翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS の 管理ポリシー AWS Trusted Advisor
Trusted Advisor には、次の AWS 管理ポリシーがあります。
**Contents**
+ [AWS 管理ポリシー: AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy)
+ [AWS 管理ポリシー: AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy)
+ [AWS 管理ポリシー: AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
+ [AWS 管理ポリシー: AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)
+ [Trusted Advisor AWS 管理ポリシーの更新](#security-iam-awsmanpol-updates-trusted-advisor)
## AWS 管理ポリシー: AWSTrustedAdvisorPriorityFullAccess
[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor) ポリシーは Trusted Advisor Priority へのフルアクセスを許可します。このポリシーでは、 を信頼されたサービス Trusted Advisor として に追加 AWS Organizations し、 Trusted Advisor Priority の委任管理者アカウントを指定することもできます。
**アクセス許可の詳細**
このポリシーは、最初のステートメントに `trustedadvisor` の以下のアクセス許可を含みます。
+ アカウントと組織について説明します。
+ Trusted Advisor Priority から特定されたリスクについて説明します。このアクセス許可により、リスクステータスをダウンロードし、更新することができます。
+ Trusted Advisor Priority E メール通知の設定について説明します。このアクセス許可により、メール通知を設定したり、委任管理者に対して無効にしたりできます。
+ アカウントが を有効に Trusted Advisor できるように を設定します AWS Organizations。
2 番目のステートメントには、`organizations` の以下のアクセス許可が含まれます。
+ Trusted Advisor アカウントと組織について説明します。
+ Organizations の使用を有効に AWS のサービス した を一覧表示します。
3 番目のステートメントには、`organizations` の以下のアクセス許可が含まれます。
+ Trusted Advisor Priority の委任管理者を一覧表示します。
+ Organizations で信頼されたアクセスを有効または無効にします。
4 番目のステートメントには、`iam` の以下のアクセス許可が含まれます。
+ `AWSServiceRoleForTrustedAdvisorReporting` サービスにリンクされたロールを作成します。
5 番目のステートメントには、`organizations` の以下のアクセス許可が含まれます。
+ Trusted Advisor Priority の委任管理者を登録または登録解除することを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityFullAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:UpdateRiskStatus",
"trustedadvisor:DescribeNotificationConfigurations",
"trustedadvisor:UpdateNotificationConfigurations",
"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
"trustedadvisor:SetOrganizationAccess"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators",
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
},
{
"Sid": "AllowCreateServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
}
}
},
{
"Sid": "AllowRegisterDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "arn:aws:organizations::*:*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 管理ポリシー: AWSTrustedAdvisorPriorityReadOnlyAccess
この[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor)ポリシーは、委任管理者アカウントを表示するアクセス許可など、読み取り専用アクセス許可を Trusted Advisor Priority に付与します。
**アクセス許可の詳細**
このポリシーは、最初のステートメントに `trustedadvisor` の以下のアクセス許可を含みます。
+ Trusted Advisor アカウントと組織について説明します。
+ Trusted Advisor Priority から特定されたリスクについて説明し、ダウンロードできるようにします。
+ Trusted Advisor Priority E メール通知の設定について説明します。
2 番目と 3 番目のステートメントには、`organizations` の以下のアクセス許可が含まれます。
+ 組織を Organizations で説明します。
+ Organizations の使用を有効に AWS のサービス した を一覧表示します。
+ Trusted Advisor Priority の委任管理者を一覧表示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:DescribeNotificationConfigurations"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 管理ポリシー: AWSTrustedAdvisorServiceRolePolicy
このポリシーは、`AWSServiceRoleForTrustedAdvisor` サービスにリンクされたロールにアタッチされます。これは、サービスにリンクされたロールがユーザーに代わってアクションを実行することを許可します。[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor) を AWS Identity and Access Management (IAM) エンティティにアタッチすることはできません。詳細については、「[のサービスにリンクされたロールの使用 Trusted Advisor](using-service-linked-roles-ta.md)」を参照してください。
このポリシーは、サービスにリンクされたロールが AWS のサービスにアクセスすることを許可する、管理アクセス許可を付与します。これらのアクセス許可により、 のチェック Trusted Advisor でアカウントを評価できます。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `accessanalyzer` – AWS Identity and Access Management Access Analyzer リソースについて説明します。
+ `Auto Scaling` — Amazon EC2 Auto Scaling アカウントのクォータとリソースを示します。
+ `cloudformation` – AWS CloudFormation (CloudFormation) アカウントのクォータとスタックについて説明します。
+ `cloudfront` — Amazon CloudFront ディストリビューションを示します。
+ `cloudtrail` – AWS CloudTrail (CloudTrail) 証跡について説明します。
+ `dynamodb` — Amazon DynamoDB アカウントのクォータとリソースを示します。
+ `dynamodbaccelerator` – DynamoDB Accelerator リソースについて説明します。
+ `ec2` — Amazon Elastic Compute Cloud (Amazon EC2) アカウントのクォータとリソースを示します。
+ `elasticloadbalancing` — Elastic Load Balancing (ELB) アカウントのクォータとリソースを説明します。
+ `iam` — 認証情報、パスワードポリシー、証明書などの IAM リソースを取得します。
+ `networkfirewall` – AWS Network Firewall リソースについて説明します。
+ `kinesis` — Amazon Kinesis (Kinesis) アカウントのクォータを示します。
+ `rds` — Amazon Relational Database Service (Amazon RDS) リソースを示します。
+ `redshift` — Amazon Redshift のリソースを示します。
+ `route53` — Amazon Route 53 アカウントのクォータとリソースを示します。
+ `s3` — Amazon Simple Storage Service (Amazon S3) リソースを示します。
+ `ses` — Amazon Simple Email Service (Amazon SES) 送信クォータを取得します。
+ `sqs` – Amazon Simple Queue Service (Amazon SQS) キューを一覧表示します。
+ `cloudwatch` — Amazon CloudWatch Events (CloudWatch Events) メトリクス統計を取得します。
+ `ce` — Cost Explorer サービス (Cost Explorer) のレコメンデーションを取得します。
+ `route53resolver` — Resolver Amazon Route 53 Resolver エンドポイントとリソースを取得します
+ `kafka` — Amazon Managed Streaming for Apache Kafka リソースを取得します
+ `ecs` - Amazon ECS リソース の取得
+ `outposts` – AWS Outposts リソースを取得します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustedAdvisorServiceRolePermissions",
"Effect": "Allow",
"Action": [
"access-analyzer:ListAnalyzers",
"autoscaling:DescribeAccountLimits",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeLaunchConfigurations",
"ce:GetReservationPurchaseRecommendation",
"ce:GetSavingsPlansPurchaseRecommendation",
"cloudformation:DescribeAccountLimits",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudfront:ListDistributions",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:GetTrail",
"cloudtrail:ListTrails",
"cloudtrail:GetEventSelectors",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"dax:DescribeClusters",
"dynamodb:DescribeLimits",
"dynamodb:DescribeTable",
"dynamodb:ListTables",
"ec2:DescribeAddresses",
"ec2:DescribeReservedInstances",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeImages",
"ec2:DescribeNatGateways",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSnapshots",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:DescribeLaunchTemplateVersions",
"ec2:GetManagedPrefixListEntries",
"ecs:DescribeTaskDefinition",
"ecs:ListTaskDefinitions",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GenerateCredentialReport",
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary",
"iam:GetCredentialReport",
"iam:GetServerCertificate",
"iam:ListServerCertificates",
"iam:ListSAMLProviders",
"kinesis:DescribeLimits",
"kafka:DescribeClusterV2",
"kafka:ListClustersV2",
"kafka:ListNodes",
"network-firewall:ListFirewalls",
"network-firewall:DescribeFirewall",
"outposts:GetOutpost",
"outposts:ListAssets",
"outposts:ListOutposts",
"rds:DescribeAccountAttributes",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSnapshots",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEvents",
"rds:DescribeOptionGroupOptions",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribeReservedDBInstances",
"rds:DescribeReservedDBInstancesOfferings",
"rds:ListTagsForResource",
"redshift:DescribeClusters",
"redshift:DescribeReservedNodeOfferings",
"redshift:DescribeReservedNodes",
"route53:GetAccountLimit",
"route53:GetHealthCheck",
"route53:GetHostedZone",
"route53:ListHealthChecks",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53resolver:ListResolverEndpoints",
"route53resolver:ListResolverEndpointIpAddresses",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketVersioning",
"s3:GetBucketPublicAccessBlock",
"s3:GetLifecycleConfiguration",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"ses:GetSendQuota",
"sqs:GetQueueAttributes",
"sqs:ListQueues"
],
"Resource": "*"
}
]
}
```
------
## AWS 管理ポリシー: AWSTrustedAdvisorReportingServiceRolePolicy
このポリシーは、 が組織ビュー機能のアクションを実行 Trusted Advisor できるようにする`AWSServiceRoleForTrustedAdvisorReporting`サービスにリンクされたロールにアタッチされます。IAM エンティティに [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor) をアタッチすることはできません。詳細については、「[のサービスにリンクされたロールの使用 Trusted Advisor](using-service-linked-roles-ta.md)」を参照してください。
このポリシーは、サービスにリンクされたロールが AWS Organizations アクションを実行できるようにする管理アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `organizations` — 組織を説明し、サービスアクセス、アカウント、親、子、および組織単位を一覧表示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Trusted Advisor AWS 管理ポリシーの更新
これらのサービスがこれらの変更の追跡を開始した Trusted Advisor 以降の AWS サポート および の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、[ドキュメント履歴](History.md) ページの RSS フィードを購読してください。
次の表に、2021 年 8 月 10 日以降の Trusted Advisor マネージドポリシーの重要な更新を示します。
**Trusted Advisor**
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 既存のポリシーの更新。 | Trusted Advisor は、 `elasticloadbalancing:DescribeListeners,`および アクセス`elasticloadbalancing:DescribeRules`許可を付与する新しいアクションを追加しました。 | 2024 年 10 月 30 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 既存のポリシーの更新。 | Trusted Advisor は、`access-analyzer:ListAnalyzers`、、`cloudwatch:ListMetrics`、、、`dax:DescribeClusters``ec2:DescribeNatGateways`、`ec2:DescribeRouteTables`、`ec2:DescribeVpcEndpoints`、、`ec2:GetManagedPrefixListEntries``elasticloadbalancing:DescribeTargetHealth``iam:ListSAMLProviders``kafka:DescribeClusterV2``network-firewall:ListFirewalls``network-firewall:DescribeFirewall`および アクセス`sqs:GetQueueAttributes`許可を付与する新しいアクションを追加しました。 | 2024 年 6 月 11 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 既存のポリシーの更新。 | Trusted Advisor は、`outposts:GetOutpost`、、`outposts:ListAssets`および `cloudtrail:GetTrail` `cloudtrail:ListTrails` `cloudtrail:GetEventSelectors` アクセス`outposts:ListOutposts`許可を付与する新しいアクションを追加しました。 | 2024 年 1 月 18 日 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) 既存のポリシーの更新。 | Trusted Advisor は、ステートメント ID を含めるように `AWSTrustedAdvisorPriorityFullAccess` AWS マネージドポリシーを更新しました。 IDs | 2023 年 12 月 6 日 |
| [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) 既存のポリシーの更新 | Trusted Advisor は、ステートメント ID を含めるように `AWSTrustedAdvisorPriorityReadOnlyAccess` AWS マネージドポリシーを更新しました。 IDs | 2023 年 12 月 6 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) – 既存ポリシーへの更新 | Trusted Advisor は、 `ec2:DescribeRegions``s3:GetLifecycleConfiguration``ecs:DescribeTaskDefinition`および アクセス`ecs:ListTaskDefinitions`許可を付与する新しいアクションを追加しました。 | 2023 年 11 月 9 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) – 既存ポリシーへの更新 | Trusted Advisor は`route53resolver:ListResolverEndpoints`、新しいレジリエンスチェックをオンボード`kafka:ListNodes`するために、新しい IAM アクション `route53resolver:ListResolverEndpointIpAddresses`、`ec2:DescribeSubnets`、、 `kafka:ListClustersV2` を追加しました。 | 2023 年 9 月 14 日 |
| [AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy) サービスにリンクされたロールに Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting`アタッチされた マネージドポリシーの V2 | サービスにリンクされたロールの AWS マネージドポリシーを V2 にアップグレードします Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting`。V2 では、もう 1 つの IAM アクション `organizations:ListDelegatedAdministrators` が追加されました。 | 2023 年 2 月 28 日 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) および [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) の新しい AWS 管理ポリシー Trusted Advisor | Trusted Advisor Trusted Advisor Priority へのアクセスを制御するために使用できる 2 つの新しい管理ポリシーが追加されました。 | 2022 年 8 月 17 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) – 既存ポリシーへの更新 | Trusted Advisor は、 `DescribeTargetGroups`および アクセス`GetAccountPublicAccessBlock`許可を付与する新しいアクションを追加しました。 `DescribeTargetGroup` アクセス許可は、**Auto Scaling グループヘルスチェック**が Auto Scaling グループにアタッチされた非 Classic Load Balancer を取得するために必要です。 `GetAccountPublicAccessBlock` アクセス許可は、**Amazon S3 バケット許可**チェックが AWS アカウントのブロックパブリックアクセス設定を取得するために必要です。 | 2021 年 8 月 10 日 |
| 変更ログが発行されました | Trusted Advisor は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 8 月 10 日 |