# Unterstützung in AWS WA Tool für andere AWS-Services aktivieren
<a name="activate-integrations"></a>

Die Aktivierung des Organization-Zugriffs ermöglicht AWS Well-Architected Tool die Sammlung von Informationen über die Struktur Ihrer Organisation, um Ressourcen leichter freigeben zu können (siehe [Aktivieren der Freigabe von Ressourcen innerhalb von AWS Organizations](sharing.md#getting-started-sharing-orgs) für weitere Informationen). Die Aktivierung der Discovery-Unterstützung ermöglicht die Sammlung von Informationen aus [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html), [AWS Service Catalog AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html) und verwandten Ressourcen (z. B. CloudFormation-Stapeln in AppRegistry-Ressourcensammlungen), sodass Sie die Informationen leichter finden können, die Sie zur Beantwortung von Well-Architected-Überprüfungsfragen benötigen. Außerdem können Sie die Trusted Advisor-Überprüfungen für einen Workload anpassen. 

Wenn Sie die Unterstützung für AWS Organizations oder die Discovery-Unterstützung aktivieren, wird automatisch eine serviceverknüpfte Rolle für Ihr Konto erstellt. 

**Um die Unterstützung für andere Services zu aktivieren, mit denen AWS WA Tool interagieren kann, navigieren Sie zu Einstellungen.**

1. Um Informationen aus AWS Organizations zu erfassen, aktivieren Sie **AWS Organizations-Unterstützung aktivieren**. 

1. Aktivieren Sie **Discovery-Unterstützung aktivieren**, um Informationen aus anderen AWS-Services und -Ressourcen zu erfassen.

1. Wählen Sie **Rollenberechtigungen anzeigen** aus, um die Berechtigungen für die serviceverknüpfte Rolle oder die Richtlinien für Vertrauensbeziehungen anzuzeigen.

1. Wählen Sie **Einstellungen speichern** aus.

# AppRegistry für einen Workload aktivieren
<a name="activate-appregistry"></a>

Die Verwendung von AppRegistry ist optional. Kunden von AWS Business Support und Enterprise Support können die Lösung pro Workload aktivieren.

Wenn die Discovery-Unterstützung aktiviert ist und AppRegistry einem neuen oder vorhandenen Workload zugeordnet wird, erstellt AWS Well-Architected Tool eine serviceverwaltete Attributgruppe. Die Attributgruppe **Metadata** in AppRegistry enthält den Workload-ARN, den Workload-Namen und die mit dem Workload verbundenen Risiken. 
+  Wenn die Discovery-Unterstützung aktiviert ist, wird die Attributgruppe bei jeder Änderung des Workloads aktualisiert.
+  Wenn die Discovery-Unterstützung deaktiviert ist oder die Anwendung aus dem Workload entfernt wird, werden die Workload-Informationen aus AWS Service Catalog entfernt.

Wenn eine AppRegistry-Anwendung die Daten festlegen soll, die aus Trusted Advisor abgerufen werden, legen Sie die **Ressourcendefinition** als **AppRegistry** oder **Alle** fest. Erstellen Sie Rollen für alle Konten, die Ressourcen in Ihrer Anwendung besitzen. Folgen Sie dabei den Richtlinien unter [Trusted Advisor für einen Workload in IAM aktivieren](activate-ta-in-iam.md). 

# AWS Trusted Advisor für einen Workload aktivieren
<a name="activate-ta-for-workload"></a>

Sie können optional AWS Trusted Advisor integrieren und für Kunden von AWS Business Support und Enterprise Support auf Workload-Basis aktivieren. Die Integration von Trusted Advisor mit AWS WA Tool ist kostenlos. Preisdetails für Trusted Advisor finden Sie unter [AWS-Supportpläne](https://docs.aws.amazon.com/awssupport/latest/user/aws-support-plans.html). Die Aktivierung von Trusted Advisor für Workloads bietet Ihnen einen umfassenderen, automatisierten und überwachten Ansatz für die Überprüfung und Optimierung Ihrer AWS-Workloads. Dies kann Ihnen helfen, die Zuverlässigkeit, Sicherheit, Leistung und Kostenoptimierung Ihrer Workloads zu verbessern.

**So aktivieren Sie Trusted Advisor für einen Workload**

1. Um Trusted Advisor zu aktivieren, können Workload-Besitzer AWS WA Tool zur Aktualisierung eines vorhandenen Workloads verwenden. Sie können auch einen neuen Workload erstellen, indem sie **Workload definieren** auswählen. 

1. Geben Sie im Feld **Konto-IDs** eine Konto-ID ein, die von Trusted Advisor verwendet wird, wählen Sie eine Anwendungs-ARN in das Feld **Anwendung** aus, oder führen Sie beide Aktionen aus, um Trusted Advisor zu aktivieren. 

1. Wählen Sie im Abschnitt **AWS Trusted Advisor** die Option **Trusted Advisor aktivieren** aus.  
![\[Screenshot des Abschnitts „Trusted Advisor aktivieren“ während der Definition eines Workloads.\]](http://docs.aws.amazon.com/de_de/wellarchitected/latest/userguide/images/defining-workload-activate-ta-support.png)

1. Bei der ersten Aktivierung von Trusted Advisor für einen Workload wird die Benachrichtigung **IAM-Servicerolle wird erstellt** angezeigt. Wenn Sie **Berechtigungen anzeigen** auswählen, werden die IAM-Rollenberechtigungen angezeigt. Sie können den **Rollennamen** sowie die **Berechtigungen** und **Vertrauensbeziehungen** anzeigen, die JSON automatisch für Sie in IAM erstellt hat. Nach der Erstellung der Rolle wird für folgende Workloads, die **Trusted Advisor**aktivieren, lediglich die Benachrichtigung **Zusätzliche Einrichtung erforderlich** angezeigt. 

1. In der Dropdownliste **Ressourcendefinition** können Sie **Workload-Metadaten**, **AppRegistry** oder **Alle** auswählen. Die Auswahl der **Ressourcendefinition** legt die Daten fest, die AWS WA Tool aus Trusted Advisor abruft, um die Statusprüfungen in der Workload-Überprüfung bereitzustellen, die bewährten Well-Architected-Methoden entsprechen.

   **Workload-Metadaten** – Der Workload wird durch die Konto-IDs und AWS-Regionen definiert, die im Workload angegeben werden.

   **AppRegistry** – Der Workload wird von den Ressourcen definiert (z. B. CloudFormation-Stapeln), die in der dem Workload zugeordneten AppRegistry-Anwendung enthalten sind.

   **Alle** – Der Workload wird sowohl von den Workload-Metadaten als auch von den AppRegistry-Ressourcen definiert.

1. Wählen Sie **Weiter** aus. 

1. Wenden Sie das **AWS Well-Architected Framework** auf Ihren Workload an und wählen Sie **Workload definieren** aus. Trusted Advisor-Überprüfungen sind nur mit dem AWS Well-Architected Framework verknüpft, nicht mit anderen Lenses.

Das AWS WA Tool ruft regelmäßig mithilfe der in IAM erstellten Rollen Daten aus Trusted Advisor ab. Die IAM-Rolle wird automatisch für den Workload-Besitzer erstellt. Um Trusted Advisor-Informationen anzuzeigen, müssen die Besitzer von Konten, die mit dem Workload verknüpft sind, zu IAM navigieren und eine Rolle erstellen. Weitere Informationen finden Sie unter [Trusted Advisor für einen Workload in IAM aktivieren](activate-ta-in-iam.md). Wenn diese Rolle nicht vorhanden ist, kann AWS WA Tool keine Trusted Advisor-Informationen für dieses Konto abrufen und zeigt eine Fehlermeldung an. 

Weitere Informationen zum Erstellen einer IAM-Rolle in AWS Identity and Access Management (IAM) finden Sie unter [Eine Rolle für einen AWS-Service erstellen (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) im *IAM-Benutzerhandbuch*.

# Trusted Advisor für einen Workload in IAM aktivieren
<a name="activate-ta-in-iam"></a>

**Anmerkung**  
Workload-Besitzer sollten **Discovery-Unterstützung auswählen** aktivieren, bevor sie einen Trusted Advisor-Workload erstellen. Durch die Auswahl von **Discovery-Unterstützung aktivieren** wird die Rolle erstellt, die für den Workload-Besitzer erforderlich ist. Führen Sie für alle anderen zugehörigen Konten die folgenden Schritte aus. 

Die Besitzer der zugehörigen Konten für Workloads, für die Trusted Advisor aktiviert ist, müssen eine Rolle in IAM erstellen, um Trusted Advisor-Informationen in AWS Well-Architected Tool anzuzeigen.

**So erstellen Sie eine Rolle in IAM für AWS WA Tool, um Informationen aus Trusted Advisor abzurufen**

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole in [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Klicken Sie im Navigationsbereich der **IAM**-Konsole auf **Rollen** und wählen Sie dann **Rolle erstellen** aus.

1. Wählen Sie in **Vertrauenstyp der Entität** die Option **Benutzerdefinierte Vertrauensrichtlinie** aus. 

1. Kopieren Sie die folgende **benutzerdefinierte Vertrauensrichtlinie** und fügen Sie diese in das JSON-Feld in der **IAM-Konsole** ein, wie in der folgenden Abbildung gezeigt. Ersetzen Sie *`WORKLOAD_OWNER_ACCOUNT_ID`* durch die Konto-ID des Workload-Besitzers und wählen Sie **Weiter** aus. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "wellarchitected.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*"
                   }
               }
           }
       ]
   }
   ```

------  
![\[Screenshot der benutzerdefinierten Vertrauensrichtlinie in der IAM-Konsole.\]](http://docs.aws.amazon.com/de_de/wellarchitected/latest/userguide/images/custom-trust-policy.png)
**Anmerkung**  
Der `aws:sourceArn` im Bedingungsblock der vorhergehenden benutzerdefinierten Vertrauensrichtlinie ist `"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`. Dies ist eine generische Bedingung, die angibt, dass diese Rolle von AWS WA Tool für alle Workloads des Workload-Besitzers verwendet werden kann. Der Zugriff kann jedoch auf einen bestimmten Workload-ARN oder einen Satz von Workload-ARNs eingeschränkt werden. Sehen Sie sich das folgende Beispiel für eine Vertrauensrichtlinie an, um zu erfahren, wie Sie mehrere ARNs angeben können.  

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "wellarchitected.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                   "aws:SourceAccount": "111122223333"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": [
                       "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1",
       "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2"
                       ]
                   }
               }
           }
       ]
   }
   ```

1. Wählen Sie auf der Seite **Berechtigungen hinzufügen** in **Berechtigungsrichtlinien** die Option **Richtlinie erstellen** aus, um AWS WA Tool Lesezugriff auf Daten in Trusted Advisor zu gewähren. Wenn Sie **Richtlinie erstellen** auswählen, wird ein neues Fenster geöffnet.
**Anmerkung**  
Darüber hinaus können Sie die Erstellung der Berechtigungen während der Rollenerstellung überspringen und nach dem Erstellen der Rolle eine Inline-Richtlinie erstellen. Wählen Sie in der Nachricht zur erfolgreichen Rollenerstellung **Rolle anzeigen** aus. Wählen Sie dann **Inline-Richtlinie erstellen** in der Dropdown-Liste **Berechtigungen hinzufügen** auf der Registerkarte **Berechtigungen** aus.

1. Kopieren Sie die folgende **Berechtigungsrichtlinie** und fügen Sie diese in das JSON-Feld ein. Ersetzen Sie im `Resource`-ARN *`YOUR_ACCOUNT_ID`* durch die ID Ihres eigenen Kontos, geben Sie die Region oder ein Sternchen (`*`) an und wählen Sie **Weiter:Tags** aus.

   Weitere Informationen zu ARN-Formaten finden Sie unter [Amazon-Ressourcenname (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) im *AWS Allgemeine Referenz-Handbuch*.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "trustedadvisor:DescribeCheckRefreshStatuses",
                   "trustedadvisor:DescribeCheckSummaries",
                   "trustedadvisor:DescribeRiskResources",
                   "trustedadvisor:DescribeAccount",
                   "trustedadvisor:DescribeRisk",
                   "trustedadvisor:DescribeAccountAccess",
                   "trustedadvisor:DescribeRisks",
                   "trustedadvisor:DescribeCheckItems"
               ],
               "Resource": [
                   "arn:aws:trustedadvisor:*:111122223333:checks/*"
               ]
           }
       ]
   }
   ```

------

1. Wenn Trusted Advisor für einen Workload aktiviert ist und die **Ressourcendefinition** auf **AppRegistry** oder **Alle** festgelegt ist, müssen alle Konten, die eine Ressource in der AppRegistry-Anwendung besitzen, die dem Workload angefügt ist, der **Berechtigungsrichtlinie** ihrer Trusted Advisor-Rolle die folgende Berechtigung hinzufügen.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DiscoveryPermissions",
               "Effect": "Allow",
               "Action": [
                   "servicecatalog:ListAssociatedResources",
                   "tag:GetResources",
                   "servicecatalog:GetApplication",
                   "resource-groups:ListGroupResources",
                   "cloudformation:DescribeStacks",
                   "cloudformation:ListStackResources"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. (Optional) Fügen Sie Tags hinzu. Wählen Sie **Weiter: Prüfen** aus.

1. Überprüfen Sie die Richtlinie, geben Sie ihr einen Namen und wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie auf der Seite **Berechtigungen hinzufügen** für die Rolle den Namen der Richtlinie aus, die Sie gerade erstellt haben. Wählen Sie dann **Weiter** aus. 

1. Geben Sie den **Rollennamen** ein, der die folgende Syntax verwenden muss: `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`. Wählen Sie dann **Rolle erstellen** aus. Ersetzen Sie *`WORKLOAD_OWNER_ACCOUNT_ID`* durch die Konto-ID des Workload-Besitzers.

   Sie sollten oben auf der Seite eine Erfolgsmeldung sehen, die Sie darüber informiert, dass die Rolle erstellt wurde. 

1. Um die Rolle und die zugehörige Berechtigungsrichtlinie anzuzeigen, wählen Sie im linken Navigationsbereich unter **Zugriffsverwaltung** die Option **Rollen** aus und suchen nach dem `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`-Namen. Wählen Sie den Namen der Rolle aus, um zu überprüfen, ob die **Berechtigungen** und **Vertrauensbeziehungen** korrekt sind.

# Trusted Advisor für einen Workload deaktivieren
<a name="deactivate-ta-for-workload"></a>

**So deaktivieren Sie Trusted Advisor für einen Workload**

Sie können Trusted Advisor für jeden Workload im AWS Well-Architected Tool deaktivieren, indem Sie den Workload bearbeiten und die Auswahl von **Trusted Advisor aktivieren** aufheben. Weitere Informationen zum Bearbeiten von Workloads finden Sie unter [Bearbeiten einer Workload in AWS Well-Architected Tool](workloads-edit.md). 

Durch die Deaktivierung von Trusted Advisor im AWS WA Tool werden die in IAM erstellten Rollen nicht gelöscht. Das Löschen von Rollen in IAM erfordert eine getrennte Bereinigungsmaßnahme. Workload-Besitzer oder Besitzer verknüpfter Konten sollten die erstellten IAM-Rollen löschen, wenn Trusted Advisor in AWS WA Tool deaktiviert wird. Alternativ können sie die Erfassung on Trusted Advisor-Daten für den Workload durch AWS WA Tool beenden. 

**So löschen Sie den `WellArchitectedRoleForTrustedAdvisor` in IAM**

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole in [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich der **IAM**-Konsole **Rollen** aus.

1. Suchen Sie nach `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` und wählen Sie den Rollennamen aus.

1. Wählen Sie **Löschen** aus. Geben Sie im Popup-Fenster den Namen der Rolle ein, um das Löschen zu bestätigen. Wählen Sie dann erneut **Löschen** aus.

Weitere Informationen zum Löschen von Rollen in IAM finden Sie unter [Eine IAM-Rolle löschen (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-managingrole-deleting-console) im *IAM-Benutzerhandbuch*.