# Ativar o Trusted Advisor para uma workload no IAM **nota** Os proprietários da workload devem **ativar o suporte do Discovery** para sua conta antes de criar uma workload do Trusted Advisor. A escolha de **ativar o suporte do Discovery** cria a função necessária para o proprietário da workload. Use as etapas a seguir para todas as outras contas associadas. Os proprietários de contas associadas para workloads que ativaram o Trusted Advisor devem criar uma função no IAM para ver as informações do Trusted Advisor no AWS Well-Architected Tool. **Para criar uma função no IAM para que o AWS WA Tool obtenha informações do Trusted Advisor** 1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. No painel de navegação do console do **IAM**, escolha **Perfis** e, em seguida, **Criar perfil**. 1. Em **Tipo de entidade confiável**, escolha **Política de confiança personalizada**. 1. Copie e cole a seguinte **Política de confiança personalizada** no campo JSON no console do **IAM**, conforme mostrado na imagem a seguir. Substitua*`WORKLOAD_OWNER_ACCOUNT_ID`* com o ID da conta do proprietário da workload e selecione **Próximo**. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*" } } } ] } ``` ------ ![\[Captura de tela da política de confiança personalizada no console do IAM.\]](http://docs.aws.amazon.com/pt_br/wellarchitected/latest/userguide/images/custom-trust-policy.png) **nota** O `aws:sourceArn` no bloco de condições da política de confiança personalizada anterior é `"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`, que é uma condição genérica que declara que essa função pode ser usada pelo AWS WA Tool para todas as workloads do proprietário da workload. No entanto, o acesso pode ser restringido a um ARN de workload específico ou a um conjunto de ARNs de workload. Para especificar vários ARNs, consulte a política de confiança exemplificada a seguir. **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1", "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2" ] } } } ] } ``` 1. Na página **Adicionar permissões**, em **Políticas de permissões**, escolha **Criar política** para dar acesso ao AWS WA Tool à leitura de dados do Trusted Advisor. Selecionar **Criar política** abre uma nova janela. **nota** Além disso, você tem a opção de pular a criação das permissões durante a criação da função e criar uma política embutida após criar a função. Escolha **Visualizar perfil** na mensagem de criação bem-sucedida do perfil e selecione **Criar política em linha** no menu suspenso **Adicionar permissões**, na guia **Permissões**. 1. Copie e cole o seguinte JSON na janela do editor de **política de permissões.** No `Resource` ARN, *`YOUR_ACCOUNT_ID`*substitua pelo ID da sua própria conta, especifique a Região ou um asterisco (`*`) e escolha **Próximo:Tags.** Para obter detalhes sobre formatos de ARN, consulte [Nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) no *Guia de referência da AWS*. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeCheckRefreshStatuses", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeRiskResources", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeRisk", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeRisks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "arn:aws:trustedadvisor:*:111122223333:checks/*" ] } ] } ``` ------ 1. Se o Trusted Advisor for ativado para uma workload e a **Definição de Recurso** for definida como **AppRegistry** ou **Todos**, todas as contas que possuem um recurso no aplicativo AppRegistry anexado à workload deverão adicionar a seguinte permissão à **política de Permissões** da função do Trusted Advisor. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DiscoveryPermissions", "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "tag:GetResources", "servicecatalog:GetApplication", "resource-groups:ListGroupResources", "cloudformation:DescribeStacks", "cloudformation:ListStackResources" ], "Resource": "*" } ] } ``` ------ 1. (Opcional) Adicione tags. Escolha **Próximo: revisar**. 1. Revise a política, dê um nome a ela e selecione **Criar política**. 1. Na página **Adicionar permissões** para a função, selecione o nome da política que você acabou de criar e selecione **Próximo**. 1. Insira o **nome da função**, que deve usar a seguinte sintaxe: `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` e escolha **Criar função**. Substitua *`WORKLOAD_OWNER_ACCOUNT_ID`* pela ID da conta do proprietário da workload. Você deverá receber uma mensagem de sucesso na parte superior da página, notificando-o de que a função foi criada. 1. Para visualizar a função e a política de permissões associada, no painel de navegação esquerdo, em **Gerenciamento de acesso**, selecione **Funções** e pesquise o nome `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`. Selecione o nome da função para verificar se as relações de **Permissões** e **Confiança** estão corretas.