Création d'un rôle d'invocateur dans la console IAM Gérer les rôles avec IAM API Définir une politique de confiance à l'aide d'JSONun fichier

Rôle d'invocateur

Le rôle d' AWS Resilience Hub invocateur est un rôle AWS Identity and Access Management (IAM) qui AWS Resilience Hub suppose d'accéder aux AWS services et aux ressources. Par exemple, vous pouvez créer un rôle d'invocateur autorisé à accéder à votre CFN modèle et à la ressource qu'il crée. Cette page fournit des informations sur la création, l'affichage et la gestion d'un rôle d'invocateur d'application.

Lorsque vous créez une application, vous fournissez un rôle d'invocateur. AWS Resilience Hub assume ce rôle pour accéder à vos ressources lorsque vous importez des ressources ou que vous lancez une évaluation. AWS Resilience Hub Pour assumer correctement votre rôle d'invocateur, la politique de confiance du rôle doit spécifier que le principal du AWS Resilience Hub service (resiliencehub.amazonaws.com) est un service fiable.

Pour afficher le rôle d'invocateur de l'application, choisissez Applications dans le volet de navigation, puis choisissez Mettre à jour les autorisations dans le menu Actions de la page Application.

Vous pouvez ajouter ou supprimer des autorisations associées à un rôle d'invocateur d'application à tout moment, ou configurer votre application pour qu'elle utilise un rôle différent pour accéder aux ressources de l'application.

Rubriques

Création d'un rôle d'invocateur dans la console IAM
Gérer les rôles avec IAM API
Définir une politique de confiance à l'aide d'JSONun fichier

Création d'un rôle d'invocateur dans la console IAM

Pour permettre AWS Resilience Hub l'accès aux AWS services et aux ressources, vous devez créer un rôle d'invocateur dans le compte principal à l'aide de la IAM console. Pour plus d'informations sur la création de rôles à l'aide de IAM la console, voir Création d'un rôle pour un AWS service (console).

Pour créer un rôle d'invocateur dans le compte principal à l'aide IAM de la console

Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.
Dans le volet de navigation, sélectionnez Rôles, puis sélectionnez Créer un rôle.
Sélectionnez Politique de confiance personnalisée, copiez la politique suivante dans la fenêtre Politique de confiance personnalisée, puis choisissez Suivant.

Note
Si vos ressources se trouvent dans des comptes différents, vous devez créer un rôle dans chacun de ces comptes et utiliser la politique de confiance du compte secondaire pour les autres comptes.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "resiliencehub.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
Dans la section Politiques d'autorisations de la page Ajouter des autorisations, entrez AWSResilienceHubAsssessmentExecutionPolicy les politiques de filtrage par propriété ou par nom de politique et appuyez sur la case Entrée.
Sélectionnez la politique, puis cliquez sur Suivant.
Dans la section Détails du rôle, entrez un nom de rôle unique (tel queAWSResilienceHubAssessmentRole) dans la zone Nom du rôle.

Ce champ n'accepte que les caractères alphanumériques et les caractères +=,.@-_/ « ».
(Facultatif) Entrez une description du rôle dans la zone Description.
Choisissez Create Role (Créer le rôle).

Pour modifier les cas d'utilisation et les autorisations, à l'étape 6, choisissez le bouton Modifier situé à droite des sections Étape 1 : Sélectionnez les entités de confiance ou Étape 2 : Ajouter des autorisations.

Après avoir créé le rôle d'invocateur et le rôle de ressource (le cas échéant), vous pouvez configurer votre application pour qu'elle utilise ces rôles.

Note

Vous devez disposer d'une iam:passRole autorisation dans votre IAM utilisateur/rôle actuel sur le rôle d'invocateur lors de la création ou de la mise à jour de l'application. Toutefois, vous n'avez pas besoin de cette autorisation pour exécuter une évaluation.

Gérer les rôles avec IAM API

La politique de confiance d'un rôle autorise le principal spécifié à assumer le rôle. Pour créer les rôles à l'aide de AWS Command Line Interface (AWS CLI), utilisez la create-role commande. Lorsque vous utilisez cette commande, vous pouvez spécifier la politique de confiance en ligne. L'exemple suivant montre comment accorder au AWS Resilience Hub service l'autorisation principale d'assumer votre rôle.

Note

L'obligation d'éviter les guillemets (' ') dans la JSON chaîne peut varier en fonction de la version de votre shell.

Exemple create-role


aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
  "Version": "2012-10-17","Statement": 
  [
    { 
      "Effect": "Allow",
      "Principal": {"Service": "resiliencehub.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}'

Définir une politique de confiance à l'aide d'JSONun fichier

Vous pouvez définir la politique de confiance pour le rôle à l'aide d'un JSON fichier distinct, puis exécuter la create-role commande. Dans l'exemple suivant, trust-policy.jsonil s'agit d'un fichier qui contient la politique de confiance dans le répertoire actuel. Cette politique est attachée à un rôle en exécutant une create-rolecommande. Le résultat de la create-role commande est affiché dans l'exemple de sortie. Pour ajouter des autorisations au rôle, utilisez la attach-policy-to-rolecommande et vous pouvez commencer par ajouter la politique AWSResilienceHubAsssessmentExecutionPolicy gérée. Pour plus d'informations sur cette politique gérée, consultezAWSResilienceHubAsssessmentExecutionPolicy.

Exemple trust-policy.json


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "resiliencehub.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}

Exemple create-role

aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json

Exemple de sortie


{
    "Role": {
        "Path": "/",
        "RoleName": "AWSResilienceHubAssessmentRole",
        "RoleId": "AROAQFOXMPL6TZ6ITKWND",
        "Arn": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole",
        "CreateDate": "2020-01-17T23:19:12Z",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [{
                "Effect": "Allow",
                "Principal": {
                    "Service": "resiliencehub.amazonaws.com"
                },
                "Action": "sts:AssumeRole"
            }]
        }
    }
}

Exemple attach-policy-to-role

aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utiliser IAM le rôle

Rôles dans différents AWS comptes pour un accès entre comptes