在 IAM 中 Trusted Advisor 为工作负载激活

注意

工作负载所有者应在创建工作 Trusted Advisor 负载之前为其帐户激活 Discovery 支持。选择激活 Discovery 支持将创建工作负载所有者所需的角色。对所有其他关联账户使用以下步骤。

已激活的工作负载关联账户的所有者 Trusted Advisor 必须在 IAM 中创建角色才能查看中的 Trusted Advisor 信息 AWS WA Tool。

在 IAM 中创建角色 AWS WA Tool 以从中获取信息 Trusted Advisor

登录 AWS Management Console 并打开 IAM 控制台，网址为https://console.aws.amazon.com/iam/。
在 IAM 控制台的导航窗格中，选择角色，然后选择创建角色。
对于可信实体类型，选择自定义信任策略。

将以下自定义信任策略复制并粘贴到 IAM 控制台的 JSON 字段中，如下图所示。将 WORKLOAD_OWNER_ACCOUNT_ID 替换为工作负载所有者的账户 ID，然后选择下一步。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "wellarchitected.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"
        }
      }
    }
  ]
}

注意

前面的自定义信任策略的条件块是"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"，这是一个通用条件，表示该角色可以用于工作负载所有者的所有工作负载。aws:sourceArn AWS WA Tool 但是，可以将访问范围缩小到特定的工作负载 ARN 或一组工作负载 ARN。要指定多个 ARN，请参阅以下示例信任策略。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "wellarchitected.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
                },
                "ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_1",
                        "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_2"
                    ]
                }
            }
        }
    ]
}

在添加权限页面上，为权限策略选择创建策略以授予从中读取数据的 AWS WA Tool 权限 Trusted Advisor。选择创建策略会打开一个新窗口。

注意
此外，您可以选择在创建角色时跳过创建权限，并在创建角色后创建内联策略。在成功创建角色的消息中选择查看角色，然后从权限选项卡的添加权限下拉列表中选择创建内联策略。

将以下权限策略复制并粘贴到 JSON 字段中。在 Resource ARN 中，将 YOUR_ACCOUNT_ID 替换为您自己的账户 ID，指定区域或星号（*），然后选择下一步: 标签。

有关 ARN 格式的详细信息，请参阅 AWS 一般参考指南中的 Amazon Resource Name (ARN)。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:DescribeCheckRefreshStatuses",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeRiskResources",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeRisk",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeRisks",
                "trustedadvisor:DescribeCheckItems"
            ],
            "Resource": [
              "arn:aws:trustedadvisor:*:YOUR_ACCOUNT_ID:checks/*"
            ]
        }
    ]
}

如果已 Trusted Advisor 为工作负载激活并且资源定义设置为AppRegistry或全部，则在附加到该工作负载的 AppRegistry 应用程序中拥有资源的所有帐户都必须将以下权限添加到其 Trusted Advisor 角色的权限策略中。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DiscoveryPermissions",
            "Effect": "Allow",
            "Action": [
                "servicecatalog:ListAssociatedResources",
                "tag:GetResources",
                "servicecatalog:GetApplication",
                "resource-groups:ListGroupResources",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStackResources"
            ],
            "Resource": "*"
        }
    ]
}

（可选）添加标签。选择 下一步: 审核。
检查策略，为其指定名称，然后选择创建策略。
在角色的添加权限页面上，选择您刚刚创建的策略名称，然后选择下一步。
输入角色名称，该名称必须使用以下语法：WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID，然后选择创建角色。将 WORKLOAD_OWNER_ACCOUNT_ID 替换为工作负载所有者的账户 ID。

您应该在页面顶部看到一条成功消息，通知您已创建角色。
要查看角色和关联的权限策略，请在左侧导航窗格中的访问管理下，选择角色并搜索 WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID 名称。选择角色名称以验证权限和信任关系是否正确。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

正在激活 Trusted Advisor

停用 Trusted Advisor