Nous avons publié une nouvelle version du Well-Architected Framework. Nous avons également ajouté de nouveaux objectifs et des objectifs mis à jour au catalogue d'objectifs. Apprenez-en davantage
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation Trusted Advisor pour une charge de travail dans IAM
Note
Les propriétaires de charges de travail doivent activer le support Discovery pour leur compte avant de créer une Trusted Advisor charge de travail. Le choix d'activer le support Discovery crée le rôle requis pour le propriétaire de la charge de travail. Suivez les étapes ci-dessous pour tous les autres comptes associés.
Les propriétaires des comptes associés aux charges de travail activées Trusted Advisor doivent créer un rôle dans IAM pour consulter les Trusted Advisor informations. AWS WA Tool
Pour créer un rôle dans IAM afin d' AWS WA Tool obtenir des informations auprès de Trusted Advisor
-
Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/
l'adresse. -
Dans le volet de navigation de la console IAM, choisissez Roles, puis Create role.
Sous Type d'entité fiable, sélectionnez Politique de confiance personnalisée.
-
Copiez et collez la politique de confiance personnalisée suivante dans le champ JSON de la console IAM, comme illustré dans l'image suivante. Remplacez
WORKLOAD_OWNER_ACCOUNT_ID{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*" } } } ] }
Note
Le
aws:sourceArnbloc de conditions de la politique de confiance personnalisée précédente est"arn:aws:wellarchitected:*:, qui est une condition générique indiquant que ce rôle peut être utilisé AWS WA Tool pour toutes les charges de travail du propriétaire de la charge de travail. Toutefois, l'accès peut être limité à un ARN de charge de travail spécifique ou à un ensemble d'ARN de charge de travail. Pour spécifier plusieurs ARN, consultez l'exemple de politique de confiance suivant.WORKLOAD_OWNER_ACCOUNT_ID:workload/*"{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_1", "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_2" ] } } } ] } Sur la page Ajouter des autorisations, pour les politiques d'autorisations, choisissez Créer une politique pour autoriser AWS WA Tool l'accès à la lecture des données Trusted Advisor. Lorsque vous sélectionnez Créer une politique, une nouvelle fenêtre s'ouvre.
Note
En outre, vous avez la possibilité de ne pas créer les autorisations lors de la création du rôle et de créer une politique intégrée après avoir créé le rôle. Choisissez Afficher le rôle dans le message de création de rôle réussie, puis sélectionnez Créer une politique intégrée dans le menu déroulant Ajouter des autorisations de l'onglet Autorisations.
Copiez et collez la politique d'autorisations suivante dans le champ JSON. Dans l'
ResourceARN, remplacez-leYOUR_ACCOUNT_ID*), puis choisissez Next:Tags.Pour plus d'informations sur les formats ARN, consultez Amazon Resource Name (ARN) dans le Guide de référence générale AWS .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeCheckRefreshStatuses", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeRiskResources", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeRisk", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeRisks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "arn:aws:trustedadvisor:*:YOUR_ACCOUNT_ID:checks/*" ] } ] }-
S'il Trusted Advisor est activé pour une charge de travail et que la définition des ressources est définie sur AppRegistryou sur Tout, tous les comptes qui possèdent une ressource dans l' AppRegistry application attachée à la charge de travail doivent ajouter l'autorisation suivante à la politique d'autorisations de leur Trusted Advisor rôle.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DiscoveryPermissions", "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "tag:GetResources", "servicecatalog:GetApplication", "resource-groups:ListGroupResources", "cloudformation:DescribeStacks", "cloudformation:ListStackResources" ], "Resource": "*" } ] } -
(Facultatif) Ajoutez des balises. Choisissez Suivant : vérification.
-
Passez en revue la politique, donnez-lui un nom, puis sélectionnez Créer une politique.
-
Sur la page Ajouter des autorisations pour le rôle, sélectionnez le nom de la politique que vous venez de créer, puis sélectionnez Suivant.
-
Entrez le nom du rôle, qui doit utiliser la syntaxe suivante :
WellArchitectedRoleForTrustedAdvisor-et choisissez Create role. RemplacezWORKLOAD_OWNER_ACCOUNT_IDWORKLOAD_OWNER_ACCOUNT_IDVous devriez recevoir un message de confirmation en haut de la page vous informant que le rôle a été créé.
-
Pour consulter le rôle et la politique d'autorisation associée, dans le volet de navigation de gauche, sous Gestion des accès, sélectionnez Rôles et recherchez le
WellArchitectedRoleForTrustedAdvisor-nom. Sélectionnez le nom du rôle pour vérifier que les autorisations et les relations de confiance sont correctes.WORKLOAD_OWNER_ACCOUNT_ID
