Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS politiche gestite per AWS Trusted Advisor
Trusted Advisor dispone delle seguenti politiche AWS gestite.
**Contents**
+ [AWS politica gestita: AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy)
+ [AWS politica gestita: AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy)
+ [AWS politica gestita: AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
+ [AWS politica gestita: AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)
+ [Trusted Advisor aggiornamenti alle politiche gestite AWS](#security-iam-awsmanpol-updates-trusted-advisor)
## AWS politica gestita: AWSTrustedAdvisorPriorityFullAccess
La [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor)politica garantisce l'accesso completo a Trusted Advisor Priority. Questa politica consente inoltre all'utente di aggiungere Trusted Advisor come servizio affidabile AWS Organizations e di specificare gli account di amministratore delegato per Trusted Advisor Priority.
**Dettagli delle autorizzazioni**
Nella prima espressione, la policy include le seguenti autorizzazioni per `trustedadvisor`:
+ Descrive l'account e l'organizzazione.
+ Descrive i rischi identificati da Trusted Advisor Priority. Le autorizzazioni consentono di scaricare e aggiornare lo stato del rischio.
+ Descrive le configurazioni per le notifiche e-mail Trusted Advisor Priority. Le autorizzazioni ti consentono di configurare le notifiche e-mail e di disabilitarle per gli amministratori delegati.
+ Si configura Trusted Advisor in modo che il tuo account possa essere abilitato. AWS Organizations
Nella seconda espressione, la policy include le seguenti autorizzazioni per `organizations`:
+ Descrive il tuo Trusted Advisor account e la tua organizzazione.
+ Elenca le organizzazioni Servizi AWS che hai abilitato all'uso.
Nella terza espressione, la policy include le seguenti autorizzazioni per `organizations`:
+ Elenca gli amministratori delegati per Trusted Advisor Priority.
+ Abilita e disabilita l'accesso attendibile con Organizations.
Nella quarta espressione, la policy include le seguenti autorizzazioni per `iam`:
+ Crea il ruolo collegato al servizio `AWSServiceRoleForTrustedAdvisorReporting`.
Nella quinta espressione, la policy include le seguenti autorizzazioni per `organizations`:
+ Consente di registrare e annullare la registrazione degli amministratori delegati per Trusted Advisor Priority.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityFullAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:UpdateRiskStatus",
"trustedadvisor:DescribeNotificationConfigurations",
"trustedadvisor:UpdateNotificationConfigurations",
"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
"trustedadvisor:SetOrganizationAccess"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators",
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
},
{
"Sid": "AllowCreateServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
}
}
},
{
"Sid": "AllowRegisterDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "arn:aws:organizations::*:*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politica gestita: AWSTrustedAdvisorPriorityReadOnlyAccess
La [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor)politica concede autorizzazioni di sola lettura a Trusted Advisor Priority, inclusa l'autorizzazione a visualizzare gli account degli amministratori delegati.
**Dettagli delle autorizzazioni**
Nella prima espressione, la policy include le seguenti autorizzazioni per `trustedadvisor`:
+ Descrive il tuo account e la tua organizzazione. Trusted Advisor
+ Descrive i rischi identificati da Trusted Advisor Priority e consente di scaricarli.
+ Descrive le configurazioni per le notifiche e-mail Trusted Advisor prioritarie.
Nella seconda e terza espressione, la policy include le seguenti autorizzazioni per `organizations`:
+ Descrive la tua organizzazione in Organizations.
+ Elenca le organizzazioni Servizi AWS che hai abilitato all'uso.
+ Elenca gli amministratori delegati per Priority Trusted Advisor
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:DescribeNotificationConfigurations"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politica gestita: AWSTrustedAdvisorServiceRolePolicy
Questa policy è attribuita al ruolo collegato ai servizi `AWSServiceRoleForTrustedAdvisor`. Consente al ruolo collegato ai servizi di eseguire operazioni per tuo conto. Non puoi collegare la [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor) alle tue entità AWS Identity and Access Management (IAM). Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Trusted Advisor](using-service-linked-roles-ta.md).
Questa policy concede autorizzazioni amministrative che consentono al ruolo collegato ai servizi di accedere a Servizi AWS. Queste autorizzazioni consentono ai controlli di Trusted Advisor valutazione del tuo account.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `accessanalyzer`— Descrive le risorse AWS Identity and Access Management Access Analyzer
+ `Auto Scaling`: Descrive le quote e le risorse dell'account Amazon EC2 Auto Scaling
+ `cloudformation`— Descrive AWS CloudFormation (CloudFormation) le quote e gli stack degli account
+ `cloudfront`— Descrive le CloudFront distribuzioni Amazon
+ `cloudtrail`— Descrive AWS CloudTrail (CloudTrail) percorsi
+ `dynamodb`: Descrive le quote e le risorse dell'account Amazon DynamoDB
+ `dynamodbaccelerator`— Descrive le risorse di DynamoDB Accelerator
+ `ec2`: Descrive le quote e le risorse dell'account Amazon Elastic Compute Cloud (Amazon EC2)
+ `elasticloadbalancing`: descrive le quote e le risorse di Elastic Load Balancing (ELB)
+ `iam`: Ottiene risorse IAM, ad esempio credenziali, policy di password e certificati
+ `networkfirewall`— Descrive le risorse AWS Network Firewall
+ `kinesis`: Descrive le quote dell'account Amazon Kinesis (Kinesis)
+ `rds`: Descrive le risorse Amazon Relational Database Service (Amazon RDS)
+ `redshift`: Descrive le risorse Amazon Redshift
+ `route53`: Descrive le quote e le risorse dell'account Amazon Route 53
+ `s3`: Descrive le risorse Amazon Simple Storage Service (Amazon S3)
+ `ses`: Ottiene le quote di invio Amazon Simple Email Service (Amazon SES)
+ `sqs`: Elenca le code di Amazon Simple Queue Service (Amazon SQS)
+ `cloudwatch`— Ottiene le statistiche dei parametri di Amazon CloudWatch CloudWatch Events (Events)
+ `ce`: Ottiene i consigli del servizio Cost Explorer (Cost Explorer)
+ `route53resolver`— Ottiene gli endpoint Amazon Route 53 Resolver e le risorse Resolver
+ `kafka`: ottiene Amazon Managed Streaming per risorse Apache Kafka
+ `ecs`— Ottiene risorse Amazon ECS
+ `outposts`— Ottiene risorse AWS Outposts
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustedAdvisorServiceRolePermissions",
"Effect": "Allow",
"Action": [
"access-analyzer:ListAnalyzers",
"autoscaling:DescribeAccountLimits",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeLaunchConfigurations",
"ce:GetReservationPurchaseRecommendation",
"ce:GetSavingsPlansPurchaseRecommendation",
"cloudformation:DescribeAccountLimits",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudfront:ListDistributions",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:GetTrail",
"cloudtrail:ListTrails",
"cloudtrail:GetEventSelectors",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"dax:DescribeClusters",
"dynamodb:DescribeLimits",
"dynamodb:DescribeTable",
"dynamodb:ListTables",
"ec2:DescribeAddresses",
"ec2:DescribeReservedInstances",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeImages",
"ec2:DescribeNatGateways",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSnapshots",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:DescribeLaunchTemplateVersions",
"ec2:GetManagedPrefixListEntries",
"ecs:DescribeTaskDefinition",
"ecs:ListTaskDefinitions",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GenerateCredentialReport",
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary",
"iam:GetCredentialReport",
"iam:GetServerCertificate",
"iam:ListServerCertificates",
"iam:ListSAMLProviders",
"kinesis:DescribeLimits",
"kafka:DescribeClusterV2",
"kafka:ListClustersV2",
"kafka:ListNodes",
"network-firewall:ListFirewalls",
"network-firewall:DescribeFirewall",
"outposts:GetOutpost",
"outposts:ListAssets",
"outposts:ListOutposts",
"rds:DescribeAccountAttributes",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSnapshots",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEvents",
"rds:DescribeOptionGroupOptions",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribeReservedDBInstances",
"rds:DescribeReservedDBInstancesOfferings",
"rds:ListTagsForResource",
"redshift:DescribeClusters",
"redshift:DescribeReservedNodeOfferings",
"redshift:DescribeReservedNodes",
"route53:GetAccountLimit",
"route53:GetHealthCheck",
"route53:GetHostedZone",
"route53:ListHealthChecks",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53resolver:ListResolverEndpoints",
"route53resolver:ListResolverEndpointIpAddresses",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketVersioning",
"s3:GetBucketPublicAccessBlock",
"s3:GetLifecycleConfiguration",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"ses:GetSendQuota",
"sqs:GetQueueAttributes",
"sqs:ListQueues"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSTrustedAdvisorReportingServiceRolePolicy
Questa policy è associata al ruolo `AWSServiceRoleForTrustedAdvisorReporting` collegato al servizio che consente di Trusted Advisor eseguire azioni per la funzionalità di visualizzazione organizzativa. Non è possibile attribuire [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor) alle entità IAM. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Trusted Advisor](using-service-linked-roles-ta.md).
Questa politica concede autorizzazioni amministrative che consentono al ruolo collegato al servizio di eseguire azioni. AWS Organizations
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `organizations`: Descrive l'organizzazione ed elenca l'accesso al servizio, gli account, le entità padre, le entità figlio e le unità organizzative
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Trusted Advisor aggiornamenti alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Supporto AWS e Trusted Advisor da quando questi servizi hanno iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate alla pagina, iscriviti al feed RSS alla pagina [Cronologia dei documenti](History.md).
La tabella seguente descrive importanti aggiornamenti alle politiche Trusted Advisor gestite dal 10 agosto 2021.
**Trusted Advisor**
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) Aggiornamento a una politica esistente. | Trusted Advisor ha aggiunto nuove azioni per concedere le `elasticloadbalancing:DescribeRules` autorizzazioni `elasticloadbalancing:DescribeListeners,` e. | 30 ottobre 2024 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) Aggiornamento a una politica esistente. | Trusted Advisor ha aggiunto nuove azioni per concedere le `access-analyzer:ListAnalyzers``cloudwatch:ListMetrics`,`dax:DescribeClusters`,`ec2:DescribeNatGateways`,`ec2:DescribeRouteTables`,`ec2:DescribeVpcEndpoints`,`ec2:GetManagedPrefixListEntries`, `elasticloadbalancing:DescribeTargetHealth``iam:ListSAMLProviders`, `kafka:DescribeClusterV2` `network-firewall:ListFirewalls` `network-firewall:DescribeFirewall` e `sqs:GetQueueAttributes` le autorizzazioni. | 11 giugno 2024 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) Aggiornamento a una politica esistente. | Trusted Advisor ha aggiunto nuove azioni per concedere `cloudtrail:GetTrail` `cloudtrail:ListTrails` `cloudtrail:GetEventSelectors` `outposts:GetOutpost` le `outposts:ListOutposts` autorizzazioni `outposts:ListAssets` e. | 18 gennaio 2024 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) Aggiornamento a una politica esistente. | Trusted Advisor ha aggiornato la politica `AWSTrustedAdvisorPriorityFullAccess` AWS gestita per includere una dichiarazione IDs. | 6 dicembre 2023 |
| [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) Aggiornamento a una politica esistente. | Trusted Advisor ha aggiornato la politica `AWSTrustedAdvisorPriorityReadOnlyAccess` AWS gestita per includere una dichiarazione IDs. | 6 dicembre 2023 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy): aggiornamento di una policy esistente | Trusted Advisor ha aggiunto nuove azioni per concedere le `ecs:ListTaskDefinitions` autorizzazioni `ec2:DescribeRegions` `s3:GetLifecycleConfiguration` `ecs:DescribeTaskDefinition` e. | 9 novembre 2023 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy): aggiornamento di una policy esistente | Trusted Advisor ha aggiunto nuove azioni `route53resolver:ListResolverEndpoints` IAM `kafka:ListClustersV2` e ha introdotto nuovi controlli `kafka:ListNodes` di resilienza. `route53resolver:ListResolverEndpointIpAddresses` `ec2:DescribeSubnets` | 14 settembre 2023 |
| [AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy) V2 della policy gestita allegata al ruolo collegato al servizio Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting` | Aggiorna la policy AWS gestita alla V2 per il ruolo collegato al servizio. Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting` La versione 2 aggiungerà un'altra azione IAM `organizations:ListDelegatedAdministrators` | 28 febbraio 2023 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) e [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) Nuove politiche AWS gestite per Trusted Advisor | Trusted Advisor sono state aggiunte due nuove politiche gestite che è possibile utilizzare per controllare l'accesso a Trusted Advisor Priority. | 17 agosto 2022 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy): aggiornamento di una policy esistente | Trusted Advisor ha aggiunto nuove azioni per concedere le `GetAccountPublicAccessBlock` autorizzazioni `DescribeTargetGroups` e. È richiesta l'autorizzazione `DescribeTargetGroup` per il **Controllo dello stato del gruppo Auto Scaling** per recuperare i non-Classic Load Balancers attribuiti a un gruppo Auto Scaling. È necessaria l'autorizzazione `GetAccountPublicAccessBlock` per consentire al controllo **Autorizzazioni Bucket Amazon S3** di recuperare le impostazioni di blocco dell'accesso pubblico per un Account AWS. | 10 agosto 2021 |
| Log delle modifiche pubblicato | Trusted Advisor ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 10 agosto 2021 |