Aktivierung Trusted Advisor für einen Workload in IAM - AWS Well-Architected Tool

Wir haben eine neue Version des Well-Architected Framework veröffentlicht. Wir haben dem Objektivkatalog auch neue und aktualisierte Objektive hinzugefügt. Erfahre mehr über die Änderungen.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivierung Trusted Advisor für einen Workload in IAM

Anmerkung

Workload-Besitzer sollten die Discovery-Unterstützung für ihr Konto aktivieren, bevor sie einen Trusted Advisor Workload erstellen. Wenn Sie Discovery-Support aktivieren wählen, wird die Rolle erstellt, die für den Workload-Besitzer erforderlich ist. Führen Sie die folgenden Schritte für alle anderen verknüpften Konten aus.

Die Besitzer verknüpfter Konten für Workloads, die aktiviert wurden, Trusted Advisor müssen eine Rolle in IAM erstellen, um Trusted Advisor Informationen zu erhalten. AWS WA Tool

Um eine Rolle in IAM zu erstellen, von der Informationen abgerufen AWS WA Tool werden sollen Trusted Advisor

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich der IAM-Konsole Rollen und anschließend Rolle erstellen aus.

  3. Wählen Sie unter Vertrauenswürdiger Entitätstyp die Option Benutzerdefinierte Vertrauensrichtlinie aus.

  4. Kopieren Sie die folgende benutzerdefinierte Vertrauensrichtlinie und fügen Sie sie in das JSON-Feld in der IAM-Konsole ein, wie in der folgenden Abbildung gezeigt. WORKLOAD_OWNER_ACCOUNT_IDErsetzen Sie es durch die Account-ID des Workload-Besitzers und wählen Sie Weiter. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "wellarchitected.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"
        }
      }
    }
  ]
}
    Screenshot der benutzerdefinierten Vertrauensrichtlinie in der IAM-Konsole.
    Anmerkung

    Der Block aws:sourceArn im Bedingungsblock der vorhergehenden benutzerdefinierten Vertrauensrichtlinie ist. Dabei handelt es sich um eine allgemeine Bedingung"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*", die besagt, dass diese Rolle AWS WA Tool für alle Workloads des Workload-Besitzers verwendet werden kann. Der Zugriff kann jedoch auf einen bestimmten Workload-ARN oder eine Reihe von Workload-ARNs beschränkt werden. Informationen zur Angabe mehrerer ARNs finden Sie im folgenden Beispiel für eine Vertrauensrichtlinie.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "wellarchitected.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
                },
                "ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_1",
                        "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_2"
                    ]
                }
            }
        }
    ]
}

  5. Wählen Sie auf der Seite „Berechtigungen hinzufügen“ für Berechtigungsrichtlinien die Option Richtlinie erstellen aus Trusted Advisor, um AWS WA Tool Zugriff auf Lesedaten zu gewähren. Wenn Sie Richtlinie erstellen auswählen, wird ein neues Fenster geöffnet.

    Anmerkung

    Darüber hinaus haben Sie die Möglichkeit, die Erstellung der Berechtigungen während der Rollenerstellung zu überspringen und nach dem Erstellen der Rolle eine Inline-Richtlinie zu erstellen. Wählen Sie in der Meldung zur erfolgreichen Rollenerstellung die Option Rolle anzeigen aus und wählen Sie auf der Registerkarte Berechtigungen in der Dropdownliste Berechtigungen hinzufügen die Option Inline-Richtlinie erstellen aus.

  6. Kopieren Sie die folgende Berechtigungsrichtlinie und fügen Sie sie in das JSON-Feld ein. YOUR_ACCOUNT_IDErsetzen Resource Sie den ARN durch Ihre eigene Konto-ID, geben Sie die Region oder ein Sternchen (*) an und wählen Sie Weiter:Tags.

    Weitere Informationen zu ARN-Formaten finden Sie unter Amazon-Ressourcenname (ARN) im AWS Allgemeine Referenz-Handbuch.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:DescribeCheckRefreshStatuses",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeRiskResources",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeRisk",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeRisks",
                "trustedadvisor:DescribeCheckItems"
            ],
            "Resource": [
              "arn:aws:trustedadvisor:*:YOUR_ACCOUNT_ID:checks/*"
            ]
        }
    ]
}

  7. Wenn für einen Workload aktiviert Trusted Advisor ist und die Ressourcendefinition auf AppRegistryoder Alle gesetzt ist, müssen alle Konten, die eine Ressource in der mit dem Workload verknüpften AppRegistry Anwendung besitzen, der Berechtigungsrichtlinie ihrer Trusted Advisor Rolle die folgende Berechtigung hinzufügen.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DiscoveryPermissions",
            "Effect": "Allow",
            "Action": [
                "servicecatalog:ListAssociatedResources",
                "tag:GetResources",
                "servicecatalog:GetApplication",
                "resource-groups:ListGroupResources",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStackResources"
            ],
            "Resource": "*"
        }
    ]
}

  8. (Optional) Fügen Sie Tags hinzu. Wählen Sie Weiter: Prüfen aus.

  9. Überprüfen Sie die Richtlinie, geben Sie ihr einen Namen und wählen Sie Richtlinie erstellen aus.

  10. Wählen Sie auf der Seite „Berechtigungen hinzufügen“ für die Rolle den Richtliniennamen aus, den Sie gerade erstellt haben, und wählen Sie Weiter aus.

  11. Geben Sie den Rollennamen ein, der die folgende Syntax verwenden muss: WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID und wählen Sie Rolle erstellen aus. WORKLOAD_OWNER_ACCOUNT_IDErsetzen Sie ihn durch die Konto-ID des Workload-Besitzers.

    Sie sollten oben auf der Seite eine Erfolgsmeldung erhalten, die Sie darüber informiert, dass die Rolle erstellt wurde.

  12. Um die Rolle und die zugehörige Berechtigungsrichtlinie anzuzeigen, wählen Sie im linken Navigationsbereich unter Zugriffsverwaltung die Option Rollen aus und suchen Sie nach dem WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID Namen. Wählen Sie den Namen der Rolle aus, um zu überprüfen, ob die Beziehungen zwischen Berechtigungen und Vertrauen korrekt sind.