Eine Aufruferrolle in der Konsole erstellen IAM Rollen verwalten mit dem IAM API Definition einer Vertrauensrichtlinie mithilfe einer JSON Datei

Rolle des Aufrufers

Die AWS Resilience Hub Aufruferrolle ist eine AWS Identity and Access Management (IAM) -Rolle, die AWS Resilience Hub davon ausgeht, auf AWS Dienste und Ressourcen zuzugreifen. Sie könnten beispielsweise eine Aufruferrolle erstellen, die berechtigt ist, auf Ihre CFN Vorlage und die von ihr erstellte Ressource zuzugreifen. Diese Seite enthält Informationen zum Erstellen, Anzeigen und Verwalten einer Anwendungsaufruferrolle.

Wenn Sie eine Anwendung erstellen, geben Sie eine Aufruferrolle an. AWS Resilience Hub nimmt diese Rolle für den Zugriff auf Ihre Ressourcen an, wenn Sie Ressourcen importieren oder eine Bewertung starten. AWS Resilience Hub Damit Sie Ihre Rolle als Aufrufer ordnungsgemäß wahrnehmen können, muss in der Vertrauensrichtlinie der Rolle der AWS Resilience Hub Service Principal (resiliencehub.amazonaws.com) als vertrauenswürdiger Service angegeben sein.

Um die Aufruferrolle der Anwendung anzuzeigen, wählen Sie im Navigationsbereich Anwendungen und dann auf der Anwendungsseite im Menü Aktionen die Option Berechtigungen aktualisieren aus.

Sie können einer Anwendungsaufruferrolle jederzeit Berechtigungen hinzufügen oder daraus entfernen oder Ihre Anwendung so konfigurieren, dass sie eine andere Rolle für den Zugriff auf Anwendungsressourcen verwendet.

Topics

Eine Aufruferrolle in der Konsole erstellen IAM
Rollen verwalten mit dem IAM API
Definition einer Vertrauensrichtlinie mithilfe einer JSON Datei

Eine Aufruferrolle in der Konsole erstellen IAM

Um den Zugriff auf AWS Dienste und Ressourcen AWS Resilience Hub zu ermöglichen, müssen Sie mithilfe der Konsole eine Aufruferrolle im primären Konto erstellen. IAM Weitere Informationen zum Erstellen von Rollen mithilfe der IAM Konsole finden Sie unter Erstellen einer Rolle für einen AWS Dienst (Konsole).

So erstellen Sie mithilfe IAM der Konsole eine Aufruferrolle im primären Konto

Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich Rollen und dann Rolle erstellen aus.
Wählen Sie Benutzerdefinierte Vertrauensrichtlinie aus, kopieren Sie die folgende Richtlinie in das Fenster Benutzerdefinierte Vertrauensrichtlinie und klicken Sie dann auf Weiter.

Anmerkung
Wenn sich Ihre Ressourcen in unterschiedlichen Konten befinden, müssen Sie für jedes dieser Konten eine Rolle erstellen und für die anderen Konten die Vertrauensrichtlinie für sekundäre Konten verwenden.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "resiliencehub.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
Geben Sie auf der Seite „Berechtigungen hinzufügen“ AWSResilienceHubAsssessmentExecutionPolicy im Abschnitt „Berechtigungsrichtlinien“ das Feld Richtlinien nach Eigenschaft oder Richtliniennamen filtern ein und drücken Sie die Eingabetaste.
Wählen Sie die Richtlinie aus und klicken Sie auf Weiter.
Geben Sie im Abschnitt Rollendetails einen eindeutigen Rollennamen (z. B.AWSResilienceHubAssessmentRole) in das Feld Rollenname ein.

Dieses Feld akzeptiert nur alphanumerische Zeichen und '+=,.@-_/' Zeichen.
(Optional) Geben Sie im Feld Beschreibung eine Beschreibung der Rolle ein.
Wählen Sie Create Role aus.

Um die Anwendungsfälle und Berechtigungen zu bearbeiten, klicken Sie in Schritt 6 auf die Schaltfläche Bearbeiten, die sich rechts neben Schritt 1: Vertrauenswürdige Entitäten auswählen oder Schritt 2: Berechtigungsbereiche hinzufügen befindet.

Nachdem Sie die Aufruferrolle und die Ressourcenrolle (falls zutreffend) erstellt haben, können Sie Ihre Anwendung so konfigurieren, dass sie diese Rollen verwendet.

Anmerkung

Sie müssen in Ihrem aktuellen IAM Benutzer/Ihrer aktuellen Rolle über eine iam:passRole Berechtigung für die Aufruferrolle verfügen, wenn Sie die Anwendung erstellen oder aktualisieren. Sie benötigen diese Berechtigung jedoch nicht, um eine Bewertung durchzuführen.

Rollen verwalten mit dem IAM API

Die Vertrauensrichtlinie einer Rolle erteilt dem angegebenen Prinzipal die Erlaubnis, die Rolle zu übernehmen. Verwenden Sie den create-role Befehl, um die Rollen mit AWS Command Line Interface (AWS CLI) zu erstellen. Während Sie diesen Befehl verwenden, können Sie die Vertrauensrichtlinie direkt angeben. Das folgende Beispiel zeigt, wie Sie dem AWS Resilience Hub Dienst die Hauptberechtigung erteilen, Ihre Rolle zu übernehmen.

Anmerkung

Die Anforderung, Anführungszeichen (' ') in der JSON Zeichenfolge zu umgehen, kann je nach Ihrer Shell-Version variieren.

Beispiel create-role


aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
  "Version": "2012-10-17","Statement": 
  [
    { 
      "Effect": "Allow",
      "Principal": {"Service": "resiliencehub.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}'

Definition einer Vertrauensrichtlinie mithilfe einer JSON Datei

Sie können die Vertrauensrichtlinie für die Rolle mithilfe einer separaten JSON Datei definieren und dann den create-role Befehl ausführen. Im folgenden Beispiel trust-policy.jsonbefindet sich eine Datei, die die Vertrauensrichtlinie im aktuellen Verzeichnis enthält. Diese Richtlinie wird durch Ausführen eines create-roleBefehls an eine Rolle angehängt. Die Ausgabe des create-role Befehls wird in der Beispielausgabe angezeigt. Verwenden Sie den attach-policy-to-roleBefehl, um der Rolle Berechtigungen hinzuzufügen, und Sie können damit beginnen, die AWSResilienceHubAsssessmentExecutionPolicy verwaltete Richtlinie hinzuzufügen. Weitere Informationen zu dieser verwalteten Richtlinie finden Sie unterAWSResilienceHubAsssessmentExecutionPolicy.

Beispiel trust-policy.json


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "resiliencehub.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}

Probe create-role

aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json

Beispielausgabe


{
    "Role": {
        "Path": "/",
        "RoleName": "AWSResilienceHubAssessmentRole",
        "RoleId": "AROAQFOXMPL6TZ6ITKWND",
        "Arn": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole",
        "CreateDate": "2020-01-17T23:19:12Z",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [{
                "Effect": "Allow",
                "Principal": {
                    "Service": "resiliencehub.amazonaws.com"
                },
                "Action": "sts:AssumeRole"
            }]
        }
    }
}

Beispiel attach-policy-to-role

aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

IAMRolle wird verwendet

Rollen in verschiedenen AWS Konten für kontoübergreifenden Zugriff