# Mengaktifkan Trusted Advisor untuk beban kerja di IAM **catatan** Pemilik beban kerja harus memilih opsi **Aktifkan dukungan Penemuan** untuk akun mereka sebelum membuat beban kerja Trusted Advisor. Memilih opsi **Aktifkan dukungan Penemuan** akan membuat peran yang diperlukan untuk pemilik beban kerja. Gunakan langkah-langkah berikut untuk semua akun terkait lainnya. Pemilik akun terkait untuk beban kerja yang telah mengaktifkan Trusted Advisor harus membuat peran dalam IAM untuk melihat informasi Trusted Advisor di AWS Well-Architected Tool. **Untuk membuat peran dalam IAM AWS WA Tool guna mendapatkan informasi dari Trusted Advisor** 1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi konsol **IAM**, pilih **Peran**, lalu pilih **Buat peran**. 1. Di bagian **Jenis entitas tepercaya**, pilih **Kebijakan kepercayaan kustom**. 1. Salin dan tempelkan **Kebijakan kepercayaan kustom** berikut ke bidang JSON di konsol **IAM**, seperti yang ditunjukkan pada gambar berikut. Ganti *`WORKLOAD_OWNER_ACCOUNT_ID`* dengan ID akun pemilik beban kerja, dan pilih **Berikutnya**. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*" } } } ] } ``` ------ ![\[Tangkapan layar Kebijakan kepercayaan kustom di konsol IAM.\]](http://docs.aws.amazon.com/id_id/wellarchitected/latest/userguide/images/custom-trust-policy.png) **catatan** `aws:sourceArn` di blok kondisi dalam kebijakan kepercayaan kustom sebelumnya adalah`"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`, yang merupakan kondisi umum yang menyatakan peran ini dapat digunakan AWS WA Tool untuk semua beban kerja dari pemilik beban kerja. Namun, akses dapat dipersempit ke ARN beban kerja tertentu, atau set ARN beban kerja. Untuk menentukan beberapa ARN, lihat contoh kebijakan kepercayaan berikut. **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1", "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2" ] } } } ] } ``` 1. Pada halaman **Tambahkan izin**, untuk **Kebijakan Izin**, pilih **Buat kebijakan** untuk memberi AWS WA Tool akses untuk membaca data dari Trusted Advisor. Memilih opsi **Buat kebijakan** akan membuka jendela baru. **catatan** Selain itu, Anda memiliki opsi untuk melewati pembuatan izin selama pembuatan peran dan membuat kebijakan inline setelah membuat peran. Pilih **Lihat peran** dalam pesan pembuatan peran berhasil dan pilih **Buat kebijakan inline** dari menu dropdown **Tambahkan izin** di tab **Izin**. 1. Salin dan tempelkan **Kebijakan izin** berikut ke dalam bidang JSON. Di `Resource` ARN, ganti *`YOUR_ACCOUNT_ID`* dengan ID akun Anda sendiri, tentukan Wilayah atau tanda bintang (`*`), dan pilih **Berikutnya: Tanda**. Untuk detail tentang format ARN, lihat [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dalam *Panduan Referensi Umum AWS*. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeCheckRefreshStatuses", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeRiskResources", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeRisk", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeRisks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "arn:aws:trustedadvisor:*:111122223333:checks/*" ] } ] } ``` ------ 1. Jika Trusted Advisor diaktifkan untuk beban kerja dan **Definisi sumber daya** ditetapkan ke **AppRegistry** atau **Semua**, semua akun yang memiliki sumber daya dalam aplikasi AppRegistry yang dilampirkan ke beban kerja tersebut harus menambahkan izin berikut ke **Kebijakan izin** untuk peran Trusted Advisor-nya. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DiscoveryPermissions", "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "tag:GetResources", "servicecatalog:GetApplication", "resource-groups:ListGroupResources", "cloudformation:DescribeStacks", "cloudformation:ListStackResources" ], "Resource": "*" } ] } ``` ------ 1. (Opsional) Tambahkan tanda. Pilih **Berikutnya: Tinjauan**. 1. Tinjau kebijakan, beri nama, dan pilih **Buat kebijakan**. 1. Pada halaman **Tambahkan izin** untuk peran tersebut, pilih nama kebijakan yang baru saja Anda buat, lalu pilih **Berikutnya**. 1. Masukkan **Nama peran**, yang harus menggunakan sintaks berikut: `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` dan pilih **Buat peran**. Ganti *`WORKLOAD_OWNER_ACCOUNT_ID`* dengan ID akun pemilik beban kerja. Anda akan mendapatkan pesan berhasil di bagian atas halaman yang memberi tahu Anda bahwa peran telah dibuat. 1. Untuk melihat peran dan kebijakan izin terkait, di panel navigasi kiri pada bagian **Manajemen akses**, pilih **Peran** dan cari nama `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`. Pilih nama peran untuk memverifikasi bahwa **Izin** dan **Hubungan kepercayaan** sudah benar.