Configurar funções e perfis do IAM - AWS Hub de resiliência

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar funções e perfis do IAM

AWS Resilience Hub permite que você configure as funções do IAM que você gostaria de usar ao executar avaliações para seu aplicativo. Há várias maneiras de configurar o AWS Resilience Hub para obter acesso somente de leitura aos recursos do seu aplicativo. No entanto, o AWS Resilience Hub recomenda as seguintes formas:

  • Acesso baseado em função — Essa função é definida e usada na conta atual. AWS Resilience Hub assumirá essa função para acessar os recursos do seu aplicativo.

    Para fornecer acesso baseado em funções, a função deve incluir o seguinte:

    • Permissão somente de leitura para ler seus recursos (AWS Resilience Hub recomenda que você use a política AwsResilienceHubAssessmentPolicy gerenciada).

    • Política de confiança para assumir essa função, o que permite que o Diretor de AWS Resilience Hub Serviço assuma essa função. Se você não tiver essa função configurada em sua conta, AWS Resilience Hub exibirá as instruções para criar essa função. Para ter mais informações, consulte Etapa 6: configurar permissões.

    nota

    Se você fornecer somente o nome da função de invocador e se seus recursos estiverem localizados em outra conta, AWS Resilience Hub usará esse nome de função nas outras contas para acessar os recursos entre contas. Opcionalmente, você pode configurar os ARNs da função para outras contas, que serão usados em vez do nome da função do invocador.

  • Acesso atual do usuário do IAM: o AWS Resilience Hub usará o usuário atual do IAM para acessar os recursos do seu aplicativo. Quando seus recursos estiverem em uma conta diferente, AWS Resilience Hub assumirá as seguintes funções do IAM para acessar os recursos:

    • AwsResilienceHubAdminAccountRole na conta atual

    • AwsResilienceHubExecutorAccountRole em outras contas

    Além disso, quando você configura uma avaliação agendada, AWS Resilience Hub assumirá a AwsResilienceHubPeriodicAssessmentRole função. No entanto, o uso não AwsResilienceHubPeriodicAssessmentRole é recomendado porque você deve configurar manualmente as funções e permissões, e algumas funcionalidades (como a notificação do Drift) podem não funcionar conforme o esperado.