Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruolo invoker
Il ruolo AWS Resilience Hub invoker è un ruolo AWS Identity and Access Management (IAM) che AWS Resilience Hub presuppone l'accesso a servizi e risorse. AWS Ad esempio, potresti creare un ruolo invoker con l'autorizzazione ad accedere al tuo CFN modello e alla risorsa che crea. Questa pagina fornisce informazioni su come creare, visualizzare e gestire un ruolo Application Invoker.
Quando si crea un'applicazione, si fornisce un ruolo di invoker. AWS Resilience Hub assume questo ruolo per accedere alle risorse quando si importano risorse o si avvia una valutazione. AWS Resilience Hub Per assumere correttamente il ruolo di invoker, la politica di fiducia del ruolo deve specificare il AWS Resilience Hub service principal (resiliencehub.amazonaws.com) come servizio affidabile.
Per visualizzare il ruolo di invoker dell'applicazione, scegli Applicazioni dal riquadro di navigazione, quindi scegli Aggiorna autorizzazioni dal menu Azioni nella pagina Applicazione.
È possibile aggiungere o rimuovere le autorizzazioni da un ruolo di richiamo dell'applicazione in qualsiasi momento oppure configurare l'applicazione in modo che utilizzi un ruolo diverso per l'accesso alle risorse dell'applicazione.
Argomenti
Creazione di un ruolo di invoker nella console IAM
Per consentire l'accesso AWS Resilience Hub a AWS servizi e risorse, è necessario creare un ruolo di invoker nell'account principale utilizzando la console. IAM Per ulteriori informazioni sulla creazione di ruoli utilizzando la IAM console, vedere Creazione di un ruolo per un AWS servizio (console).
Per creare un ruolo di invoker nell'account principale utilizzando la console IAM
-
Apri la console IAM all'indirizzo
https://console.aws.amazon.com/iam/
. -
Dal riquadro di navigazione, scegli Ruoli, quindi scegli Crea ruolo.
-
Seleziona Criteri di fiducia personalizzati, copia i seguenti criteri nella finestra Criteri di fiducia personalizzati, quindi scegli Avanti.
Nota
Se le risorse si trovano in account diversi, è necessario creare un ruolo in ciascuno di questi account e utilizzare la politica di fiducia degli account secondari per gli altri account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "resiliencehub.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Nella sezione Politiche di autorizzazione della pagina Aggiungi autorizzazioni, inserisci
AWSResilienceHubAsssessmentExecutionPolicy
le politiche di filtro per proprietà o nome della politica e premi invio. -
Seleziona la politica e scegli Avanti.
-
Nella sezione Dettagli del ruolo, inserisci un nome di ruolo univoco (ad esempio
AWSResilienceHubAssessmentRole
) nella casella Nome ruolo.Questo campo accetta solo caratteri alfanumerici e «
+=,.@-_/
». -
(Facoltativo) Inserisci una descrizione del ruolo nella casella Descrizione.
-
Selezionare Create Role (Crea ruolo).
Per modificare i casi d'uso e le autorizzazioni, nel passaggio 6, scegli il pulsante Modifica che si trova a destra delle sezioni Passaggio 1: Seleziona entità attendibili o Passaggio 2: Aggiungi autorizzazioni.
Dopo aver creato il ruolo invoker e il ruolo di risorsa (se applicabile), puoi configurare l'applicazione per utilizzare questi ruoli.
Nota
È necessario disporre iam:passRole
dell'autorizzazione dell'IAMutente/ruolo corrente per il ruolo invoker durante la creazione o l'aggiornamento dell'applicazione. Tuttavia, non è necessaria questa autorizzazione per eseguire una valutazione.
Gestione dei ruoli con IAM API
La politica di fiducia di un ruolo fornisce al principale specificato il permesso di assumere il ruolo. Per creare i ruoli usando AWS Command Line Interface (AWS CLI), usa il create-role
comando. Durante l'utilizzo di questo comando, è possibile specificare la politica di fiducia in linea. L'esempio seguente mostra come concedere al AWS Resilience Hub servizio l'autorizzazione principale per assumere il proprio ruolo.
Nota
Il requisito per evitare le virgolette (' '
) nella JSON stringa può variare in base alla versione della shell.
Esempio create-role
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{ "Version": "2012-10-17","Statement": [ { "Effect": "Allow", "Principal": {"Service": "resiliencehub.amazonaws.com"}, "Action": "sts:AssumeRole" } ] }'
Definizione della politica di fiducia tramite JSON file
È possibile definire la politica di fiducia per il ruolo utilizzando un JSON file separato e quindi eseguire il create-role
comando. Nell'esempio seguente, trust-policy.json
è un file che contiene la politica di fiducia nella directory corrente. Questa politica è associata a un ruolo mediante l'esecuzione del create-role
comando. L'output del create-role
comando è mostrato nell'output di esempio. Per aggiungere autorizzazioni al ruolo, usa il attach-policy-to-rolecomando e puoi iniziare aggiungendo la politica AWSResilienceHubAsssessmentExecutionPolicy
gestita. Per ulteriori informazioni su questa politica gestita, consultaAWSResilienceHubAsssessmentExecutionPolicy.
Esempio trust-policy.json
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "resiliencehub.amazonaws.com" }, "Action": "sts:AssumeRole" }] }
Esempio create-role
aws iam create-role --role-name AWSResilienceHubAssessmentRole
--assume-role-policy-document file://trust-policy.json
Esempio di output
{ "Role": { "Path": "/", "RoleName": "AWSResilienceHubAssessmentRole", "RoleId": "AROAQFOXMPL6TZ6ITKWND", "Arn": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole", "CreateDate": "2020-01-17T23:19:12Z", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "resiliencehub.amazonaws.com" }, "Action": "sts:AssumeRole" }] } } }
Esempio attach-policy-to-role
aws iam attach-role-policy --role-name
AWSResilienceHubAssessmentRole --policy-arn
arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy