Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Multi-account configuration (sans AWS Organisations) Si les ressources de votre service s'étendent sur plusieurs AWS comptes et que vous n'utilisez pas AWS Organizations, vous avez besoin de rôles entre comptes en plus du rôle d'invocateur. **Étape 1 : créer des rôles entre comptes** Dans chaque compte contenant des ressources pour votre service, créez un rôle avec : + `ReadOnlyAccess`politique jointe. + Une politique de confiance qui permet au rôle d'invocateur de l'assumer, en utilisant un `ExternalId` pour empêcher les attaques secondaires confuses. Utilisez une `ExternalId` valeur unique par combinaison de service et de compte : ``` { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "ngrh-my-service-111122223333" } } }] } ``` **Étape 2 : accorder au rôle d'invocateur l'autorisation d'assumer des rôles entre comptes** Ajoutez une politique intégrée à votre rôle d'invocateur qui lui permet d'assumer les rôles entre comptes : ``` { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::111122223333:role/NGRHResourceRole", "arn:aws:iam::444455556666:role/NGRHResourceRole" ] } ``` **Étape 3 : configurer les rôles entre comptes sur votre service** Spécifiez les ARN et les identifiants externes des rôles entre comptes lors de la création du service : ``` aws resiliencehubv2 create-service \ --name "my-service" \ --regions '["us-east-1"]' \ --permission-model '{ "invokerRoleName": "AWSResilienceHubAssessmentRole", "crossAccountRoles": [ { "crossAccountRoleArn": "arn:aws:iam::111122223333:role/NGRHResourceRole", "externalId": "ngrh-my-service-111122223333" }, { "crossAccountRoleArn": "arn:aws:iam::444455556666:role/NGRHResourceRole", "externalId": "ngrh-my-service-444455556666" } ] }' ``` Vous pouvez configurer jusqu'à 5 ARN de rôles entre comptes par service.