Configure IAM roles y permisos - AWS Centro de resiliencia

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure IAM roles y permisos

AWS Resilience Hub le permite configurar las IAM funciones que le gustaría usar al ejecutar las evaluaciones de su aplicación. Hay varias formas de configurar AWS Resilience Hub para obtener acceso de solo lectura a los recursos de la aplicación. Sin embargo, AWS Resilience Hub recomienda lo siguiente:

  • Acceso basado en roles: este rol se define y usa en la cuenta corriente. AWS Resilience Hub asumirá este rol para acceder a los recursos de su aplicación.

    Para proporcionar un acceso basado en roles, el rol debe incluir lo siguiente:

    • Permiso de solo lectura para leer sus recursos (se AWS Resilience Hub recomienda utilizar la política AWSResilienceHubAsssessmentExecutionPolicy gestionada).

    • Confíe en la política para asumir esta función, lo que permite al director de AWS Resilience Hub servicio asumir esta función. Si no tienes esa función configurada en tu cuenta, AWS Resilience Hub se mostrarán las instrucciones para crearla. Para obtener más información, consulte Paso 6: configurar permisos.

    nota

    Si solo proporciona el nombre del rol de invocador y si sus recursos están ubicados en otra cuenta, AWS Resilience Hub utilizará este nombre de rol en las demás cuentas para acceder a los recursos multicuenta. Si lo desea, puede configurar la función ARNs para otras cuentas, que se utilizará en lugar del nombre de la función de invocación.

  • Acceso IAM de usuario actual: AWS Resilience Hub utilizará el IAM usuario actual para acceder a los recursos de la aplicación. Cuando sus recursos estén en una cuenta diferente, AWS Resilience Hub asumirá las siguientes IAM funciones para acceder a los recursos:

    • AwsResilienceHubAdminAccountRole en la cuenta actual

    • AwsResilienceHubExecutorAccountRole en otras cuentas

    Además, cuando configure una evaluación programada, AWS Resilience Hub asumirá esa AwsResilienceHubPeriodicAssessmentRole función. Sin embargo, no AwsResilienceHubPeriodicAssessmentRole se recomienda su uso porque hay que configurar manualmente las funciones y los permisos, y es posible que algunas funcionalidades (como la notificación de derivación) no funcionen como se esperaba.