# Attivazione di Trusted Advisor per un carico di lavoro in IAM **Nota** I proprietari dei carichi di lavoro devono attivare l'opzione **Attiva supporto all'individuazione** per il relativo account prima di creare un carico di lavoro di Trusted Advisor. La scelta di attivare l'opzione **Attiva supporto all'individuazione** crea il ruolo richiesto per il proprietario del carico di lavoro. Utilizza la seguente procedura per tutti gli altri account associati. I proprietari degli account associati per i carichi di lavoro che hanno attivato Trusted Advisor devono creare un ruolo in IAM per visualizzare le informazioni di Trusted Advisor nello AWS Well-Architected Tool. **Per creare un ruolo in IAM affinché lo AWS WA Tool ottenga informazioni da Trusted Advisor** 1. Accedi alla Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Nel pannello di navigazione della console **IAM**, scegli **Ruoli** e poi **Crea ruolo**. 1. Sotto **Tipo di entità attendibile** scegli **Policy di attendibilità personalizzata**. 1. Copia e incolla la seguente **policy di attendibilità personalizzata** nel campo JSON della console **IAM**, come mostrato nell'immagine seguente. Sostituisci {{`WORKLOAD_OWNER_ACCOUNT_ID`}} con l'ID account del proprietario del carico di lavoro e scegli **Avanti**. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "{{WORKLOAD_OWNER_ACCOUNT_ID}}" }, "ArnEquals": { "aws:SourceArn": "arn:aws:wellarchitected:*:{{111122223333}}:workload/*" } } } ] } ``` ------ ![Schermata della policy di attendibilità personalizzata nella console IAM.](http://docs.aws.amazon.com/it_it/wellarchitected/latest/userguide/images/custom-trust-policy.png) **Nota** Il valore `aws:sourceArn` nel blocco condizione della precedente policy di attendibilità personalizzata corrisponde a `"arn:aws:wellarchitected:*:{{WORKLOAD_OWNER_ACCOUNT_ID}}:workload/*"`, che è una condizione generica che indica che il ruolo può essere utilizzato dallo AWS WA Tool per tutti i carichi di lavoro del proprietario del carico di lavoro in questione. Tuttavia, l'accesso può essere limitato a uno specifico ARN del carico di lavoro o a un set di ARN del carico di lavoro. Per specificare più ARN, vedi la seguente policy di attendibilità di esempio. **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "{{111122223333}}" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:wellarchitected:{{us-east-1}}:{{111122223333}}:workload/{{WORKLOAD_ID_1}}", "arn:aws:wellarchitected:{{us-east-1}}:{{111122223333}}:workload/{{WORKLOAD_ID_2}}" ] } } } ] } ``` 1. Nella pagina **Aggiungi autorizzazioni**, per **Policy di autorizzazione** scegli **Crea policy** per concedere allo AWS WA Tool l'accesso ai dati in lettura da Trusted Advisor. Selezionando **Crea policy** si apre una nuova finestra. **Nota** Inoltre, è possibile ignorare la creazione delle autorizzazioni durante la creazione del ruolo e creare una policy inline dopo la creazione del ruolo. Scegli **Visualizza ruolo** nel messaggio relativo alla corretta creazione del ruolo e seleziona **Crea policy inline** nel menu a discesa **Aggiungi autorizzazioni** della scheda **Autorizzazioni**. 1. Copia e incolla la seguente **policy di autorizzazione** nel campo JSON. Nell'ARN di `Resource`, sostituisci {{`YOUR_ACCOUNT_ID`}} con il tuo ID account, specifica la Regione o un asterisco (`*`) e scegli **Prossimo:Tag**. Per maggiori dettagli sui formati ARN, consulta [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) in *Riferimenti generali di AWS*. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeCheckRefreshStatuses", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeRiskResources", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeRisk", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeRisks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "arn:aws:trustedadvisor:*:{{111122223333}}:checks/*" ] } ] } ``` ------ 1. Se Trusted Advisor è attivato per un carico di lavoro e nel campo **Definizione della risorsa** è stato selezionato **AppRegistry** o **Tutti**, tutti gli account che possiedono una risorsa nell'applicazione AppRegistry collegate al carico di lavoro devono aggiungere la seguente autorizzazione alla **policy di autorizzazione** del proprio ruolo Trusted Advisor. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DiscoveryPermissions", "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "tag:GetResources", "servicecatalog:GetApplication", "resource-groups:ListGroupResources", "cloudformation:DescribeStacks", "cloudformation:ListStackResources" ], "Resource": "*" } ] } ``` ------ 1. (Opzionale) Aggiungi dei tag. Scegli **Prossimo: Rivedi**. 1. Controlla la policy, assegnale un nome e seleziona **Crea policy**. 1. Nella pagina **Aggiungi autorizzazioni** del ruolo, seleziona il nome della policy che hai appena creato, quindi seleziona **Avanti**. 1. Inserisci il **nome del ruolo**, che deve utilizzare la seguente sintassi: `WellArchitectedRoleForTrustedAdvisor-{{WORKLOAD_OWNER_ACCOUNT_ID}}`. Quindi scegli **Crea ruolo**. Sostituisci {{`WORKLOAD_OWNER_ACCOUNT_ID`}} con l'ID account del proprietario del carico di lavoro. Nella parte superiore della pagina dovrebbe comparire un messaggio di operazione riuscita che indica che il ruolo è stato creato. 1. Per visualizzare il ruolo e la policy di autorizzazione associata, nel pannello di navigazione sinistro sotto **Gestione degli accessi**, scegli **Ruoli** e cerca il nome di `WellArchitectedRoleForTrustedAdvisor-{{WORKLOAD_OWNER_ACCOUNT_ID}}`. Seleziona il nome del ruolo per verificare che le **autorizzazioni** e le **relazioni di attendibilità** siano corrette.