Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS politiques gérées pour AWS Trusted Advisor
Trusted Advisor possède les politiques AWS gérées suivantes.
**Contents**
+ [AWS politique gérée : AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy)
+ [AWS politique gérée : AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy)
+ [AWS politique gérée : AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
+ [AWS politique gérée : AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)
+ [Trusted Advisor mises à jour des politiques AWS gérées](#security-iam-awsmanpol-updates-trusted-advisor)
## AWS politique gérée : AWSTrustedAdvisorPriorityFullAccess
La [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor)politique accorde un accès complet à Trusted Advisor Priority. Cette politique permet également à l'utilisateur d'ajouter Trusted Advisor en tant que service de confiance AWS Organizations et de spécifier les comptes d'administrateur délégué pour Trusted Advisor Priority.
**Détails de l’autorisation**
Dans la première instruction, la politique inclut les autorisations suivantes pour `trustedadvisor` :
+ Décrit votre compte et votre organisation.
+ Décrit les risques identifiés par Trusted Advisor Priority. Les autorisations vous permettent de télécharger et de mettre à jour le statut du risque.
+ Décrit vos configurations pour les notifications par e-mail Trusted Advisor prioritaires. Les autorisations vous permettent de configurer les e-mails de notification et de les désactiver pour vos administrateurs délégués.
+ Configure de Trusted Advisor telle sorte que votre compte puisse être activé AWS Organizations.
Dans la deuxième instruction, la politique inclut les autorisations suivantes pour `organizations` :
+ Décrit votre Trusted Advisor compte et votre organisation.
+ Répertorie les Organisations Services AWS que vous avez autorisées à utiliser.
Dans la troisième instruction, la politique inclut les autorisations suivantes pour `organizations` :
+ Répertorie les administrateurs délégués pour Trusted Advisor Priority.
+ Active et désactive l'accès sécurisé aux Organizations.
Dans la quatrième instruction, la politique inclut les autorisations suivantes pour `iam` :
+ Crée le rôle lié à un service `AWSServiceRoleForTrustedAdvisorReporting`.
Dans la cinquième instruction, la politique inclut les autorisations suivantes pour `organizations` :
+ Permet d'enregistrer et d'annuler l'enregistrement des administrateurs délégués pour Trusted Advisor Priority.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityFullAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:UpdateRiskStatus",
"trustedadvisor:DescribeNotificationConfigurations",
"trustedadvisor:UpdateNotificationConfigurations",
"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
"trustedadvisor:SetOrganizationAccess"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators",
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
},
{
"Sid": "AllowCreateServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
}
}
},
{
"Sid": "AllowRegisterDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "arn:aws:organizations::*:*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politique gérée : AWSTrustedAdvisorPriorityReadOnlyAccess
La [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor)politique accorde des autorisations en lecture seule à Trusted Advisor Priority, y compris l'autorisation de consulter les comptes d'administrateurs délégués.
**Détails de l’autorisation**
Dans la première instruction, la politique inclut les autorisations suivantes pour `trustedadvisor` :
+ Décrit votre Trusted Advisor compte et votre organisation.
+ Décrit les risques identifiés par Trusted Advisor Priority et vous permet de les télécharger.
+ Décrit les configurations des notifications par e-mail Trusted Advisor prioritaires.
Dans la deuxième et troisième instruction, la politique inclut les autorisations suivantes pour `organizations` :
+ Décrit votre organisation à l'aide d'Organizations.
+ Répertorie les Organisations Services AWS que vous avez autorisées à utiliser.
+ Répertorie les administrateurs délégués pour Trusted Advisor Priority
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:DescribeNotificationConfigurations"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politique gérée : AWSTrustedAdvisorServiceRolePolicy
Cette politique est attachée au rôle lié à un service `AWSServiceRoleForTrustedAdvisor`. Elle permet au rôle lié à un service d'exécuter des actions pour vous. Vous ne pouvez pas associer la politique [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor) à vos entités Gestion des identités et des accès AWS (IAM). Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour Trusted Advisor](using-service-linked-roles-ta.md).
Cette politique accorde des autorisations administratives qui permettent au rôle lié au service d'accéder aux Services AWS. Ces autorisations permettent aux vérifications Trusted Advisor d'évaluer votre compte.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `accessanalyzer`— Décrit les AWS Identity and Access Management Access Analyzer ressources
+ `Auto Scaling` : Décrit les quotas et les ressources de compte Amazon EC2 Auto Scaling
+ `cloudformation`— Décrit AWS CloudFormation (CloudFormation) les quotas et les piles de comptes
+ `cloudfront`— Décrit les CloudFront distributions Amazon
+ `cloudtrail`— Décrit AWS CloudTrail (CloudTrail) les sentiers
+ `dynamodb` : Décrit les quotas et les ressources de compte Amazon DynamoDB
+ `dynamodbaccelerator`— Décrit les ressources de DynamoDB Accelerator
+ `ec2` : Décrit les quotas et les ressources de compte Amazon Elastic Compute Cloud (Amazon EC2)
+ `elasticloadbalancing` : décrit les ressources et quotas de compte Elastic Load Balancing (ELB)
+ `iam` : Récupère les ressources IAM, telles que les informations d'identification, la politique de mot de passe et les certificats
+ `networkfirewall`— Décrit les AWS Network Firewall ressources
+ `kinesis` : Décrit les quotas de compte Amazon Kinesis (Kinesis)
+ `rds` : Décrit les ressources Amazon Relational Database Service (Amazon RDS)
+ `redshift` : Décrit les ressources Amazon Redshift
+ `route53` : Décrit les quotas et les ressources de compte Amazon Route 53
+ `s3` : Décrit les ressources Amazon Simple Storage Service (Amazon S3)
+ `ses` : Récupère les quotas d'envoi Amazon Simple Email Service (Amazon SES)
+ `sqs` : Répertorie les files d'attente Amazon Simple Queue Service (Amazon SQS)
+ `cloudwatch`— Obtient les statistiques métriques d'Amazon CloudWatch CloudWatch Events (Events)
+ `ce` : Récupère les recommandations du service Cost Explorer (Cost Explorer)
+ `route53resolver`— Obtient les points de terminaison et les ressources du Amazon Route 53 Resolver résolveur
+ `kafka` : pour obtenir les ressources Amazon Managed Streaming for Apache Kafka.
+ `ecs`— Récupère les ressources Amazon ECS
+ `outposts`— Obtient AWS Outposts des ressources
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustedAdvisorServiceRolePermissions",
"Effect": "Allow",
"Action": [
"access-analyzer:ListAnalyzers",
"autoscaling:DescribeAccountLimits",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeLaunchConfigurations",
"ce:GetReservationPurchaseRecommendation",
"ce:GetSavingsPlansPurchaseRecommendation",
"cloudformation:DescribeAccountLimits",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudfront:ListDistributions",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:GetTrail",
"cloudtrail:ListTrails",
"cloudtrail:GetEventSelectors",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"dax:DescribeClusters",
"dynamodb:DescribeLimits",
"dynamodb:DescribeTable",
"dynamodb:ListTables",
"ec2:DescribeAddresses",
"ec2:DescribeReservedInstances",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeImages",
"ec2:DescribeNatGateways",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSnapshots",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:DescribeLaunchTemplateVersions",
"ec2:GetManagedPrefixListEntries",
"ecs:DescribeTaskDefinition",
"ecs:ListTaskDefinitions",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GenerateCredentialReport",
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary",
"iam:GetCredentialReport",
"iam:GetServerCertificate",
"iam:ListServerCertificates",
"iam:ListSAMLProviders",
"kinesis:DescribeLimits",
"kafka:DescribeClusterV2",
"kafka:ListClustersV2",
"kafka:ListNodes",
"network-firewall:ListFirewalls",
"network-firewall:DescribeFirewall",
"outposts:GetOutpost",
"outposts:ListAssets",
"outposts:ListOutposts",
"rds:DescribeAccountAttributes",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSnapshots",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEvents",
"rds:DescribeOptionGroupOptions",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribeReservedDBInstances",
"rds:DescribeReservedDBInstancesOfferings",
"rds:ListTagsForResource",
"redshift:DescribeClusters",
"redshift:DescribeReservedNodeOfferings",
"redshift:DescribeReservedNodes",
"route53:GetAccountLimit",
"route53:GetHealthCheck",
"route53:GetHostedZone",
"route53:ListHealthChecks",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53resolver:ListResolverEndpoints",
"route53resolver:ListResolverEndpointIpAddresses",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketVersioning",
"s3:GetBucketPublicAccessBlock",
"s3:GetLifecycleConfiguration",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"ses:GetSendQuota",
"sqs:GetQueueAttributes",
"sqs:ListQueues"
],
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AWSTrustedAdvisorReportingServiceRolePolicy
Cette politique est attachée au rôle `AWSServiceRoleForTrustedAdvisorReporting` lié au service qui permet Trusted Advisor d'effectuer des actions pour la fonctionnalité d'affichage organisationnel. Vous ne pouvez pas attacher [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor) à vos entités IAM. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour Trusted Advisor](using-service-linked-roles-ta.md).
Cette politique accorde des autorisations administratives qui permettent au rôle lié au service d'effectuer des AWS Organizations actions.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `organizations` : Décrit votre organisation et répertorie l'accès au service, les comptes, les parents, les enfants et les unités organisationnelles
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Trusted Advisor mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées pour AWS Support et Trusted Advisor depuis que ces services ont commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page [Historique du document](History.md).
Le tableau suivant décrit les mises à jour importantes apportées aux politiques Trusted Advisor gérées depuis le 10 août 2021.
**Trusted Advisor**
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) Mise à jour d'une politique existante. | Trusted Advisor a ajouté de nouvelles actions pour accorder les `elasticloadbalancing:DescribeRules` autorisations `elasticloadbalancing:DescribeListeners,` et. | 30 octobre 2024 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) Mise à jour d'une politique existante. | Trusted Advisor a ajouté de nouvelles actions pour accorder les `sqs:GetQueueAttributes` autorisations `access-analyzer:ListAnalyzers` `cloudwatch:ListMetrics` `dax:DescribeClusters``ec2:DescribeNatGateways`,`ec2:DescribeRouteTables`,`ec2:DescribeVpcEndpoints`,`ec2:GetManagedPrefixListEntries`,`elasticloadbalancing:DescribeTargetHealth`,`iam:ListSAMLProviders`,, `kafka:DescribeClusterV2` `network-firewall:ListFirewalls` `network-firewall:DescribeFirewall` et. | 11 juin 2024 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) Mise à jour d'une politique existante. | Trusted Advisor a ajouté de nouvelles actions pour accorder `cloudtrail:GetTrail` `cloudtrail:ListTrails` `cloudtrail:GetEventSelectors` `outposts:GetOutpost` les `outposts:ListOutposts` autorisations `outposts:ListAssets` et. | 18 janvier 2024 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) Mise à jour d'une politique existante. | Trusted Advisor a mis à jour la politique `AWSTrustedAdvisorPriorityFullAccess` AWS gérée pour inclure une déclaration IDs. | 6 décembre 2023 |
| [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) Mise à jour d'une politique existante. | Trusted Advisor a mis à jour la politique `AWSTrustedAdvisorPriorityReadOnlyAccess` AWS gérée pour inclure une déclaration IDs. | 6 décembre 2023 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) : mise à jour d’une politique existante | Trusted Advisor a ajouté de nouvelles actions pour accorder les `ecs:ListTaskDefinitions` autorisations `ec2:DescribeRegions` `s3:GetLifecycleConfiguration` `ecs:DescribeTaskDefinition` et. | 9 novembre 2023 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) : mise à jour d’une politique existante | Trusted Advisor a ajouté de nouvelles actions IAM`route53resolver:ListResolverEndpoints`, `route53resolver:ListResolverEndpointIpAddresses``ec2:DescribeSubnets`, `kafka:ListClustersV2` et `kafka:ListNodes` pour intégrer de nouveaux contrôles de résilience. | 14 septembre 2023 |
| [AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy) V2 de la politique gérée attachée au rôle lié au Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting` service | Mettez à niveau la politique AWS gérée vers la version V2 pour le Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting` rôle lié au service. La V2 ajoutera une action IAM supplémentaire : `organizations:ListDelegatedAdministrators` | 28 février 2023 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) et [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) Nouvelles politiques AWS gérées pour le Trusted Advisor | Trusted Advisor a ajouté deux nouvelles politiques gérées que vous pouvez utiliser pour contrôler l'accès à Trusted Advisor Priority. | 17 août 2022 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) : mise à jour d’une politique existante | Trusted Advisor a ajouté de nouvelles actions pour accorder les `GetAccountPublicAccessBlock` autorisations `DescribeTargetGroups` et. L'autorisation `DescribeTargetGroup` est requise pour que la **surveillance de l'état du groupe Auto Scaling** récupère les équilibreurs de charge non Classic attachés à un groupe Auto Scaling. L'autorisation `GetAccountPublicAccessBlock` est requise pour la vérification des **autorisations relatives aux compartiments Amazon S3** afin de récupérer les paramètres d'accès public aux blocs pour un Compte AWS. | 10 août 2021 |
| Journal des modifications publié | Trusted Advisor a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 10 août 2021 |