Peran invoker - AWS Hub Ketahanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran invoker

Peran AWS Resilience Hub invoker adalah peran AWS Identity and Access Management (IAM) yang AWS Resilience Hub mengasumsikan untuk mengakses AWS layanan dan sumber daya. Misalnya, Anda dapat membuat peran invoker yang memiliki izin untuk mengakses template CFN Anda dan sumber daya yang dibuatnya. Halaman ini memberikan informasi tentang cara membuat, melihat, dan mengelola peran pemanggil aplikasi.

Saat Anda membuat aplikasi, Anda memberikan peran invoker. AWS Resilience Hub mengasumsikan peran ini untuk mengakses sumber daya Anda saat Anda mengimpor sumber daya atau memulai penilaian. AWS Resilience Hub Agar dapat mengambil peran invoker Anda dengan benar, kebijakan kepercayaan peran harus menentukan prinsip AWS Resilience Hub layanan (resiliencehub.amazonaws.com) sebagai layanan tepercaya.

Untuk melihat peran invoker aplikasi, pilih Aplikasi dari panel navigasi, lalu pilih Perbarui izin dari menu Tindakan di halaman Aplikasi.

Anda dapat menambahkan atau menghapus izin dari peran pemanggil aplikasi kapan saja, atau mengonfigurasi aplikasi Anda untuk menggunakan peran yang berbeda untuk mengakses sumber daya aplikasi.

Topik

Membuat peran invoker di konsol IAM

AWS Resilience Hub Untuk mengaktifkan akses AWS layanan dan sumber daya, Anda harus membuat peran invoker di akun utama menggunakan konsol IAM. Untuk informasi selengkapnya tentang membuat peran menggunakan konsol IAM, lihat Membuat peran untuk AWS layanan (konsol).

Untuk membuat peran invoker di akun utama menggunakan konsol IAM
  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Dari panel navigasi, pilih Peran, lalu pilih Buat peran.

  3. Pilih Kebijakan Kepercayaan Kustom, salin kebijakan berikut di jendela Kebijakan kepercayaan kustom, lalu pilih Berikutnya.

    catatan

    Jika sumber daya Anda berada di akun yang berbeda, Anda harus membuat peran di masing-masing akun tersebut, dan menggunakan kebijakan kepercayaan akun sekunder untuk akun lainnya.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "resiliencehub.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  4. Di bagian Kebijakan izin di halaman Tambahkan izin, masukkan AWSResilienceHubAsssessmentExecutionPolicy di Filter kebijakan berdasarkan properti atau nama kebijakan, lalu tekan kotak enter.

  5. Pilih kebijakan dan pilih Berikutnya.

  6. Di bagian Rincian peran, masukkan nama peran unik (sepertiAWSResilienceHubAssessmentRole) di kotak Nama peran.

    Bidang ini hanya menerima karakter alfanumerik dan ''. +=,.@-_/

  7. (Opsional) Masukkan deskripsi tentang peran di kotak Deskripsi.

  8. Pilih Buat Peran.

    Untuk mengedit kasus penggunaan dan izin, pada langkah 6, pilih tombol Edit yang terletak di sebelah kanan Langkah 1: Pilih entitas tepercaya atau Langkah 2: Tambahkan bagian izin.

Setelah membuat peran invoker dan peran sumber daya (jika ada), Anda dapat mengonfigurasi aplikasi Anda untuk menggunakan peran ini.

catatan

Anda harus memiliki iam:passRole izin dalam pengguna/peran IAM Anda saat ini ke peran invoker saat membuat atau memperbarui aplikasi. Namun, Anda tidak memerlukan izin ini untuk menjalankan penilaian.

Mengelola peran dengan API IAM

Kebijakan kepercayaan peran memberikan izin kepala sekolah yang ditentukan untuk mengambil peran tersebut. Untuk membuat peran menggunakan AWS Command Line Interface (AWS CLI), gunakan create-role perintah. Saat menggunakan perintah ini, Anda dapat menentukan kebijakan kepercayaan sebaris. Contoh berikut menunjukkan cara memberikan AWS Resilience Hub layanan izin utama untuk mengambil peran Anda.

catatan

Persyaratan untuk menghindari tanda kutip (' ') dalam string JSON dapat bervariasi berdasarkan versi shell Anda.

Sampel create-role

aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{ "Version": "2012-10-17","Statement": [ { "Effect": "Allow", "Principal": {"Service": "resiliencehub.amazonaws.com"}, "Action": "sts:AssumeRole" } ] }'

Mendefinisikan kebijakan kepercayaan menggunakan file JSON

Anda dapat menentukan kebijakan kepercayaan untuk peran menggunakan file JSON terpisah dan kemudian menjalankan create-role perintah. Dalam contoh berikut, trust-policy.jsonadalah file yang berisi kebijakan kepercayaan di direktori saat ini. Kebijakan ini dilampirkan ke peran dengan menjalankan create-roleperintah. Output dari create-role perintah ditampilkan dalam Output Sampel. Untuk menambahkan izin ke peran, gunakan attach-policy-to-roleperintah dan Anda dapat memulai dengan menambahkan kebijakan AWSResilienceHubAsssessmentExecutionPolicy terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola ini, lihatAWSResilienceHubAsssessmentExecutionPolicy.

Sampel trust-policy.json

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "resiliencehub.amazonaws.com" }, "Action": "sts:AssumeRole" }] }

Sampel create-role

aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json

Keluaran Sampel

{ "Role": { "Path": "/", "RoleName": "AWSResilienceHubAssessmentRole", "RoleId": "AROAQFOXMPL6TZ6ITKWND", "Arn": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole", "CreateDate": "2020-01-17T23:19:12Z", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "resiliencehub.amazonaws.com" }, "Action": "sts:AssumeRole" }] } } }

Sampel attach-policy-to-role

aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy