Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS políticas gestionadas para AWS Trusted Advisor
Trusted Advisor tiene las siguientes políticas AWS gestionadas.
**Contents**
+ [AWS política gestionada: AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy)
+ [AWS política gestionada: AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy)
+ [AWS política gestionada: AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
+ [AWS política gestionada: AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)
+ [Trusted Advisor actualizaciones de las políticas gestionadas AWS](#security-iam-awsmanpol-updates-trusted-advisor)
## AWS política gestionada: AWSTrustedAdvisorPriorityFullAccess
La [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor)política otorga acceso completo a Trusted Advisor Priority. Esta política también permite al usuario añadir cuentas de administrador delegado para Trusted Advisor Priority Trusted Advisor como servicio de confianza AWS Organizations y especificarlas.
**Detalles de los permisos**
En la primera declaración, la política debe incluir los siguientes permisos para `trustedadvisor`:
+ Describe su cuenta y su organización.
+ Describe los riesgos identificados por Trusted Advisor Priority. Los permisos le permiten descargar y actualizar el estado del riesgo.
+ Describe las configuraciones de las notificaciones Trusted Advisor prioritarias por correo electrónico. Los permisos le permiten configurar las notificaciones por correo electrónico y deshabilitarlas para los administradores delegados.
+ Se configura Trusted Advisor para que su cuenta pueda activarse AWS Organizations.
En la segunda declaración, la política debe incluir los siguientes permisos para `organizations`:
+ Describe tu Trusted Advisor cuenta y tu organización.
+ Muestra las Servicios de AWS que ha habilitado para usar Organizations.
En la tercera declaración, la política debe incluir los siguientes permisos para `organizations`:
+ Muestra los administradores delegados para Trusted Advisor Priority.
+ Habilita y deshabilita el acceso confiable con Organizations.
En la cuarta declaración, la política debe incluir los siguientes permisos para `iam`:
+ Crea el rol vinculado al servicio `AWSServiceRoleForTrustedAdvisorReporting`.
En la quinta declaración, la política debe incluir los siguientes permisos para `organizations`:
+ Le permite registrar y anular el registro de los administradores delegados de Trusted Advisor Priority.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityFullAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:UpdateRiskStatus",
"trustedadvisor:DescribeNotificationConfigurations",
"trustedadvisor:UpdateNotificationConfigurations",
"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
"trustedadvisor:SetOrganizationAccess"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators",
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
},
{
"Sid": "AllowCreateServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
}
}
},
{
"Sid": "AllowRegisterDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "arn:aws:organizations::*:*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS política gestionada: AWSTrustedAdvisorPriorityReadOnlyAccess
La [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor)política concede permisos de solo lectura a Trusted Advisor Priority, incluido el permiso para ver las cuentas de administrador delegadas.
**Detalles de los permisos**
En la primera declaración, la política debe incluir los siguientes permisos para `trustedadvisor`:
+ Describe su Trusted Advisor cuenta y su organización.
+ Describe los riesgos identificados en Trusted Advisor Priority y permite descargarlos.
+ Describe las configuraciones de las notificaciones Trusted Advisor prioritarias por correo electrónico.
En la segunda y tercera declaración, la política incluye los siguientes permisos para `organizations`:
+ Describe su organización con Organizations.
+ Muestra las Servicios de AWS que ha habilitado para usar Organizations.
+ Enumera los administradores delegados por prioridad Trusted Advisor
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:DescribeNotificationConfigurations"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS política gestionada: AWSTrustedAdvisorServiceRolePolicy
Esta política se adjunta al rol vinculado al servicio de `AWSServiceRoleForTrustedAdvisor`. Permite al rol vinculado al servicio llevar a cabo acciones en su nombre. No puede adjuntar [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor) a sus entidades de AWS Identity and Access Management (IAM). Para obtener más información, consulte [Utilizar funciones vinculadas al servicio para Trusted Advisor](using-service-linked-roles-ta.md).
Esta política concede permisos administrativos que autorizan al rol vinculado al servicio acceder a Servicios de AWS. Estos permisos permiten que las comprobaciones Trusted Advisor evalúen su cuenta.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `accessanalyzer`— Describe AWS Identity and Access Management Access Analyzer los recursos
+ `Auto Scaling`: describe los recursos y las cuotas de cuenta de Amazon EC2 Auto Scaling
+ `cloudformation`— Describe AWS CloudFormation (CloudFormation) las cuotas y acumulaciones de cuentas
+ `cloudfront`— Describe las CloudFront distribuciones de Amazon
+ `cloudtrail`— Describe AWS CloudTrail (CloudTrail) las rutas
+ `dynamodb`: describe los recursos y las cuotas de cuenta de Amazon DynamoDB
+ `dynamodbaccelerator`: describe los recursos de DynamoDB Accelerator
+ `ec2`: describe las cuotas de cuenta y los recursos de Amazon Elastic Compute Cloud (Amazon EC2)
+ `elasticloadbalancing`: describe las cuotas de cuenta y los recursos de Elastic Load Balancing (ELB)
+ `iam`: obtiene recursos de IAM, como credenciales, políticas de contraseñas y certificados
+ `networkfirewall`— Describe AWS Network Firewall los recursos
+ `kinesis`: describe las cuotas de cuenta de Amazon Kinesis (Kinesis)
+ `rds`: describe recursos de Amazon Relational Database Service (Amazon RDS)
+ `redshift`: describe recursos de Amazon Redshift
+ `route53`: describe los recursos y las cuotas de cuenta de Amazon Route 53
+ `s3`: describe los recursos de Amazon Simple Storage Service (Amazon S3)
+ `ses`: obtiene cuotas de envío de Amazon Simple Email Service (Amazon SES)
+ `sqs`: enumera colas de Amazon Simple Queue Service (Amazon SQS)
+ `cloudwatch`— Obtiene las estadísticas métricas de Amazon CloudWatch CloudWatch Events (Events)
+ `ce`: obtiene recomendaciones de Cost Explorer Service (Cost Explorer)
+ `route53resolver`— Obtiene los puntos finales y los recursos de Amazon Route 53 Resolver Resolver
+ `kafka`: obtiene recursos de Amazon Managed Streaming para Apache Kafka
+ `ecs`: obtiene recursos de Amazon ECS
+ `outposts`— Obtiene recursos AWS Outposts
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustedAdvisorServiceRolePermissions",
"Effect": "Allow",
"Action": [
"access-analyzer:ListAnalyzers",
"autoscaling:DescribeAccountLimits",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeLaunchConfigurations",
"ce:GetReservationPurchaseRecommendation",
"ce:GetSavingsPlansPurchaseRecommendation",
"cloudformation:DescribeAccountLimits",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudfront:ListDistributions",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:GetTrail",
"cloudtrail:ListTrails",
"cloudtrail:GetEventSelectors",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"dax:DescribeClusters",
"dynamodb:DescribeLimits",
"dynamodb:DescribeTable",
"dynamodb:ListTables",
"ec2:DescribeAddresses",
"ec2:DescribeReservedInstances",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeImages",
"ec2:DescribeNatGateways",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSnapshots",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:DescribeLaunchTemplateVersions",
"ec2:GetManagedPrefixListEntries",
"ecs:DescribeTaskDefinition",
"ecs:ListTaskDefinitions",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GenerateCredentialReport",
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary",
"iam:GetCredentialReport",
"iam:GetServerCertificate",
"iam:ListServerCertificates",
"iam:ListSAMLProviders",
"kinesis:DescribeLimits",
"kafka:DescribeClusterV2",
"kafka:ListClustersV2",
"kafka:ListNodes",
"network-firewall:ListFirewalls",
"network-firewall:DescribeFirewall",
"outposts:GetOutpost",
"outposts:ListAssets",
"outposts:ListOutposts",
"rds:DescribeAccountAttributes",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSnapshots",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEvents",
"rds:DescribeOptionGroupOptions",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribeReservedDBInstances",
"rds:DescribeReservedDBInstancesOfferings",
"rds:ListTagsForResource",
"redshift:DescribeClusters",
"redshift:DescribeReservedNodeOfferings",
"redshift:DescribeReservedNodes",
"route53:GetAccountLimit",
"route53:GetHealthCheck",
"route53:GetHostedZone",
"route53:ListHealthChecks",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53resolver:ListResolverEndpoints",
"route53resolver:ListResolverEndpointIpAddresses",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketVersioning",
"s3:GetBucketPublicAccessBlock",
"s3:GetLifecycleConfiguration",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"ses:GetSendQuota",
"sqs:GetQueueAttributes",
"sqs:ListQueues"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AWSTrustedAdvisorReportingServiceRolePolicy
Esta política se adjunta a la función `AWSServiceRoleForTrustedAdvisorReporting` vinculada al servicio que permite realizar acciones Trusted Advisor para la función de visualización de la organización. No puede adjuntar [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor) a sus entidades de IAM. Para obtener más información, consulte [Utilizar funciones vinculadas al servicio para Trusted Advisor](using-service-linked-roles-ta.md).
Esta política otorga permisos administrativos que permiten al rol vinculado al servicio realizar acciones. AWS Organizations
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `organizations`: describe su organización y enumera el acceso al servicio, las cuentas, los elementos principales, los elementos secundarios y las unidades organizativas
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Trusted Advisor actualizaciones de las políticas gestionadas AWS
Consulte los detalles sobre las actualizaciones de las políticas AWS AWS Support administradas Trusted Advisor desde que estos servicios comenzaron a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [Historial de documentos](History.md).
En la siguiente tabla se describen las actualizaciones importantes de las políticas Trusted Advisor administradas desde el 10 de agosto de 2021.
**Trusted Advisor**
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
Actualización de una política existente. | Trusted Advisor se agregaron nuevas acciones para conceder los `ecs:ListTaskDefinitionFamilies` permisos `ecs:ListClusters` `ecs:ListTasks``ecs:DescribeTasks`, y. | 14 de mayo de 2026 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
Actualización de una política existente. | Trusted Advisor se agregaron nuevas acciones para conceder los `elasticloadbalancing:DescribeRules` permisos `elasticloadbalancing:DescribeListeners,` y. | 30 de octubre de 2024 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
Actualización de una política existente. | Trusted Advisor agregó nuevas acciones para conceder los `sqs:GetQueueAttributes` permisos `access-analyzer:ListAnalyzers` `cloudwatch:ListMetrics``dax:DescribeClusters`,`ec2:DescribeNatGateways`,`ec2:DescribeRouteTables`,`ec2:DescribeVpcEndpoints`, `ec2:GetManagedPrefixListEntries``elasticloadbalancing:DescribeTargetHealth`,`iam:ListSAMLProviders`,, `kafka:DescribeClusterV2` `network-firewall:ListFirewalls` `network-firewall:DescribeFirewall` y. | 11 de junio de 2024 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
Actualización de una política existente. | Trusted Advisor agregó nuevas acciones para conceder `cloudtrail:GetTrail` `cloudtrail:ListTrails` `cloudtrail:GetEventSelectors` `outposts:GetOutpost` los `outposts:ListOutposts` permisos `outposts:ListAssets` y. | 18 de enero de 2024 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy)
Actualización de una política existente. | Trusted Advisor actualizó la política `AWSTrustedAdvisorPriorityFullAccess` AWS gestionada para incluir los ID de las declaraciones. | 6 de diciembre de 2023 |
| [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy)
Actualización de una política existente. | Trusted Advisor actualizó la política `AWSTrustedAdvisorPriorityReadOnlyAccess` AWS gestionada para incluir los ID de los estados de cuenta. | 6 de diciembre de 2023 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy): actualización de una política actual | Trusted Advisor agregó nuevas acciones para conceder los `ecs:ListTaskDefinitions` permisos `ec2:DescribeRegions` `s3:GetLifecycleConfiguration` `ecs:DescribeTaskDefinition` y. | 9 de noviembre de 2023 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy): actualización de una política actual | Trusted Advisor agregó nuevas acciones `route53resolver:ListResolverEndpoints` de IAM `route53resolver:ListResolverEndpointIpAddresses` `kafka:ListClustersV2` e `ec2:DescribeSubnets` `kafka:ListNodes` incorporó nuevas comprobaciones de resiliencia. | 14 de septiembre de 2023 |
| [AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)
La versión 2 de la política gestionada se asocia a una función vinculada al Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting` servicio | Actualice la política AWS gestionada a la versión 2 para el rol vinculado al Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting` servicio. La versión 2 agregará una acción de IAM más: `organizations:ListDelegatedAdministrators` | 28 de febrero de 2023 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) y [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy)
Nuevas políticas AWS gestionadas para Trusted Advisor | Trusted Advisor se agregaron dos nuevas políticas administradas que puede usar para controlar el acceso a Trusted Advisor Priority. | 17 de agosto de 2022 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy): actualización de una política actual | Trusted Advisor se han añadido nuevas acciones para conceder los `GetAccountPublicAccessBlock` permisos `DescribeTargetGroups` y.
El permiso `DescribeTargetGroup` es necesario para que la **Comprobación de estado de grupos de Auto Scaling** pueda recuperar balanceadores de carga no clásicos adjuntos a un grupo de Auto Scaling.
El permiso `GetAccountPublicAccessBlock` es necesario para que la verificación **Permisos de bucket de Amazon S3** pueda recuperar la configuración de acceso público del bloque para una Cuenta de AWS. | 10 de agosto de 2021 |
| Registro de cambios publicado | Trusted Advisor comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 10 de agosto de 2021 |