本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM 角色和权限
AWS Resilience Hub 允许您在为应用程序运行评估时配置要使用的 IAM 角色。您可以通过多种方式配置 AWS Resilience Hub ,以获得对应用程序资源的只读访问权限。但是, AWS Resilience Hub 建议使用以下方法:
-
基于角色的访问权限-此角色是在当前账户中定义和使用的。 AWS Resilience Hub 将担任此角色来访问您的应用程序的资源。
要提供基于角色的访问权限,该角色必须包括以下内容:
-
读取资源的只读权限(AWS Resilience Hub 建议您使用
AWSResilienceHubAsssessmentExecutionPolicy托管策略)。 -
担任此角色的信任策略,允许 AWS Resilience Hub 服务负责人担任此角色。如果您的账户中没有配置此类角色,则 AWS Resilience Hub 会显示创建该角色的说明。有关更多信息,请参阅 步骤 6:设置权限。
注意
如果您仅提供调用者角色名称,并且您的资源位于其他账户中,则 AWS Resilience Hub 将在其他账户中使用此角色名称来访问跨账户资源。或者,您可以 ARNs 为其他账户配置角色,该角色将用于代替调用者角色名称。
-
-
当前 IAM 用户访问权限 – AWS Resilience Hub 将使用当前 IAM 用户访问您的应用程序资源。当您的资源位于不同的账户中时, AWS Resilience Hub 将扮演以下 IAM 角色来访问这些资源:
-
AwsResilienceHubAdminAccountRole,在当前账户中 -
AwsResilienceHubExecutorAccountRole,在其他账户中
此外,在配置定期评估时, AWS Resilience Hub 将担任该
AwsResilienceHubPeriodicAssessmentRole角色。但是,AwsResilienceHubPeriodicAssessmentRole不建议使用,因为您必须手动配置角色和权限,而且某些功能(例如漂移通知)可能无法按预期运行。 -
