# Ativar o suporte no AWS WA Tool para outros serviços da AWS
A ativação do acesso à organização permite que o AWS Well-Architected Tool reúna informações sobre a estrutura da sua organização para compartilhar recursos com mais facilidade (consulte [Ativar o compartilhamento de recursos dentro da AWS Organizations](sharing.md#getting-started-sharing-orgs) para obter mais informações). A ativação do suporte do Discovery reúne informações do [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html), do [AWS Service Catalog AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html) e de recursos relacionados (como pilhas do CloudFormation em coleções de recursos do AppRegistry) com o objetivo de ajudar a descobrir mais facilmente as informações necessárias para responder a perguntas de avaliação do Well-Architected e personalizar as verificações do Trusted Advisor para uma workload.
A ativação do suporte ao AWS Organizations ou a ativação do suporte ao Discovery cria automaticamente uma função vinculada ao serviço em sua conta.
**Para ativar o suporte a outros serviços com os quais o AWS WA Tool pode interagir, navegue até Configurações**.
1. Para coletar informações do AWS Organizations, ative **Ativar suporte do AWS Organizations**.
1. Ative o **suporte do Activate Discovery** para coletar informações de outros serviços e recursos da AWS.
1. Selecione **Exibir permissões de função** para visualizar as permissões de função vinculadas ao serviço ou as políticas de relacionamento de confiança.
1. Selecione **Salvar configurações**.
# Ativar o AppRegistry para uma workload
Usar o AppRegistry é opcional, e os clientes do AWS Business and Enterprise Support podem ativá-lo por workload.
Sempre que o suporte ao Discovery é ativado e o AppRegistry é associado a uma workload nova ou existente, o AWS Well-Architected Tool cria um grupo de atributos gerenciado pelo serviço. O grupo de atributos **Metadados** no AppRegistry contém o ARN da workload, o nome da workload e os riscos associados à workload.
+ Quando o suporte ao Discovery é ativado, sempre que há uma alteração na workload, o grupo de atributos é atualizado.
+ Quando o suporte ao Discovery é desativado ou a aplicação é removida da workload, as informações da workload são removidas do AWS Service Catalog.
Se quiser que uma aplicação do AppRegistry conduza os dados obtidos do Trusted Advisor, defina a **Definição do recurso** da workload como **AppRegistry** ou **Tudo**. Crie funções para todas as contas que possuem recursos em seu aplicativo seguindo as diretrizes em [Ativar o Trusted Advisor para uma workload no IAM](activate-ta-in-iam.md).
# Ativar o AWS Trusted Advisor para uma workload
Opcionalmente, você pode integrar o AWS Trusted Advisor e ativá-lo por workload para clientes do AWS Business e Enterprise Support. Não há custo para integrar o Trusted Advisor ao AWS WA Tool, mas para obter detalhes sobre os preços do Trusted Advisor, consulte [Planos de suporte da AWS](https://docs.aws.amazon.com/awssupport/latest/user/aws-support-plans.html). A ativação do Trusted Advisor para workloads pode oferecer uma abordagem mais abrangente, automatizada e monitorada para revisar e otimizar workloads da AWS. Isso pode ajudar você a melhorar a confiabilidade, a segurança, o desempenho e a otimização de custos das workloads.
**Para ativar o Trusted Advisor para uma workload**
1. Para ativar o Trusted Advisor, os proprietários da workload podem usar o AWS WA Tool para atualizar uma workload existente ou criar uma nova workload selecionando **Definir carga de trabalho**.
1. Digite um ID de conta usado pelo Trusted Advisor no campo **IDs de conta**, selecione um ARN de aplicativo no campo **Aplicativo** ou ambos para ativar o Trusted Advisor.
1. Na seção **AWS Trusted Advisor**, selecione **Ativar o Trusted Advisor**.
![\[Captura de tela da seção Ativar o Trusted Advisor ao definir uma workload.\]](http://docs.aws.amazon.com/pt_br/wellarchitected/latest/userguide/images/defining-workload-activate-ta-support.png)
1. Uma notificação de que o **perfil de serviço do IAM será criado** é exibida na primeira vez em que o Trusted Advisor for ativado para uma workload. A escolha **Visualizar permissões** exibe as permissões do perfil do IAM. Você pode ver o **Nome da função**, bem como as **Permissões** e as **Relações de confiança** que o JSON criou automaticamente para você no IAM. Depois que a função é criada, para workloads subsequentes que ativam o **Trusted Advisor**, somente a notificação para **Configuração adicional necessária** é mostrada.
1. No menu suspenso **Definição de recurso**, você pode selecionar **Metadados da workload**, **AppRegistry** ou **Todos**. A seleção de **Definição de recursos** define quais dados o AWS WA Tool obtém do Trusted Advisor para fornecer as verificações de status na avalição da workload que mapeiam as práticas recomendadas do Well-Architected.
**Metadados da workload**: a workload é definida por IDs de conta e Regiões da AWS especificadas na workload.
**AppRegistry**: a workload é definida por recursos (como pilhas do CloudFormation) que estão presentes no aplicativo AppRegistry associado à workload.
**Tudo**: a workload é definida pelos metadados da workload e pelos recursos do AppRegistry.
1. Escolha **Próximo**.
1. Aplique o **AWS Well-Architected Framework** à sua workload e escolha **Definir workload**. As verificações do Trusted Advisor são vinculadas apenas ao AWS Well-Architected Framework e não a outras lentes.
O AWS WA Tool obtém periodicamente dados do Trusted Advisor usando os perfis criados no IAM. A perfil do IAM é criada automaticamente para o proprietário da workload. No entanto, para visualizar as informações do Trusted Advisor, os proprietários de quaisquer contas associadas na workload devem acessar o IAM e criar uma função; consulte [Ativar o Trusted Advisor para uma workload no IAM](activate-ta-in-iam.md) para obter mais detalhes. Se essa função não existir, o AWS WA Tool não poderá obter informações do Trusted Advisor para essa conta e exibirá um erro.
Para obter mais informações sobre como criar um perfil no AWS Identity and Access Management (IAM), consulte [Criar uma função para um serviço da AWS (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) no *Guia do usuário do IAM*.
# Ativar o Trusted Advisor para uma workload no IAM
**nota**
Os proprietários da workload devem **ativar o suporte do Discovery** para sua conta antes de criar uma workload do Trusted Advisor. A escolha de **ativar o suporte do Discovery** cria a função necessária para o proprietário da workload. Use as etapas a seguir para todas as outras contas associadas.
Os proprietários de contas associadas para workloads que ativaram o Trusted Advisor devem criar uma função no IAM para ver as informações do Trusted Advisor no AWS Well-Architected Tool.
**Para criar uma função no IAM para que o AWS WA Tool obtenha informações do Trusted Advisor**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console do **IAM**, escolha **Perfis** e, em seguida, **Criar perfil**.
1. Em **Tipo de entidade confiável**, escolha **Política de confiança personalizada**.
1. Copie e cole a seguinte **Política de confiança personalizada** no campo JSON no console do **IAM**, conforme mostrado na imagem a seguir. Substitua*`WORKLOAD_OWNER_ACCOUNT_ID`* com o ID da conta do proprietário da workload e selecione **Próximo**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "wellarchitected.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*"
}
}
}
]
}
```
------
![\[Captura de tela da política de confiança personalizada no console do IAM.\]](http://docs.aws.amazon.com/pt_br/wellarchitected/latest/userguide/images/custom-trust-policy.png)
**nota**
O `aws:sourceArn` no bloco de condições da política de confiança personalizada anterior é `"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`, que é uma condição genérica que declara que essa função pode ser usada pelo AWS WA Tool para todas as workloads do proprietário da workload. No entanto, o acesso pode ser restringido a um ARN de workload específico ou a um conjunto de ARNs de workload. Para especificar vários ARNs, consulte a política de confiança exemplificada a seguir.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "wellarchitected.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1",
"arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2"
]
}
}
}
]
}
```
1. Na página **Adicionar permissões**, em **Políticas de permissões**, escolha **Criar política** para dar acesso ao AWS WA Tool à leitura de dados do Trusted Advisor. Selecionar **Criar política** abre uma nova janela.
**nota**
Além disso, você tem a opção de pular a criação das permissões durante a criação da função e criar uma política embutida após criar a função. Escolha **Visualizar perfil** na mensagem de criação bem-sucedida do perfil e selecione **Criar política em linha** no menu suspenso **Adicionar permissões**, na guia **Permissões**.
1. Copie e cole o seguinte JSON na janela do editor de **política de permissões.** No `Resource` ARN, *`YOUR_ACCOUNT_ID`*substitua pelo ID da sua própria conta, especifique a Região ou um asterisco (`*`) e escolha **Próximo:Tags.**
Para obter detalhes sobre formatos de ARN, consulte [Nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) no *Guia de referência da AWS*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeCheckRefreshStatuses",
"trustedadvisor:DescribeCheckSummaries",
"trustedadvisor:DescribeRiskResources",
"trustedadvisor:DescribeAccount",
"trustedadvisor:DescribeRisk",
"trustedadvisor:DescribeAccountAccess",
"trustedadvisor:DescribeRisks",
"trustedadvisor:DescribeCheckItems"
],
"Resource": [
"arn:aws:trustedadvisor:*:111122223333:checks/*"
]
}
]
}
```
------
1. Se o Trusted Advisor for ativado para uma workload e a **Definição de Recurso** for definida como **AppRegistry** ou **Todos**, todas as contas que possuem um recurso no aplicativo AppRegistry anexado à workload deverão adicionar a seguinte permissão à **política de Permissões** da função do Trusted Advisor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DiscoveryPermissions",
"Effect": "Allow",
"Action": [
"servicecatalog:ListAssociatedResources",
"tag:GetResources",
"servicecatalog:GetApplication",
"resource-groups:ListGroupResources",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources"
],
"Resource": "*"
}
]
}
```
------
1. (Opcional) Adicione tags. Escolha **Próximo: revisar**.
1. Revise a política, dê um nome a ela e selecione **Criar política**.
1. Na página **Adicionar permissões** para a função, selecione o nome da política que você acabou de criar e selecione **Próximo**.
1. Insira o **nome da função**, que deve usar a seguinte sintaxe: `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` e escolha **Criar função**. Substitua *`WORKLOAD_OWNER_ACCOUNT_ID`* pela ID da conta do proprietário da workload.
Você deverá receber uma mensagem de sucesso na parte superior da página, notificando-o de que a função foi criada.
1. Para visualizar a função e a política de permissões associada, no painel de navegação esquerdo, em **Gerenciamento de acesso**, selecione **Funções** e pesquise o nome `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`. Selecione o nome da função para verificar se as relações de **Permissões** e **Confiança** estão corretas.
# Desativar o Trusted Advisor para uma workload
**Para ativar o Trusted Advisor para uma workload**
Você pode desativar o Trusted Advisor para qualquer workload do AWS Well-Architected Tool editando sua workload e desmarcando **Ativar o Trusted Advisor**. Para obter mais informações sobre a edição de workloads, consulte [Editar uma workload no AWS Well-Architected Tool](workloads-edit.md).
Desativar o Trusted Advisor do AWS WA Tool não exclui os perfis criados no IAM. A exclusão de perfis do IAM exige uma medida de limpeza separada. Os proprietários da workload ou os proprietários das contas associadas devem excluir os perfis do IAM criados quando o Trusted Advisor for desativado no AWS WA Tool ou para impedir que o AWS WA Tool colete dados do Trusted Advisor para a workload.
**Para excluir o `WellArchitectedRoleForTrustedAdvisor` no IAM**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console do **IAM**, escolha **Perfis**.
1. Pesquise `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` e selecione o nome do perfil.
1. Escolha **Excluir**. Na janela pop-up, digite o nome do perfil para confirmar a exclusão e selecione **Excluir** novamente.
Para obter mais informações sobre como excluir um perfil do IAM, consulte [Exclusão de uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-managingrole-deleting-console) no *Guia do usuário do IAM*.