# Activar Trusted Advisor para una carga de trabajo **nota** Los propietarios de las cargas de trabajo deben **Activar la compatibilidad con Discovery** para sus cuentas antes de crear una carga de trabajo de Trusted Advisor. Al seleccionar **Activar la compatibilidad con Discovery**, se crea el rol necesario para el propietario de la carga de trabajo. Siga los pasos siguientes para todas las demás cuentas asociadas. Los propietarios de las cuentas asociadas a las cargas de trabajo que hayan activado Trusted Advisor deben crear un rol en IAM para poder ver la información de Trusted Advisor en AWS Well-Architected Tool. **Crear un rol en IAM para AWS WA Tool para obtener información de Trusted Advisor** 1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en la [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. En el panel de navegación de la consola de **IAM**, seleccione **Roles** y, a continuación, seleccione **Crear rol**. 1. En **Tipo de entidad de confianza**, seleccione **Política de confianza personalizada**. 1. Copie y pegue la siguiente **Política de confianza personalizada** en el campo JSON de la consola de **IAM**, como se muestra en la siguiente imagen. Sustituya *`WORKLOAD_OWNER_ACCOUNT_ID`* por el ID de cuenta del propietario de la carga de trabajo y seleccione **Siguiente**. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*" } } } ] } ``` ------ ![\[Captura de pantalla de la Política de confianza personalizada en la consola de IAM.\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/userguide/images/custom-trust-policy.png) **nota** El `aws:sourceArn` en el bloque de condiciones de la política de confianza personalizada anterior es `"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`, que es una condición genérica que establece que este rol puede ser utilizado por AWS WA Tool para todas las cargas de trabajo del propietario de la carga de trabajo. Sin embargo, el acceso se puede limitar a un ARN de carga de trabajo específico o a un conjunto de ARN de carga de trabajo. Para especificar varios ARN, consulte el ejemplo de una política de confianza. **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1", "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2" ] } } } ] } ``` 1. En la página **Agregar permisos**, en las **Políticas de permisos**, seleccione **Crear política** para dar acceso a AWS WA Tool a los datos de lectura de Trusted Advisor. Al seleccionar **Crear política**, se abre una ventana nueva. **nota** Además, tiene la opción de omitir la creación de los permisos durante la creación del rol y crear una política en línea después de crear el rol. Elija **Ver rol** en el mensaje de creación correcta del rol y seleccione **Crear política integrada** en el menú desplegable **Agregar permisos** de la pestaña **Permisos**. 1. Copie y pegue la siguiente **Política de permisos** en el editor JSON. En el ARN de `Resource`, sustituya *`YOUR_ACCOUNT_ID`* con su propio ID de cuenta, especifique la región o un asterisco (`*`) y seleccione **Siguiente: etiquetas**. Para obtener más información sobre los formatos ARN, consulte [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en la *Guía de referencia general de AWS*. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeCheckRefreshStatuses", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeRiskResources", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeRisk", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeRisks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "arn:aws:trustedadvisor:*:111122223333:checks/*" ] } ] } ``` ------ 1. Si Trusted Advisor está activado para una carga de trabajo y la **Definición de recursos** está configurada como **AppRegistry** o **Todas**, todas las cuentas que posean un recurso en la aplicación AppRegistry adjunta a la carga de trabajo deberán añadir el siguiente permiso a la **política de permisos** de su rol de Trusted Advisor. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DiscoveryPermissions", "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "tag:GetResources", "servicecatalog:GetApplication", "resource-groups:ListGroupResources", "cloudformation:DescribeStacks", "cloudformation:ListStackResources" ], "Resource": "*" } ] } ``` ------ 1. (Opcional) Añada etiquetas. Seleccione **Siguiente: revisar**. 1. Revise la política de precisión, asígnele un nombre y seleccione **Crear política**. 1. En la página **Agregar permisos** para el rol, seleccione el nombre de la política que acaba de crear y, a continuación, seleccione **Siguiente**. 1. Introduzca el **Nombre del rol**, que debe usar la siguiente sintaxis: `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` y seleccione **Crear rol**. Sustituya *`WORKLOAD_OWNER_ACCOUNT_ID`* por el ID de cuenta del propietario de la carga de trabajo. En la parte superior de la página, verá un mensaje en el que se indica que el rol se creó. 1. Para ver el rol y la política de permisos asociada, en el panel de navegación izquierdo, en **Administración de acceso**, seleccione **Roles** y busque el nombre de `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`. Seleccione el nombre del rol para comprobar que los **Permisos** y las **Relaciones de confianza** son correctas.