# Activation de Trusted Advisor pour une charge de travail dans IAM **Note** Les propriétaires d’une charge de travail doivent **activer la prise en charge Discovery** pour leur compte avant de créer une charge de travail Trusted Advisor. Le choix d’**activer la prise en charge Discovery** crée le rôle requis pour le propriétaire de charge de travail. Suivez les étapes ci-dessous pour tous les autres comptes associés. Les propriétaires des comptes associés aux charges de travail qui ont activé Trusted Advisor doivent créer un rôle dans IAM pour voir les informations de Trusted Advisor dans l’AWS Well-Architected Tool. **Pour créer un rôle dans IAM afin que l’AWS WA Tool obtienne des informations auprès de Trusted Advisor** 1. Connectez-vous à la AWS Management Console et ouvrez la console IAM sur [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Dans le volet de navigation de la console **IAM**, choisissez **Rôles**, puis **Créer un rôle**. 1. Pour **Type d’entité approuvée**, choisissez **Stratégie d’approbation personnalisée**. 1. Copiez et collez la **stratégie d’approbation personnalisée** suivante dans le champ JSON de la console **IAM**, comme illustré dans l’image suivante. Remplacez *`WORKLOAD_OWNER_ACCOUNT_ID`* par l’ID de compte du propriétaire de charge de travail, puis choisissez **Suivant**. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*" } } } ] } ``` ------ ![\[Capture d’écran de la page Stratégie d’approbation personnalisée dans la console IAM.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/latest/userguide/images/custom-trust-policy.png) **Note** L’élément `aws:sourceArn` dans le bloc conditionnel de la politique d’approbation personnalisée précédente est `"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`, qui est une condition générique indiquant que ce rôle peut être utilisé par l’AWS WA Tool pour toutes les charges de travail du propriétaire de charge de travail. Toutefois, l’accès peut être réduit à l’ARN d’une charge de travail spécifique ou à un ensemble d’ARN de charges de travail. Pour spécifier plusieurs ARN, consultez l’exemple de politique d’approbation suivant. **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1", "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2" ] } } } ] } ``` 1. Sur la page **Ajouter des autorisations**, pour **Politiques des autorisations**, choisissez **Créer une politique** pour autoriser l’AWS WA Tool à accéder aux données de lecture de Trusted Advisor. Lorsque vous sélectionnez **Créer une politique**, une nouvelle fenêtre s’ouvre. **Note** En outre, vous avez la possibilité de ne pas créer les autorisations lors de la création du rôle et de créer une politique en ligne après avoir créé le rôle. Choisissez **Afficher le rôle** dans le message de création de rôle réussie, puis sélectionnez **Créer une politique en ligne** dans le menu déroulant **Ajouter des autorisations** de l’onglet **Autorisations**. 1. Copiez et collez la **politique des autorisations** suivante dans le champ JSON. Dans l’ARN `Resource`, remplacez *`YOUR_ACCOUNT_ID`* par votre propre ID de compte, spécifiez la région ou un astérisque (`*`), puis choisissez **Suivant : Balises**. Pour plus d’informations sur les formats ARN, consultez [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dans le *Guide de référence générale AWS*. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeCheckRefreshStatuses", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeRiskResources", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeRisk", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeRisks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "arn:aws:trustedadvisor:*:111122223333:checks/*" ] } ] } ``` ------ 1. Si Trusted Advisor est activé pour une charge de travail et que **Définition de ressource** a pour valeur **AppRegistry** ou **Tous**, tous les comptes qui possèdent une ressource dans l’application AppRegistry attachée à la charge de travail doivent ajouter l’autorisation suivante à la **politique des autorisations** de leur rôle Trusted Advisor. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DiscoveryPermissions", "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "tag:GetResources", "servicecatalog:GetApplication", "resource-groups:ListGroupResources", "cloudformation:DescribeStacks", "cloudformation:ListStackResources" ], "Resource": "*" } ] } ``` ------ 1. (Facultatif) Ajoutez des balises. Choisissez **Suivant : Vérification**. 1. Examinez la stratégie, attribuez-lui un nom et sélectionnez **Créer une politique**. 1. Sur la page **Ajouter des autorisations** pour le rôle, sélectionnez le nom de la politique que vous venez de créer, puis sélectionnez **Suivant**. 1. Entrez le **nom du rôle**, qui doit utiliser la syntaxe suivante : `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` et choisissez **Créer un rôle**. Remplacez *`WORKLOAD_OWNER_ACCOUNT_ID`* par l’ID de compte du propriétaire de charge de travail. Vous devriez recevoir un message de réussite en haut de la page indiquant que le rôle a été créé. 1. Pour consulter le rôle et la politique d’autorisations associée, dans le volet de navigation de gauche, sous **Gestion des accès**, choisissez **Rôles** et recherchez le nom `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`. Sélectionnez le nom du rôle pour vérifier que les **autorisations** et les **relations d’approbation** sont correctes.