IAM ロールおよび権限の設定

AWS Resilience Hub では、アプリケーションの評価の実行時に使用する IAM ロールを設定できます。アプリケーションリソースへの読み取り専用アクセス権を取得するように AWS Resilience Hub を設定する方法は複数あります。ただし、 AWS Resilience Hub は以下の方法を推奨しています。

• ロールベースのアクセス – このロールは現在のアカウントで定義され、使用されます。 AWS Resilience Hub は、アプリケーションのリソースにアクセスするためにこのロールを引き受けます。

  ロールベースのアクセスを提供するには、ロールに次のものが含まれている必要があります。

  • リソースを読み取るための読み取り専用アクセス許可 (AWS Resilience Hub AwsResilienceHubAssessmentPolicyマネージドポリシーの使用を推奨）。

  • このロールを引き受けるための信頼ポリシー。これにより、 AWS Resilience Hub サービスプリンシパルはこのロールを引き受けることができます。アカウントにこのようなロールが設定されていない場合、 AWS Resilience Hub はそのロールを作成する手順を表示します。詳細については、「ステップ 6: アクセス許可の設定」を参照してください。

  注記

  呼び出しロール名のみを指定し、リソースが別のアカウントにある場合、 AWS Resilience Hub は他のアカウントのこのロール名を使用してクロスアカウントリソースにアクセスします。オプションで、呼び出しロール名の代わりに使用される他のアカウントのロール ARN を設定できます。

• 現在の IAM ユーザーアクセス — AWS Resilience Hub は、現在の IAM ユーザーを使用してアプリケーションリソースにアクセスします。リソースが別のアカウントにある場合、 AWS Resilience Hub はリソースにアクセスするために次の IAM ロールを引き受けます。

  • 現在のアカウントでの AwsResilienceHubAdminAccountRole

  • 他のアカウントでの AwsResilienceHubExecutorAccountRole

  さらに、スケジュールされた評価を設定すると、 AWS Resilience Hub がAwsResilienceHubPeriodicAssessmentRoleロールを引き受けます。ただし、ロールとアクセス許可を手動で設定する必要があり、一部の機能 (ドリフト通知 など) AwsResilienceHubPeriodicAssessmentRoleが期待どおりに動作しない可能性があるため、 の使用はお勧めしません。