# 다른 AWS 서비스에 대한 AWS WA Tool 지원 활성화
조직 액세스를 활성화하면 AWS Well-Architected Tool이 조직 구조에 대한 정보를 수집하여 리소스를 더 쉽게 공유할 수 있습니다(자세한 내용은 [AWS Organizations 내에서 리소스 공유 활성화](sharing.md#getting-started-sharing-orgs) 참조). 검색 지원을 활성화하면 [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html), [AWS Service Catalog AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html) 및 관련 리소스(예: AppRegistry 리소스 컬렉션의 CloudFormation 스택)에서 정보를 수집하여 Well-Architected 검토 질문에 답하고 워크로드에 맞게 Trusted Advisor 검사를 조정하는 데 필요한 정보를 더 쉽게 찾을 수 있습니다.
AWS Organizations 지원 활성화 또는 검색 지원 활성화를 통해 계정에 대한 서비스 연결 역할을 자동으로 생성할 수 있습니다.
**AWS WA Tool이 상호 작용할 수 있는 다른 서비스에 대한 지원을 사용하려면 설정으로 이동하세요.**
1. AWS Organizations에서 정보를 수집하려면 **AWS Organizations 지원 활성화를** 사용 설정하세요.
1. **검색 지원 활성화**를 사용 설정하여 다른 AWS 서비스 및 리소스에서 정보를 수집하세요.
1. 서비스 연결 역할 권한 또는 신뢰 관계 정책을 보려면 **역할 권한 보기**를 선택합니다.
1. **설정 저장**을 선택합니다.
# 워크로드에 대한 AppRegistry 활성화
AppRegistry를 사용하는 것은 선택 사항이며, AWS Business 및 Enterprise Support 고객은 워크로드별로 앱을 활성화할 수 있습니다.
검색 지원이 설정되고 AppRegistry가 새 워크로드 또는 기존 워크로드에 연결될 때마다 AWS Well-Architected Tool이 서비스 관리형 속성 그룹을 생성합니다. AppRegistry의 **메타데이터** 속성 그룹에는 워크로드 ARN, 워크로드 이름 및 워크로드와 관련된 위험이 포함됩니다.
+ 검색 지원이 설정되어 있는 경우 워크로드가 변경될 때마다 속성 그룹이 업데이트됩니다.
+ 검색 지원이 해제되거나 애플리케이션이 워크로드에서 삭제되면 AWS Service Catalog에서 워크로드 정보가 삭제됩니다.
AppRegistry 애플리케이션이 Trusted Advisor에서 가져온 데이터를 구동하도록 하려면 워크로드 **리소스 정의**를 **AppRegistry** 또는 **모두**로 설정합니다. [IAM에서 워크로드에 대해 Trusted Advisor 활성화](activate-ta-in-iam.md)의 지침에 따라 애플리케이션의 리소스를 소유한 모든 계정의 역할을 생성합니다.
# 워크로드에 대해 AWS Trusted Advisor 활성화
AWS Trusted Advisor와의 통합은 선택 사항이며 AWS Business 및 Enterprise Support 고객의 경우 워크로드별로 활성화할 수 있습니다. Trusted Advisor와 AWS WA Tool의 통합 비용은 없지만 Trusted Advisor 가격 세부 정보는 [AWS 지원 플랜](https://docs.aws.amazon.com/awssupport/latest/user/aws-support-plans.html)을 참조하세요. 워크로드에 대해 Trusted Advisor를 활성화하면 AWS 워크로드를 검토하고 최적화하는 보다 포괄적이고 자동화 및 모니터링된 접근 방식을 제공할 수 있습니다. 이를 통해 워크로드의 신뢰성, 보안, 성능 및 비용 최적화를 개선할 수 있습니다.
**워크로드에 대해 Trusted Advisor를 활성화하려면**
1. Trusted Advisor를 활성화하기 위해 워크로드 소유자는 AWS WA Tool을 사용하여 기존 워크로드를 업데이트하거나 **워크로드 정의**를 선택하여 새 워크로드를 생성할 수 있습니다.
1. **계정 ID** 필드에 Trusted Advisor에서 사용하는 계정 ID를 입력하거나, **애플리케이션** 필드에서 애플리케이션 ARN을 선택하거나, 둘 다 선택하여 Trusted Advisor를 활성화합니다.
1. **AWS Trusted Advisor** 섹션에서 **Trusted Advisor 활성화**를 선택합니다.
![\[워크로드를 정의할 때 나타나는 Trusted Advisor 활성화 섹션의 스크린샷입니다.\]](http://docs.aws.amazon.com/ko_kr/wellarchitected/latest/userguide/images/defining-workload-activate-ta-support.png)
1. **IAM 서비스 역할이 생성됩니다** 알림은 워크로드에 대해 Trusted Advisor가 처음 활성화될 때 표시됩니다. **권한 보기**를 선택하면 IAM 역할 권한이 표시됩니다. **역할 이름**은 물론 IAM에서 JSON이 자동으로 생성한 **권한** 및 **신뢰 관계**를 확인할 수 있습니다. 역할을 생성한 후 **Trusted Advisor**를 활성화하는 후속 워크로드에 대해서는 **추가 설정 필요** 알림만 표시됩니다.
1. **리소스 정의** 드롭다운에서 **워크로드 메타데이터**, **AppRegistry** 또는 **모두**를 선택할 수 있습니다. **리소스 정의** 선택은 Well-Architected 모범 사례에 매핑되는 워크로드 검토 시 상태 검사를 제공하기 위해 AWS WA Tool이 Trusted Advisor에서 데이터를 가져올 대상을 정의합니다.
**워크로드 메타데이터** - 워크로드는 계정 ID로 정의되고 워크로드에 AWS 리전이 지정됩니다.
**AppRegistry** - 워크로드는 워크로드와 연결된 AppRegistry 애플리케이션에 있는 리소스(예: CloudFormation 스택)에 의해 정의됩니다.
**모두** — 워크로드는 워크로드 메타데이터와 AppRegistry 리소스 모두에 의해 정의됩니다.
1. **다음**을 선택합니다.
1. **AWS Well-Architected Framework**를 워크로드에 적용하고 **워크로드 정의**를 선택합니다. Trusted Advisor 검사는 AWS Well-Architected Framework에만 연결되며 다른 렌즈에는 연결되지 않습니다.
AWS WA Tool은 IAM에서 생성된 역할을 사용하여 Trusted Advisor에서 정기적으로 데이터를 가져옵니다. IAM 역할은 워크로드 소유자에 대해 자동으로 생성됩니다. 하지만 Trusted Advisor 정보를 보려면 워크로드에 연결된 계정의 소유자가 IAM으로 이동하여 역할을 생성해야 합니다. 자세한 내용은 [IAM에서 워크로드에 대해 Trusted Advisor 활성화](activate-ta-in-iam.md) 섹션을 참조하세요. 이 역할이 없는 경우 AWS WA Tool은 해당 계정에 대한 Trusted Advisor 정보를 얻을 수 없으며 오류가 표시됩니다.
AWS Identity and Access Management(IAM)에서의 역할 생성에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스에 대한 역할 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)을 참조하세요.
# IAM에서 워크로드에 대해 Trusted Advisor 활성화
**참고**
워크로드 소유자는 Trusted Advisor 워크로드를 생성하기 전에 계정에 대한 **검색 지원을 활성화**해야 합니다. **검색 지원 활성화**를 선택하면 워크로드 소유자에게 필요한 역할이 생성됩니다. 연결된 다른 모든 계정에 대해서는 다음 단계를 따르세요.
Trusted Advisor가 활성화된 워크로드와 연결된 계정 소유자는 IAM에서 역할을 생성해야 AWS Well-Architected Tool에서 Trusted Advisor 정보를 볼 수 있습니다.
**Trusted Advisor에서 정보를 가져올 수 있도록 IAM에서 AWS WA Tool에 대한 역할을 생성하려면**
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **IAM** 콘솔의 탐색 창에서 **역할**을 선택하고 **역할 생성**을 선택합니다.
1. **신뢰할 수 있는 엔터티 유형**에서 **사용자 지정 신뢰 정책**을 선택합니다.
1. 다음 이미지에 표시된 것처럼 다음 **사용자 지정 신뢰 정책**을 복사하여 **IAM** 콘솔의 JSON 필드에 붙여넣습니다. *`WORKLOAD_OWNER_ACCOUNT_ID`*를 워크로드 소유자의 계정 ID로 바꾸고 **다음**을 선택합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "wellarchitected.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*"
}
}
}
]
}
```
------
![\[IAM 콘솔의 사용자 지정 신뢰 정책 스크린샷\]](http://docs.aws.amazon.com/ko_kr/wellarchitected/latest/userguide/images/custom-trust-policy.png)
**참고**
이전 사용자 지정 신뢰 정책에 대한 조건 블록의 `aws:sourceArn`은 `"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`이며, AWS WA Tool에서 이 역할이 모든 워크로드 소유자의 워크로드에 사용될 수 있다는 일반 조건이 있습니다. 하지만 특정 워크로드 ARN 또는 워크로드 ARN 집합으로 액세스 범위를 좁힐 수 있습니다. 여러 ARN을 지정하려면 다음 신뢰 정책 예제를 참조하세요.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "wellarchitected.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1",
"arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2"
]
}
}
}
]
}
```
1. **권한 추가** 페이지에서 **권한 정책**에 대해 Trusted Advisor의 데이터를 읽을 수 있는 AWS WA Tool 액세스 권한을 부여할 수 있도록 **정책 생성**을 선택합니다. **정책 생성**을 선택하면 새 창이 열립니다.
**참고**
또한 역할을 생성하는 동안 권한 생성을 건너뛰고, 역할을 생성한 후 인라인 정책을 생성할 수도 있습니다. 역할 생성 성공 메시지에서 **역할 보기**를 선택하고 **권한 탭**의 **권한 추가** 드롭다운에서 **인라인 정책 생성**을 선택합니다.
1. 다음 **권한 정책**을 복사해 JSON 필드에 붙여 넣습니다. `Resource` ARN에서 *`YOUR_ACCOUNT_ID`*를 자체 계정 ID로 바꾸고 리전 또는 별표(`*`)를 지정한 다음 **다음: 태그**를 선택합니다.
ARN 형식에 대한 자세한 내용은 *AWS 일반 참조 안내서*의 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeCheckRefreshStatuses",
"trustedadvisor:DescribeCheckSummaries",
"trustedadvisor:DescribeRiskResources",
"trustedadvisor:DescribeAccount",
"trustedadvisor:DescribeRisk",
"trustedadvisor:DescribeAccountAccess",
"trustedadvisor:DescribeRisks",
"trustedadvisor:DescribeCheckItems"
],
"Resource": [
"arn:aws:trustedadvisor:*:111122223333:checks/*"
]
}
]
}
```
------
1. Trusted Advisor가 워크로드에 대해 활성화되고 **리소스 정의**가 **AppRegistry** 또는 **모두**로 설정된 경우, 워크로드에 연결된 AppRegistry 애플리케이션에서 리소스를 소유한 모든 계정이 해당 Trusted Advisor 역할의 **권한 정책**에 다음 권한을 추가해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DiscoveryPermissions",
"Effect": "Allow",
"Action": [
"servicecatalog:ListAssociatedResources",
"tag:GetResources",
"servicecatalog:GetApplication",
"resource-groups:ListGroupResources",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources"
],
"Resource": "*"
}
]
}
```
------
1. (선택 사항) 태그를 추가합니다. **다음: 검토**를 선택합니다.
1. 정책을 검토하고 정책 이름을 추가한 다음 **정책 생성**을 선택합니다.
1. 역할의 **권한 추가** 페이지에서 방금 생성한 정책 이름을 선택하고 **다음**을 선택합니다.
1. 다음 `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` 구문을 사용해야 하는 **역할 이름**을 입력하고 **역할 생성**을 선택합니다. *`WORKLOAD_OWNER_ACCOUNT_ID`*를 워크로드 소유자의 계정 ID로 바꿉니다.
페이지 상단에 역할이 생성되었음을 알리는 성공 메시지가 표시됩니다.
1. 역할 및 관련 권한 정책을 보려면 왼쪽 탐색 창의 **액세스 관리**에서 **역할**을 선택하고 `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` 이름을 검색합니다. 역할 이름을 선택하여 **권한** 및 **신뢰 관계**가 올바른지 확인합니다.
# 워크로드에 대해 Trusted Advisor 비활성화
**워크로드에 대해 Trusted Advisor를 비활성화하려면**
워크로드를 편집하고 **Trusted Advisor 활성화**를 선택 취소하여 AWS Well-Architected Tool에서 모든 워크로드에 대해 Trusted Advisor를 비활성화할 수 있습니다. 워크로드 편집에 대한 자세한 내용은 [AWS Well-Architected Tool에서 워크로드 편집](workloads-edit.md) 섹션을 참조하세요.
AWS WA Tool에서 Trusted Advisor를 비활성화해도 IAM에서 생성한 역할은 삭제되지 않습니다. IAM에서 역할을 삭제하려면 별도의 정리 조치가 필요합니다. 워크로드 소유자 또는 관련 계정의 소유자는 Trusted Advisor 가 AWS WA Tool에서 비활성화되었을 때 생성된 IAM 역할을 삭제하거나 워크로드에 대한 AWS WA Tool의 Trusted Advisor 데이터 수집을 중단해야 합니다.
**IAM에서 `WellArchitectedRoleForTrustedAdvisor`를 삭제하려면**
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **IAM** 콘솔의 탐색 창에서 **역할**을 선택합니다.
1. `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`를 검색하여 역할 이름을 선택합니다.
1. **삭제**를 선택합니다. 팝업 창에서 역할의 이름을 입력하여 삭제를 확인하고 **삭제**를 다시 선택합니다.
IAM에서 역할을 삭제하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 역할 삭제(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-managingrole-deleting-console)를 참조하세요.