmin` | 准許組織管理帳戶從委派管理員帳戶中刪除 Trusted Advisor Priority 的電子郵件通知偏好設定。 |
## IAM 政策範例
下列政策會告訴您如何允許和拒絕 Trusted Advisor的存取權。您可以在 IAM 主控台中使用下列其中一項政策來建立*客戶受管政策*。例如,您可以複製範例政策,然後貼到 IAM 主控台的 [JSON 索引標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor)中。然後您可以將政策連接至 IAM 使用者、群組或角色。
如需如何建立 IAM 政策的詳細資訊,請參閱 *IAM 使用者指南*中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
**Topics**
+ [完整存取 Trusted Advisor](#full-access-trusted-advisor)
+ [的唯讀存取權 Trusted Advisor](#read-only-access-trusted-advisor)
+ [拒絕存取 Trusted Advisor](#no-access-trusted-advisor)
+ [允許和拒絕特定動作](#allow-specific-actions-trusted-advisor)
+ [控制 對 支援 API 操作的存取 Trusted Advisor](#control-access-to-trusted-advisor-deny-support)
+ [Priority 的 IAM 政策範例 Trusted Advisor](#trusted-advisor-priority-policies)
### 完整存取 Trusted Advisor
下列政策可讓使用者在 Trusted Advisor 主控台中檢視所有檢查並採取所有 Trusted Advisor 動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "trustedadvisor:*",
"Resource": "*"
}
]
}
```
------
### 的唯讀存取權 Trusted Advisor
下列政策允許使用者唯讀存取 Trusted Advisor 主控台。使用者無法進行變更,例如重新整理檢查或變更通知偏好設定。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:Describe*",
"trustedadvisor:Get*",
"trustedadvisor:List*"
],
"Resource": "*"
}
]
}
```
------
### 拒絕存取 Trusted Advisor
下列政策不允許使用者檢視 Trusted Advisor 主控台中的檢查或對其 Trusted Advisor 採取動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "trustedadvisor:*",
"Resource": "*"
}
]
}
```
------
### 允許和拒絕特定動作
下列政策允許使用者在 Trusted Advisor 主控台中檢視所有 Trusted Advisor 檢查,但不允許他們重新整理任何檢查。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "trustedadvisor:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "trustedadvisor:RefreshCheck",
"Resource": "*"
}
]
}
```
------
### 控制 對 支援 API 操作的存取 Trusted Advisor
在 中 AWS 管理主控台,單獨的 `trustedadvisor` IAM 命名空間控制對 的存取 Trusted Advisor。您無法使用 `trustedadvisor` 命名空間來允許或拒絕 Trusted Advisor API 中的 支援 API 操作。相反地,您可以使用 `support` 命名空間。您必須擁有 支援 API 的許可,才能以 Trusted Advisor 程式設計方式呼叫 。
例如,如果您想要呼叫 [RefreshTrustedAdvisorCheck](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_RefreshTrustedAdvisorCheck.html) 操作,您必須在政策中具有此動作的許可。
**Example :僅允許 Trusted Advisor API 操作**
下列政策允許使用者存取 的 支援 API 操作 Trusted Advisor,但不允許存取其餘的 支援 API 操作。例如,使用者可以使用 API 來檢視和重新整理檢查。他們無法建立、檢視、更新或解決 AWS 支援 案例。
您可以使用此政策以程式設計方式呼叫 Trusted Advisor API 操作,但您無法使用此政策在 主控台中 Trusted Advisor 檢視或重新整理檢查。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeTrustedAdvisorCheckRefreshStatuses",
"support:DescribeTrustedAdvisorCheckResult",
"support:DescribeTrustedAdvisorChecks",
"support:DescribeTrustedAdvisorCheckSummaries",
"support:RefreshTrustedAdvisorCheck",
"trustedadvisor:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:DescribeAttachment",
"support:DescribeCases",
"support:DescribeCommunications",
"support:DescribeServices",
"support:DescribeSeverityLevels",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
如需 IAM 如何使用 支援 和 的詳細資訊 Trusted Advisor,請參閱 [動作](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions)。
### Priority 的 IAM 政策範例 Trusted Advisor
您可以使用下列 AWS 受管政策來控制對 Trusted Advisor Priority 的存取。如需詳細資訊,請參閱[AWS 的 受管政策 AWS Trusted Advisor](aws-managed-policies-for-trusted-advisor.md)及[開始使用 AWS Trusted Advisor Priority](trusted-advisor-priority.md)。
## 另請參閱
如需 Trusted Advisor 許可的詳細資訊,請參閱下列資源:
+ *IAM 使用者指南*中的 [AWS Trusted Advisor定義的動作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awstrustedadvisor.html#awstrustedadvisor-actions-as-permissions)。
+ [控制對 Trusted Advisor 主控台的存取權](https://aws.amazon.com/premiumsupport/ta-iam/)