View a markdown version of this page

Multi-account configuration (sans AWS Organisations) - AWS Centre de résilience

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Multi-account configuration (sans AWS Organisations)

Si les ressources de votre service s'étendent sur plusieurs AWS comptes et que vous n'utilisez pas AWS Organizations, vous avez besoin de rôles entre comptes en plus du rôle d'invocateur.

Étape 1 : créer des rôles entre comptes

Dans chaque compte contenant des ressources pour votre service, créez un rôle avec :

  • ReadOnlyAccesspolitique jointe.

  • Une politique de confiance qui permet au rôle d'invocateur de l'assumer, en utilisant un ExternalId pour empêcher les attaques secondaires confuses. Utilisez une ExternalId valeur unique par combinaison de service et de compte :

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "StringEquals": {
        "sts:ExternalId": "ngrh-my-service-111122223333"
      }
    }
  }]
}

Étape 2 : accorder au rôle d'invocateur l'autorisation d'assumer des rôles entre comptes

Ajoutez une politique intégrée à votre rôle d'invocateur qui lui permet d'assumer les rôles entre comptes :

{
  "Effect": "Allow",
  "Action": "sts:AssumeRole",
  "Resource": [
    "arn:aws:iam::111122223333:role/NGRHResourceRole",
    "arn:aws:iam::444455556666:role/NGRHResourceRole"
  ]
}

Étape 3 : configurer les rôles entre comptes sur votre service

Spécifiez les ARN et les identifiants externes des rôles entre comptes lors de la création du service :

aws resiliencehubv2 create-service \
  --name "my-service" \
  --regions '["us-east-1"]' \
  --permission-model '{
    "invokerRoleName": "AWSResilienceHubAssessmentRole",
    "crossAccountRoles": [
      {
        "crossAccountRoleArn": "arn:aws:iam::111122223333:role/NGRHResourceRole",
        "externalId": "ngrh-my-service-111122223333"
      },
      {
        "crossAccountRoleArn": "arn:aws:iam::444455556666:role/NGRHResourceRole",
        "externalId": "ngrh-my-service-444455556666"
      }
    ]
  }'

Vous pouvez configurer jusqu'à 5 ARN de rôles entre comptes par service.