View a markdown version of this page

Multi-account Einrichtung (ohne AWS Organizations) - AWS Resilience Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Multi-account Einrichtung (ohne AWS Organizations)

Wenn sich die Ressourcen Ihres Dienstes über mehrere AWS Konten erstrecken und Sie keine AWS Organizations verwenden, benötigen Sie zusätzlich zur Aufruferrolle kontenübergreifende Rollen.

Schritt 1: Erstellen Sie kontenübergreifende Rollen

Erstellen Sie in jedem Konto, das Ressourcen für Ihren Service enthält, eine Rolle mit:

  • ReadOnlyAccessRichtlinie beigefügt.

  • Eine Vertrauensrichtlinie, die es dem Aufrufer ermöglicht, die Rolle des Aufrufers zu übernehmen, wobei eine verwendet wird, ExternalId um verwirrte Deploy-Attacken zu verhindern. Verwenden Sie einen eindeutigen ExternalId Wert pro Kombination aus Service und Konto:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "StringEquals": {
        "sts:ExternalId": "ngrh-my-service-111122223333"
      }
    }
  }]
}

Schritt 2: Erteilen Sie der Aufruferrolle die Erlaubnis, kontenübergreifende Rollen zu übernehmen

Fügen Sie Ihrer Aufruferrolle eine Inline-Richtlinie hinzu, die es ihr ermöglicht, kontenübergreifende Rollen zu übernehmen:

{
  "Effect": "Allow",
  "Action": "sts:AssumeRole",
  "Resource": [
    "arn:aws:iam::111122223333:role/NGRHResourceRole",
    "arn:aws:iam::444455556666:role/NGRHResourceRole"
  ]
}

Schritt 3: Konfigurieren Sie kontenübergreifende Rollen in Ihrem Dienst

Geben Sie bei der Erstellung des Dienstes die ARNs und externen IDs für kontoübergreifende Rollen an:

aws resiliencehubv2 create-service \
  --name "my-service" \
  --regions '["us-east-1"]' \
  --permission-model '{
    "invokerRoleName": "AWSResilienceHubAssessmentRole",
    "crossAccountRoles": [
      {
        "crossAccountRoleArn": "arn:aws:iam::111122223333:role/NGRHResourceRole",
        "externalId": "ngrh-my-service-111122223333"
      },
      {
        "crossAccountRoleArn": "arn:aws:iam::444455556666:role/NGRHResourceRole",
        "externalId": "ngrh-my-service-444455556666"
      }
    ]
  }'

Sie können bis zu 5 ARNs für kontoübergreifende Rollen pro Dienst konfigurieren.