Activation de Trusted Advisor pour une charge de travail dans IAM - AWS Well-Architected Tool

Nous avons publié une nouvelle version du cadre Well-Architected Framework. Nous avons également ajouté des approches nouvelles et mises à jour au catalogue Lens. En savoir plus sur les modifications.

Activation de Trusted Advisor pour une charge de travail dans IAM

Note

Les propriétaires d’une charge de travail doivent activer la prise en charge Discovery pour leur compte avant de créer une charge de travail Trusted Advisor. Le choix d’activer la prise en charge Discovery crée le rôle requis pour le propriétaire de charge de travail. Suivez les étapes ci-dessous pour tous les autres comptes associés.

Les propriétaires des comptes associés aux charges de travail qui ont activé Trusted Advisor doivent créer un rôle dans IAM pour voir les informations de Trusted Advisor dans l’AWS Well-Architected Tool.

Pour créer un rôle dans IAM afin que l’AWS WA Tool obtienne des informations auprès de Trusted Advisor

  1. Connectez-vous à l'AWS Management Console et ouvrez la console IAM sur https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la console IAM, choisissez Rôles, puis Créer un rôle.

  3. Pour Type d’entité approuvée, choisissez Stratégie d’approbation personnalisée.

  4. Copiez et collez la stratégie d’approbation personnalisée suivante dans le champ JSON de la console IAM, comme illustré dans l’image suivante. Remplacez WORKLOAD_OWNER_ACCOUNT_ID par l’ID de compte du propriétaire de charge de travail, puis choisissez Suivant. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "wellarchitected.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
        },
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*"
        }
      }
    }
  ]
}
    Capture d’écran de la page Stratégie d’approbation personnalisée dans la console IAM.
    Note

    L’élément aws:sourceArn dans le bloc conditionnel de la politique d’approbation personnalisée précédente est "arn:aws:wellarchitected:*:WORKLOAD_OWNER_ACCOUNT_ID:workload/*", qui est une condition générique indiquant que ce rôle peut être utilisé par l’AWS WA Tool pour toutes les charges de travail du propriétaire de charge de travail. Toutefois, l’accès peut être réduit à l’ARN d’une charge de travail spécifique ou à un ensemble d’ARN de charges de travail. Pour spécifier plusieurs ARN, consultez l’exemple de politique d’approbation suivant.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "wellarchitected.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "WORKLOAD_OWNER_ACCOUNT_ID"
                },
                "ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_1",
                        "arn:aws:wellarchitected:REGION:WORKLOAD_OWNER_ACCOUNT_ID:workload/WORKLOAD_ID_2"
                    ]
                }
            }
        }
    ]
}

  5. Sur la page Ajouter des autorisations, pour Politiques des autorisations, choisissez Créer une politique pour autoriser l’AWS WA Tool à accéder aux données de lecture de Trusted Advisor. Lorsque vous sélectionnez Créer une politique, une nouvelle fenêtre s’ouvre.

    Note

    En outre, vous avez la possibilité de ne pas créer les autorisations lors de la création du rôle et de créer une politique en ligne après avoir créé le rôle. Choisissez Afficher le rôle dans le message de création de rôle réussie, puis sélectionnez Créer une politique en ligne dans le menu déroulant Ajouter des autorisations de l’onglet Autorisations.

  6. Copiez et collez la politique des autorisations suivante dans le champ JSON. Dans l’ARN Resource, remplacez YOUR_ACCOUNT_ID par votre propre ID de compte, spécifiez la région ou un astérisque (*), puis choisissez Suivant : Balises.

    Pour plus d'informations sur les formats ARN, consultez Amazon Resource Name (ARN) dans le Guide de référence générale AWS.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:DescribeCheckRefreshStatuses",
                "trustedadvisor:DescribeCheckSummaries",
                "trustedadvisor:DescribeRiskResources",
                "trustedadvisor:DescribeAccount",
                "trustedadvisor:DescribeRisk",
                "trustedadvisor:DescribeAccountAccess",
                "trustedadvisor:DescribeRisks",
                "trustedadvisor:DescribeCheckItems"
            ],
            "Resource": [
              "arn:aws:trustedadvisor:*:YOUR_ACCOUNT_ID:checks/*"
            ]
        }
    ]
}

  7. Si Trusted Advisor est activé pour une charge de travail et que Définition de ressource a pour valeur AppRegistry ou Tous, tous les comptes qui possèdent une ressource dans l’application AppRegistry attachée à la charge de travail doivent ajouter l’autorisation suivante à la politique des autorisations de leur rôle Trusted Advisor.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DiscoveryPermissions",
            "Effect": "Allow",
            "Action": [
                "servicecatalog:ListAssociatedResources",
                "tag:GetResources",
                "servicecatalog:GetApplication",
                "resource-groups:ListGroupResources",
                "cloudformation:DescribeStacks",
                "cloudformation:ListStackResources"
            ],
            "Resource": "*"
        }
    ]
}

  8. (Facultatif) Ajoutez des balises. Choisissez Suivant : vérification.

  9. Examinez la stratégie, attribuez-lui un nom et sélectionnez Créer une politique.

  10. Sur la page Ajouter des autorisations pour le rôle, sélectionnez le nom de la politique que vous venez de créer, puis sélectionnez Suivant.

  11. Entrez le nom du rôle, qui doit utiliser la syntaxe suivante : WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID et choisissez Créer un rôle. Remplacez WORKLOAD_OWNER_ACCOUNT_ID par l’ID de compte du propriétaire de charge de travail.

    Vous devriez recevoir un message de réussite en haut de la page indiquant que le rôle a été créé.

  12. Pour consulter le rôle et la politique d’autorisations associée, dans le volet de navigation de gauche, sous Gestion des accès, choisissez Rôles et recherchez le nom WellArchitectedRoleForTrustedAdvisor-WORKLOAD_OWNER_ACCOUNT_ID. Sélectionnez le nom du rôle pour vérifier que les autorisations et les relations d’approbation sont correctes.