設定 IAM 角色和許可

AWS Resilience Hub 可讓您設定要在為應用程式執行評估時使用的 IAM 角色。您可以透過多種方式進行設定， AWS Resilience Hub 以取得應用程式資源的唯讀存取權。但是， AWS Resilience Hub 建議使用以下方法：

• 基於角色的訪問 — 此角色在當前帳戶中定義和使用。 AWS Resilience Hub 將扮演此角色來存取應用程式的資源。

  若要提供以角色為基礎的存取權，角色必須包含下列項目：

  • 讀取資源的唯讀權限 (AWS Resilience Hub 建議您使用受AwsResilienceHubAssessmentPolicy管政策)。

  • 信任原則會擔任此角色，可讓 AWS Resilience Hub 服務主體擔任此角色。如果您的帳戶中沒有設定此類角色，則 AWS Resilience Hub 會顯示建立該角色的指示。如需詳細資訊，請參閱 步驟 6：設定權限。

  注意

  如果您僅提供呼叫者角色名稱，而且您的資源位於其他帳戶中，則 AWS Resilience Hub 會在其他帳號中使用此角色名稱來存取跨帳戶資源。或者，您可以為其他帳號設定角色 ARN，這些帳號將用來取代呼叫者角色名稱。

• 目前的 IAM 使用者存取權限 — AWS Resilience Hub 將使用目前的 IAM 使用者存取您的應用程式資源。當您的資源位於不同的帳戶中時， AWS Resilience Hub 將採用以下 IAM 角色來存取資源：

  • AwsResilienceHubAdminAccountRole在當前帳戶

  • AwsResilienceHubExecutorAccountRole在其他帳戶

  此外，當您設定排程的評估時， AWS Resilience Hub 會擔任該AwsResilienceHubPeriodicAssessmentRole角色。但AwsResilienceHubPeriodicAssessmentRole是，不建議使用，因為您必須手動配置角色和權限，並且某些功能（例如 Drift 通知）可能無法正常工作。