As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar permissões atuais de usuário do IAM
Use esse método se quiser usar suas permissões atuais de usuário do IAM para criar e executar uma avaliação. É possível anexar a política gerenciada AWSResilienceHubAsssessmentExecutionPolicy ao usuário do IAM ou a uma função associada ao usuário.
Configuração de conta única
Usar a política gerenciada mencionada acima é suficiente para executar uma avaliação em um aplicativo que é gerenciado na mesma conta do usuário do IAM.
Configuração de avaliação programada
Você deve criar uma nova função AwsResilienceHubPeriodicAssessmentRole para permitir que o AWS Resilience Hub
execute as tarefas programadas relacionadas à avaliação.
nota
-
Ao usar o acesso baseado em função (com a função de invocador mencionada acima), essa etapa não é necessária.
-
O tipo de função deve ser
AwsResilienceHubPeriodicAssessmentRole.
Para habilitar AWS Resilience Hub para realizar tarefas relacionadas à avaliação programada
-
Anexe a política gerenciada
AWSResilienceHubAsssessmentExecutionPolicyà função. -
Adicione a política a seguir, onde
primary_account_idestá a AWS conta em que o aplicativo está definido e executará a avaliação. Além disso, você deve adicionar a política de confiança associada à função da avaliação agendada, (AwsResilienceHubPeriodicAssessmentRole), que dá permissões para que o AWS Resilience Hub serviço assuma a função da avaliação agendada.Política de confiança para a função da avaliação programada (
AwsResilienceHubPeriodicAssessmentRole)
Cross-account configuração
As seguintes políticas de permissões do IAM são necessárias se você estiver usando o Hub de Resiliência da AWS com várias contas. Cada AWS conta pode precisar de permissões diferentes, dependendo do seu caso de uso. Ao configurar o AWS Resilience Hub para acesso entre contas, as seguintes contas e funções são consideradas:
-
Conta principal: conta da AWS na qual você deseja criar o aplicativo e executar avaliações.
-
Secondary/Resource conta (s) — AWS conta (s) em que os recursos estão localizados.
nota
-
Ao usar o acesso baseado em função (com a função de invocador mencionada acima), essa etapa não é necessária.
-
Para obter mais informações sobre a configuração de permissões para acessar o Amazon Elastic Kubernetes Service, consulte Habilitando AWS Resilience Hub acesso ao seu cluster Amazon Elastic Kubernetes Service.
Configuração da conta principal
Você deve criar uma nova função AwsResilienceHubAdminAccountRole na conta principal e habilitar o AWS Resilience Hub acesso para assumi-la. Essa função será usada para acessar outra função em sua AWS conta que contém seus recursos. Ela não deve ter permissões para ler recursos.
nota
-
O tipo de função deve ser
AwsResilienceHubAdminAccountRole. -
Ela deve ser criada na conta principal.
-
Seu IAM atual user/role deve ter
iam:assumeRolepermissão para assumir essa função. -
Substitua
secondary_account_id_1/2/...pelos identificadores de conta secundários relevantes.
A política a seguir fornece permissões de executor à sua função para acessar recursos em outra função em sua AWS conta:
A política de confiança para a função de administrador (AwsResilienceHubAdminAccountRole) é a seguinte:
Secondary/Resource configuração da (s) conta (s)
Em cada uma de suas contas secundárias, você deve criar uma nova AwsResilienceHubExecutorAccountRole e habilitar a função de administrador criada acima para assumir essa função. Como essa função será usada AWS Resilience Hub para verificar e avaliar os recursos do seu aplicativo, ela também exigirá as permissões apropriadas.
No entanto, você deve anexar a política gerenciada AWSResilienceHubAsssessmentExecutionPolicy à função e anexar a política de função do executor.
A política de confiança da função do executor é a seguinte: