Usar permissões atuais de usuário do IAM - AWS Hub de resiliência
Configuração de conta única Configuração de avaliação programadaConfiguração entre contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar permissões atuais de usuário do IAM

Use esse método se quiser usar suas permissões atuais de usuário do IAM para criar e executar uma avaliação. É possível anexar a política gerenciada AWSResilienceHubAsssessmentExecutionPolicy ao usuário do IAM ou a uma função associada ao usuário.

Configuração de conta única

Usar a política gerenciada mencionada acima é suficiente para executar uma avaliação em um aplicativo que é gerenciado na mesma conta do usuário do IAM.

Configuração de avaliação programada

Você deve criar uma nova função AwsResilienceHubPeriodicAssessmentRole para permitir que o AWS Resilience Hub execute as tarefas programadas relacionadas à avaliação.

nota

  • Ao usar o acesso baseado em função (com a função de invocador mencionada acima), essa etapa não é necessária.

  • O tipo de função deve ser AwsResilienceHubPeriodicAssessmentRole.

Para permitir AWS Resilience Hub a execução de tarefas programadas relacionadas à avaliação

  1. Anexe a política gerenciada AWSResilienceHubAsssessmentExecutionPolicy à função.

  2. Adicione a política a seguir, onde primary_account_id está a AWS conta em que o aplicativo está definido e executará a avaliação. Além disso, você deve adicionar a política de confiança associada à função da avaliação agendada, (AwsResilienceHubPeriodicAssessmentRole), que dá permissões para que o AWS Resilience Hub serviço assuma a função da avaliação agendada.

    Política de confiança para a função da avaliação programada (AwsResilienceHubPeriodicAssessmentRole)

    JSON
    {
  "Version":"2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "resiliencehub.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Configuração entre contas

As seguintes políticas de permissões do IAM são necessárias se você estiver usando o Hub de Resiliência da AWS com várias contas. Cada AWS conta pode precisar de permissões diferentes, dependendo do seu caso de uso. Ao configurar o AWS Resilience Hub para acesso entre contas, as seguintes contas e funções são consideradas:

  • Conta principal: conta da AWS na qual você deseja criar o aplicativo e executar avaliações.

  • Conta (s) secundária/de recursos — AWS conta (s) em que os recursos estão localizados.

nota

Configuração da conta principal

Você deve criar uma nova função AwsResilienceHubAdminAccountRole na conta principal e habilitar o AWS Resilience Hub acesso para assumi-la. Essa função será usada para acessar outra função em sua AWS conta que contém seus recursos. Ela não deve ter permissões para ler recursos.

nota

  • O tipo de função deve ser AwsResilienceHubAdminAccountRole.

  • Ela deve ser criada na conta principal.

  • Seu IAM atual user/role deve ter iam:assumeRole permissão para assumir essa função.

  • Substitua secondary_account_id_1/2/... pelos identificadores de conta secundários relevantes.

A política a seguir fornece permissões de executor à sua função para acessar recursos em outra função em sua AWS conta:

A política de confiança para a função de administrador (AwsResilienceHubAdminAccountRole) é a seguinte:

Configuração de conta(s) secundária/de recursos

Em cada uma de suas contas secundárias, você deve criar uma nova AwsResilienceHubExecutorAccountRole e habilitar a função de administrador criada acima para assumir essa função. Como essa função será usada AWS Resilience Hub para escanear e avaliar os recursos do seu aplicativo, ela também exigirá as permissões apropriadas.

No entanto, você deve anexar a política gerenciada AWSResilienceHubAsssessmentExecutionPolicy à função e anexar a política de função do executor.

A política de confiança da função do executor é a seguinte: