本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的組織檢視 AWS Trusted Advisor
**重要**
終止支援通知:開發人員支援將於 2027 年 1 月 1 日終止。擁有開發人員支援的客戶可以繼續使用其現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\+。Business Support\+ 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\+ 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
終止支援通知:商業支援將於 2027 年 1 月 1 日終止。擁有 Business Support 的客戶可以繼續使用現有的計劃,或選擇在 2027 年 1 月 1 日之前隨時升級至 Business Support\+。Business Support\+ 提供 AI 輔助,讓您了解營運內容,全年無休地聯絡 AWS 專家,每個帳戶每月最低 29 美元。如需詳細資訊,請參閱 [Business Support\+ 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/business-plus/)
終止支援通知:2027 年 1 月 1 日, AWS 將停止 Enterprise On-Ramp。在整個 2026 年,Enterprise On-Ramp 客戶將在續約期間或定期批次自動升級至 AWS Enterprise Support。客戶將在升級前一個月收到電子郵件通知。無需採取進一步動作。Enterprise Support 提供指定的 TAM 指派、15 分鐘的回應時間,並且可免費 AWS 安全事件應變 使用,而且最低 5,000 美元 (從 15,000 美元減少)。如需詳細資訊,請參閱[AWS 企業 支援 計劃詳細資訊](https://aws.amazon.com/premiumsupport/plans/enterprise/)。
如需詳細資訊,請參閱[開發人員、商業和企業延遲結束支援](support-plans-eos.md)。
開發人員支援、商業支援和 Enterprise On-Ramp 仍可在 AWS GovCloud (US) 區域中使用。
組織檢視可讓您檢視 中所有帳戶的 Trusted Advisor 檢查[AWS Organizations](https://aws.amazon.com/organizations/)。啟用此功能後,您可以建立報告來彙總組織中所有成員帳戶的檢查結果。此報告中包括每個帳戶的檢查結果摘要,以及有關受影響資源的資訊。例如,您可以使用報告來識別組織中哪些帳戶使用 AWS Identity and Access Management (IAM) 搭配 IAM 使用檢查,或您是否有針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體的建議動作搭配 Amazon S3 儲存貯體許可檢查。
**Topics**
+ [先決條件](#prerequisites-organizational-view)
+ [啟用組織檢視](#enable-organizational-view)
+ [重新整理 Trusted Advisor 檢查](#refresh-trusted-advisor-checks)
+ [建立組織檢視報告](#create-organizational-view-reports)
+ [檢視報告摘要](#view-organizational-reports)
+ [下載組織檢視報告](#download-organizational-view-reports)
+ [停用組織檢視](#disable-organizational-view)
+ [使用 IAM 政策允許存取組織檢視](organizational-view-iam-policies.md)
+ [使用其他 AWS 服務來檢視 Trusted Advisor 報告](use-other-aws-services-with-trusted-advisor-reports.md)
## 先決條件
您必須符合下列要求才能啟用組織檢視:
+ 您的帳戶必須是 的成員[AWS Organizations](https://aws.amazon.com/organizations/)。
+ 您的組織必須啟用 Organizations 的所有功能。如需詳細資訊,請參閱 *AWS Organizations 使用者指南*中的[啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 組織中的管理帳戶必須擁有 AWS Business Support\+、 AWS Enterprise Support 或 AWS Unified Operations 計劃。您可以從 AWS 支援 中心或 支援計劃 頁面找到您的[支援計劃](https://console.aws.amazon.com/support/plans)。請參閱[比較 AWS 支援 計劃](https://aws.amazon.com/premiumsupport/plans/)。
+ 您必須以[管理帳戶](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) (或[擔任的等效角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)) 的使用者身分登入。無論您是以 IAM 使用者或 IAM 角色登入,都必須具備含有所需許可的政策。請參閱 [使用 IAM 政策允許存取組織檢視](organizational-view-iam-policies.md)。
## 啟用組織檢視
符合先決條件後,請依照下列步驟啟用組織檢視。啟用此功能後,會發生下列情況:
+ Trusted Advisor 在您的組織中啟用為*信任的服務*。如需詳細資訊,請參閱 *AWS Organizations 使用者指南*中的[透過其他 AWS 服務啟用信任的存取權](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。
+ `AWSServiceRoleForTrustedAdvisorReporting` 服務連結角色是為您組織中的管理帳戶建立的。此角色包含代表您呼叫 Organizations Trusted Advisor 所需的許可。這個服務連結角色已鎖定,無法手動刪除。如需詳細資訊,請參閱[使用 的服務連結角色 Trusted Advisor](using-service-linked-roles-ta.md)。
您可以從 Trusted Advisor 主控台啟用組織檢視。
**啟用組織檢視**
1. 在組織的管理帳戶中以管理員身分登入,並在 https://[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 開啟 AWS Trusted Advisor 主控台。
1. 在導覽窗格的 **Preferences** (偏好設定) 中,選擇 **Your organization** (您的組織)。
1. 在**啟用受信任存取 AWS Organizations**下,開啟**已啟用**。
**注意**
為管理帳户啟用組織檢視不會為所有成員帳户提供相同的檢查。例如,如果您的成員帳户都具有基本支援,那麼這些帳户的檢查將不會與您的管理帳户相同。 AWS 支援 計劃會決定哪些 Trusted Advisor 檢查可供 帳戶使用。
## 重新整理 Trusted Advisor 檢查
在您為組織建立報告之前,建議您重新整理 Trusted Advisor 檢查的狀態。您不需重新整理 Trusted Advisor 檢查就可以下載報告,但報告中可能不含最新資訊。
如果您有 AWS Business Support\+、 AWS Enterprise Support 或 AWS Unified Operations 計劃, 會每週 Trusted Advisor 自動重新整理您帳戶中的檢查。
**注意**
如果您的組織中有具有開發人員或基本支援計劃的帳戶,則這些帳戶的使用者必須登入 Trusted Advisor 主控台以重新整理檢查。您無法從組織的管理帳戶重新整理所有帳戶的檢查。
**重新整理 Trusted Advisor 檢查**
1. 導覽至位於 https://[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 的 AWS Trusted Advisor 主控台。
1. 在 **Trusted Advisor Recommendations** 頁面,選擇 **Refresh all checks** (重新整理所有檢查)。這會重新整理您的帳戶中的所有檢查。
您也可以使用下列方式來重新整理特定檢查:
+ 使用 [RefreshTrustedAdvisorCheck](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_RefreshTrustedAdvisorCheck.html) API 作業。
+ 選擇個別檢查的重新整理圖示 ()。
## 建立組織檢視報告
啟用組織檢視之後,您可以建立報告,以便檢視您組織的 Trusted Advisor 檢查結果。
最多可以建立 50 份報告。如果您建立超出此配額的報告, Trusted Advisor 會刪除最早的報告。刪除的報告無法復原。
**建立組織檢視報告**
1. 登入組織的管理帳戶,並前往 [https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 開啟 AWS Trusted Advisor 主控台。
1. 在導覽窗格中,選擇 **Organizational View (組織檢視)**。
1. 選擇 **Create report (建立報告)**。
1. 根據預設,報告會包含所有 AWS 區域、檢查類別、檢查和資源狀態。在 **Create report (建立報告)** 頁面上,您可以使用篩選條件選項來自訂報告。例如,您可以清除 **Region (區域)** 的 **All (全部)** 選項,然後指定要包含在報告中的個別區域。
1. 輸入報告的 **Name (名稱)**。
1. 針對 **Format (格式)**,選擇 **JSON** 或 **CSV**。
1. 對於**區域**,指定 AWS 區域 或選擇**全部**。
1. 針對 **Check category (檢查類別)**,選擇檢查類別或選擇 **All (全部)**。
1. 針對 **Checks (檢查)**,選擇該類別的特定檢查,或選擇 **All (全部)**。
**注意**
**Check category (檢查類別)** 篩選條件會覆寫 **Checks (檢查)** 篩選條件。例如,如果您選擇 **Security (安全性)** 類別,然後選擇特定的檢查名稱,您的報告會包含該類別的所有檢查結果。若只要針對特定檢查建立報告,**Check category (檢查類別)** 中請保留預設的 **All (全部)** 值,然後選擇您的檢查名稱。
1. 針對 **Resource status (資源狀態)**,選擇要篩選的狀態,例如 **Warning (警告)**,或選擇 **All (全部)**。
1. 針對 **AWS Organizations**,選取要包含在報告中的組織單位 OUs)。如需 OU 的詳細資訊,請參閱 *AWS Organizations 使用者指南*中的[管理組織單位](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html)。
1. 選擇 **Create report (建立報告)**。
**Example :建立報告篩選條件選項**
下列範例會為以下項目建立一份 JSON 報告:
+ 三個 AWS 區域
+ 所有 **Security (安全性)** 和 **Performance (效能)** 檢查
在下列範例中,報告包含**支援團隊**組織單位和屬於組織的一個 AWS 帳戶。
**備註**
建立報告所需的時間,取決於組織中的帳戶數量和每個帳戶中的資源數量。
除非目前報告已執行六個小時以上,否則您無法一次建立多份報告。
如果頁面上未顯示報告,請重新整理頁面。
## 檢視報告摘要
報告準備就緒後,您可以從 Trusted Advisor 主控台檢視報告摘要。這可讓您快速檢視整個組織的檢查結果摘要。
**檢視報告摘要**
1. 登入組織的管理帳戶,並前往 [https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 開啟 AWS Trusted Advisor 主控台。
1. 在導覽窗格中,選擇 **Organizational View (組織檢視)**。
1. 選擇報告名稱。
1. 在 **Summary (摘要)** 頁面上,檢視每個類別的檢查狀態。您也可以選擇 **Download report (下載報告)**。
**Example :組織的報告摘要**
## 下載組織檢視報告
報告準備就緒後,請從 Trusted Advisor 主控台下載報告。此報告是包含三個檔案的 .zip 檔:
+ `summary.json` - 包含每個檢查類別的檢查結果摘要。
+ `schema.json` - 包含報告中指定檢查的結構描述。
+ 資源檔案 (.json 或 .csv) - 包含組織中資源檢查狀態的詳細資訊。
**下載組織檢視報告**
1. 登入組織的管理帳戶,並前往 [https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 開啟 AWS Trusted Advisor 主控台。
1. 在導覽窗格中,選擇 **Organizational View (組織檢視)**。
**Organizational View (組織檢視)** 頁面會顯示可供下載的報告。
1. 選取報告,選擇 **Download report (下載報告)**,然後儲存檔案。您一次只能下載一份報告。
1. 解壓縮檔案。
1. 使用文字編輯器開啟 `.json` 檔案,或使用試算表應用程式開啟 `.csv` 檔案。
**注意**
如果報告大小為 5 MB 或更大,您可能會收到多個檔案。
**Example :summary.json 檔案**
`summary.json` 檔案會顯示組織中的帳戶數量,以及每個類別的檢查狀態。
Trusted Advisor 使用下列顏色代碼來檢查結果:
+ `Green` – Trusted Advisor 未偵測到檢查的問題。
+ `Yellow` – Trusted Advisor 偵測檢查的可能問題。
+ `Red` – Trusted Advisor 偵測錯誤並建議檢查的動作。
+ `Blue` – Trusted Advisor 無法判斷檢查的狀態。
在下列範例中,兩個檢查是 `Red`、一個是 `Green`,還有一個是 `Yellow`。
```
{
"numAccounts": 3,
"filtersApplied": {
"accountIds": ["123456789012","111122223333","111111111111"],
"checkIds": "All",
"categories": [
"security",
"performance"
],
"statuses": "All",
"regions": [
"us-west-1",
"us-west-2",
"us-east-1"
],
"organizationalUnitIds": [
"ou-xa9c-EXAMPLE1",
"ou-xa9c-EXAMPLE2"
]
},
"categoryStatusMap": {
"security": {
"statusMap": {
"ERROR": {
"name": "Red",
"count": 2
},
"OK": {
"name": "Green",
"count": 1
},
"WARN": {
"name": "Yellow",
"count": 1
}
},
"name": "Security"
}
},
"accountStatusMap": {
"123456789012": {
"security": {
"statusMap": {
"ERROR": {
"name": "Red",
"count": 2
},
"OK": {
"name": "Green",
"count": 1
},
"WARN": {
"name": "Yellow",
"count": 1
}
},
"name": "Security"
}
}
}
}
```
**Example :schema.json 檔案**
`schema.json` 檔案包含報告中檢查的結構描述。下列範例包含 IAM 密碼政策 (Yw2K9puPzl) 和 IAM 金鑰輪換 (DqdJqYeRm5) 檢查的 ID 和屬性。
```
{
"Yw2K9puPzl": [
"Password Policy",
"Uppercase",
"Lowercase",
"Number",
"Non-alphanumeric",
"Status",
"Reason"
],
"DqdJqYeRm5": [
"Status",
"IAM User",
"Access Key",
"Key Last Rotated",
"Reason"
],
...
}
```
**Example :resources.csv 檔案**
`resources.csv` 檔案包含組織中資源的相關資訊。此範例顯示幾個出現在報告中的資料欄,如下所示:
+ 受影響帳戶的帳戶 ID
+ Trusted Advisor 檢查 ID
+ 資源 ID
+ 報告的時間戳記
+ Trusted Advisor 檢查的完整名稱
+ Trusted Advisor 檢查類別
+ 上層組織單位 (OU) 或根的帳戶 ID
如果資源層級存在檢查結果,則資源檔案只會包含項目。由於下列原因,您可能無法在報告中看到檢查:
+ 某些檢查 (例如**根帳戶上的 MFA**) 沒有資源且不會顯示在報告中。沒有資源的檢查會改為顯示在 `summary.json` 檔案中。
+ 有些檢查只會顯示 `Red` 或 `Yellow` 的資源。如果所有資源都是 `Green`,可能不會出現在您的報告中。
+ 如果未針對需要檢查的服務啟用帳戶,則該檢查可能不會出現在報告中。例如,如果您沒有在組織中使用 Amazon Elastic Compute Cloud 預留執行個體,報告中就不會顯示 Amazon EC2 Reserved Instance Lease Expiration 檢查。
+ 帳戶尚未重新整理檢查結果。當具有基本或開發人員支援計劃的使用者第一次登入 Trusted Advisor 主控台時,可能會發生這種情況。如果您有 AWS Business Support\+、 AWS Enterprise Support 或 AWS Unified Operations 計劃,註冊帳戶後最多可能需要一週的時間,使用者才能查看檢查結果。如需詳細資訊,請參閱[重新整理 Trusted Advisor 檢查](#refresh-trusted-advisor-checks)。
+ 如果只有組織的管理帳戶啟用檢查建議,則報告不會包含組織中其他帳戶的資源。
針對資源檔案,您可以使用一般軟體 (例如 Microsoft Excel) 來開啟 .csv 檔案格式。您可以使用 .csv 檔案來對組織內所有帳戶的所有檢查進行一次性分析。如果您想要搭配應用程式使用報告,可以將報告下載為 .json 檔案。
.json 檔案格式提供比 .csv 檔案格式更多的靈活性,適用於進階使用案例,例如多個資料集的彙總和進階分析。例如,您可以使用 SQL 界面搭配 AWS 服務,例如 Amazon Athena,對報告執行查詢。您也可以使用 Amazon Quick 建立儀表板並視覺化您的資料。如需詳細資訊,請參閱[使用其他 AWS 服務來檢視 Trusted Advisor 報告](use-other-aws-services-with-trusted-advisor-reports.md)。
## 停用組織檢視
依照此程序停用組織檢視。您必須登入組織的管理帳戶,或擔任具有必要許可的角色,才能停用此功能。您無法從組織中的其他帳戶停用此功能。
停用此功能後,會發生下列情況:
+ Trusted Advisor 會移除為 Organizations 中信任的服務。
+ 組織管理帳戶中的 `AWSServiceRoleForTrustedAdvisorReporting` 服務連結角色會解除鎖定。這表示您可以視需要手動刪除它。
+ 您無法建立、檢視或下載組織的報告。若要存取先前建立的報告,必須從 Trusted Advisor 主控台重新啟用組織檢視。請參閱 [啟用組織檢視](#enable-organizational-view)。
**停用 的組織檢視 Trusted Advisor**
1. 登入組織的管理帳戶,並前往 [https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) 開啟 AWS Trusted Advisor 主控台。
1. 在導覽窗格中,選擇**偏好設定**。
1. 在 **Organizational View (組織檢視)** 底下,選擇 **Disable organizational view (停用組織檢視)**。
停用組織檢視之後, Trusted Advisor 不會再彙總組織中其他 AWS 帳戶的檢查。不過,`AWSServiceRoleForTrustedAdvisorReporting`服務連結角色會保留在組織的管理帳戶中,直到您透過 IAM 主控台、IAM API 或 AWS Command Line Interface () 將其刪除為止AWS CLI。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
**注意**
您可以使用其他 AWS 服務來查詢和視覺化組織檢視報告的資料。如需詳細資訊,請參閱下列資源:
*AWS 管理與控管部落格*中的[透過 AWS Organizations大規模檢視 AWS Trusted Advisor 的建議](https://aws.amazon.com/blogs/mt/organizational-view-for-trusted-advisor/)
[使用其他 AWS 服務來檢視 Trusted Advisor 報告](use-other-aws-services-with-trusted-advisor-reports.md)