# Attivazione del supporto nello AWS WA Tool per altri servizi AWS
<a name="activate-integrations"></a>

L'attivazione dell'accesso per l'organizzazione consente allo AWS Well-Architected Tool di raccogliere informazioni sulla struttura dell'organizzazione per condividere le risorse più facilmente (per ulteriori informazioni, consulta [Attiva la condivisione delle risorse all’interno di AWS Organizations](sharing.md#getting-started-sharing-orgs)). L'attivazione del supporto per l'identificazione consente di raccogliere informazioni da [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html), da [AWS Service Catalog AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html) e dalle risorse correlate (come gli stack CloudFormation nelle raccolte di risorse di AppRegistry) per aiutarti a scoprire più facilmente le informazioni necessarie per rispondere alle domande di revisione di Well-Architected e personalizzare i controlli di Trusted Advisor per un carico di lavoro. 

L'attivazione del supporto per AWS Organizations o l'attivazione del supporto per l'identificazione crea automaticamente un ruolo collegato al servizio per il tuo account. 

**Per attivare il supporto per altri servizi con cui AWS WA Tool può interagire, vai alle Impostazioni.**

1. Per raccogliere informazioni da AWS Organizations, attiva l'opzione **Attiva il supporto di AWS Organizations**. 

1. Per raccogliere informazioni da altri servizi e risorse AWS, attiva l'opzione **Attiva supporto all'individuazione**.

1. Seleziona **Visualizza le autorizzazioni del ruolo** per visualizzare le autorizzazioni dei ruoli collegati ai servizi o le policy delle relazioni di attendibilità.

1. Seleziona **Salva impostazioni**.

# Attivazione di AppRegistry per un carico di lavoro
<a name="activate-appregistry"></a>

L'utilizzo di AppRegistry è facoltativo e i clienti con supporto AWS Business ed Enterprise possono attivare questa applicazione singolarmente per ogni carico di lavoro.

Ogni volta che il supporto all'individuazione è attivato e che AppRegistry è associata a un carico di lavoro nuovo o esistente, AWS Well-Architected Tool crea un gruppo di attributi gestito dal servizio. Il gruppo di attributi **Metadata** in AppRegistry contiene l'ARN del carico di lavoro, il nome del carico di lavoro e i rischi associati al carico di lavoro. 
+  Quando il supporto all'individuazione è attivato, ogni volta che viene apportata una modifica al carico di lavoro, il gruppo di attributi viene aggiornato.
+  Quando il supporto all'individuazione è disattivato o l'applicazione viene rimossa dal carico di lavoro, le informazioni sul carico di lavoro vengono rimosse da AWS Service Catalog.

Se desideri che un'applicazione AppRegistry gestisca i dati recuperati da Trusted Advisor, imposta il campo **Definizione della risorsa** del carico di lavoro su **AppRegistry** o su **Tutti**. Crea ruoli per tutti gli account che possiedono le risorse nella tua applicazione seguendo le linee guida in [Attivazione di Trusted Advisor per un carico di lavoro in IAM](activate-ta-in-iam.md). 

# Attivazione di AWS Trusted Advisor per un carico di lavoro
<a name="activate-ta-for-workload"></a>

È inoltre possibile integrare AWS Trusted Advisor ed eseguirne l'attivazione singolarmente per ogni carico di lavoro per i clienti con supporto AWS Business ed Enterprise. L'integrazione di Trusted Advisor con lo AWS WA Tool non comporta costi; per i dettagli sui prezzi di Trusted Advisor, consulta [Piani di supporto AWS](https://docs.aws.amazon.com/awssupport/latest/user/aws-support-plans.html). L'attivazione di Trusted Advisor per i carichi di lavoro può fornirti un approccio più completo, automatizzato e monitorato alla revisione e all'ottimizzazione dei carichi di lavoro di AWS. In questo modo, è possibile migliorare l'affidabilità, la sicurezza, le prestazioni e l'ottimizzazione dei costi per i carichi di lavoro.

**Per attivare Trusted Advisor per un carico di lavoro**

1. Per attivare Trusted Advisor, i proprietari del carico di lavoro possono utilizzare AWS WA Tool per aggiornare un carico di lavoro esistente o crearne uno nuovo scegliendo **Definisci carico di lavoro**. 

1. Inserisci un ID account utilizzato da Trusted Advisor nel campo **ID account** o seleziona l'ARN di un'applicazione nel campo **Applicazione** oppure entrambi per attivare Trusted Advisor. 

1. Nella sezione **AWS Trusted Advisor**, seleziona **Attiva Trusted Advisor**.  
![\[Screenshot della sezione Attiva Trusted Advisor durante la definizione di un carico di lavoro.\]](http://docs.aws.amazon.com/it_it/wellarchitected/latest/userguide/images/defining-workload-activate-ta-support.png)

1. Una notifica che indica che il **ruolo di servizio IAM verrà creato** viene visualizzata in occasione della prima attivazione di Trusted Advisor per un carico di lavoro. Scegliendo **Visualizza autorizzazioni** vengono visualizzate le autorizzazioni del ruolo IAM. Puoi visualizzare il **nome del ruolo**, nonché le **autorizzazioni** e le **relazioni di attendibilità** create automaticamente da JSON in IAM. Dopo la creazione del ruolo, per i successivi carichi di lavoro che attivano** Trusted Advisor**, viene visualizzata solo la notifica **Configurazione aggiuntiva necessaria**. 

1. Nel menu a discesa **Definizione della risorsa**, puoi selezionare **Metadati del carico di lavoro**, **AppRegistry** o **Tutti**. La selezione effettuata nel campo **Definizione della risorsa** determina quali dati AWS WA Tool recupera da Trusted Advisor per fornire i controlli di stato nella revisione del carico di lavoro che corrispondono alle best practice di Well-Architected.

   **Metadati del carico di lavoro**: il carico di lavoro è definito dagli ID account e dalle Regioni AWS specificati nel carico di lavoro. 

   **AppRegistry**: il carico di lavoro è definito dalle risorse (come gli stack CloudFormation) presenti nell'applicazione AppRegistry associata al carico di lavoro.

   **Tutti**: il carico di lavoro è definito sia dai metadati del carico di lavoro che dalle risorse AppRegistry.

1. Seleziona **Successivo**. 

1. Applica il **AWS Well-Architected Framework** per il tuo carico di lavoro e scegli **Definisci carico di lavoro**. I controlli di Trusted Advisor sono collegati solo al AWS Well-Architected Framework e non ad altri obiettivi.

Lo AWS WA Tool recupera periodicamente i dati da Trusted Advisor utilizzando i ruoli creati in IAM. Il ruolo IAM viene creato automaticamente per il proprietario del carico di lavoro. Tuttavia, per visualizzare le informazioni di Trusted Advisor, i proprietari di qualsiasi account associato al carico di lavoro devono aprire IAM e creare un ruolo; per maggiori dettagli, consulta [Attivazione di Trusted Advisor per un carico di lavoro in IAM](activate-ta-in-iam.md). Se il ruolo non esiste, lo AWS WA Tool non può ottenere le informazioni di Trusted Advisor per tale account e visualizza un errore. 

Per ulteriori informazioni sulla creazione di un ruolo in AWS Identity and Access Management (IAM), consulta [Creating a role for an AWS service (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) nella *Guida per l'utente di IAM*.

# Attivazione di Trusted Advisor per un carico di lavoro in IAM
<a name="activate-ta-in-iam"></a>

**Nota**  
I proprietari dei carichi di lavoro devono attivare l'opzione **Attiva supporto all'individuazione** per il relativo account prima di creare un carico di lavoro di Trusted Advisor. La scelta di attivare l'opzione **Attiva supporto all'individuazione** crea il ruolo richiesto per il proprietario del carico di lavoro. Utilizza la seguente procedura per tutti gli altri account associati. 

I proprietari degli account associati per i carichi di lavoro che hanno attivato Trusted Advisor devono creare un ruolo in IAM per visualizzare le informazioni di Trusted Advisor nello AWS Well-Architected Tool.

**Per creare un ruolo in IAM affinché lo AWS WA Tool ottenga informazioni da Trusted Advisor**

1. Accedi alla Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione della console **IAM**, scegli **Ruoli** e poi **Crea ruolo**.

1. Sotto **Tipo di entità attendibile** scegli **Policy di attendibilità personalizzata**. 

1. Copia e incolla la seguente **policy di attendibilità personalizzata** nel campo JSON della console **IAM**, come mostrato nell'immagine seguente. Sostituisci *`WORKLOAD_OWNER_ACCOUNT_ID`* con l'ID account del proprietario del carico di lavoro e scegli **Avanti**. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "wellarchitected.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*"
                   }
               }
           }
       ]
   }
   ```

------  
![\[Schermata della policy di attendibilità personalizzata nella console IAM.\]](http://docs.aws.amazon.com/it_it/wellarchitected/latest/userguide/images/custom-trust-policy.png)
**Nota**  
Il valore `aws:sourceArn` nel blocco condizione della precedente policy di attendibilità personalizzata corrisponde a `"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`, che è una condizione generica che indica che il ruolo può essere utilizzato dallo AWS WA Tool per tutti i carichi di lavoro del proprietario del carico di lavoro in questione. Tuttavia, l'accesso può essere limitato a uno specifico ARN del carico di lavoro o a un set di ARN del carico di lavoro. Per specificare più ARN, vedi la seguente policy di attendibilità di esempio.  

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "wellarchitected.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                   "aws:SourceAccount": "111122223333"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": [
                       "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1",
       "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2"
                       ]
                   }
               }
           }
       ]
   }
   ```

1. Nella pagina **Aggiungi autorizzazioni**, per **Policy di autorizzazione** scegli **Crea policy** per concedere allo AWS WA Tool l'accesso ai dati in lettura da Trusted Advisor. Selezionando **Crea policy** si apre una nuova finestra.
**Nota**  
Inoltre, è possibile ignorare la creazione delle autorizzazioni durante la creazione del ruolo e creare una policy inline dopo la creazione del ruolo. Scegli **Visualizza ruolo** nel messaggio relativo alla corretta creazione del ruolo e seleziona **Crea policy inline** nel menu a discesa **Aggiungi autorizzazioni** della scheda **Autorizzazioni**.

1. Copia e incolla la seguente **policy di autorizzazione** nel campo JSON. Nell'ARN di `Resource`, sostituisci *`YOUR_ACCOUNT_ID`* con il tuo ID account, specifica la Regione o un asterisco (`*`) e scegli **Prossimo:Tag**.

   Per maggiori dettagli sui formati ARN, consulta [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) in *Riferimenti generali di AWS*.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "trustedadvisor:DescribeCheckRefreshStatuses",
                   "trustedadvisor:DescribeCheckSummaries",
                   "trustedadvisor:DescribeRiskResources",
                   "trustedadvisor:DescribeAccount",
                   "trustedadvisor:DescribeRisk",
                   "trustedadvisor:DescribeAccountAccess",
                   "trustedadvisor:DescribeRisks",
                   "trustedadvisor:DescribeCheckItems"
               ],
               "Resource": [
                   "arn:aws:trustedadvisor:*:111122223333:checks/*"
               ]
           }
       ]
   }
   ```

------

1. Se Trusted Advisor è attivato per un carico di lavoro e nel campo **Definizione della risorsa** è stato selezionato **AppRegistry** o **Tutti**, tutti gli account che possiedono una risorsa nell'applicazione AppRegistry collegate al carico di lavoro devono aggiungere la seguente autorizzazione alla **policy di autorizzazione** del proprio ruolo Trusted Advisor.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DiscoveryPermissions",
               "Effect": "Allow",
               "Action": [
                   "servicecatalog:ListAssociatedResources",
                   "tag:GetResources",
                   "servicecatalog:GetApplication",
                   "resource-groups:ListGroupResources",
                   "cloudformation:DescribeStacks",
                   "cloudformation:ListStackResources"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. (Opzionale) Aggiungi dei tag. Scegli **Prossimo: Rivedi**.

1. Controlla la policy, assegnale un nome e seleziona **Crea policy**.

1. Nella pagina **Aggiungi autorizzazioni** del ruolo, seleziona il nome della policy che hai appena creato, quindi seleziona **Avanti**. 

1. Inserisci il **nome del ruolo**, che deve utilizzare la seguente sintassi: `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`. Quindi scegli **Crea ruolo**. Sostituisci *`WORKLOAD_OWNER_ACCOUNT_ID`* con l'ID account del proprietario del carico di lavoro.

   Nella parte superiore della pagina dovrebbe comparire un messaggio di operazione riuscita che indica che il ruolo è stato creato. 

1. Per visualizzare il ruolo e la policy di autorizzazione associata, nel pannello di navigazione sinistro sotto **Gestione degli accessi**, scegli **Ruoli** e cerca il nome di `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`. Seleziona il nome del ruolo per verificare che le **autorizzazioni** e le **relazioni di attendibilità** siano corrette.

# Disattivazione di Trusted Advisor per un carico di lavoro
<a name="deactivate-ta-for-workload"></a>

**Per disattivare Trusted Advisor per un carico di lavoro**

Puoi disattivare Trusted Advisor per qualsiasi carico di lavoro dallo AWS Well-Architected Tool modificando il carico di lavoro e deselezionando **Attiva Trusted Advisor**. Per ulteriori informazioni sulla modifica dei carichi di lavoro, consulta [Modifica di un carico di lavoro in AWS Well-Architected Tool](workloads-edit.md). 

La disattivazione di Trusted Advisor dallo AWS WA Tool non comporta l'eliminazione dei ruoli creati in IAM. L'eliminazione dei ruoli da IAM richiede una misura di pulizia separata. I proprietari dei carichi di lavoro o i proprietari degli account associati devono eliminare i ruoli IAM creati quando Trusted Advisor è disattivato nello AWS WA Tool o arrestare la raccolta dei dati di Trusted Advisor dati per il carico di lavoro da parte di AWS WA Tool. 

**Per eliminare `WellArchitectedRoleForTrustedAdvisor` in IAM**

1. Accedi alla Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione della console **IAM**, scegli **Ruoli**.

1. Cerca `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` e seleziona il nome del ruolo.

1. Scegli **Elimina**. Nella finestra pop-up, digita il nome del ruolo per confermare l'eliminazione e seleziona nuovamente **Elimina**.

Per ulteriori informazioni sull'eliminazione di un ruolo da IAM, consulta [Deleting an IAM role (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-managingrole-deleting-console) nella *Guida per l'utente di IAM*.