重温 2024 年亚马逊云科技 re:Invent 的精彩瞬间,一键查看主题演讲及创新讲座的精彩回放

 ✕

控制对 Trusted Advisor 控制台的访问

通过添加新的 Amazon Identity and Access Management (IAM) 功能,Amazon Trusted Advisor 控制台引入了新的方法来控制对 Trusted Advisor 检查项目的访问。要查看 Trusted Advisor 结果或进行操作(例如刷新检查数据或从结果中排除项目),IAM 用户必须拥有操作权限和以“trustedadvisor”命名空间指定的资源。有关创建策略并将其应用于用户和组的完整信息,请参阅 Amazon Identity and Access Management 文档

下表显示了 Trusted Advisor 控制台的常见许可场景。

表 1:常见许可场景
访问
规范
IAM 控制台模板
完整 "Action": "trustedadvisor:*",
"Resource": "*"
管理员访问
高级用户访问
只读 "Action": "trustedadvisor:Describe*",
"Resource": "*"
只读访问
特定检查类别 "Resource": "arn:aws-cn:trustedadvisor:*:acct:checks/category/*" 无;查看检查类别
特定检查项目 "Resource": "arn:aws-cn:trustedadvisor:*:acct:checks/category/checkID" 无;查看特定检查项目
特定操作 "Action": "trustedadvisor:actionName" 无;查看特定操作

Trusted Advisor 显示的信息

Trusted Advisor 会显示与亚马逊云科技账户有关的一些资源的信息。

重要提示:尽管用户在未经过策略特别许可的情况下不能更改这些资源,但是却可以在未获得查看授权的情况下查看信息。例如,一名在查看与 Amazon EC2 实例相关的检查项目的用户可能会看到实例的信息或使用数据,即使另一条策略专门规定了不允许查看此信息。

以下两个表格显示了 Trusted Advisor 显示的信息:

表 2 显示了当前 Trusted Advisor 检查项目的标题、类别、ID 和报告栏。您可以使用类别和检查项目 ID 来指称 IAM 政策中的特定检查项目。

表 3 显示了服务特定操作 (API) 的示例和数据,这些示例和数据与检查项目显示的信息相对应。

尽管下表中罗列的报告栏可以提醒您注意被检查项目公开的信息,但是您依然应该检查您账户的 Trusted Advisor 报告,以保证您充分了解每个检查项目公开的是哪些信息。

表 2:检查类别、ID 和报告栏
检查项目标题 类别 检查项目 ID 报告栏
Amazon EBS 预设置 IOPS 卷附加配置 性能 PPkZrjsH2q 区域/可用区 | 卷 ID | 卷名称 | 卷附件 | 实例 ID | 实例类型 | EBS 优化 | 状态
Amazon EBS 快照 容错 H7IgTzjTYb 区域 | 卷 ID | 卷名称 | 快照 ID | 快照名称 | 快照年限 | 卷附件 | 状态 | 原因
Amazon EC2 可用区平衡 容错 wuy7G1zxql 区域 | 区域 a 中的实例 | 区域 b 中的实例 | 区域 c 中的实例 | 区域 d 中的实例 | 区域 e 中的实例 | 状态 | 原因
Amazon S3 存储桶记录 容错 BueAdJ7NrP 区域 | 存储桶名称 | 目标名称 | 目标存在 | 相同所有者 | 写入已开启 | 状态 | 原因
Amazon S3 存储桶权限 安全性 Pfx0RwqBli 区域名称 | 区域 API 参数 | 存储桶名称 | 全球列表访问 | 全球上传/删除访问 | 状态
高使用率 Amazon EC2 实例 性能 ZRxQlPsb6c 区域/可用区 | 实例 ID | 实例名称 | 实例类型 | 第 1 天...第 14 天 | 14 天平均 CPU 利用率 | CPU 利用率超过 90% 的天数
应用于实例的大量 EC2 安全组规则 性能 j3DFqYTe29 区域 | 实例 ID | 实例名称 | VPC ID | 总入站规则 | 总出站规则
EC2 安全组中的大量规则 容错 容错 tfg86AVHAZ 区域 | 安全组名称 | 组 ID | 描述 | 实例计数 | VPC ID | 总入站规则 | 总出站规则
Load Balancer 优化 容错 iqdCTZKCUp 区域 | Load Balancer 名称 | 区域数量 | 区域 a 中的实例 | 区域 b 中的实例 | 区域 c 中的实例 | 区域 d 中的实例 | 区域 e 中的实例 | 状态 | 原因
过度使用的标准 Amazon EBS 卷 性能 k3J2hns32g 区域 | 卷 ID | 卷名称 | 第 1 天...第 14 天 | 结束天数 | 最大每日中间值 | 状态
安全组 – 特定端口不受限制 安全性 HCP4007jGY 区域 | 安全组名称 | 安全组 ID | 协议 | 状态 | 端口
安全组 – 不受限制的访问 安全性 1iG5NDGVre 区域 | 安全组名称 | 安全组 ID | 协议 | 端口 | 状态 | IP 范围
无关联的弹性 IP 地址 成本优化 Z4AUBRNSmz 区域 | IP 地址

下表再一次显示了每个检查项目的报告栏,加入了服务特定操作的示例,显示了与 Trusted Advisor 报告栏中所显示数据相对应的数据。注意,Trusted Advisor 不是必须要使用罗列的操作,这些操作只是对显示信息的方法的一种展示。

例如,您拒绝了一名用户对 Amazon EC2 DescribeInstances 操作的访问,但是允许该用户访问 Trusted Advisor 低使用率 EC2 实例检查项目,这名用户可以查看 DescribeInstances 返回的某些信息,尽管对 DescribeInstances 的访问是被明确拒绝的。

表 3:示例操作和数据
检查项目标题 报告栏 操作 数据
Amazon EBS 预设置 IOPS 卷附加配置 区域/可用区 | 卷 ID | 卷名称 | 卷附件 | 实例 ID | 实例类型 | EBS 优化 | 状态 ec2:DescribeVolumes AvailabilityZone
VolumeId
tag:Name
VolumeType
AttachmentSet.Item.VolumeId
AttachmentSet.Item.InstanceId
AttachmentSet.Item.Device
ec2:DescribeInstanceAttribute InstanceId
EbsOptimized
Amazon EBS 快照 区域 | 卷 ID | 卷名称 | 快照 ID | 快照名称 | 快照年限 | 卷附件 | 状态 | 原因 ec2:DescribeVolumes VolumeId
VolumeType
tag:Name
cloudwatch:GetMetricStatistics VolumeReadOps
VolumeWriteOps
Amazon EC2 可用区平衡 区域 | 区域 a 中的实例 | 区域 b 中的实例 | 区域 c 中的实例 | 区域 d 中的实例 | 区域 e 中的实例 | 状态 | 原因 ec2:DescribeInstances AvailabilityZone
Amazon S3 存储桶记录 区域 | 存储桶名称 | 目标名称 | 目标存在 | 相同所有者 | 写入已开启 | 状态 | 原因 s3:GetService BucketName
所有者
s3:GetBucketLogging TargetName
s3:GetBucketAcl 被授权者
权限
Amazon S3 存储桶权限 区域名称 | 区域 API 参数 | 存储桶名称 | 全球列表访问 | 全球上传/删除访问 | 状态 s3:GetService BucketName
所有者
s3:GetBucketAcl 被授权者
权限
高使用率 Amazon EC2 实例 区域/可用区 | 实例 ID | 实例名称 | 实例类型 | 第 1 天...第 14 天 | 14 天平均 CPU 利用率 | CPU 利用率超过 90% 的天数 ec2:DescribeInstances AvailabilityZone
InstanceId
tag:Name
cloudwatch:GetMetricStatistics CPUUtilization
NetworkIn
NetworkOut
应用于实例的大量 EC2 安全组规则 区域 | 实例 ID | 实例名称 | VPC ID | 总入站规则 | 总出站规则 ec2:DescribeInstances
ec2:DescribeGroups
InstanceId
tag:Name
VpcId
GroupId
GroupName
ec2:DescribeGroups IpPermissions
IpPermissionsEgress
EC2 安全组中的大量规则 区域 | 安全组名称 | 组 ID | 描述 | 实例计数 | VPC ID | 总入站规则 | 总出站规则 ec2:DescribeGroups GroupName
GroupId
GroupDescription
VpcId
IpPermissions
IpPermissionsEgress
ec2:DescribeInstances GroupId
InstanceId
Load Balancer 优化 区域 | Load Balancer 名称 | 区域数量 | 区域 a 中的实例 | 区域 b 中的实例 | 区域 c 中的实例 | 区域 d 中的实例 | 区域 e 中的实例 | 状态 | 原因 elasticloadbalancing: DescribeLoadBalancers LoadBalancerName
AvailabilityZones
过度使用的标准 Amazon EBS 卷 区域 | 卷 ID | 卷名称 | 第 1 天...第 14 天 | 结束天数 | 最大每日中间值 | 状态 ec2:DescribeVolumes VolumeId
VolumeType
tag:Name
cloudwatch:GetMetricStatistics VolumeReadOps
VolumeWriteOps
安全组 – 特定端口不受限制 区域 | 安全组名称 | 安全组 ID | 协议 | 状态 | 端口 ec2:DescribeSecurityGroups GroupName
GroupId
IpPermissions
IpProtocol
FromPort
ToPort
安全组 – 不受限制的访问 区域 | 安全组名称 | 安全组 ID | 协议 | 端口 | 状态 | IP 范围 ec2:DescribeSecurityGroups GroupName
GroupId
IpPermissions
IpProtocol
FromPort
ToPort
IpRanges
服务限制 区域 | 服务 | 限制名称 | 限制量 | 当前使用量 | 状态 [显示限制和多项服务的当前使用量。参见 Trusted Advisor 常见问题中的“您要检查哪些服务限制”了解详细情况。] [变化]
无关联的弹性 IP 地址 区域 | IP 地址 ec2:DescribeAddresses PublicIp
InstanceId
ec2:DescribeInstances InstanceState

IAM 策略示例

下面是 IAM 策略的示例,您可能使用这些示例来控制对 Trusted Advisor 控制台的访问。有关如何构建策略的更多信息,请参阅 Amazon Identity and Access Management 用户指南中的“Amazon IAM 策略概览”。

拒绝所有

下方的示例策略会拒绝对所有 Trusted Advisor 检查结果的访问:

{
    "Version": "2012-10-17",
    "Statement": [
        {

            "Effect": "Deny",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}


允许所有

下方的示例策略允许用户查看所有 Trusted Advisor 检查项目并对其采取一切操作:

{
    "Version": "2012-10-17",
    "Statement": [
        {

            "Effect": "Allow",
            "Action": "trustedadvisor:*",
            "Resource": "*"
        }
    ]
}


检查类别

要在策略中指定 Trusted Advisor 检查项目类别,应以以下形式使用 Amazon 资源名称 (ARN):

arn:aws-cn:trustedadvisor:*:accountnumber:checks/categoryCode/*

要查看检查类别,请参见表 2。下表显示了为每一个类别指定的类别代码。

表 4:类别和类别代码
类别 类别代码
成本优化 cost_optimizing
性能 性能
安全性 安全性
容错 fault_tolerance

下方的示例策略通过指定类别代码允许用户在容错和性能类别中查看检查项目并对其执行其他操作:

{   

    "Version": "2012-10-17",   

    "Statement": [     

        {       

            "Effect": "Allow",       

            "Action": "trustedadvisor:*",       

            "Resource": ["arn:aws-cn:trustedadvisor:*:123456789012:checks/fault_tolerance/*", "arn:aws-cn:trustedadvisor:*:123456789012:checks/performance/*"]     

            } 

      ]

}
特定检查项目

要在策略中允许或拒绝对特定 Trusted Advisor 检查项目的许可,应以此形式使用 Amazon 资源名称 (ARN):

arn:aws-cn:trustedadvisor:*:accountnumber:checks/categoryCode/checkId

类别和 ID 显示在表 2 中;类别代码显示在表 4 中。

下方的示例支持通过指定检查项目的类别和 ID 允许用户查看两个与 Amazon S3 有关的特定检查项目并对其执行其他操作:

{   

    "Version": "2012-10-17", 

    "Statement": [     

        {       

            "Effect": "Allow", 
            "Action": "trustedadvisor:*",       
            "Resource": [           
               "arn:aws:trustedadvisor:*:123456789012:checks/fault_tolerance/BueAdJ7NrP",           
               "arn:aws:trustedadvisor:*:123456789012:checks/security/Pfx0RwqBli" 

             ]

        }   

    ] 

}
特定操作

您可以控制想让用户看到的信息量,还可以控制刷新检查项目的能力,以排除或包含检查结果中的项目,查看和修改通知偏好设置。

要允许或拒绝策略中对特定 Trusted Advisor 操作的使用,应在操作的前面加上“trustedadvisor:”命名空间前缀。

下表显示了您可以指定的操作和拒绝对操作给予许可的结果。

表 5:Trusted Advisor 操作
操作 拒绝后的效果
DescribeCheckResult 不能查看任何 Trusted Advisor 信息。
对通知偏好设置的查看和更改受到单独控制。
DescribeCheckItems 不能查看详细信息(结果表中的项目)。
RefreshCheck 不能刷新检查项目。也不能更改项目的排除或包含状态,因为项目状态的更改必须要刷新检查项目。
ExcludeCheckItems 不能将项目的状态从包含改为排除。
可能可以将项目从排除改为包含,这取决于 IncludeCheckItems 的权限。
IncludeCheckItems 不能将项目的状态从排除改为包含。
可能可以将项目从包含改为排除,这取决于 ExcludeCheckItems 的权限。
DescribeNotificationPreferences 不能查看通知偏好设置页面中的信息。
UpdateNotificationPreferences 不能更改通知偏好设置页面中的选项。

下方的示例策略允许用户查看所有 Trusted Advisor 检查项目,但是不允许用户刷新任何检查项目:

{   

    "Version": "2012-10-17", 

    "Statement": [     

        {       

            "Effect": "Allow", 
            "Action": "trustedadvisor:*",       
            "Resource": [           
                "arn:aws-cn:trustedadvisor:*:123456789012:checks/fault_tolerance/BueAdJ7NrP",           
                "arn:aws-cn:trustedadvisor:*:123456789012:checks/security/Pfx0RwqBli" 

             ]

        }   

    ] 

}

有关如何构建策略的更多信息,请参阅 Amazon Identity and Access Management 用户指南中的 Amazon IAM 策略概览

关闭
1010 0766
由光环新网运营的
北京区域
1010 0966
由西云数据运营的
宁夏区域
关闭
由光环新网运营的
北京区域
由西云数据运营的
宁夏区域