Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Multi-account configurazione (senza AWS Organizzazioni) Se le risorse del tuo servizio si estendono su più AWS account e non utilizzi AWS Organizations, hai bisogno di ruoli tra account oltre al ruolo di invoker. **Fase 1: Creare ruoli tra più account** In ogni account che contiene risorse per il tuo servizio, crea un ruolo con: + `ReadOnlyAccess`politica allegata. + Una politica di fiducia che consente all'invoker di assumersi il ruolo di invoker, utilizzando una `ExternalId` per prevenire attacchi confusi da parte dei vice. Utilizza un `ExternalId` valore unico per combinazione di servizio e account: ``` { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "ngrh-my-service-111122223333" } } }] } ``` **Passaggio 2: concedere al ruolo di invoker l'autorizzazione ad assumere ruoli tra più account** Aggiungi una policy in linea al tuo ruolo di invoker che gli consenta di assumere i ruoli tra account diversi: ``` { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::111122223333:role/NGRHResourceRole", "arn:aws:iam::444455556666:role/NGRHResourceRole" ] } ``` **Passaggio 3: configura i ruoli tra account diversi sul tuo servizio** Specificate gli ARN e gli ID esterni dei ruoli tra account diversi durante la creazione del servizio: ``` aws resiliencehubv2 create-service \ --name "my-service" \ --regions '["us-east-1"]' \ --permission-model '{ "invokerRoleName": "AWSResilienceHubAssessmentRole", "crossAccountRoles": [ { "crossAccountRoleArn": "arn:aws:iam::111122223333:role/NGRHResourceRole", "externalId": "ngrh-my-service-111122223333" }, { "crossAccountRoleArn": "arn:aws:iam::444455556666:role/NGRHResourceRole", "externalId": "ngrh-my-service-444455556666" } ] }' ``` È possibile configurare fino a 5 ARN per ruolo tra account diversi per servizio.