Abbiamo rilasciato una nuova versione del Well-Architected Framework. Abbiamo anche aggiunto obiettivi nuovi e aggiornati al Lens Catalog. Scopri di più
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Attivazione Trusted Advisor per un carico di lavoro in IAM
Nota
I proprietari dei carichi di lavoro devono attivare il supporto Discovery per il proprio account prima di creare un carico di lavoro. Trusted Advisor La scelta di attivare il supporto Discovery crea il ruolo richiesto per il proprietario del carico di lavoro. Utilizza la procedura seguente per tutti gli altri account associati.
I proprietari degli account associati per i carichi di lavoro attivati Trusted Advisor devono creare un ruolo in IAM in cui visualizzare Trusted Advisor le informazioni. AWS WA Tool
Creare un ruolo in IAM AWS WA Tool da cui ottenere informazioni Trusted Advisor
-
Accedi a AWS Management Console e apri la console IAM all'indirizzohttps://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione della console IAM, scegli Ruoli, quindi scegli Crea ruolo.
In Tipo di entità affidabile, scegli Politica di fiducia personalizzata.
-
Copia e incolla la seguente politica di fiducia personalizzata nel campo JSON della console IAM, come mostrato nell'immagine seguente.
WORKLOAD_OWNER_ACCOUNT_ID{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*" } } } ] }
Nota
Il
aws:sourceArnblocco delle condizioni della precedente politica di fiducia personalizzata è"arn:aws:wellarchitected:*:, che è una condizione generica che indica che questo ruolo può essere utilizzato da AWS WA Tool per tutti i carichi di lavoro del proprietario del carico di lavoro. Tuttavia, l'accesso può essere limitato a un ARN del carico di lavoro specifico o a un set di ARN per carichi di lavoro. Per specificare più ARN, vedi il seguente esempio di policy di fiducia.WORKLOAD_OWNER_ACCOUNT_ID:workload/*"{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_1", "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_2" ] } } } ] } Nella pagina Aggiungi autorizzazioni, per Criteri di autorizzazione scegli Crea politica da cui concedere AWS WA Tool l'accesso ai dati di lettura. Trusted Advisor Selezionando Crea politica si apre una nuova finestra.
Nota
Inoltre, è possibile ignorare la creazione delle autorizzazioni durante la creazione del ruolo e creare una politica in linea dopo la creazione del ruolo. Scegli Visualizza ruolo nel messaggio relativo alla corretta creazione del ruolo e seleziona Crea policy in linea dal menu a discesa Aggiungi autorizzazioni nella scheda Autorizzazioni.
Copia e incolla la seguente politica di autorizzazione nel campo JSON. Nell'
ResourceARN, sostituisciloYOUR_ACCOUNT_ID*) e scegli Avanti:Tag.Per maggiori dettagli sui formati ARN, consulta Amazon Resource Name (ARN) in Riferimenti generali di AWS .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeCheckRefreshStatuses", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeRiskResources", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeRisk", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeRisks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "arn:aws:trustedadvisor:*:YOUR_ACCOUNT_ID:checks/*" ] } ] }-
Se Trusted Advisor è attivato per un carico di lavoro e la definizione della risorsa è impostata su AppRegistryo Tutti, tutti gli account che possiedono una risorsa nell' AppRegistry applicazione allegata al carico di lavoro devono aggiungere la seguente autorizzazione alla politica di autorizzazione del proprio ruolo. Trusted Advisor
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DiscoveryPermissions", "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "tag:GetResources", "servicecatalog:GetApplication", "resource-groups:ListGroupResources", "cloudformation:DescribeStacks", "cloudformation:ListStackResources" ], "Resource": "*" } ] } -
(Facoltativo) Aggiungi tag. Scegli Prossimo: Rivedi.
-
Rivedi la politica, assegnale un nome e seleziona Crea politica.
-
Nella pagina Aggiungi autorizzazioni per il ruolo, seleziona il nome della policy che hai appena creato e seleziona Avanti.
-
Inserisci il nome del ruolo, che deve utilizzare la seguente sintassi:
WellArchitectedRoleForTrustedAdvisor-e scegli Crea ruolo.WORKLOAD_OWNER_ACCOUNT_IDWORKLOAD_OWNER_ACCOUNT_IDDovresti ricevere un messaggio di successo nella parte superiore della pagina che ti avvisa che il ruolo è stato creato.
-
Per visualizzare il ruolo e la politica di autorizzazione associata, nel riquadro di navigazione a sinistra in Gestione degli accessi, scegli Ruoli e cerca il
WellArchitectedRoleForTrustedAdvisor-nome. Seleziona il nome del ruolo per verificare che le relazioni tra Autorizzazioni e Trust siano corrette.WORKLOAD_OWNER_ACCOUNT_ID
