Mengaktifkan Trusted Advisor untuk beban kerja di IAM

catatan

Pemilik beban kerja harus memilih opsi Aktifkan dukungan Penemuan untuk akun mereka sebelum membuat beban kerja Trusted Advisor. Memilih opsi Aktifkan dukungan Penemuan akan membuat peran yang diperlukan untuk pemilik beban kerja. Gunakan langkah-langkah berikut untuk semua akun terkait lainnya.

Pemilik akun terkait untuk beban kerja yang telah mengaktifkan Trusted Advisor harus membuat peran dalam IAM untuk melihat informasi Trusted Advisor di AWS Well-Architected Tool.

Untuk membuat peran dalam IAM AWS WA Tool guna mendapatkan informasi dari Trusted Advisor

Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Di panel navigasi konsol IAM, pilih Peran, lalu pilih Buat peran.
Di bagian Jenis entitas tepercaya, pilih Kebijakan kepercayaan kustom.

Salin dan tempelkan Kebijakan kepercayaan kustom berikut ke bidang JSON di konsol IAM, seperti yang ditunjukkan pada gambar berikut. Ganti WORKLOAD_OWNER_ACCOUNT_ID dengan ID akun pemilik beban kerja, dan pilih Berikutnya.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "wellarchitected.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"
        }
      }
    }
  ]
}

Tangkapan layar Kebijakan kepercayaan kustom di konsol IAM.

catatan

aws:sourceArn di blok kondisi dalam kebijakan kepercayaan kustom sebelumnya adalah"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*", yang merupakan kondisi umum yang menyatakan peran ini dapat digunakan AWS WA Tool untuk semua beban kerja dari pemilik beban kerja. Namun, akses dapat dipersempit ke ARN beban kerja tertentu, atau set ARN beban kerja. Untuk menentukan beberapa ARN, lihat contoh kebijakan kepercayaan berikut.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "wellarchitected.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
                },
                "ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_1",
                        "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_2"
                    ]
                }
            }
        }
    ]
}

Pada halaman Tambahkan izin, untuk Kebijakan Izin, pilih Buat kebijakan untuk memberi AWS WA Tool akses untuk membaca data dari Trusted Advisor. Memilih opsi Buat kebijakan akan membuka jendela baru.

catatan
Selain itu, Anda memiliki opsi untuk melewati pembuatan izin selama pembuatan peran dan membuat kebijakan inline setelah membuat peran. Pilih Lihat peran dalam pesan pembuatan peran berhasil dan pilih Buat kebijakan inline dari menu dropdown Tambahkan izin di tab Izin.

Salin dan tempelkan Kebijakan izin berikut ke dalam bidang JSON. Di Resource ARN, ganti YOUR_ACCOUNT_ID dengan ID akun Anda sendiri, tentukan Wilayah atau tanda bintang (*), dan pilih Berikutnya: Tanda.

Untuk detail tentang format ARN, lihat Amazon Resource Name (ARN) dalam Panduan Referensi Umum AWS.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:DescribeCheckRefreshStatuses",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeRiskResources",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeRisk",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeRisks",
                "trustedadvisor:DescribeCheckItems"
            ],
            "Resource": [
              "arn:aws:trustedadvisor:*:YOUR_ACCOUNT_ID:checks/*"
            ]
        }
    ]
}

Jika Trusted Advisor diaktifkan untuk beban kerja dan Definisi sumber daya ditetapkan ke AppRegistry atau Semua, semua akun yang memiliki sumber daya dalam aplikasi AppRegistry yang dilampirkan ke beban kerja tersebut harus menambahkan izin berikut ke Kebijakan izin untuk peran Trusted Advisor-nya.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DiscoveryPermissions",
            "Effect": "Allow",
            "Action": [
                "servicecatalog:ListAssociatedResources",
                "tag:GetResources",
                "servicecatalog:GetApplication",
                "resource-groups:ListGroupResources",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStackResources"
            ],
            "Resource": "*"
        }
    ]
}

(Opsional) Tambahkan tanda. Pilih Berikutnya: Tinjauan.
Tinjau kebijakan, beri nama, dan pilih Buat kebijakan.
Pada halaman Tambahkan izin untuk peran tersebut, pilih nama kebijakan yang baru saja Anda buat, lalu pilih Berikutnya.
Masukkan Nama peran, yang harus menggunakan sintaks berikut: WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID dan pilih Buat peran. Ganti WORKLOAD_OWNER_ACCOUNT_ID dengan ID akun pemilik beban kerja.

Anda akan mendapatkan pesan berhasil di bagian atas halaman yang memberi tahu Anda bahwa peran telah dibuat.
Untuk melihat peran dan kebijakan izin terkait, di panel navigasi kiri pada bagian Manajemen akses, pilih Peran dan cari nama WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID. Pilih nama peran untuk memverifikasi bahwa Izin dan Hubungan kepercayaan sudah benar.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengaktifkan Trusted Advisor

Menonaktifkan Trusted Advisor