Hemos publicado una nueva versión del Well-Architected Framework. También hemos añadido lentes nuevas y actualizadas al catálogo de lentes. Obtenga más información
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Activación Trusted Advisor para una carga de trabajo en IAM
nota
Los propietarios de las cargas de trabajo deben activar el soporte de Discovery para sus cuentas antes de crear una Trusted Advisor carga de trabajo. Al seleccionar Activar la compatibilidad con Discovery, se crea el rol necesario para el propietario de la carga de trabajo. Siga los pasos siguientes para todas las demás cuentas asociadas.
Los propietarios de las cuentas asociadas a las cargas de trabajo que se hayan activado Trusted Advisor deben crear un rol en IAM para poder ver la Trusted Advisor información. AWS WA Tool
Para crear un rol en IAM para obtener información AWS WA Tool de Trusted Advisor
-
Inicie sesión en la consola de IAM AWS Management Console y ábrala en. https://console.aws.amazon.com/iam/
-
En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, seleccione Crear rol.
En Tipo de entidad de confianza, seleccione Política de confianza personalizada.
-
Copie y pegue la siguiente Política de confianza personalizada en el campo JSON de la consola de IAM, como se muestra en la siguiente imagen. Sustituya
WORKLOAD_OWNER_ACCOUNT_ID{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*" } } } ] }
nota
El
aws:sourceArnbloque de condiciones de la política de confianza personalizada anterior es"arn:aws:wellarchitected:*:, que es una condición genérica que establece que esta función puede ser utilizada por el propietario de la carga de trabajo AWS WA Tool para todas las cargas de trabajo del propietario de la carga de trabajo. Sin embargo, el acceso se puede limitar a un ARN de carga de trabajo específico o a un conjunto de ARN de carga de trabajo. Para especificar varios ARN, consulte el ejemplo de una política de confianza.WORKLOAD_OWNER_ACCOUNT_ID:workload/*"{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_1", "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_2" ] } } } ] } En la página Añadir permisos, en las políticas de permisos, selecciona Crear política para dar AWS WA Tool acceso a los datos de lectura. Trusted Advisor Al seleccionar Crear política, se abre una ventana nueva.
nota
Además, tiene la opción de omitir la creación de los permisos durante la creación del rol y crear una política en línea después de crear el rol. Seleccione Ver rol en el mensaje de creación correcta del rol y seleccione Crear política integrada en el menú desplegable Agregar permisos de la pestaña Permisos.
Copie y pegue la siguiente Política de permisos en el editor JSON. En el ARN de
Resource, sustituyaYOUR_ACCOUNT_ID*) y seleccione Siguiente: etiquetas.Para obtener más información sobre los formatos ARN, consulte Nombre de recurso de Amazon (ARN) en la Guía de referencia general de AWS .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeCheckRefreshStatuses", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeRiskResources", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeRisk", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeRisks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "arn:aws:trustedadvisor:*:YOUR_ACCOUNT_ID:checks/*" ] } ] }-
Si Trusted Advisor está activada para una carga de trabajo y la definición del recurso está configurada como Todas AppRegistryo todas, todas las cuentas que posean un recurso en la AppRegistry aplicación adjunta a la carga de trabajo deberán añadir el siguiente permiso a la política de permisos de su Trusted Advisor rol.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DiscoveryPermissions", "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "tag:GetResources", "servicecatalog:GetApplication", "resource-groups:ListGroupResources", "cloudformation:DescribeStacks", "cloudformation:ListStackResources" ], "Resource": "*" } ] } -
(Opcional) Agregue etiquetas. Seleccione Siguiente: revisar.
-
Revise la política de precisión, asígnele un nombre y seleccione Crear política.
-
En la página Agregar permisos para el rol, seleccione el nombre de la política que acaba de crear y, a continuación, seleccione Siguiente.
-
Introduzca el Nombre del rol, que debe usar la siguiente sintaxis:
WellArchitectedRoleForTrustedAdvisor-y seleccione Crear rol. SustituyaWORKLOAD_OWNER_ACCOUNT_IDWORKLOAD_OWNER_ACCOUNT_IDEn la parte superior de la página, verá un mensaje en el que se indica que el rol se creó.
-
Para ver el rol y la política de permisos asociada, en el panel de navegación izquierdo, en Administración de acceso, seleccione Roles y busque el nombre de
WellArchitectedRoleForTrustedAdvisor-. Seleccione el nombre del rol para comprobar que los Permisos y las Relaciones de confianza son correctas.WORKLOAD_OWNER_ACCOUNT_ID
