Mengaktifkan Trusted Advisor beban kerja di IAM

catatan

Pemilik beban kerja harus Aktifkan dukungan Discovery untuk akun mereka sebelum membuat beban Trusted Advisor kerja. Memilih untuk Mengaktifkan dukungan Discovery menciptakan peran yang diperlukan untuk pemilik beban kerja. Gunakan langkah-langkah berikut untuk semua akun terkait lainnya.

Pemilik akun terkait untuk beban kerja yang telah diaktifkan Trusted Advisor harus membuat peran dalam IAM untuk melihat Trusted Advisor informasi di. AWS WA Tool

Untuk membuat peran dalam IAM AWS WA Tool untuk mendapatkan informasi dari Trusted Advisor

Masuk ke AWS Management Console dan buka konsol IAM dihttps://console.aws.amazon.com/iam/.
Di panel navigasi konsol IAM, pilih Peran, lalu pilih Buat peran.
Di bawah Jenis entitas tepercaya pilih Kebijakan kepercayaan khusus.

Salin dan tempel kebijakan kepercayaan kustom berikut ke bidang JSON di konsol IAM, seperti yang ditunjukkan pada gambar berikut. Ganti WORKLOAD_OWNER_ACCOUNT_IDdengan ID akun pemilik beban kerja, dan pilih Berikutnya.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "wellarchitected.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"
        }
      }
    }
  ]
}

Tangkapan layar kebijakan kepercayaan khusus di konsol IAM.

catatan

Blok kondisi aws:sourceArn dalam kebijakan kepercayaan khusus sebelumnya adalah"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*", yang merupakan kondisi umum yang menyatakan peran ini dapat digunakan AWS WA Tool untuk semua beban kerja pemilik beban kerja. Namun, akses dapat dipersempit ke ARN beban kerja tertentu, atau set ARN beban kerja. Untuk menentukan beberapa ARN, lihat contoh kebijakan kepercayaan berikut.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "wellarchitected.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
                },
                "ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_1",
                        "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_2"
                    ]
                }
            }
        }
    ]
}

Pada halaman Tambahkan izin, untuk kebijakan Izin pilih Buat kebijakan untuk memberikan AWS WA Tool akses ke data yang dibaca. Trusted Advisor Memilih Buat kebijakan membuka jendela baru.

catatan
Selain itu, Anda memiliki opsi untuk melewatkan pembuatan izin selama pembuatan peran dan membuat kebijakan sebaris setelah membuat peran. Pilih Lihat peran dalam pesan pembuatan peran yang berhasil dan pilih Buat kebijakan sebaris dari menu tarik-turun Tambahkan izin di tab Izin.

Salin dan tempel kebijakan Izin berikut ke dalam bidang JSON. Di Resource ARN, ganti YOUR_ACCOUNT_IDdengan ID akun Anda sendiri, tentukan Wilayah atau tanda bintang (*), dan pilih Berikutnya:Tag.

Untuk detail tentang format ARN, lihat Amazon Resource Name (ARN) di Panduan Referensi Umum.AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:DescribeCheckRefreshStatuses",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeRiskResources",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeRisk",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeRisks",
                "trustedadvisor:DescribeCheckItems"
            ],
            "Resource": [
              "arn:aws:trustedadvisor:*:YOUR_ACCOUNT_ID:checks/*"
            ]
        }
    ]
}

Jika Trusted Advisor diaktifkan untuk beban kerja dan definisi Sumber Daya disetel ke AppRegistryatau Semua, semua akun yang memiliki sumber daya dalam AppRegistry aplikasi yang dilampirkan ke beban kerja harus menambahkan izin berikut ke kebijakan Izin Trusted Advisor peran mereka.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DiscoveryPermissions",
            "Effect": "Allow",
            "Action": [
                "servicecatalog:ListAssociatedResources",
                "tag:GetResources",
                "servicecatalog:GetApplication",
                "resource-groups:ListGroupResources",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStackResources"
            ],
            "Resource": "*"
        }
    ]
}

(Opsional) Tambahkan tag. Pilih Berikutnya: Peninjauan.
Tinjau kebijakan, beri nama, dan pilih Buat kebijakan.
Pada halaman Tambahkan izin untuk peran tersebut, pilih nama kebijakan yang baru saja Anda buat, lalu pilih Berikutnya.
Masukkan nama Peran, yang harus menggunakan sintaks berikut: WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID dan pilih Buat peran. Ganti WORKLOAD_OWNER_ACCOUNT_IDdengan ID akun pemilik beban kerja.

Anda harus mendapatkan pesan sukses di bagian atas halaman yang memberi tahu Anda bahwa peran telah dibuat.
Untuk melihat peran dan kebijakan izin terkait, di panel navigasi kiri di bawah Manajemen akses, pilih Peran dan cari namanya. WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID Pilih nama peran untuk memverifikasi bahwa hubungan Izin dan Kepercayaan sudah benar.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengaktifkan Trusted Advisor

Menonaktifkan Trusted Advisor