翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
呼び出しロール
AWS Resilience Hub 呼び出しロールは、 が AWS サービスとリソースにアクセスするために引き受ける AWS Identity and Access Management AWS Resilience Hub (IAM) ロールです。例えば、CFNテンプレートとそのテンプレートが作成するリソースにアクセスするためのアクセス許可を持つ呼び出しロールを作成できます。このページでは、アプリケーション呼び出しロールを作成、表示、および管理する方法について説明します。
アプリケーションを作成するときは、呼び出しロールを指定します。 AWS Resilience Hub は、リソースをインポートしたり評価を開始したりするときに、このロールを引き受けてリソースにアクセスします。が呼び出しロールを適切に引き受け AWS Resilience Hub るには、ロールの信頼ポリシーで AWS Resilience Hub サービスプリンシパル (resiliencehub.amazonaws.com) を信頼されたサービスとして指定する必要があります。
アプリケーションの呼び出しロールを表示するには、ナビゲーションペインから [アプリケーション] を選択し、[アプリケーション] ページの [アクション] メニューから [権限の更新] を選択します。
権限は、アプリケーション呼び出しロールからいつでも追加または削除できます。別のロールを使用してアプリケーションリソースにアクセスすることもできます。
トピック
IAM コンソールでの呼び出しロールの作成
AWS Resilience Hub が AWS サービスとリソースにアクセスできるようにするには、IAMコンソールを使用してプライマリアカウントに呼び出しロールを作成する必要があります。IAM コンソールを使用したロールの作成の詳細については、「 AWS サービスのロールの作成 (コンソール)」を参照してください。
IAM コンソールを使用してプライマリアカウントで呼び出しロールを作成するには
-
IAM コンソール (
https://console.aws.amazon.com/iam/) を開きます。 -
ナビゲーションペインから [ロール] を選択し、[ロールの作成] を選択します。
-
[カスタム信頼ポリシー] を選択し、[カスタム信頼ポリシー] ウィンドウに次のポリシーをコピーして、[次へ] を選択します。
注記
リソースが異なるアカウントにある場合は、それらのアカウントごとにロールを作成し、他のアカウントにはセカンダリアカウントの信頼ポリシーを使用する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "resiliencehub.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
[権限の追加] ページの [権限ポリシー] セクションで、[プロパティまたはポリシー名でポリシーを絞り込み、エンターキーを押す] ボックスに
AWSResilienceHubAsssessmentExecutionPolicyを入力します。 -
ポリシーを選択し、[次へ] を選択します。
-
[ロールの詳細] セクションの [ロール名] ボックスに、一意のロール名 (
AWSResilienceHubAssessmentRoleなど) を入力します。このフィールドには英数字と '
+=,.@-_/' 文字のみを入力できます。 -
(オプション) [説明] ボックスにリポジトリの説明を入力します。
-
[ロールの作成] を選択します。
ユースケースと権限を編集するには、ステップ 6 で、[ステップ 1: 信頼済みエンティティの選択] セクションまたは [ステップ 2: 権限の追加] セクションの右側にある [編集] ボタンを選択します。
呼び出しロールとリソースロール (該当する場合) を作成したら、これらのロールを使用するようにアプリケーションを設定できます。
注記
アプリケーションを作成または更新するときは、現在のIAMユーザー/ロールに呼び出しロールに対する アクセスiam:passRole許可が必要です。ただし、評価を実行するのにこの権限は必要ありません。
を使用したロールの管理 IAM API
ロールの信頼ポリシーでは、指定したプリンシパルに、ロールを引き受けるための許可を付与します。 AWS Command Line Interface (AWS CLI) を使用してロールを作成するには、 create-role コマンドを使用します。このコマンドを使用するときに、信頼ポリシーインラインを指定することもできます。次の例は、ロールを引き受けるプリンシパルアクセス許可を AWS Resilience Hub サービスに付与する方法を示しています。
注記
JSON 文字列内の引用符 (' ') をエスケープする要件は、シェルのバージョンによって異なる場合があります。
サンプルcreate-role
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{ "Version": "2012-10-17","Statement": [ { "Effect": "Allow", "Principal": {"Service": "resiliencehub.amazonaws.com"}, "Action": "sts:AssumeRole" } ] }'
JSON ファイルを使用した信頼ポリシーの定義
別の JSON ファイルを使用してロールの信頼ポリシーを定義し、 create-role コマンドを実行できます。次の例では、trust-policy.json は現在のディレクトリにある信頼ポリシーを含むファイルです。このポリシーは、create-role コマンドを実行することでロールにアタッチされます。create-role コマンドの出力はサンプル出力に示されています。ロールにアクセス許可を追加するには、 attach-policy-to-role コマンドを使用します。まず、 AWSResilienceHubAsssessmentExecutionPolicyマネージドポリシーを追加します。このマネージドポリシーの情報については、「AWSResilienceHubAsssessmentExecutionPolicy」を参照してください。
サンプルtrust-policy.json
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "resiliencehub.amazonaws.com" }, "Action": "sts:AssumeRole" }] }
サンプルcreate-role
aws iam create-role --role-name AWSResilienceHubAssessmentRole
--assume-role-policy-document file://trust-policy.json
サンプル出力
{ "Role": { "Path": "/", "RoleName": "AWSResilienceHubAssessmentRole", "RoleId": "AROAQFOXMPL6TZ6ITKWND", "Arn": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole", "CreateDate": "2020-01-17T23:19:12Z", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "resiliencehub.amazonaws.com" }, "Action": "sts:AssumeRole" }] } } }
サンプルattach-policy-to-role
aws iam attach-role-policy --role-name
AWSResilienceHubAssessmentRole --policy-arn
arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy
