# 為工作負載啟用 AWS Trusted Advisor
<a name="activate-ta-for-workload"></a>

您可以針對 AWS Business and Enterprise Support 客戶，依每個工作負載選擇性地整合 AWS Trusted Advisor 並加以啟用。Trusted Advisor 與 AWS WA Tool 整合無需費用，不過若需要 Trusted Advisor 定價詳細資訊，請參閱 [AWS 支援計畫](https://docs.aws.amazon.com/awssupport/latest/user/aws-support-plans.html)。為工作負載啟用 Trusted Advisor 後，可為您提供更全面、自動化和監控的方法，用以檢閱和最佳化 AWS 工作負載。這可協助您提升工作負載的可靠性、安全性、效能和成本效益最佳化。

**為工作負載啟用 Trusted Advisor**

1. 若要啟用 Trusted Advisor，工作負載擁有者可以使用 AWS WA Tool 更新現有工作負載，或選擇**定義工作負載**來建立新的工作負載。

1. 在**帳戶 ID** 欄位中輸入 Trusted Advisor 所使用的帳戶 ID、在**應用程式**欄位中選取應用程式 ARN，或同時選取兩者以啟用 Trusted Advisor。

1. 在 **AWS Trusted Advisor** 區段中，選取**啟用 Trusted Advisor**。  
![\[定義工作負載時，啟用 Trusted Advisor 區段的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/latest/userguide/images/defining-workload-activate-ta-support.png)

1. 首次為工作負載啟用 Trusted Advisor 時，系統會顯示**將會建立 IAM 服務角色**的通知。選擇**檢視許可**後會顯示 IAM 角色許可權。您可以在 IAM 中檢視**角色名稱**，以及 JSON 自動為您建立的**許可**和**信任關係**。建立角色後，對於啟用** Trusted Advisor** 的後續工作負載，只會顯示**需要其他設定**通知。

1. 在**資源定義**下拉式清單中，您可以選取**工作負載中繼資料**、**AppRegistry** 或**全部**。**資源定義**選擇項目定義 AWS WA Tool 會從 Trusted Advisor 中擷取哪些資料，以提供對應至 Well-Architected 最佳實務的工作負載審查下的狀態檢查。

   **工作負載中繼資料** – 工作負載是由帳戶 ID 以及在工作負載中指定之 AWS 區域 所定義。

   **AppRegistry** – 工作負載是由與工作負載相關聯的 AppRegistry 應用程式中存在的資源 (例如 CloudFormation 堆疊) 所定義。

   **全部** – 工作負載是由工作負載中繼資料和 AppRegistry 資源共同定義。

1. 選擇**下一步**。

1. 將 **AWS Well-Architected Framework** 套用至工作負載，然後選擇**定義工作負載**。Trusted Advisor 檢查只會連結到 AWS Well-Architected Framework，而不會連結到其他焦點。

AWS WA Tool 會使用在 IAM 中建立的角色，定期從 Trusted Advisor 取得資料。IAM 角色是自動為工作負載擁有者建立的。不過，若要檢視 Trusted Advisor 資訊，工作負載上任何關聯帳戶的擁有者必須前往 IAM 並建立角色，如需更多詳細資訊請參閱 [在 IAM 中為工作負載啟用 Trusted Advisor](activate-ta-in-iam.md)。如果此角色不存在，AWS WA Tool 無法取得該帳戶 Trusted Advisor 的資訊，並顯示錯誤。

如需有關在 AWS Identity and Access Management (IAM) 中建立角色的詳細資訊，請參閱《IAM 使用者指南》**中的[為 AWS 服務 (主控台) 建立角色。](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)

# 在 IAM 中為工作負載啟用 Trusted Advisor
<a name="activate-ta-in-iam"></a>

**注意**  
工作負載擁有者應在建立 Trusted Advisor 工作負載之前，為其帳戶**啟用探索支援**。選擇**啟用探索支援**可建立工作負載擁有者所需的角色。針對其他所有關聯帳戶採用下列步驟。

已啟用之工作負載的關聯帳戶擁有者，Trusted Advisor必須在 IAM 中建立角色，才能查看 AWS Well-Architected Tool 中的 Trusted Advisor 資訊。

**在 IAM 中建立角色AWS WA Tool，以從 Trusted Advisor 取得資訊**

1. 在 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 登入 AWS 管理主控台 並開啟 IAM 主控台。

1. 在 **IAM** 主控台的導覽窗格中，選擇**角色**，然後選擇**建立角色**。

1. 對於**信任的實體類型**，請選擇**自訂信任政策**。

1. 複製下列**自訂信任政策**，並貼到 **IAM** 主控台的 JSON 欄位，如下圖所示。將 *`WORKLOAD_OWNER_ACCOUNT_ID`* 取代為工作負載擁有者的帳戶 ID，然後選擇**下一步**。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "wellarchitected.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*"
                   }
               }
           }
       ]
   }
   ```

------  
![\[IAM 主控台的自訂信任政策的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/latest/userguide/images/custom-trust-policy.png)
**注意**  
先前自訂信任政策的條件區塊中的 `aws:sourceArn` 是 `"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`，這是一般條件，表示 AWS WA Tool 可針對所有工作負載擁有者的工作負載使用此角色。不過，可以將存取權縮減為特定工作負載 ARN，或一組工作負載 ARN。若要指定多個 ARN，請參閱下列信任政策範例。  

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "wellarchitected.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                   "aws:SourceAccount": "111122223333"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": [
                       "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1",
       "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2"
                       ]
                   }
               }
           }
       ]
   }
   ```

1. 在**新增許可**頁面上，針對**許可政策**選擇**建立政策**，以提供從 Trusted Advisor 讀取資料的 AWS WA Tool 存取權。選取**建立政策**會開啟新視窗。
**注意**  
此外，您可以選擇在角色建立期間略過建立許可，並在建立角色之後建立內嵌政策。在成功建立角色訊息中選擇**檢視角色**，然後從**許可**索引標籤的**新增許可**下拉式清單中，選擇**建立內嵌政策**。

1. 複製下列**許可政策**，並貼到 JSON 欄位中。在 `Resource` ARN 中，將 *`YOUR_ACCOUNT_ID`* 取代為您自己的帳戶 ID、指定區域或星號 (`*`)，然後選擇 **Next:Tags**。

   如需有關 ARN 格式的詳細資訊，請參閱《AWS 一般參考指南》**中的 [Amazon 資源名稱 (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "trustedadvisor:DescribeCheckRefreshStatuses",
                   "trustedadvisor:DescribeCheckSummaries",
                   "trustedadvisor:DescribeRiskResources",
                   "trustedadvisor:DescribeAccount",
                   "trustedadvisor:DescribeRisk",
                   "trustedadvisor:DescribeAccountAccess",
                   "trustedadvisor:DescribeRisks",
                   "trustedadvisor:DescribeCheckItems"
               ],
               "Resource": [
                   "arn:aws:trustedadvisor:*:111122223333:checks/*"
               ]
           }
       ]
   }
   ```

------

1. 如果針對工作負載啟用 Trusted Advisor，且**資源定義**設定為 **AppRegistry** 或**全部**，則連接到工作負載的 AppRegistry 應用程式中擁有資源的所有帳戶，都必須將下列許可權新增至其 Trusted Advisor 角色的**許可政策**。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DiscoveryPermissions",
               "Effect": "Allow",
               "Action": [
                   "servicecatalog:ListAssociatedResources",
                   "tag:GetResources",
                   "servicecatalog:GetApplication",
                   "resource-groups:ListGroupResources",
                   "cloudformation:DescribeStacks",
                   "cloudformation:ListStackResources"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. (可選) 新增標籤。選擇下**一步：檢閱**。

1. 檢閱政策的準確性、為其提供名稱，並選擇**建立政策**。

1. 在角色的**新增許可**頁面上，選取您剛建立的政策名稱，然後選取**下一步**。

1. 輸入**角色名稱**，必須使用下列語法：`WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`，然後選擇**建立角色**。將 *`WORKLOAD_OWNER_ACCOUNT_ID`* 取代為工作負載擁有者帳戶 ID。

   您應該會在頁面頂端收到成功訊息，通知您已建立角色。

1. 若要檢視角色和相關聯的許可政策，請在**存取管理**下的左側導覽窗格中選擇**角色**，並搜尋 `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` 名稱。選取角色的名稱，確認**許可**和**信任關係**是否正確。

# 針對工作負載停用 Trusted Advisor
<a name="deactivate-ta-for-workload"></a>

**針對工作負載停用 Trusted Advisor**

您可以透過編輯工作負載和取消選取**啟用 Trusted Advisor**，從 AWS Well-Architected Tool 停用 Trusted Advisor 的任何工作負載。如需有關編輯工作負載的詳細資訊，請參閱 [在 AWS Well-Architected Tool 中編輯工作負載](workloads-edit.md)。

從 AWS WA Tool 停用 Trusted Advisor 並不會刪除在 IAM 中建立的角色。從 IAM 刪除角色需要單獨的清理措施。工作負載擁有者或關聯帳戶的擁有者，應刪除在 AWS WA Tool 中停用 Trusted Advisor 時所建立的 IAM 角色，或讓 AWS WA Tool 停止收集工作負載 Trusted Advisor 的資料。

**在 IAM 中刪除 `WellArchitectedRoleForTrustedAdvisor`**

1. 在 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 登入 AWS 管理主控台 並開啟 IAM 主控台。

1. 在 **IAM** 主控台的導覽窗格中，選擇**角色**。

1. 搜尋 `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` 並選取角色名稱。

1. 選擇 **刪除**。在快顯視窗中，輸入要確認刪除的角色名稱，然後再次選取**刪除**。

如需有關從 IAM 刪除角色的詳細資訊，請參閱《IAM 使用者指南》**中的[刪除 IAM 角色 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-managingrole-deleting-console)。