Menyiapkan IAM peran dan izin - AWS Hub Ketahanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan IAM peran dan izin

AWS Resilience Hub memungkinkan Anda mengonfigurasi IAM peran yang ingin Anda gunakan saat menjalankan penilaian untuk aplikasi Anda. Ada beberapa cara untuk mengonfigurasi AWS Resilience Hub untuk mendapatkan akses hanya-baca ke sumber daya aplikasi Anda. Namun, AWS Resilience Hub merekomendasikan cara-cara berikut:

  • Akses berbasis peran — Peran ini didefinisikan dan digunakan dalam akun saat ini. AWS Resilience Hub akan mengambil peran ini untuk mengakses sumber daya aplikasi Anda.

    Untuk menyediakan akses berbasis peran, peran harus mencakup yang berikut:

    • Izin baca-saja untuk membaca sumber daya Anda (AWS Resilience Hub menyarankan Anda untuk menggunakan kebijakan AWSResilienceHubAsssessmentExecutionPolicy terkelola).

    • Kebijakan kepercayaan untuk mengambil peran ini, yang memungkinkan Principal AWS Resilience Hub Layanan untuk mengambil peran ini. Jika Anda tidak memiliki peran seperti itu dikonfigurasi di akun Anda, AWS Resilience Hub akan menampilkan petunjuk untuk membuat peran itu. Untuk informasi selengkapnya, lihat Langkah 6: Pengaturan izin.

    catatan

    Jika Anda hanya memberikan nama peran pemanggil dan jika sumber daya Anda berada di akun lain, AWS Resilience Hub akan menggunakan nama peran ini di akun lain untuk mengakses sumber daya lintas akun. Secara opsional, Anda dapat mengonfigurasi peran ARNs untuk akun lain, yang akan digunakan sebagai pengganti nama peran pemanggil.

  • Akses IAM pengguna saat ini — AWS Resilience Hub akan menggunakan IAM pengguna saat ini untuk mengakses sumber daya aplikasi Anda. Ketika sumber daya Anda berada di akun yang berbeda, AWS Resilience Hub akan mengambil IAM peran berikut untuk mengakses sumber daya:

    • AwsResilienceHubAdminAccountRoledi akun saat ini

    • AwsResilienceHubExecutorAccountRoledi akun lain

    Selain itu, ketika Anda mengkonfigurasi penilaian terjadwal, AWS Resilience Hub akan mengambil AwsResilienceHubPeriodicAssessmentRole peran. Namun, penggunaan tidak AwsResilienceHubPeriodicAssessmentRole disarankan karena Anda harus mengonfigurasi peran dan izin secara manual, dan beberapa fungsi (seperti pemberitahuan Drift) mungkin tidak berfungsi seperti yang diharapkan.