View a markdown version of this page

Multi-account configurazione (senza AWS Organizzazioni) - AWS Resilience Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Multi-account configurazione (senza AWS Organizzazioni)

Se le risorse del tuo servizio si estendono su più AWS account e non utilizzi AWS Organizations, hai bisogno di ruoli tra account oltre al ruolo di invoker.

Fase 1: Creare ruoli tra più account

In ogni account che contiene risorse per il tuo servizio, crea un ruolo con:

  • ReadOnlyAccesspolitica allegata.

  • Una politica di fiducia che consente all'invoker di assumersi il ruolo di invoker, utilizzando una ExternalId per prevenire attacchi confusi da parte dei vice. Utilizza un ExternalId valore unico per combinazione di servizio e account:

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "StringEquals": {
        "sts:ExternalId": "ngrh-my-service-111122223333"
      }
    }
  }]
}

Passaggio 2: concedere al ruolo di invoker l'autorizzazione ad assumere ruoli tra più account

Aggiungi una policy in linea al tuo ruolo di invoker che gli consenta di assumere i ruoli tra account diversi:

{
  "Effect": "Allow",
  "Action": "sts:AssumeRole",
  "Resource": [
    "arn:aws:iam::111122223333:role/NGRHResourceRole",
    "arn:aws:iam::444455556666:role/NGRHResourceRole"
  ]
}

Passaggio 3: configura i ruoli tra account diversi sul tuo servizio

Specificate gli ARN e gli ID esterni dei ruoli tra account diversi durante la creazione del servizio:

aws resiliencehubv2 create-service \
  --name "my-service" \
  --regions '["us-east-1"]' \
  --permission-model '{
    "invokerRoleName": "AWSResilienceHubAssessmentRole",
    "crossAccountRoles": [
      {
        "crossAccountRoleArn": "arn:aws:iam::111122223333:role/NGRHResourceRole",
        "externalId": "ngrh-my-service-111122223333"
      },
      {
        "crossAccountRoleArn": "arn:aws:iam::444455556666:role/NGRHResourceRole",
        "externalId": "ngrh-my-service-444455556666"
      }
    ]
  }'

È possibile configurare fino a 5 ARN per ruolo tra account diversi per servizio.