# AWS WA Tool での他の AWS サービスのサポートの有効化
組織アクセスを有効にすると、AWS Well-Architected Tool は組織の構造に関する情報を収集して、リソースをより簡単に共有できるようになります (詳細については、「[AWS Organizations 内でリソース共有を有効にする](sharing.md#getting-started-sharing-orgs)」を参照してください)。Discovery サポートの有効化により、[AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html)、[AWS Service Catalog AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html)、関連リソース (AppRegistry リソースコレクションの CloudFormation スタックなど) から情報を収集することで、Well-Architected レビュー関連の質問の回答に必要な情報を簡単に検出でき、ワークロードの Trusted Advisor のチェックをカスタマイズできます。
AWS Organizations のサポートを有効化するか、Discovery サポートを有効化にすると、アカウントに対するサービスにリンクされたロールを自動作成できます。
**AWS WA Tool が相互作用できる他のサービスのサポートをオンにするには、[設定] に移動します。**
1. AWS Organizations から情報を収集するには「**AWS Organizations のサポートを有効化**」をオンにします。
1. **[Discovery サポートの有効化]** をオンにすると、その他 AWS サービスとリソースから情報を収集できます。
1. **[ロールの許可を表示]** を選択して、サービスにリンクされたロールアクセス許可または信頼関係ポリシーを確認します。
1. **[設定を保存]** を選択します。
# ワークロードの AppRegistry のアクティブ化
AppRegistry の使用はオプションであり、AWS ビジネスサポートおよびエンタープライズサポートのお客様はワークロードごとにアクティブ化できます。
Discovery のサポートが有効になっていて、AppRegistry が新規または既存のワークロードに関連付けられると、AWS Well-Architected Tool はサービス管理属性グループを作成します。AppRegistry の属性グループである**メタデータ**には、ワークロード ARN、ワークロード名、ワークロードに関連付けられたリスクが含まれます。
+ Discovery サポートをオンにすると、ワークロードが変更されるたびに、属性グループが更新されます。
+ Discovery サポートがオフになるか、アプリケーションがワークロードから削除されると、ワークロード情報は AWS Service Catalog から削除されます。
Trusted Advisor からフェッチしたデータを AppRegistry アプリケーションで起動したい場合、ワークロードの **[リソース定義]** を **[AppRegistry]** または **[すべて]** に設定します。[ワークロードに対して IAM で Trusted Advisor を有効化](activate-ta-in-iam.md) のガイドラインに従って、アプリケーションでリソースを保有するすべてのアカウントに対するロールを作成します。
# ワークロードの AWS Trusted Advisor のアクティブ化
AWS ビジネスサポートおよびエンタープライズサポートのお客様は、必要に応じて AWS Trusted Advisor と統合し、ワークロードごとにアクティブ化できます。Trusted Advisor とAWS WA Tool の統合には費用はかかりませんが、Trusted Advisor の価格詳細については、「[AWS サポートプラン](https://docs.aws.amazon.com/awssupport/latest/user/aws-support-plans.html)」を参照してください。ワークロードに対して Trusted Advisor をアクティブ化すると、AWS ワークロードのレビューと最適化に、自動化とモニタリングに対応するより包括的なアプローチを提供できます。これにより、ワークロードの信頼性、セキュリティ、パフォーマンス、コスト最適化を向上させることができます。
**ワークロードの Trusted Advisor をアクティブ化する**
1. Trusted Advisor をアクティブ化するには、ワークロード所有者は、AWS WA Tool を使用して、既存のワークロードを更新するか、**[ワークロードの定義]** を選択して新しいワークロードを作成します。
1. Trusted Advisor を有効にするには、**[アカウント ID]** フィールドに Trusted Advisor で使用する アカウント ID を入力するか、**[アプリケーション]** フィールドでアプリケーション ARN を選択するか、またはその両方を実行します。
1. [**AWS Trusted Advisor**] セクションで **[Trusted Advisor をアクティブ化する]** を選択します。
![\[ワークロードを定義する際の [Trusted Advisor をアクティブ化する] セクションのスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/wellarchitected/latest/userguide/images/defining-workload-activate-ta-support.png)
1. Trusted Advisor がワークロードに対して初めてアクティブ化されると、** IAM サービスロールが作成**される旨の通知が表示されます。**[許可を表示]** を選択すると、IAM ロールのアクセス許可が表示されます。JSON が IAM で自動作成した**ロール名**、**アクセス許可**および**信頼関係**を閲覧できます。ロールが作成されたら、**Trusted Advisor** をアクティブ化する後続のワークロードでは、**[追加のセットアップが必要です]** という通知が表示されます。
1. **[リソース定義]** ドロップダウンでは、**[ワークロードメタデータ]**、**[AppRegistry]**、または **[すべて]** を選択できます。**リソース定義**の選択では、Well-Architected のベストプラクティスに対応するワークロードレビューのステータスチェックを行うために、AWS WA Tool がどのデータを Trusted Advisor から取得するかを定義します。
**ワークロードメタデータ** — ワークロードはアカウント ID によって定義され、AWS リージョン は、ワークロード内で指定されます。
**AppRegistry** — ワークロードは、ワークロードに関連付けられた AppRegistry アプリケーションに存在するリソース (CloudFormation スタックなど) によって定義されます。
**すべて** — ワークロードはワークロードメタデータと AppRegistry リソースの両方によって定義されます。
1. [**次へ**] を選択します。
1. **AWS Well-Architected フレームワーク**をワークロードに適用して、**[ワークロードの定義]** を選択します。Trusted Advisor のチェックは、AWS Well-Architected フレームワークのみにリンクしており、その他レンズにはリンクしていません。
AWS WA Tool は IAM で作成されたロールを使用して、Trusted Advisor から定期的にデータを取得します。IAM ロールはワークロード所有者用に自動作成されます。ただし、Trusted Advisor 情報を表示するには、ワークロード上の関連アカウントの所有者が IAM にアクセスしてロールを作成する必要があります。詳細については、「[ワークロードに対して IAM で Trusted Advisor を有効化](activate-ta-in-iam.md)」を参照してください。このロールが存在しない場合、AWS WA Tool は、そのアカウントの Trusted Advisor 情報を取得できず、エラーが表示されます。
AWS Identity and Access Management (IAM) でのロール作成の詳細については、「**IAM ユーザーガイド」の「[AWS サービス用ロールの作成 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)」を参照してください。
# ワークロードに対して IAM で Trusted Advisor を有効化
**注記**
ワークロードの所有者は、Trusted Advisor ワークロードを作成する前に、自分のアカウントの **Discovery サポートの有効化**を実行する必要があります。**[Discovery サポートの有効化]** を選択すると、ワークロード所有者に必要なロールが作成されます。他のすべての関連アカウントには、以下の手順を使用してください。
Trusted Advisor が有効化されたワークロードの関連アカウントの所有者は、AWS Well-Architected Tool で Trusted Advisor 情報を確認するために、IAM でロールを作成する必要があります。
**AWS WA Tool が Trusted Advisor から情報を取得するために IAM でロールを作成する**
1. AWS マネジメントコンソール にサインインし、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. **IAM** コンソールのナビゲーションペインで、**[ロール]**、**[ロールを作成]** の順に選択します。
1. **[信頼されたエンティティのタイプ]** で、**[カスタム信頼ポリシー]** を選択します。
1. 次の図に示すように、次の**カスタム信頼ポリシー**をコピーして **IAM** コンソールの JSON フィールドに貼り付けます。*`WORKLOAD_OWNER_ACCOUNT_ID`* をワークロード所有者のアカウント ID に置き換え、**[次へ]** を選択します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "wellarchitected.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*"
}
}
}
]
}
```
------
![\[IAM コンソールのカスタム信頼ポリシーのスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/wellarchitected/latest/userguide/images/custom-trust-policy.png)
**注記**
前述のカスタム信頼ポリシーの条件ブロックの `aws:sourceArn` は、`"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"` です。これは、ワークロード所有者のすべてのワークロードに対してAWS WA Tool がこのロールを使用できることを示す一般的な条件です。ただし、アクセスを特定のワークロード ARN または一連のワークロード ARN に絞り込むことができます。複数の ARN を指定するには、次の信頼ポリシーの例を参照してください。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "wellarchitected.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1",
"arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2"
]
}
}
}
]
}
```
1. **[アクセス許可の追加]** ページで **[アクセス許可ポリシー]** に対して、**[ポリシーの作成]** を選択し、Trusted Advisor からデータの読み取るアクセスを AWS WA Tool に付与します。**[ポリシーの作成]** を選択すると、新しいウィンドウが開きます。
**注記**
さらに、ロール作成中はアクセス許可の作成を省略し、ロールの作成後にインラインポリシーを作成することもできます。ロールが正常に作成された旨を示すメッセージで **[ロールを表示]** をクリックし、**[アクセス許可]** タブの **[アクセス許可の追加]** ドロップダウンから **[インラインポリシーの作成]** を選択します。
1. 以下の**アクセス許可ポリシー**をコピーして、[JSON] フィールドに貼り付けます。`Resource` ARN で、*`YOUR_ACCOUNT_ID`* を自分のアカウント ID に置き換え、リージョンまたはアスタリスク (`*`) を指定して、**[次へ: タグ]** を選択します。
ARN 形式の詳細については、「** AWS の一般的なリファレンスガイド」の「[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeCheckRefreshStatuses",
"trustedadvisor:DescribeCheckSummaries",
"trustedadvisor:DescribeRiskResources",
"trustedadvisor:DescribeAccount",
"trustedadvisor:DescribeRisk",
"trustedadvisor:DescribeAccountAccess",
"trustedadvisor:DescribeRisks",
"trustedadvisor:DescribeCheckItems"
],
"Resource": [
"arn:aws:trustedadvisor:*:111122223333:checks/*"
]
}
]
}
```
------
1. Trusted Advisor がワークロードに対して有効化され、**[リソース定義]** が **[AppRegistry]** または **[すべて]** に設定されている場合、ワークロードにアタッチされている AppRegistry アプリケーション内のリソースを所有するすべてのアカウントは、Trusted Advisor ロールの **[アクセス許可ポリシー]** に次のアクセス許可を追加する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DiscoveryPermissions",
"Effect": "Allow",
"Action": [
"servicecatalog:ListAssociatedResources",
"tag:GetResources",
"servicecatalog:GetApplication",
"resource-groups:ListGroupResources",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources"
],
"Resource": "*"
}
]
}
```
------
1. (オプション) タグを追加します。**[次へ: レビュー]** を選択します。
1. ポリシーが正しいことを確認したら、名前を付けて、**[ポリシーの作成]** を選択します。
1. ロールの **[アクセス許可の追加]** ページで、作成したポリシー名を選択し、**[次へ]** を選択します。
1. `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` の構文に沿った**ロール名**を入力し、**[ロールを作成]** を選択します。*`WORKLOAD_OWNER_ACCOUNT_ID`* をワークロード所有者のアカウント ID に置き換えます。
ページ上部にロールが正常に作成されたことを知らせるメッセージが表示されます。
1. ロールと関連するアクセス許可ポリシーを表示するには、左側のナビゲーションペインの **[アクセス管理]** で **[ロール]** を選択し、`WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` の名前を検索します。ロールの名前を選択して、**[アクセス許可]** と **[信頼関係]** が正しいことを確認します。
# ワークロードの Trusted Advisor を非アクティブ化する
**ワークロードの Trusted Advisor を非アクティブ化するには**
ワークロードを編集して、**[Trusted Advisor をアクティブ化する]** を選択解除すると、AWS Well-Architected Tool から任意のワークロードの Trusted Advisor を非アクティブ化できます。ワークロードの編集に関する詳細は、「[AWS Well-Architected Tool でのワークロードの編集](workloads-edit.md)」を参照してください。
AWS WA Tool から Trusted Advisor を非アクティブ化すると、IAM で作成されたロールが削除されます。IAM からロールを削除するには、別のクリーンアップ手段が必要です。ワークロードの所有者または関連するアカウントの所有者は、Trusted Advisor が AWS WA Tool で非アクティブ化されたときに作成された IAM ロールを削除するか、AWS WA Tool による ワークロードの Trusted Advisor データ収集を停止する必要があります。
**IAM で `WellArchitectedRoleForTrustedAdvisor` を削除するには**
1. AWS マネジメントコンソール にサインインし、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. **IAM** コンソールのナビゲーションペインで、**[ロール]** を選択します。
1. `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` を検索して、ロール名を選択します。
1. **[削除]** を選択します。ポップアップウィンドウで、ロール名を入力して削除を確認したら、もう一度 **[削除]** を選択します。
IAM からロールを削除する方法の詳細については、「**IAM ユーザーガイド」の「[IAM ロールの削除 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-managingrole-deleting-console)」を参照してください。