# Activation dans l’AWS WA Tool de la prise en charge d’autres services AWS
L’activation de l’accès à l’organisation permet à l’AWS Well-Architected Tool de recueillir des informations sur la structure de votre organisation afin de partager les ressources plus facilement (voir [Activation du partage des ressources au sein d’AWS Organizations](sharing.md#getting-started-sharing-orgs) pour plus d’informations). L’activation de la prise en charge Discovery permet de recueillir des informations à partir d’[AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html), d’[AWS Service Catalog AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html) et des ressources connexes (telles que les piles CloudFormation dans les collections de ressources AppRegistry) afin de vous aider à découvrir plus facilement les informations nécessaires pour répondre aux questions d’examen Well-Architected et adapter les vérifications Trusted Advisor à une charge de travail.
L’activation de la prise en charge pour AWS Organizations ou l’activation de la prise en charge Discovery crée automatiquement un rôle lié à un service pour votre compte.
**Pour activer la prise en charge d’autres services avec lesquels l’AWS WA Tool peut interagir, accédez à Paramètres.**
1. Pour recueillir des informations auprès d’AWS Organizations, activez l’option **Activer la prise en charge AWS Organizations**.
1. Activez l’option **Activer la prise en charge Discovery** pour recueillir des informations auprès d’autres services et ressources AWS.
1. Sélectionnez **Afficher les autorisations des rôles** pour consulter les autorisations de rôle liées à un service ou les politiques de relations d’approbation.
1. Sélectionnez **Enregistrer les paramètres**.
# Activation d’AppRegistry pour une charge de travail
L’utilisation d’AppRegistry est facultative, et les clients AWS Business Support et Enterprise Support peuvent l’activer pour chaque charge de travail.
Chaque fois que la prise en charge Discovery est activée et qu’AppRegistry est associé à une charge de travail nouvelle ou existante, l’AWS Well-Architected Tool crée un groupe d’attributs géré par le service. Le groupe d’attributs **Metadata** dans AppRegistry contient l’ARN de la charge de travail, le nom de la charge de travail et les risques associés à la charge de travail.
+ Lorsque la prise en charge Discovery est activée, chaque fois que la charge de travail est modifiée, le groupe d’attributs est mis à jour.
+ Lorsque la prise en charge Discovery est désactivée ou que l’application est supprimée de la charge de travail, les informations de charge de travail sont supprimées d’AWS Service Catalog.
Si vous souhaitez qu’une application AppRegistry gère les données récupérées de Trusted Advisor, définissez le paramètre **Définition de ressource** de votre charge de travail sur **AppRegistry** ou **Tous**. Créez des rôles pour tous les comptes qui possèdent des ressources dans votre application en suivant les instructions fournies dans [Activation de Trusted Advisor pour une charge de travail dans IAM](activate-ta-in-iam.md).
# Activation d’AWS Trusted Advisor pour une charge de travail
En option, vous pouvez intégrer AWS Trusted Advisor et l’activer pour chaque charge de travail pour les clients AWS Business Support et Enterprise Support. Aucun coût ne s’applique à l’intégration de Trusted Advisor à l’AWS WA Tool, mais pour connaître les informations de tarification de Trusted Advisor, consultez [Plans de support AWS](https://docs.aws.amazon.com/awssupport/latest/user/aws-support-plans.html). L’activation de Trusted Advisor pour les charges de travail peut vous fournir une approche automatisée et surveillée plus complète pour examiner et optimiser vos charges de travail AWS. Cela peut vous aider à améliorer la fiabilité, la sécurité, les performances et l’optimisation des coûts de vos charges de travail.
**Pour activer Trusted Advisor pour une charge de travail**
1. Pour activer Trusted Advisor, les propriétaires de charge de travail peuvent utiliser l’AWS WA Tool pour mettre à jour une charge de travail existante ou créer une nouvelle charge de travail en choisissant **Définir une charge de travail**.
1. Entrez un identifiant de compte utilisé par Trusted Advisor dans le champ **ID de compte**, sélectionnez un ARN d’application dans le champ **Application**, ou effectuez les deux opérations pour activer Trusted Advisor.
1. Dans la section **AWS Trusted Advisor**, sélectionnez **Activer Trusted Advisor**.
![\[Capture d’écran de la section Activer Trusted Advisor lors de la définition d’une charge de travail.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/latest/userguide/images/defining-workload-activate-ta-support.png)
1. La notification **La fonction du service IAM sera créée** s’affiche la première fois que Trusted Advisor est activé pour une charge de travail. Si vous choisissez **Afficher les autorisations**, les autorisations du rôle IAM s’affichent. Vous pouvez voir le **Nom du rôle**, ainsi que les **Autorisations** et **Relations d’approbation** que JSON a automatiquement créées pour vous dans IAM. Une fois le rôle créé, pour les charges de travail suivantes activant **Trusted Advisor**, seule la notification **Configuration supplémentaire requise** est affichée.
1. Dans le menu déroulant **Définition de ressource**, vous pouvez sélectionner **Métadonnées de charge de travail**, **AppRegistry** ou **Tout**. La sélection de **Définition de ressource** définit les données que l’AWS WA Tool récupère auprès de Trusted Advisor pour fournir les vérifications de statut dans l’examen de la charge de travail qui correspondent aux bonnes pratiques Well-Architected.
**Métadonnées de charge de travail** : la charge de travail est définie par les ID de compte et les Régions AWS spécifiées dans la charge de travail.
**AppRegistry** : la charge de travail est définie par les ressources (telles que les piles CloudFormation) présentes dans l’application AppRegistry associée à la charge de travail.
**Tous** : la charge de travail est définie à la fois par les métadonnées de charge de travail et par les ressources AppRegistry.
1. Choisissez **Suivant**.
1. Appliquez le **cadre AWS Well-Architected** à votre charge de travail et choisissez **Définir une charge de travail**. Les vérifications Trusted Advisor sont liées uniquement au cadre AWS Well-Architected, et non à d’autres objectifs.
L’AWS WA Tool obtient régulièrement des données de Trusted Advisor en utilisant les rôles créés dans IAM. Le rôle IAM est automatiquement créé pour le propriétaire de charge de travail. Toutefois, pour consulter les informations de Trusted Advisor, les propriétaires de tous les comptes associés à la charge de travail doivent accéder à IAM et créer un rôle. Consultez [Activation de Trusted Advisor pour une charge de travail dans IAM](activate-ta-in-iam.md) pour plus de détails. Si ce rôle n’existe pas, l’AWS WA Tool ne peut pas obtenir les informations de Trusted Advisor pour ce compte et affiche un message d’erreur.
Pour plus d’informations sur la création d’un rôle dans Gestion des identités et des accès AWS (IAM), consultez [Création d’un rôle pour un service AWS (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) dans le *Guide de l’utilisateur IAM*.
# Activation de Trusted Advisor pour une charge de travail dans IAM
**Note**
Les propriétaires d’une charge de travail doivent **activer la prise en charge Discovery** pour leur compte avant de créer une charge de travail Trusted Advisor. Le choix d’**activer la prise en charge Discovery** crée le rôle requis pour le propriétaire de charge de travail. Suivez les étapes ci-dessous pour tous les autres comptes associés.
Les propriétaires des comptes associés aux charges de travail qui ont activé Trusted Advisor doivent créer un rôle dans IAM pour voir les informations de Trusted Advisor dans l’AWS Well-Architected Tool.
**Pour créer un rôle dans IAM afin que l’AWS WA Tool obtienne des informations auprès de Trusted Advisor**
1. Connectez-vous à la AWS Management Console et ouvrez la console IAM sur [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation de la console **IAM**, choisissez **Rôles**, puis **Créer un rôle**.
1. Pour **Type d’entité approuvée**, choisissez **Stratégie d’approbation personnalisée**.
1. Copiez et collez la **stratégie d’approbation personnalisée** suivante dans le champ JSON de la console **IAM**, comme illustré dans l’image suivante. Remplacez *`WORKLOAD_OWNER_ACCOUNT_ID`* par l’ID de compte du propriétaire de charge de travail, puis choisissez **Suivant**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "wellarchitected.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*"
}
}
}
]
}
```
------
![\[Capture d’écran de la page Stratégie d’approbation personnalisée dans la console IAM.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/latest/userguide/images/custom-trust-policy.png)
**Note**
L’élément `aws:sourceArn` dans le bloc conditionnel de la politique d’approbation personnalisée précédente est `"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`, qui est une condition générique indiquant que ce rôle peut être utilisé par l’AWS WA Tool pour toutes les charges de travail du propriétaire de charge de travail. Toutefois, l’accès peut être réduit à l’ARN d’une charge de travail spécifique ou à un ensemble d’ARN de charges de travail. Pour spécifier plusieurs ARN, consultez l’exemple de politique d’approbation suivant.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "wellarchitected.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1",
"arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2"
]
}
}
}
]
}
```
1. Sur la page **Ajouter des autorisations**, pour **Politiques des autorisations**, choisissez **Créer une politique** pour autoriser l’AWS WA Tool à accéder aux données de lecture de Trusted Advisor. Lorsque vous sélectionnez **Créer une politique**, une nouvelle fenêtre s’ouvre.
**Note**
En outre, vous avez la possibilité de ne pas créer les autorisations lors de la création du rôle et de créer une politique en ligne après avoir créé le rôle. Choisissez **Afficher le rôle** dans le message de création de rôle réussie, puis sélectionnez **Créer une politique en ligne** dans le menu déroulant **Ajouter des autorisations** de l’onglet **Autorisations**.
1. Copiez et collez la **politique des autorisations** suivante dans le champ JSON. Dans l’ARN `Resource`, remplacez *`YOUR_ACCOUNT_ID`* par votre propre ID de compte, spécifiez la région ou un astérisque (`*`), puis choisissez **Suivant : Balises**.
Pour plus d’informations sur les formats ARN, consultez [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dans le *Guide de référence générale AWS*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeCheckRefreshStatuses",
"trustedadvisor:DescribeCheckSummaries",
"trustedadvisor:DescribeRiskResources",
"trustedadvisor:DescribeAccount",
"trustedadvisor:DescribeRisk",
"trustedadvisor:DescribeAccountAccess",
"trustedadvisor:DescribeRisks",
"trustedadvisor:DescribeCheckItems"
],
"Resource": [
"arn:aws:trustedadvisor:*:111122223333:checks/*"
]
}
]
}
```
------
1. Si Trusted Advisor est activé pour une charge de travail et que **Définition de ressource** a pour valeur **AppRegistry** ou **Tous**, tous les comptes qui possèdent une ressource dans l’application AppRegistry attachée à la charge de travail doivent ajouter l’autorisation suivante à la **politique des autorisations** de leur rôle Trusted Advisor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DiscoveryPermissions",
"Effect": "Allow",
"Action": [
"servicecatalog:ListAssociatedResources",
"tag:GetResources",
"servicecatalog:GetApplication",
"resource-groups:ListGroupResources",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources"
],
"Resource": "*"
}
]
}
```
------
1. (Facultatif) Ajoutez des balises. Choisissez **Suivant : Vérification**.
1. Examinez la stratégie, attribuez-lui un nom et sélectionnez **Créer une politique**.
1. Sur la page **Ajouter des autorisations** pour le rôle, sélectionnez le nom de la politique que vous venez de créer, puis sélectionnez **Suivant**.
1. Entrez le **nom du rôle**, qui doit utiliser la syntaxe suivante : `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` et choisissez **Créer un rôle**. Remplacez *`WORKLOAD_OWNER_ACCOUNT_ID`* par l’ID de compte du propriétaire de charge de travail.
Vous devriez recevoir un message de réussite en haut de la page indiquant que le rôle a été créé.
1. Pour consulter le rôle et la politique d’autorisations associée, dans le volet de navigation de gauche, sous **Gestion des accès**, choisissez **Rôles** et recherchez le nom `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`. Sélectionnez le nom du rôle pour vérifier que les **autorisations** et les **relations d’approbation** sont correctes.
# Désactivation de Trusted Advisor pour une charge de travail
**Pour désactiver Trusted Advisor pour une charge de travail**
Vous pouvez désactiver Trusted Advisor pour n’importe quelle charge de travail depuis l’AWS Well-Architected Tool en modifiant votre charge de travail et en désélectionnant **Activer Trusted Advisor**. Pour plus d’informations sur la modification des charges de travail, consultez [Modification d’une charge de travail dans AWS Well-Architected Tool](workloads-edit.md).
La désactivation de Trusted Advisor depuis l’AWS WA Tool ne supprime pas les rôles créés dans IAM. La suppression des rôles dans IAM nécessite une mesure de nettoyage distincte. Les propriétaires de charge de travail ou les propriétaires de comptes associés doivent supprimer les rôles IAM créés lors de la désactivation de Trusted Advisor dans l’AWS WA Tool, ou pour empêcher l’AWS WA Tool de collecter des données Trusted Advisor pour la charge de travail.
**Pour supprimer `WellArchitectedRoleForTrustedAdvisor` dans IAM**
1. Connectez-vous à la AWS Management Console et ouvrez la console IAM sur [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation de la console **IAM**, choisissez **Rôles**.
1. Recherchez `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` et sélectionnez le nom du rôle.
1. Sélectionnez **Supprimer**. Dans la fenêtre contextuelle, saisissez le nom du rôle pour confirmer la suppression, puis sélectionnez à nouveau **Supprimer**.
Pour plus d’informations sur la suppression d’un rôle dans IAM, consultez [Suppression d’un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-managingrole-deleting-console) dans le *Guide de l’utilisateur IAM*.