我們發布了一個新版本的 Well-Architected 的框架。我們還在鏡頭目錄中添加了新的和更新的鏡頭。進一步了解
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 IAM 中啟用 Trusted Advisor 工作負載
注意
工作負載擁有者應在建立工作負 Trusted Advisor 載之前啟動其帳戶的探查支援。選擇啟動探查支援可建立工作負載擁有者所需的角色。對所有其他關聯帳戶使用下列步驟。
已啟動之工作負載的關聯帳戶擁有者 Trusted Advisor 必須在 IAM 中建立角色,才能查看中的 Trusted Advisor 資訊 AWS WA Tool。
若要在 IAM 中建立 AWS WA Tool 要取得資訊的角色 Trusted Advisor
-
登入 AWS Management Console 並開啟 IAM 主控台,位於https://console.aws.amazon.com/iam/
。 -
在 IAM 主控台的導覽窗格中,選擇 [角色],然後選擇 [建立角色]。
在 [信任的實體類型] 下,選擇 [自訂信任
-
將下列自訂信任政策複製並貼到 IAM 主控台的 JSON 欄位中,如下圖所示。
WORKLOAD_OWNER_ACCOUNT_ID{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*" } } } ] }
注意
先前自訂信任原則的條件區塊
aws:sourceArn中的是"arn:aws:wellarchitected:*:,這是一般條件,說明此角色可用於所有工作 AWS WA Tool 負載擁有者的工作負載。但是,存取範圍可以縮小為特定工作負載 ARN 或一組工作負載 ARN。若要指定多個 ARN,請參閱下列範例信任原則。WORKLOAD_OWNER_ACCOUNT_ID:workload/*"{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_1", "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_2" ] } } } ] } 在 [新增權限] 頁面上,對於 [權限] 原則,選擇 [建立原則] 以授與讀 AWS WA Tool 取資料的存取權 Trusted Advisor。選取 [建立原則] 會開啟新視窗。
注意
此外,您可以選擇在建立角色期間略過建立權限,並在建立角色後建立內嵌原則。在成功的角色建立訊息中選擇 [檢視角色],然後從 [權限] 索引標籤的 [新增權限] 下拉式清單中選取 [建立
將下列權限原則複製並貼到 JSON 欄位中。在
ResourceARN 中,以您自己YOUR_ACCOUNT_ID*),然後選擇 [下一步:標籤]。如需有關 ARN 格式的詳細資訊,請參閱《AWS 一般參考指南》中的 Amazon Resource Name (ARN)。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeCheckRefreshStatuses", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeRiskResources", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeRisk", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeRisks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "arn:aws:trustedadvisor:*:YOUR_ACCOUNT_ID:checks/*" ] } ] }-
如果 Trusted Advisor 針對工作負載啟動,且 [資源定義] 設定為AppRegistry或 [全部],則在連結至工作負載的 AppRegistry 應用程式中擁有資源的所有帳號都必須將下列權限新增至其 Trusted Advisor 角色的權限原則。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DiscoveryPermissions", "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "tag:GetResources", "servicecatalog:GetApplication", "resource-groups:ListGroupResources", "cloudformation:DescribeStacks", "cloudformation:ListStackResources" ], "Resource": "*" } ] } -
(選用) 新增標籤。選擇下一步:檢閱。
-
檢閱策略,為其命名,然後選取建立策略。
-
在角色的 [新增權限] 頁面上,選取您剛建立的原則名稱,然後選取 [下一步]。
-
輸入角色名稱,此名稱必須使用下列語法:
WellArchitectedRoleForTrustedAdvisor-並選擇 [建立角色]。WORKLOAD_OWNER_ACCOUNT_IDWORKLOAD_OWNER_ACCOUNT_ID您應該會在頁面頂端看到成功訊息,通知您已建立角色。
-
若要檢視角色和相關聯的權限原則,請在 [存取管理] 下的左側導覽窗格中,選擇 [角色] 並搜尋
WellArchitectedRoleForTrustedAdvisor-名稱。選取角色的名稱,以確認「權限」和「信任」關係是否正確。WORKLOAD_OWNER_ACCOUNT_ID
