参考：AWS权限

organizations:DescribeOrganization

发现当前账户所在组织的相关信息（组织 ID、管理账户 ID）。 需要访问管理帐户和成员帐户的目标需要此权限。

organizations:ListAccounts

发现属于当前组织的所有账户。 可读取账户 ID、名称和状态等详细信息。 只有需要访问管理帐户的目标才需要此权限。

organizations:ListTagsForResource

发现与组织内所有账户相关的标记键值对。 只有需要访问管理帐户的目标才需要此权限。

iam:GetUser

查询 IAM 用户 ARN 的详细信息。 该权限读取账户 ID，以检测当前账户是管理账户还是成员账户。

sts:AssumeRole

允许用户承担 IAM 角色并获取临时访问凭证，然后使用这些凭证调用 AWS API。 只有需要访问管理帐户的目标才需要此权限。

ec2:DescribeAvailabilityZones

检索所有可访问区域的可用性区域信息（逻辑区域名称 us-west-2a 和物理区域 ID usw2-az1 ）

ec2:DescribeRegions

发现可访问 EC2 地区的名称

cloudwatch:GetMetricData

收集特定实体类型的指标，例如 RDS 数据库服务器和 Redshift 数据仓库

cloudwatch:GetMetricStatistics

根据特定命名空间和维度收集虚拟机和卷的指标（CPU 利用率

cloudwatch:ListMetrics

查询有关需要收集的实体度量的元数据（名称、名称空间、维度

cloudwatch:ListTagsForResource

检索与某些 CloudWatch 资源相关的标签键/值对

pi:GetResourceMetrics

如果 RDS 数据库服务器启用了性能洞察 (PI)，则会收集与 PI 相关的指标，如 DB 缓存命中率

pi:ListAvailableResourceMetrics

查询可用于查询的 RDS 指标的元数据

ec2:DescribeAddresses

发现可用的弹性 IP 地址及其与虚拟机实例的关联，包括公有和私有 IP 地址以及网络接口的信息

ec2:DescribeImages

发现创建虚拟机时使用的映像信息。 然后利用这些信息来检测虚拟机上运行的客户操作系统。

ec2:DescribeInstanceTypeOfferings

检测每个区域中可用的虚拟机实例类型。 这些信息随后将用于创建策略，防止虚拟机错误地扩展到其区域不支持的实例类型。

ec2:DescribeInstances

发现 EC2 实例信息，如电源状态、实例 ID、区域和平台

ec2:DescribeInstanceTypes

发现运行加速器（GPU）卡的虚拟机实例的信息，包括加速器卡的信息，如卡名、卡数、卡内存和制造商。 这些信息随后将用于为运行加速卡的虚拟机生成正确的扩展建议。

ec2:DescribeInstanceAttribute

发现启用了“停止保护”功能的虚拟机实例。 对于这些虚拟机实例，操作执行处于被阻止 Turbonomic 状态，可通过在 AWS 控制台或命令行界面中禁用"停止保护"功能来解除阻止。

ec2:DescribeSpotInstanceRequests

发现有关 EC2 Spot VM 实例的产品描述

ec2:DescribeSpotPriceHistory

检索 EC2 Spot 虚拟机实例的当前 Spot 价格

autoscaling:DescribeAutoScalingGroups

查询有关可用自动缩放组的信息

autoscaling:DescribeTags

获取与自动缩放组相关的标记信息

autoscaling:DescribeLaunchConfigurations

获取有关可用 EC2 Auto Scaling 组启动配置的信息，如名称和实例类型。 AWS 建议使用启动模板而不是启动配置。

ec2:DescribeLaunchTemplateVersions

发现自动扩展群组的最新和默认启动模板版本详细信息（ID、实例类型

eks:ListClusters

为账户发现有关EKS集群的信息

eks:DescribeCluster

发现特定EKS集群的详细配置和状态信息

eks:ListNodegroups

发现与EKS集群关联的节点组信息

eks:DescribeNodegroup

发现特定EKS节点组的详细配置和状态信息

ec2:DescribeVolumes

发现有关 EBS 卷的信息（ID、类型、标签、大小

ec2:DescribeVolumeStatus

执行卷标尺操作时检查卷的状态

ec2:DescribeVolumesModifications

发现卷的最后修改时间和当前状态

cloudtrail:LookupEvents

在初始目标注册过程中，从 CloudTrail 提取与卷相关的历史事件（如附加、分离和修改）。 该信息用于正确生成未连接卷的删除操作。

rds:DescribeDBClusters

发现有关支持的 RDS DB 集群的信息

rds:DescribeDBInstances

发现有关支持的 RDS DB 实例的信息

rds:DescribeDBParameters

发现 RDS DB 参数组的参数信息

rds:DescribeOrderableDBInstanceOptions

发现 DB 引擎类型的可订购 DB 实例选项信息

rds:DescribeReservedDBInstances

发现有关在账户下购买的 RDS DB 实例的预留实例的信息（ID、类别、持续时间、提供类型

rds:ListTagsForResource

发现与 RDS 资源相关的标签键值对信息

rds:DescribeGlobalClusters

发现有关Aurora全球数据库集群的信息

rds:DescribeBlueGreenDeployments

发现有关Aurora蓝/绿部署及其配置状态的信息

redshift:DescribeClusters

发现 Redshift 配置的集群的相关信息（ID、节点类型、状态）

redshift:DescribeTags

发现与 Redshift 资源关联的标签键值对

ec2:DescribeReservedInstances

发现有关为 AWS 账户购买的 EC2 和 RDS 预留实例的信息（ID、实例类型、租用期、范围

ec2:DescribeReservedInstancesModifications

发现有关对已购买的预留实例所做修改的一些信息

savingsplans:DescribeSavingsPlans

发现有关可用储蓄计划的信息（承诺、 EC2 家庭实例、提供 ID

savingsplans:DescribeSavingsPlansOfferingRates

发现有关指定储蓄计划发行费率的信息

ce:GetReservationUtilization

使用成本资源管理器 API 发现有关预留实例利用率的信息（利用率百分比、购买小时数、实际小时数）。 只有管理和计费账户目标才需要此权限。

ce:GetSavingsPlansUtilizationDetails

发现属性并汇总计费时段内可用储蓄计划的使用和储蓄数据。 只有管理和计费账户目标才需要此权限。

pricing:DescribeServices

从 AWS 定价 API 端点发现服务列表。 只有需要访问管理帐户的目标才需要此权限。

pricing:GetAttributeValues

发现 AWS Pricing API 以前发现的每项服务的服务名称属性值。 只有需要访问管理帐户的目标才需要此权限。

检测往来账户是否为 EC2 Classic 类型。 查询现货定价历史记录所需的某些过滤操作需要此权限。

s3:GetBucketAcl

检索 S3 桶的访问控制列表（ACL）。 ACL 包含为 AWS 账户授予该桶的权限列表。 此权限检查是否可以访问与 AWS 云计费账户相关联的 S3 桶。 只有需要访问管理帐户的目标才需要此权限。

s3:GetObject

从 S3 bucket 下载文件。 例如，成本导出 JSON 文件。 只有需要访问管理帐户的目标才需要此权限。