本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Trusted Advisor 和 AWS Organizations
AWS Trusted Advisor 检查您的 AWS 环境,并在有机会节省资金、提高系统可用性和性能或帮助填补安全漏洞时提出建议。与 Organizations 集成后,您可以接收组织中所有账户的 Trusted Advisor 检查结果,并下载报告以查看支票摘要和任何受影响的资源。
有关更多信息,请参阅《AWS 支持 用户指南》**中的 [AWS Trusted Advisor的组织视图](https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html)。
使用以下信息来帮助您集 AWS Trusted Advisor 成 AWS Organizations。
## 启用集成时,创建了一个服务相关角色
以下[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色 Trusted Advisor 允许在组织中的组织账户中执行支持的操作。
只有在禁用 Trusted Advisor 和 Organizations 之间的信任访问权限,或者如果您从组织中删除成员账户,您才能删除或修改此角色。
+ `AWSServiceRoleForTrustedAdvisorReporting`
## 服务相关角色使用的服务委托人
上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。使用的服务相关角色向以下服务主体 Trusted Advisor 授予访问权限:
+ `reporting.trustedadvisor.amazonaws.com`
## 使用启用可信访问 Trusted Advisor
有关启用信任访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。
您只能使用 AWS Trusted Advisor启用可信访问权限。
**使用 Trusted Advisor 控制台启用可信访问**
请参阅《AWS 支持 用户指南》**中的[启用组织视图](https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html#enable-organizational-view)。
## 使用禁用可信访问 Trusted Advisor
有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。
禁用此功能后,将 Trusted Advisor 停止记录组织中所有其他账户的支票信息。您无法查看或下载现有报告或创建新报告。
您可以使用 AWS Trusted Advisor 或 AWS Organizations 工具禁用可信访问。
**重要**
我们强烈建议您尽可能使用 AWS Trusted Advisor 控制台或工具来禁用与 Organizations 的集成。这允许 AWS Trusted Advisor 执行它需要的任何清理,例如删除服务不再需要的资源或访问角色。仅当您无法使用 AWS Trusted Advisor提供的工具禁用集成时,才会使用这些步骤进行处理。
如果您使用 AWS Trusted Advisor 控制台或工具禁用可信访问,则无需完成这些步骤。
**使用 Trusted Advisor 控制台禁用可信访问**
请参阅《AWS 支持 用户指南》**中的[禁用组织视图](https://docs.aws.amazon.com/awssupport/latest/user/organizational-view.html#disable-organizational-view)。
您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。
------
#### [ AWS CLI, AWS API ]
**使用 Organizations CLI/SDK 禁用信任服务访问权限**
使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限:
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
运行以下命令在 Organiz AWS Trusted Advisor ations 中禁用可信服务。
```
$ aws organizations disable-aws-service-access \
--service-principal reporting.trustedadvisor.amazonaws.com
```
如果成功,此命令不会产生任何输出。
+ AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## 为其启用委派管理员账户 Trusted Advisor
当您将某个成员账户指定为组织的委托管理员时,来自指定账户的用户和角色将可以管理组织内其他成员账户的 AWS 账户 元数据。如果您没有启用委托管理员账户,则这些任务只能由组织的管理账户执行。这有利于您将组织的管理与您的账户详细信息的管理分开。
**最小权限**
只有 Organizations 管理账户中的用户或角色才能将成员账户配置为组织 Trusted Advisor 中的委托管理员
有关为其启用委派管理员账户的说明 Trusted Advisor,请参阅*《支持 用户指南*》中的[注册委派管理员](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-priority.html#register-delegated-administrators)。
------
#### [ AWS CLI, AWS API ]
如果要使用 AWS CLI 或其中一个配置委派管理员帐户 AWS SDKs,则可以使用以下命令:
+ AWS CLI:
```
$ aws organizations register-delegated-administrator \
--account-id 123456789012 \
--service-principal reporting.trustedadvisor.amazonaws.com
```
+ AWS SDK:调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号,并将账户服务委托人标识`account.amazonaws.com`为参数。
------
## 禁用委派的管理员 Trusted Advisor
您可以使用 Trusted Advisor 控制台,也可以使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作来移除委派的管理员。有关如何使用 Trusted Advisor 控制台禁用委派管理员 Trusted Advisor 帐户的信息,请参阅*支持 用户指南*中的[取消注册委派管理员](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-priority.html#deregister-delegated-administrators)。