# Trusted Advisor für einen Workload in IAM aktivieren **Anmerkung** Workload-Besitzer sollten **Discovery-Unterstützung auswählen** aktivieren, bevor sie einen Trusted Advisor-Workload erstellen. Durch die Auswahl von **Discovery-Unterstützung aktivieren** wird die Rolle erstellt, die für den Workload-Besitzer erforderlich ist. Führen Sie für alle anderen zugehörigen Konten die folgenden Schritte aus. Die Besitzer der zugehörigen Konten für Workloads, für die Trusted Advisor aktiviert ist, müssen eine Rolle in IAM erstellen, um Trusted Advisor-Informationen in AWS Well-Architected Tool anzuzeigen. **So erstellen Sie eine Rolle in IAM für AWS WA Tool, um Informationen aus Trusted Advisor abzurufen** 1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole in [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Klicken Sie im Navigationsbereich der **IAM**-Konsole auf **Rollen** und wählen Sie dann **Rolle erstellen** aus. 1. Wählen Sie in **Vertrauenstyp der Entität** die Option **Benutzerdefinierte Vertrauensrichtlinie** aus. 1. Kopieren Sie die folgende **benutzerdefinierte Vertrauensrichtlinie** und fügen Sie diese in das JSON-Feld in der **IAM-Konsole** ein, wie in der folgenden Abbildung gezeigt. Ersetzen Sie *`WORKLOAD_OWNER_ACCOUNT_ID`* durch die Konto-ID des Workload-Besitzers und wählen Sie **Weiter** aus. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*" } } } ] } ``` ------ ![\[Screenshot der benutzerdefinierten Vertrauensrichtlinie in der IAM-Konsole.\]](http://docs.aws.amazon.com/de_de/wellarchitected/latest/userguide/images/custom-trust-policy.png) **Anmerkung** Der `aws:sourceArn` im Bedingungsblock der vorhergehenden benutzerdefinierten Vertrauensrichtlinie ist `"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`. Dies ist eine generische Bedingung, die angibt, dass diese Rolle von AWS WA Tool für alle Workloads des Workload-Besitzers verwendet werden kann. Der Zugriff kann jedoch auf einen bestimmten Workload-ARN oder einen Satz von Workload-ARNs eingeschränkt werden. Sehen Sie sich das folgende Beispiel für eine Vertrauensrichtlinie an, um zu erfahren, wie Sie mehrere ARNs angeben können. **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1", "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2" ] } } } ] } ``` 1. Wählen Sie auf der Seite **Berechtigungen hinzufügen** in **Berechtigungsrichtlinien** die Option **Richtlinie erstellen** aus, um AWS WA Tool Lesezugriff auf Daten in Trusted Advisor zu gewähren. Wenn Sie **Richtlinie erstellen** auswählen, wird ein neues Fenster geöffnet. **Anmerkung** Darüber hinaus können Sie die Erstellung der Berechtigungen während der Rollenerstellung überspringen und nach dem Erstellen der Rolle eine Inline-Richtlinie erstellen. Wählen Sie in der Nachricht zur erfolgreichen Rollenerstellung **Rolle anzeigen** aus. Wählen Sie dann **Inline-Richtlinie erstellen** in der Dropdown-Liste **Berechtigungen hinzufügen** auf der Registerkarte **Berechtigungen** aus. 1. Kopieren Sie die folgende **Berechtigungsrichtlinie** und fügen Sie diese in das JSON-Feld ein. Ersetzen Sie im `Resource`-ARN *`YOUR_ACCOUNT_ID`* durch die ID Ihres eigenen Kontos, geben Sie die Region oder ein Sternchen (`*`) an und wählen Sie **Weiter:Tags** aus. Weitere Informationen zu ARN-Formaten finden Sie unter [Amazon-Ressourcenname (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) im *AWS Allgemeine Referenz-Handbuch*. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeCheckRefreshStatuses", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeRiskResources", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeRisk", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeRisks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "arn:aws:trustedadvisor:*:111122223333:checks/*" ] } ] } ``` ------ 1. Wenn Trusted Advisor für einen Workload aktiviert ist und die **Ressourcendefinition** auf **AppRegistry** oder **Alle** festgelegt ist, müssen alle Konten, die eine Ressource in der AppRegistry-Anwendung besitzen, die dem Workload angefügt ist, der **Berechtigungsrichtlinie** ihrer Trusted Advisor-Rolle die folgende Berechtigung hinzufügen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DiscoveryPermissions", "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "tag:GetResources", "servicecatalog:GetApplication", "resource-groups:ListGroupResources", "cloudformation:DescribeStacks", "cloudformation:ListStackResources" ], "Resource": "*" } ] } ``` ------ 1. (Optional) Fügen Sie Tags hinzu. Wählen Sie **Weiter: Prüfen** aus. 1. Überprüfen Sie die Richtlinie, geben Sie ihr einen Namen und wählen Sie **Richtlinie erstellen** aus. 1. Wählen Sie auf der Seite **Berechtigungen hinzufügen** für die Rolle den Namen der Richtlinie aus, die Sie gerade erstellt haben. Wählen Sie dann **Weiter** aus. 1. Geben Sie den **Rollennamen** ein, der die folgende Syntax verwenden muss: `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`. Wählen Sie dann **Rolle erstellen** aus. Ersetzen Sie *`WORKLOAD_OWNER_ACCOUNT_ID`* durch die Konto-ID des Workload-Besitzers. Sie sollten oben auf der Seite eine Erfolgsmeldung sehen, die Sie darüber informiert, dass die Rolle erstellt wurde. 1. Um die Rolle und die zugehörige Berechtigungsrichtlinie anzuzeigen, wählen Sie im linken Navigationsbereich unter **Zugriffsverwaltung** die Option **Rollen** aus und suchen nach dem `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`-Namen. Wählen Sie den Namen der Rolle aus, um zu überprüfen, ob die **Berechtigungen** und **Vertrauensbeziehungen** korrekt sind.