IAM 角色和权限

AWS Resilience Hub 允许您在为应用程序运行评估时配置要使用的 IAM 角色。您可以通过多种方式配置 AWS Resilience Hub ，以获得对应用程序资源的只读访问权限。但是， AWS Resilience Hub 建议使用以下方法：

• 基于角色的访问权限-此角色是在当前账户中定义和使用的。 AWS Resilience Hub 将担任此角色来访问您的应用程序的资源。

  要提供基于角色的访问权限，该角色必须包括以下内容：

  • 读取资源的只读权限（AWS Resilience Hub 建议您使用AwsResilienceHubAssessmentPolicy托管策略）。

  • 担任此角色的信任策略，允许 AWS Resilience Hub 服务负责人担任此角色。如果您的账户中没有配置此类角色， AWS Resilience Hub 将显示创建该角色的说明。有关更多信息，请参阅 步骤 6：设置权限。

  注意

  如果您仅提供调用者角色名称，并且您的资源位于其他账户中，则 AWS Resilience Hub 将在其他账户中使用此角色名称来访问跨账户资源。或者，您可以为其他账户配置角色 ARN，该角色 ARN 将用于代替调用者角色名称。

• 当前 IAM 用户访问权限 – AWS Resilience Hub 将使用当前 IAM 用户访问您的应用程序资源。当您的资源位于不同的账户中时， AWS Resilience Hub 将扮演以下 IAM 角色来访问这些资源：

  • AwsResilienceHubAdminAccountRole，在当前账户中

  • AwsResilienceHubExecutorAccountRole，在其他账户中

  此外，在配置定期评估时， AWS Resilience Hub 将担任该AwsResilienceHubPeriodicAssessmentRole角色。但是，AwsResilienceHubPeriodicAssessmentRole不建议使用，因为您必须手动配置角色和权限，而且某些功能（例如漂移通知）可能无法按预期运行。