As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS políticas gerenciadas para AWS Trusted Advisor
Trusted Advisor tem as seguintes políticas AWS gerenciadas.
**Contents**
+ [AWS política gerenciada: AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy)
+ [AWS política gerenciada: AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy)
+ [AWS política gerenciada: AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
+ [AWS política gerenciada: AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)
+ [Trusted Advisor atualizações nas políticas AWS gerenciadas](#security-iam-awsmanpol-updates-trusted-advisor)
## AWS política gerenciada: AWSTrustedAdvisorPriorityFullAccess
A [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor)política concede acesso total ao Trusted Advisor Priority. Essa política também permite que o usuário adicione Trusted Advisor como um serviço confiável AWS Organizations e especifique as contas de administrador delegado para Trusted Advisor Priority.
**Detalhes das permissões**
Na primeira declaração, a política inclui as seguintes permissões para `trustedadvisor`:
+ Descreve a sua conta e a sua organização.
+ Descreve os riscos identificados pelo Trusted Advisor Priority. As permissões permitem que você baixe e atualize o status de risco.
+ Descreve suas configurações para notificações Trusted Advisor prioritárias por e-mail. As permissões permitem que você configure as notificações por e-mail e as desative para os seus administradores delegados.
+ Configura Trusted Advisor para que sua conta possa ser ativada AWS Organizations.
Na segunda declaração, a política inclui as seguintes permissões para `organizations`:
+ Descreve sua Trusted Advisor conta e organização.
+ Lista as Serviços da AWS que você habilitou para usar Organizations.
Na terceira declaração, a política inclui as seguintes permissões para `organizations`:
+ Lista os administradores delegados para Trusted Advisor Prioridade.
+ Ativa e desativa o acesso confiável com o Organizations.
Na quarta declaração, a política inclui as seguintes permissões para `iam`:
+ Cria o perfil vinculado ao serviço `AWSServiceRoleForTrustedAdvisorReporting`.
Na quinta declaração, a política inclui as seguintes permissões para `organizations`:
+ Permite que você registre e cancele o registro de administradores delegados para o Trusted Advisor Priority.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityFullAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:UpdateRiskStatus",
"trustedadvisor:DescribeNotificationConfigurations",
"trustedadvisor:UpdateNotificationConfigurations",
"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
"trustedadvisor:SetOrganizationAccess"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators",
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
},
{
"Sid": "AllowCreateServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
}
}
},
{
"Sid": "AllowRegisterDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "arn:aws:organizations::*:*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS política gerenciada: AWSTrustedAdvisorPriorityReadOnlyAccess
A [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor)política concede permissões somente de leitura à Trusted Advisor Priority, incluindo permissão para visualizar as contas de administrador delegado.
**Detalhes das permissões**
Na primeira declaração, a política inclui as seguintes permissões para `trustedadvisor`:
+ Descreve sua Trusted Advisor conta e organização.
+ Descreve os riscos identificados pelo Trusted Advisor Priority e permite que você os baixe.
+ Descreve as configurações das notificações Trusted Advisor prioritárias por e-mail.
Na segunda e terceira declarações, a política inclui as seguintes permissões para `organizations`:
+ Descreve sua organização com o Organizations.
+ Lista as Serviços da AWS que você habilitou para usar Organizations.
+ Lista os administradores delegados para Priority Trusted Advisor
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:DescribeNotificationConfigurations"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS política gerenciada: AWSTrustedAdvisorServiceRolePolicy
Esta política é anexada à função vinculada ao serviço `AWSServiceRoleForTrustedAdvisor`. Isso permite que o perfil vinculado ao serviço execute ações em seu nome. Não é possível anexar a política [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor) às suas entidades do AWS Identity and Access Management (IAM). Para obter mais informações, consulte [Usando funções vinculadas a serviços para Trusted Advisor](using-service-linked-roles-ta.md).
Essa política concede permissões administrativas que permitem que o perfil vinculado ao serviço acesse os Serviços da AWS. Essas permissões permitem que as verificações avaliem sua conta. Trusted Advisor
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `accessanalyzer`— Descreve AWS Identity and Access Management Access Analyzer os recursos
+ `Auto Scaling` - Descreve cotas e recursos da conta do Amazon EC2 Auto Scaling
+ `cloudformation`— Descreve AWS CloudFormation (CloudFormation) cotas e pilhas de contas
+ `cloudfront`— Descreve as CloudFront distribuições da Amazon
+ `cloudtrail`— Descreve AWS CloudTrail (CloudTrail) trilhas
+ `dynamodb` - Descreve cotas e recursos da conta do Amazon DynamoDB
+ `dynamodbaccelerator`: descreve recursos do DynamoDB Accelerator
+ `ec2` - Descreve cotas e recursos da conta do Amazon Elastic Compute Cloud (Amazon EC2)
+ `elasticloadbalancing`: descreve as cotas e recursos da conta do Elastic Load Balancing (ELB)
+ `iam` - Obtém recursos do IAM, como credenciais, política de senha e certificados
+ `networkfirewall`— Descreve AWS Network Firewall os recursos
+ `kinesis` - Descreve cotas de contas do Amazon Kinesis (Kinesis)
+ `rds` - Descrever recursos do Amazon Relational Database Service (Amazon RDS)
+ `redshift` - Descreve os recursos do Amazon Redshift
+ `route53` - Descreve cotas e recursos da conta do Amazon Route 53
+ `s3` - Descreve recursos do Amazon Simple Storage Service (Amazon S3)
+ `ses` - Faz o Amazon Simple Email Service (Amazon SES) enviar cotas
+ `sqs` - Lista as filas do Amazon Simple Queue Service (Amazon SQS)
+ `cloudwatch`— Obtém estatísticas métricas da Amazon CloudWatch CloudWatch Events (Events)
+ `ce` - Obtém recomendações do Serviço Cost Explorer (Cost Explorer)
+ `route53resolver`— Obtém endpoints e recursos do Amazon Route 53 Resolver Resolver
+ `kafka`: obtém o Amazon Managed Streaming para os recursos do Apache Kafka
+ `ecs`: obtém recursos do Amazon ECS
+ `outposts`— Obtém AWS Outposts recursos
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustedAdvisorServiceRolePermissions",
"Effect": "Allow",
"Action": [
"access-analyzer:ListAnalyzers",
"autoscaling:DescribeAccountLimits",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeLaunchConfigurations",
"ce:GetReservationPurchaseRecommendation",
"ce:GetSavingsPlansPurchaseRecommendation",
"cloudformation:DescribeAccountLimits",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudfront:ListDistributions",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:GetTrail",
"cloudtrail:ListTrails",
"cloudtrail:GetEventSelectors",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"dax:DescribeClusters",
"dynamodb:DescribeLimits",
"dynamodb:DescribeTable",
"dynamodb:ListTables",
"ec2:DescribeAddresses",
"ec2:DescribeReservedInstances",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeImages",
"ec2:DescribeNatGateways",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSnapshots",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:DescribeLaunchTemplateVersions",
"ec2:GetManagedPrefixListEntries",
"ecs:DescribeTaskDefinition",
"ecs:ListTaskDefinitions",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GenerateCredentialReport",
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary",
"iam:GetCredentialReport",
"iam:GetServerCertificate",
"iam:ListServerCertificates",
"iam:ListSAMLProviders",
"kinesis:DescribeLimits",
"kafka:DescribeClusterV2",
"kafka:ListClustersV2",
"kafka:ListNodes",
"network-firewall:ListFirewalls",
"network-firewall:DescribeFirewall",
"outposts:GetOutpost",
"outposts:ListAssets",
"outposts:ListOutposts",
"rds:DescribeAccountAttributes",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSnapshots",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEvents",
"rds:DescribeOptionGroupOptions",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribeReservedDBInstances",
"rds:DescribeReservedDBInstancesOfferings",
"rds:ListTagsForResource",
"redshift:DescribeClusters",
"redshift:DescribeReservedNodeOfferings",
"redshift:DescribeReservedNodes",
"route53:GetAccountLimit",
"route53:GetHealthCheck",
"route53:GetHostedZone",
"route53:ListHealthChecks",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53resolver:ListResolverEndpoints",
"route53resolver:ListResolverEndpointIpAddresses",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketVersioning",
"s3:GetBucketPublicAccessBlock",
"s3:GetLifecycleConfiguration",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"ses:GetSendQuota",
"sqs:GetQueueAttributes",
"sqs:ListQueues"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AWSTrustedAdvisorReportingServiceRolePolicy
Essa política é anexada à função `AWSServiceRoleForTrustedAdvisorReporting` vinculada ao serviço que permite realizar ações Trusted Advisor para o recurso de visão organizacional. Não é possível anexar o [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor) às suas entidades do IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para Trusted Advisor](using-service-linked-roles-ta.md).
Essa política concede permissões administrativas que permitem que a função vinculada ao serviço execute ações AWS Organizations .
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `organizations` - Descreve sua organização e lista o acesso ao serviço, contas, pais, filhos e unidades organizacionais
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Trusted Advisor atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas para AWS Support e Trusted Advisor desde que esses serviços começaram a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico do documento](History.md).
A tabela a seguir descreve atualizações importantes nas políticas Trusted Advisor gerenciadas desde 10 de agosto de 2021.
**Trusted Advisor**
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
Atualize para uma política existente. | Trusted Advisor adicionou novas ações para conceder as `ecs:ListTaskDefinitionFamilies` permissões `ecs:ListClusters` `ecs:ListTasks``ecs:DescribeTasks`,, e. | 14 de maio de 2026 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
Atualize para uma política existente. | Trusted Advisor adicionou novas ações para conceder `elasticloadbalancing:DescribeListeners,` as `elasticloadbalancing:DescribeRules` permissões e. | 30 de outubro de 2024 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
Atualize para uma política existente. | Trusted Advisor adicionou novas ações para conceder as `sqs:GetQueueAttributes` permissões `access-analyzer:ListAnalyzers` `cloudwatch:ListMetrics``dax:DescribeClusters`,`ec2:DescribeNatGateways`,`ec2:DescribeRouteTables`,`ec2:DescribeVpcEndpoints`,`ec2:GetManagedPrefixListEntries`,`elasticloadbalancing:DescribeTargetHealth`,`iam:ListSAMLProviders`,, `kafka:DescribeClusterV2` `network-firewall:ListFirewalls` `network-firewall:DescribeFirewall` e. | 11 de junho de 2024 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
Atualize para uma política existente. | Trusted Advisor adicionou novas ações para conceder o `cloudtrail:GetTrail` `cloudtrail:ListTrails` `cloudtrail:GetEventSelectors``outposts:GetOutpost`, `outposts:ListAssets` e `outposts:ListOutposts` permissões. | 18 de janeiro de 2024 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy)
Atualize para uma política existente. | Trusted Advisor atualizou a política `AWSTrustedAdvisorPriorityFullAccess` AWS gerenciada para incluir IDs de declaração. | 6 de dezembro de 2023 |
| [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy)
Atualize para uma política existente. | Trusted Advisor atualizou a política `AWSTrustedAdvisorPriorityReadOnlyAccess` AWS gerenciada para incluir IDs de declaração. | 6 de dezembro de 2023 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) – atualização para uma política existente | Trusted Advisor adicionou novas ações para conceder `ec2:DescribeRegions` `s3:GetLifecycleConfiguration` `ecs:DescribeTaskDefinition` as `ecs:ListTaskDefinitions` permissões e. | 9 de novembro de 2023 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) – atualização para uma política existente | Trusted Advisor adicionou novas ações do IAM`route53resolver:ListResolverEndpoints`, `route53resolver:ListResolverEndpointIpAddresses``ec2:DescribeSubnets`, `kafka:ListClustersV2` e `kafka:ListNodes` para integrar novas verificações de resiliência. | 14 de setembro de 2023 |
| [AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)
V2 da política gerenciada anexada à função vinculada ao Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting` serviço | Atualize a política AWS gerenciada para V2 para a função vinculada ao Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting` serviço. A V2 adicionará mais uma ação `organizations:ListDelegatedAdministrators` do IAM | 28 de fevereiro de 2023 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) e [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy)
Novas políticas AWS gerenciadas para o Trusted Advisor | Trusted Advisor adicionou duas novas políticas gerenciadas que você pode usar para controlar o acesso ao Trusted Advisor Priority. | 17 de agosto de 2022 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) – atualização para uma política existente | Trusted Advisor adicionou novas ações para conceder `DescribeTargetGroups` as `GetAccountPublicAccessBlock` permissões e.
`DescribeTargetGroup` é necessário para a permissão **Auto Scaling Group Health Check** (Verificação de integridade do grupo do Auto Scaling) para recuperar balanceadores de carga não clássicos anexados a um grupo do Auto Scaling.
`GetAccountPublicAccessBlock` é necessário para a permissão **Amazon S3 Bucket Permissions** (Permissões do bucket do Amazon S3) para recuperar as configurações de acesso público de bloqueio para um Conta da AWS. | 10 de agosto de 2021 |
| Publicação do log de alterações | Trusted Advisor começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 10 de agosto de 2021 |