Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Rollen in verschiedenen AWS Konten für kontoübergreifenden Zugriff — optional
Wenn sich Ihre Ressourcen in secondary/resource Konten befinden, müssen Sie in jedem dieser Konten Rollen erstellen, AWS Resilience Hub damit Ihre Bewerbung erfolgreich geprüft werden kann. Das Verfahren zur Rollenerstellung ähnelt dem Verfahren zur Erstellung der Aufruferrolle, mit Ausnahme der Konfiguration der Vertrauensrichtlinie.
**Anmerkung**
Sie müssen die Rollen in sekundären Konten erstellen, in denen sich die Ressourcen befinden.
**Topics**
+ [In der IAM-Konsole eine Rolle für secondary/resource Konten erstellen](#security-iam-resilience-cross-create-roles-infra-account)
+ [Verwalten von Rollen mit der IAM-API](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Definition der Vertrauensrichtlinie mithilfe der JSON-Datei](#security-iam-resilience-cross-define-trust-policy-infra-account)
## In der IAM-Konsole eine Rolle für secondary/resource Konten erstellen
Um den Zugriff auf AWS Dienste und Ressourcen in anderen AWS Konten AWS Resilience Hub zu ermöglichen, müssen Sie in jedem dieser Konten Rollen erstellen.
**Um eine Rolle in der IAM-Konsole für die secondary/resource Konten mithilfe der IAM-Konsole zu erstellen**
1. Öffnen Sie unter `https://console.aws.amazon.com/iam/` die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann Rolle **erstellen** aus.
1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie** aus, kopieren Sie die folgende Richtlinie in das Fenster **Benutzerdefinierte Vertrauensrichtlinie** und klicken Sie dann auf **Weiter**.
**Anmerkung**
Wenn sich Ihre Ressourcen in verschiedenen Konten befinden, müssen Sie für jedes dieser Konten eine Rolle erstellen und die Vertrauensrichtlinie für sekundäre Konten für die anderen Konten verwenden.
1. Geben Sie auf der Seite „****Berechtigungen hinzufügen**“ `AWSResilienceHubAsssessmentExecutionPolicy` im Abschnitt „Berechtigungsrichtlinien**“ das Feld **Richtlinien nach Eigenschaft oder Richtliniennamen filtern ein und drücken Sie die Eingabetaste**.
1. Wählen Sie die Richtlinie aus und klicken Sie auf **Weiter**.
1. Geben Sie im Abschnitt **Rollendetails** einen eindeutigen Rollennamen (z. B.`AWSResilienceHubAssessmentRole`) in das Feld **Rollenname** ein.
1. (Optional) Geben Sie im Feld Beschreibung eine **Beschreibung** der Rolle ein.
1. Wählen Sie **Rolle erstellen** aus.
Um die Anwendungsfälle und Berechtigungen zu bearbeiten, klicken Sie in Schritt 6 auf die Schaltfläche **Bearbeiten**, die sich rechts neben **Schritt 1: Vertrauenswürdige Entitäten auswählen** oder **Schritt 2: Berechtigungsbereiche hinzufügen** befindet.
Darüber hinaus müssen Sie der Aufruferrolle die `sts:assumeRole` Berechtigung hinzufügen, damit sie die Rollen in Ihren sekundären Konten übernehmen kann.
Fügen Sie Ihrer Aufruferrolle für jede der von Ihnen erstellten sekundären Rollen die folgende Richtlinie hinzu:
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Verwalten von Rollen mit der IAM-API
Die Vertrauensrichtlinie einer Rolle erteilt dem angegebenen Prinzipal die Erlaubnis, die Rolle zu übernehmen. Verwenden Sie den `create-role` Befehl, um die Rollen mit AWS Command Line Interface (AWS CLI) zu erstellen. Wenn Sie diesen Befehl verwenden, können Sie die Vertrauensrichtlinie angeben. Das folgende Beispiel zeigt, wie Sie dem AWS Resilience Hub Dienstprinzipal die Erlaubnis erteilen, Ihre Rolle zu übernehmen.
**Anmerkung**
Die Anforderung, Anführungszeichen (`' '`) in der JSON-Zeichenfolge zu umgehen, kann je nach Ihrer Shell-Version variieren.
**Beispiel `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Sie können die Vertrauensrichtlinie für die Rolle auch mithilfe einer separaten JSON-Datei definieren. Im folgenden Beispiel ist `trust-policy.json` eine Datei im aktuellen Verzeichnis.
### Definition der Vertrauensrichtlinie mithilfe der JSON-Datei
Sie können die Vertrauensrichtlinie für die Rolle mithilfe einer separaten JSON-Datei definieren und dann den `create-role` Befehl ausführen. Im folgenden Beispiel **`trust-policy.json`**befindet sich eine Datei, die die Vertrauensrichtlinie im aktuellen Verzeichnis enthält. Diese Richtlinie wird durch Ausführen eines **`create-role`**Befehls an eine Rolle angehängt. Die Ausgabe des `create-role` Befehls wird in der **Beispielausgabe** angezeigt. Verwenden Sie den **attach-policy-to-role**Befehl, um einer Rolle Berechtigungen hinzuzufügen, und Sie können damit beginnen, die `AWSResilienceHubAsssessmentExecutionPolicy` verwaltete Richtlinie hinzuzufügen. Weitere Informationen zu dieser verwalteten Richtlinie finden Sie unter[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Beispiel `trust-policy.json`**
**Probe `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Beispielausgabe**
**Beispiel `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.