Configurar IAM funções e permissões - AWS Hub de resiliência

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar IAM funções e permissões

AWS Resilience Hub permite que você configure as IAM funções que você gostaria de usar ao executar avaliações para seu aplicativo. Há várias maneiras de configurar o AWS Resilience Hub para obter acesso somente de leitura aos recursos do seu aplicativo. No entanto, o AWS Resilience Hub recomenda as seguintes formas:

  • Acesso baseado em função — Essa função é definida e usada na conta atual. AWS Resilience Hub assumirá essa função para acessar os recursos do seu aplicativo.

    Para fornecer acesso baseado em funções, a função deve incluir o seguinte:

    • Permissão somente de leitura para ler seus recursos (AWS Resilience Hub recomenda que você use a política AWSResilienceHubAsssessmentExecutionPolicy gerenciada).

    • Política de confiança para assumir essa função, o que permite que o Diretor de AWS Resilience Hub Serviço assuma essa função. Se você não tiver essa função configurada em sua conta, AWS Resilience Hub exibirá as instruções para criar essa função. Para obter mais informações, consulte Etapa 6: configurar permissões.

    nota

    Se você fornecer somente o nome da função de invocador e se seus recursos estiverem localizados em outra conta, AWS Resilience Hub usará esse nome de função nas outras contas para acessar os recursos entre contas. Opcionalmente, você pode configurar a função ARNs para outras contas, que serão usadas em vez do nome da função de invocador.

  • Acesso IAM do usuário atual — AWS Resilience Hub usará o IAM usuário atual para acessar os recursos do seu aplicativo. Quando seus recursos estiverem em uma conta diferente, AWS Resilience Hub assumirá as seguintes IAM funções para acessar os recursos:

    • AwsResilienceHubAdminAccountRole na conta atual

    • AwsResilienceHubExecutorAccountRole em outras contas

    Além disso, quando você configura uma avaliação agendada, AWS Resilience Hub assumirá a AwsResilienceHubPeriodicAssessmentRole função. No entanto, o uso não AwsResilienceHubPeriodicAssessmentRole é recomendado porque você deve configurar manualmente as funções e permissões, e algumas funcionalidades (como a notificação do Drift) podem não funcionar conforme o esperado.