Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Multi-account configuración (sin AWS Organizations)
Si los recursos de su servicio abarcan varias AWS cuentas y no utiliza AWS Organizations, necesitará funciones multicuenta además de la función de invocador.
Paso 1: Crea funciones multicuentas
En cada cuenta que contenga recursos para su servicio, cree un rol con:
-
ReadOnlyAccesspolítica adjunta. -
Una política de confianza que permite que el invocador asuma la función de invocador, utilizando una
ExternalIdpara evitar ataques confusos de los diputados. Utilice unExternalIdvalor único por combinación de servicio y cuenta:{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "ngrh-my-service-111122223333" } } }] }
Paso 2: Otorgue permiso al invocador para que asuma funciones multicuenta
Añada una política integrada a su función de invocador que le permita asumir las funciones multicuenta:
{ "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::111122223333:role/NGRHResourceRole", "arn:aws:iam::444455556666:role/NGRHResourceRole" ] }
Paso 3: Configura las funciones multicuenta en tu servicio
Especifique los ARN de los roles multicuenta y los ID externos al crear el servicio:
aws resiliencehubv2 create-service \ --name "my-service" \ --regions '["us-east-1"]' \ --permission-model '{ "invokerRoleName": "AWSResilienceHubAssessmentRole", "crossAccountRoles": [ { "crossAccountRoleArn": "arn:aws:iam::111122223333:role/NGRHResourceRole", "externalId": "ngrh-my-service-111122223333" }, { "crossAccountRoleArn": "arn:aws:iam::444455556666:role/NGRHResourceRole", "externalId": "ngrh-my-service-444455556666" } ] }'
Puede configurar hasta 5 ARN de roles multicuenta por servicio.
