As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Função do invocador
A função de AWS Resilience Hub invocador é uma função AWS Identity and Access Management (IAM) que AWS Resilience Hub pressupõe acessar AWS serviços e recursos. Por exemplo, você pode criar uma função de invocador que tenha permissão para acessar seu CFN modelo e o recurso que ele cria. Esta página fornece informações sobre como criar, visualizar e gerenciar uma função de invocador de aplicativo.
Ao criar um aplicativo, você fornece uma função de invocador. O AWS Resilience Hub assume essa função para acessar seus recursos quando você importa recursos ou inicia uma avaliação. AWS Resilience Hub Para assumir adequadamente sua função de invocador, a política de confiança da função deve especificar o principal do AWS Resilience Hub serviço (resiliencehub.amazonaws.com) como um serviço confiável.
Para visualizar a função de invocador do aplicativo, escolha Aplicativos no painel de navegação e, em seguida, escolha Atualizar permissões no menu Ações na página Aplicativo.
É possível adicionar ou remover permissões de uma função de invocador de aplicativo a qualquer momento ou configurar seu aplicativo para usar uma função diferente para acessar recursos do aplicativo.
Tópicos
Criando uma função de invocador no console IAM
AWS Resilience Hub Para permitir o acesso a AWS serviços e recursos, você deve criar uma função de invocador na conta principal usando o IAM console. Para obter mais informações sobre a criação de funções usando o IAM console, consulte Criação de uma função para um AWS serviço (console).
Para criar uma função de invocador na conta principal usando o console IAM
-
Abra o console do IAM em
https://console.aws.amazon.com/iam/. -
No painel de navegação, escolha Funções e então escolha Criar função.
-
Selecione Política de confiança personalizada, copie a política a seguir na janela Política de confiança personalizada e escolha Avançar.
nota
Se seus recursos estiverem em contas diferentes, você precisará criar uma função em cada uma dessas contas e usar a política de confiança da conta secundária para as outras contas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "resiliencehub.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Na seção Políticas de permissões da página Adicionar permissões, insira
AWSResilienceHubAsssessmentExecutionPolicyna caixa Filtrar políticas por propriedade ou nome da política e pressione enter. -
Selecione a política e escolha Próximo.
-
Na seção Detalhes da função, insira um nome de função exclusivo (como
AWSResilienceHubAssessmentRole) na caixa Nome da função.Esse campo aceita somente caracteres alfanuméricos e '
+=,.@-_/'. -
(Opcional) Na caixa Descrição, insira uma descrição para a função.
-
Selecione Criar função.
Para editar os casos de uso e as permissões, na Etapa 6, escolha o botão Editar que está localizado à direita nas seções Etapa 1: selecionar entidades confiáveis ou Etapa 2: adicionar permissões.
Depois de criar a função de invocador e a função de recurso (se aplicável), você pode configurar seu aplicativo para usar essas funções.
nota
Você deve ter uma iam:passRole permissão em seu IAM usuário/função atual para a função de invocador ao criar ou atualizar o aplicativo. No entanto, você não precisa dessa permissão para executar uma avaliação.
Gerenciando funções com o IAM API
A política de confiança de uma função concede a permissão ao principal especificado para assumir a função. Para criar as funções usando AWS Command Line Interface (AWS CLI), use o create-role comando. Ao usar esse comando, é possível especificar a política de confiança em linha. O exemplo a seguir mostra como conceder ao AWS Resilience Hub serviço a permissão principal para assumir sua função.
nota
O requisito para escapar de aspas (' ') na JSON string pode variar com base na sua versão do shell.
Exemplo de create-role
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{ "Version": "2012-10-17","Statement": [ { "Effect": "Allow", "Principal": {"Service": "resiliencehub.amazonaws.com"}, "Action": "sts:AssumeRole" } ] }'
Definindo a política de confiança usando o JSON arquivo
Você pode definir a política de confiança para a função usando um JSON arquivo separado e, em seguida, executar o create-role comando. No exemplo a seguir, trust-policy.json é um arquivo que contém a política de confiança no diretório atual. Essa política é anexada a uma função por meio da execução de um comando create-role. A saída do comando create-role é mostrada no Exemplo de saída. Para adicionar permissões à função, use o attach-policy-to-rolecomando e comece adicionando a política AWSResilienceHubAsssessmentExecutionPolicy gerenciada. Para obter mais informações sobre esta política gerenciada, consulte AWSResilienceHubAsssessmentExecutionPolicy.
Exemplo de trust-policy.json
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "resiliencehub.amazonaws.com" }, "Action": "sts:AssumeRole" }] }
Exemplo de create-role
aws iam create-role --role-name AWSResilienceHubAssessmentRole
--assume-role-policy-document file://trust-policy.json
Exemplo de saída
{ "Role": { "Path": "/", "RoleName": "AWSResilienceHubAssessmentRole", "RoleId": "AROAQFOXMPL6TZ6ITKWND", "Arn": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole", "CreateDate": "2020-01-17T23:19:12Z", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "resiliencehub.amazonaws.com" }, "Action": "sts:AssumeRole" }] } } }
Exemplo de attach-policy-to-role
aws iam attach-role-policy --role-name
AWSResilienceHubAssessmentRole --policy-arn
arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy
