

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Resilience Hub 访问权限参考
<a name="security-iam-resilience-hub-permissions"></a>

您可以使用 AWS Identity and Access Management (IAM) 来管理对应用程序资源的访问权限，并创建适用于用户、群组或角色的 IAM 策略。

可以将每个 AWS Resilience Hub 应用程序配置为使用[调用者角色](security-iam-resilience-hub-invoker-role.md)（一个 IAM 角色）或使用当前 IAM 用户权限（以及一组用于跨账户和定期评估的预定义角色）。在此角色中，您可以附加一个策略，该策略定义了 AWS Resilience Hub 访问其他 AWS 资源或应用程序资源所需的权限。调用者角色必须具有添加到 AWS Resilience Hub 服务主体的信任策略。

要管理应用程序的权限，我们建议使用 [AWS 的托管策略 AWS Resilience Hub](security-iam-awsmanpol.md)。您可以使用这些托管式策略，而无需做任何修改，也可以将它们作为起点编写自己的限制性策略。策略可以通过操作影响的资源以及其他可选条件来限制用户权限。

如果您的应用程序资源位于不同的账户（secondary/resource账户）中，则必须在包含您的应用程序资源的每个账户中设置一个新角色。

**注意**  
如果您为工作负载资源定义 VPC 终端节点，请确保 VPC 终端节点策略为访问资源提供只读访问权限。 AWS Resilience Hub 有关更多信息，请参阅[使用端点策略控制对 VPC 端点的访问](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html)。

**主题**
+ [使用 IAM 角色](security-iam-resilience-hub-using-iam-role.md)
+ [使用当前的 IAM 用户权限](security-iam-resilience-hub-current-user-permissions.md)