# Activación de la compatibilidad en AWS WA Tool con otros servicios de AWS
<a name="activate-integrations"></a>

La activación del acceso a Organization permite a AWS Well-Architected Tool recopilar información sobre la estructura de la organización para compartir recursos con mayor facilidad (consulte [Activar el uso compartido de recursos en AWS Organizations](sharing.md#getting-started-sharing-orgs) para obtener más información). La activación de la compatibilidad con Discovery recopila información de [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html), [AWS Service Catalog AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html) y los recursos relacionados (como las pilas de CloudFormation de las colecciones de recursos de AppRegistry) para ayudarlo a descubrir más fácilmente la información necesaria para responder a las preguntas de revisión de Well-Architected y adaptar las comprobaciones de Trusted Advisor a una carga de trabajo. 

La activación de la compatibilidad con AWS Organizations o la activación de la compatibilidad con Discovery crea automáticamente un rol vinculado al servicio para su cuenta. 

**Para activar la compatibilidad de otros servicios con los que AWS WA Tool puede interactuar, consulte la Configuración.**

1. Para recopilar información de AWS Organizations, active **Activar la compatibilidad de AWS Organizations**. 

1. Active la **compatibilidad de Activar Discovery** para recopilar información de otros servicios y recursos de AWS.

1. Seleccione **Ver permisos de rol** para ver los permisos del rol vinculado al servicio en cuestión o políticas de relación de confianza.

1. Seleccione **Guardar configuración**.

# Activar AppRegistry para una carga de trabajo
<a name="activate-appregistry"></a>

El uso de AppRegistry es opcional y los clientes de Business and Enterprise Support de AWS pueden activarlo por carga de trabajo.

Siempre que se active la compatibilidad con Discovery y AppRegistry se asocie a una carga de trabajo nueva o existente, AWS Well-Architected Tool crea un grupo de atributos gestionado por el servicio. El grupo de atributos **Metadatos** de AppRegistry contiene el ARN de la carga de trabajo, el nombre de la carga de trabajo y los riesgos asociados a la carga de trabajo. 
+  Cuando la compatibilidad con Discovery está activada, el grupo de atributos se actualiza cada vez que se produce un cambio en la carga de trabajo.
+  Cuando se desactiva la compatibilidad con Discovery o se elimina la aplicación de la carga de trabajo, se elimina la información de la carga de trabajo de AWS Service Catalog.

Si desea que una aplicación de AppRegistry gestione los datos obtenidos de Trusted Advisor, defina la **Definición de recurso** de la carga de trabajo como **AppRegistry** o **Todo**. Cree roles para todas las cuentas que posean los recursos propios de su aplicación siguiendo las pautas que se indican en [Activar Trusted Advisor para una carga de trabajo](activate-ta-in-iam.md). 

# Activar AWS Trusted Advisor para una carga de trabajo
<a name="activate-ta-for-workload"></a>

De forma opcional, puede integrar AWS Trusted Advisor y activarlo por carga de trabajo para los clientes de AWS Business and Enterprise Support. La integración de Trusted Advisor con AWS WA Tool no tiene ningún costo, pero para obtener detalles sobre los precios de Trusted Advisor, consulte [AWSPlanes de compatibilidad](https://docs.aws.amazon.com/awssupport/latest/user/aws-support-plans.html). La activación de Trusted Advisor para las cargas de trabajo puede proporcionarle un enfoque más integral, automatizado y supervisado para revisar y optimizar sus cargas de trabajo de AWS. Esto puede ayudarlo a mejorar la fiabilidad, la seguridad, el rendimiento y la optimización de costos de sus cargas de trabajo.

**Activar Trusted Advisor para una carga de trabajo**

1. Para activar Trusted Advisor, los propietarios de la carga de trabajo pueden utilizar AWS WA Tool para actualizar una carga de trabajo existente o crear una nueva carga de trabajo seleccionando **Definir carga de trabajo**. 

1. Introduzca un identificador de cuenta utilizado por Trusted Advisor en el campo **ID de cuenta**, seleccione un ARN de aplicación en el campo **Aplicación**, o ambos para activar Trusted Advisor. 

1. En la sección **AWS Trusted Advisor**, seleccione **Activar Trusted Advisor**.  
![\[Captura de pantalla de la sección Activar Trusted Advisor al definir una carga de trabajo.\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/userguide/images/defining-workload-activate-ta-support.png)

1. La primera vez Trusted Advisor se activa para una carga de trabajo, aparece una notificación en la **que se indica que se va a crear el rol de servicio de IAM**. Si selecciona **Ver permisos**, se muestran los permisos del rol de IAM. Puede ver el **Nombre del rol**, así como los **Permisos** y **Relaciones de confianza** que JSON creó automáticamente para usted en IAM. Una vez creado el rol, para las cargas de trabajo que se activen posteriormente de **Trusted Advisor**, solo se mostrará la notificación correspondiente de **Se necesita configuración adicional**. 

1. En el menú desplegable **Definición de recursos**, puede seleccionar **Metadatos de carga de trabajo**, **AppRegistry** o **Todos**. La selección de **Definición de recursos** define qué datos de AWS WA Tool se obtienen de Trusted Advisor para proporcionar las comprobaciones de estado en la revisión de la carga de trabajo que se corresponden con las mejores prácticas de Well-Architected.

   **Metadatos de la carga de trabajo**: la carga de trabajo se define mediante los ID de cuenta y Regiones de AWS especificados en la carga de trabajo.

   **AppRegistry**: la carga de trabajo se define mediante los recursos (como las pilas de CloudFormation) que están presentes en la aplicación de AppRegistry asociada a la carga de trabajo.

   **Todo**: la carga de trabajo se define mediante los metadatos de la carga de trabajo y los recursos de AppRegistry.

1. Seleccione **Siguiente**. 

1. Aplique el **Marco de AWS Well-Architected** a la carga de trabajo y elija **Definir carga de trabajo**. Las comprobaciones de Trusted Advisor solo están vinculadas al Marco de AWS Well-Architected y no a otros enfoques.

AWS WA Tool obtiene datos de Trusted Advisor periódicamente usando los roles creados en IAM. El rol de IAM se crea automáticamente para el propietario de la carga de trabajo. Sin embargo, para ver la información de Trusted Advisor, los propietarios de cualquier cuenta asociada a la carga de trabajo deben ir a IAM y crear un rol. Consulte [Activar Trusted Advisor para una carga de trabajo](activate-ta-in-iam.md) para obtener más información. Si este rol no existe, AWS WA Tool no puede obtener la información de Trusted Advisor de esa cuenta y se muestra un error. 

Para obtener más información sobre cómo crear un rol de AWS Identity and Access Management (IAM), consulte [Crear un rol para un servicio de AWS (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) en la *Guía de usuario de IAM*.

# Activar Trusted Advisor para una carga de trabajo
<a name="activate-ta-in-iam"></a>

**nota**  
Los propietarios de las cargas de trabajo deben **Activar la compatibilidad con Discovery** para sus cuentas antes de crear una carga de trabajo de Trusted Advisor. Al seleccionar **Activar la compatibilidad con Discovery**, se crea el rol necesario para el propietario de la carga de trabajo. Siga los pasos siguientes para todas las demás cuentas asociadas. 

Los propietarios de las cuentas asociadas a las cargas de trabajo que hayan activado Trusted Advisor deben crear un rol en IAM para poder ver la información de Trusted Advisor en AWS Well-Architected Tool.

**Crear un rol en IAM para AWS WA Tool para obtener información de Trusted Advisor**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en la [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la consola de **IAM**, seleccione **Roles** y, a continuación, seleccione **Crear rol**.

1. En **Tipo de entidad de confianza**, seleccione **Política de confianza personalizada**. 

1. Copie y pegue la siguiente **Política de confianza personalizada** en el campo JSON de la consola de **IAM**, como se muestra en la siguiente imagen. Sustituya *`WORKLOAD_OWNER_ACCOUNT_ID`* por el ID de cuenta del propietario de la carga de trabajo y seleccione **Siguiente**. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "wellarchitected.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*"
                   }
               }
           }
       ]
   }
   ```

------  
![\[Captura de pantalla de la Política de confianza personalizada en la consola de IAM.\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/userguide/images/custom-trust-policy.png)
**nota**  
El `aws:sourceArn` en el bloque de condiciones de la política de confianza personalizada anterior es `"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`, que es una condición genérica que establece que este rol puede ser utilizado por AWS WA Tool para todas las cargas de trabajo del propietario de la carga de trabajo. Sin embargo, el acceso se puede limitar a un ARN de carga de trabajo específico o a un conjunto de ARN de carga de trabajo. Para especificar varios ARN, consulte el ejemplo de una política de confianza.  

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "wellarchitected.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                   "aws:SourceAccount": "111122223333"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": [
                       "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1",
       "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2"
                       ]
                   }
               }
           }
       ]
   }
   ```

1. En la página **Agregar permisos**, en las **Políticas de permisos**, seleccione **Crear política** para dar acceso a AWS WA Tool a los datos de lectura de Trusted Advisor. Al seleccionar **Crear política**, se abre una ventana nueva.
**nota**  
Además, tiene la opción de omitir la creación de los permisos durante la creación del rol y crear una política en línea después de crear el rol. Elija **Ver rol** en el mensaje de creación correcta del rol y seleccione **Crear política integrada** en el menú desplegable **Agregar permisos** de la pestaña **Permisos**.

1. Copie y pegue la siguiente **Política de permisos** en el editor JSON. En el ARN de `Resource`, sustituya *`YOUR_ACCOUNT_ID`* con su propio ID de cuenta, especifique la región o un asterisco (`*`) y seleccione **Siguiente: etiquetas**.

   Para obtener más información sobre los formatos ARN, consulte [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en la *Guía de referencia general de AWS*.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "trustedadvisor:DescribeCheckRefreshStatuses",
                   "trustedadvisor:DescribeCheckSummaries",
                   "trustedadvisor:DescribeRiskResources",
                   "trustedadvisor:DescribeAccount",
                   "trustedadvisor:DescribeRisk",
                   "trustedadvisor:DescribeAccountAccess",
                   "trustedadvisor:DescribeRisks",
                   "trustedadvisor:DescribeCheckItems"
               ],
               "Resource": [
                   "arn:aws:trustedadvisor:*:111122223333:checks/*"
               ]
           }
       ]
   }
   ```

------

1. Si Trusted Advisor está activado para una carga de trabajo y la **Definición de recursos** está configurada como **AppRegistry** o **Todas**, todas las cuentas que posean un recurso en la aplicación AppRegistry adjunta a la carga de trabajo deberán añadir el siguiente permiso a la **política de permisos** de su rol de Trusted Advisor.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DiscoveryPermissions",
               "Effect": "Allow",
               "Action": [
                   "servicecatalog:ListAssociatedResources",
                   "tag:GetResources",
                   "servicecatalog:GetApplication",
                   "resource-groups:ListGroupResources",
                   "cloudformation:DescribeStacks",
                   "cloudformation:ListStackResources"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. (Opcional) Añada etiquetas. Seleccione **Siguiente: revisar**.

1. Revise la política de precisión, asígnele un nombre y seleccione **Crear política**.

1. En la página **Agregar permisos** para el rol, seleccione el nombre de la política que acaba de crear y, a continuación, seleccione **Siguiente**. 

1. Introduzca el **Nombre del rol**, que debe usar la siguiente sintaxis: `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` y seleccione **Crear rol**. Sustituya *`WORKLOAD_OWNER_ACCOUNT_ID`* por el ID de cuenta del propietario de la carga de trabajo.

   En la parte superior de la página, verá un mensaje en el que se indica que el rol se creó. 

1. Para ver el rol y la política de permisos asociada, en el panel de navegación izquierdo, en **Administración de acceso**, seleccione **Roles** y busque el nombre de `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`. Seleccione el nombre del rol para comprobar que los **Permisos** y las **Relaciones de confianza** son correctas.

# Desactivar Trusted Advisor para una carga de trabajo
<a name="deactivate-ta-for-workload"></a>

**Desactivar Trusted Advisor para una carga de trabajo**

Puede desactivar Trusted Advisor para cualquier carga de trabajo de AWS Well-Architected Tool editando su carga de trabajo y deseleccionando **Activar Trusted Advisor**. Para obtener más información sobre editar cargas de trabajo, consulte [Edición de una carga de trabajo en AWS Well-Architected Tool](workloads-edit.md). 

La desactivación de Trusted Advisor desde AWS WA Tool no elimina los roles creados en IAM. La eliminación de roles de IAM requiere una medida de limpieza independiente. Los propietarios de las cargas de trabajo o los propietarios de las cuentas asociadas deben eliminar los roles de IAM creados cuando Trusted Advisor esté desactivado en AWS WA Tool, o impedir que AWS WA Tool recopile datos de Trusted Advisor para la carga de trabajo. 

**Eliminar el `WellArchitectedRoleForTrustedAdvisor` en IAM**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en la [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la consola de **IAM**, seleccione **Roles**.

1. Busque `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` y seleccione el nombre del rol.

1. Seleccione **Eliminar**. En la ventana emergente, escriba el nombre del rol para confirmar la eliminación y vuelva a seleccionar **Eliminar**.

Para obtener más información sobre cómo eliminar un rol de IAM, consulte [Eliminar un rol de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-managingrole-deleting-console) en la *Guía del usuario de IAM*.