# 在 IAM 中為工作負載啟用 Trusted Advisor **注意** 工作負載擁有者應在建立 Trusted Advisor 工作負載之前,為其帳戶**啟用探索支援**。選擇**啟用探索支援**可建立工作負載擁有者所需的角色。針對其他所有關聯帳戶採用下列步驟。 已啟用之工作負載的關聯帳戶擁有者,Trusted Advisor必須在 IAM 中建立角色,才能查看 AWS Well-Architected Tool 中的 Trusted Advisor 資訊。 **在 IAM 中建立角色AWS WA Tool,以從 Trusted Advisor 取得資訊** 1. 在 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 登入 AWS 管理主控台 並開啟 IAM 主控台。 1. 在 **IAM** 主控台的導覽窗格中,選擇**角色**,然後選擇**建立角色**。 1. 對於**信任的實體類型**,請選擇**自訂信任政策**。 1. 複製下列**自訂信任政策**,並貼到 **IAM** 主控台的 JSON 欄位,如下圖所示。將 *`WORKLOAD_OWNER_ACCOUNT_ID`* 取代為工作負載擁有者的帳戶 ID,然後選擇**下一步**。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID" }, "ArnEquals": { "aws:SourceArn": "arn:aws:wellarchitected:*:111122223333:workload/*" } } } ] } ``` ------ ![\[IAM 主控台的自訂信任政策的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/latest/userguide/images/custom-trust-policy.png) **注意** 先前自訂信任政策的條件區塊中的 `aws:sourceArn` 是 `"arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"`,這是一般條件,表示 AWS WA Tool 可針對所有工作負載擁有者的工作負載使用此角色。不過,可以將存取權縮減為特定工作負載 ARN,或一組工作負載 ARN。若要指定多個 ARN,請參閱下列信任政策範例。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "wellarchitected.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_1", "arn:aws:wellarchitected:us-east-1:111122223333:workload/WORKLOAD_ID_2" ] } } } ] } ``` 1. 在**新增許可**頁面上,針對**許可政策**選擇**建立政策**,以提供從 Trusted Advisor 讀取資料的 AWS WA Tool 存取權。選取**建立政策**會開啟新視窗。 **注意** 此外,您可以選擇在角色建立期間略過建立許可,並在建立角色之後建立內嵌政策。在成功建立角色訊息中選擇**檢視角色**,然後從**許可**索引標籤的**新增許可**下拉式清單中,選擇**建立內嵌政策**。 1. 複製下列**許可政策**,並貼到 JSON 欄位中。在 `Resource` ARN 中,將 *`YOUR_ACCOUNT_ID`* 取代為您自己的帳戶 ID、指定區域或星號 (`*`),然後選擇 **Next:Tags**。 如需有關 ARN 格式的詳細資訊,請參閱《AWS 一般參考指南》**中的 [Amazon 資源名稱 (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:DescribeCheckRefreshStatuses", "trustedadvisor:DescribeCheckSummaries", "trustedadvisor:DescribeRiskResources", "trustedadvisor:DescribeAccount", "trustedadvisor:DescribeRisk", "trustedadvisor:DescribeAccountAccess", "trustedadvisor:DescribeRisks", "trustedadvisor:DescribeCheckItems" ], "Resource": [ "arn:aws:trustedadvisor:*:111122223333:checks/*" ] } ] } ``` ------ 1. 如果針對工作負載啟用 Trusted Advisor,且**資源定義**設定為 **AppRegistry** 或**全部**,則連接到工作負載的 AppRegistry 應用程式中擁有資源的所有帳戶,都必須將下列許可權新增至其 Trusted Advisor 角色的**許可政策**。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DiscoveryPermissions", "Effect": "Allow", "Action": [ "servicecatalog:ListAssociatedResources", "tag:GetResources", "servicecatalog:GetApplication", "resource-groups:ListGroupResources", "cloudformation:DescribeStacks", "cloudformation:ListStackResources" ], "Resource": "*" } ] } ``` ------ 1. (可選) 新增標籤。選擇下**一步:檢閱**。 1. 檢閱政策的準確性、為其提供名稱,並選擇**建立政策**。 1. 在角色的**新增許可**頁面上,選取您剛建立的政策名稱,然後選取**下一步**。 1. 輸入**角色名稱**,必須使用下列語法:`WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID`,然後選擇**建立角色**。將 *`WORKLOAD_OWNER_ACCOUNT_ID`* 取代為工作負載擁有者帳戶 ID。 您應該會在頁面頂端收到成功訊息,通知您已建立角色。 1. 若要檢視角色和相關聯的許可政策,請在**存取管理**下的左側導覽窗格中選擇**角色**,並搜尋 `WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID` 名稱。選取角色的名稱,確認**許可**和**信任關係**是否正確。