翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# マルチアカウント設定 ( AWS Organizations なし)
<a name="next-gen-multi-account-setup"></a>

サービスのリソースが複数の AWS アカウントにまたがっており、Organizations を使用して AWS いない場合は、呼び出しロールに加えてクロスアカウントロールが必要です。

**ステップ 1: クロスアカウントロールを作成する**

サービスのリソースを含むアカウントごとに、以下を使用してロールを作成します。
+ `ReadOnlyAccess` ポリシーがアタッチされました。
+ 混乱した代理攻撃`ExternalId`を防ぐために を使用して、呼び出し元ロールが引き受けることを許可する信頼ポリシー。サービスとアカウントの組み合わせごとに一意の`ExternalId`値を使用します。

  ```
  {
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/AWSResilienceHubAssessmentRole"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "ngrh-my-service-111122223333"
        }
      }
    }]
  }
  ```

**ステップ 2: クロスアカウントロールを引き受けるアクセス許可を呼び出しロールに付与する**

クロスアカウントロールの引き受けを許可するインラインポリシーを呼び出しロールに追加します。

```
{
  "Effect": "Allow",
  "Action": "sts:AssumeRole",
  "Resource": [
    "arn:aws:iam::111122223333:role/NGRHResourceRole",
    "arn:aws:iam::444455556666:role/NGRHResourceRole"
  ]
}
```

**ステップ 3: サービスでクロスアカウントロールを設定する**

サービスの作成時にクロスアカウントロールARNs と外部 IDs を指定します。

```
aws resiliencehubv2 create-service \
  --name "my-service" \
  --regions '["us-east-1"]' \
  --permission-model '{
    "invokerRoleName": "AWSResilienceHubAssessmentRole",
    "crossAccountRoles": [
      {
        "crossAccountRoleArn": "arn:aws:iam::111122223333:role/NGRHResourceRole",
        "externalId": "ngrh-my-service-111122223333"
      },
      {
        "crossAccountRoleArn": "arn:aws:iam::444455556666:role/NGRHResourceRole",
        "externalId": "ngrh-my-service-444455556666"
      }
    ]
  }'
```

サービスごとに最大 5 つのクロスアカウントロール ARNs を設定できます。