Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Resilience Hub Referenz zu Zugriffsberechtigungen
Sie können AWS Identity and Access Management (IAM) verwenden, um den Zugriff auf die Anwendungsressourcen zu verwalten und IAM-Richtlinien zu erstellen, die für Benutzer, Gruppen oder Rollen gelten.
Jede AWS Resilience Hub Anwendung kann so konfiguriert werden, dass sie die [Rolle des Aufrufers](security-iam-resilience-hub-invoker-role.md) (eine IAM-Rolle) oder die aktuellen IAM-Benutzerberechtigungen (zusammen mit einer Reihe vordefinierter Rollen für kontoübergreifende und geplante Bewertungen) verwendet. In dieser Rolle können Sie eine Richtlinie anhängen, die die Berechtigungen definiert, die für den AWS Resilience Hub Zugriff auf andere AWS Ressourcen oder Anwendungsressourcen erforderlich sind. Die Aufruferrolle muss über eine Vertrauensrichtlinie verfügen, die dem AWS Resilience Hub Service Principal hinzugefügt wird.
Um die Berechtigungen für Ihre Anwendung zu verwalten, empfehlen wir die Verwendung von[AWS verwaltete Richtlinien für AWS Resilience Hub](security-iam-awsmanpol.md). Sie können diese verwalteten Richtlinien ohne Änderungen verwenden, oder Sie können sie als Ausgangspunkt verwenden, um Ihre eigenen restriktiven Richtlinien zu schreiben. Richtlinien können Benutzerberechtigungen auf Ressourcenebene für verschiedene Aktionen einschränken, indem zusätzliche optionale Bedingungen verwendet werden.
Wenn sich Ihre Anwendungsressourcen in unterschiedlichen Konten befinden (Sekundärkonten oder Ressourcenkonten), müssen Sie für jedes Konto, das Ihre Anwendungsressourcen enthält, eine neue Rolle einrichten.
**Anmerkung**
Wenn Sie VPC-Endpunkte für Ihre Workload-Ressourcen definieren, stellen Sie sicher, dass die VPC-Endpunktrichtlinien nur Lesezugriff für den Zugriff AWS Resilience Hub auf die Ressourcen gewähren. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf VPC-Endpoints mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html).
**Topics**
+ [Verwenden der IAM-Rolle](security-iam-resilience-hub-using-iam-role.md)
+ [Aktuelle IAM-Benutzerberechtigungen verwenden](security-iam-resilience-hub-current-user-permissions.md)
# Verwenden der IAM-Rolle
AWS Resilience Hub verwendet eine vordefinierte bestehende IAM-Rolle, um auf Ihre Ressourcen im primären Konto oder secondary/resources Konto zuzugreifen. Dies ist die empfohlene Berechtigungsoption für den Zugriff auf Ihre Ressourcen.
**Topics**
+ [Rolle des Aufrufers](security-iam-resilience-hub-invoker-role.md)
+ [Rollen in verschiedenen AWS Konten für kontoübergreifenden Zugriff — optional](security-iam-resilience-cross-account-roles.md)
# Rolle des Aufrufers
Die AWS Resilience Hub Aufruferrolle ist eine AWS Identity and Access Management (IAM-) Rolle, die den Zugriff auf AWS Dienste und Ressourcen AWS Resilience Hub voraussetzt. Sie könnten beispielsweise eine Aufruferrolle erstellen, die berechtigt ist, auf Ihre CFN-Vorlage und die von ihr erstellte Ressource zuzugreifen. Diese Seite enthält Informationen zum Erstellen, Anzeigen und Verwalten einer Anwendungsaufruferrolle.
Wenn Sie eine Anwendung erstellen, geben Sie eine Aufruferrolle an. AWS Resilience Hub nimmt diese Rolle für den Zugriff auf Ihre Ressourcen an, wenn Sie Ressourcen importieren oder eine Bewertung starten. AWS Resilience Hub Damit Sie Ihre Rolle als Aufrufer ordnungsgemäß wahrnehmen können, muss in der Vertrauensrichtlinie der Rolle der AWS Resilience Hub Service Principal (**resiliencehub.amazonaws.com**) als vertrauenswürdiger Service angegeben sein.
****Um die Aufruferrolle der Anwendung anzuzeigen, wählen Sie im Navigationsbereich **Anwendungen** und dann auf der Anwendungsseite im Menü Aktionen die Option Berechtigungen **aktualisieren** aus.****
Sie können einer Anwendungsaufruferrolle jederzeit Berechtigungen hinzufügen oder daraus entfernen oder Ihre Anwendung so konfigurieren, dass sie eine andere Rolle für den Zugriff auf Anwendungsressourcen verwendet.
**Topics**
+ [Eine Aufruferrolle in der IAM-Konsole erstellen](#security-iam-resilience-hub-create-invoker-role)
+ [Verwalten von Rollen mit der IAM-API](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Definition der Vertrauensrichtlinie mithilfe der JSON-Datei](#security-iam-resilience-define-policy)
## Eine Aufruferrolle in der IAM-Konsole erstellen
Um den Zugriff auf AWS Dienste und Ressourcen AWS Resilience Hub zu ermöglichen, müssen Sie mithilfe der IAM-Konsole eine Aufruferrolle im primären Konto erstellen. Weitere Informationen zum Erstellen von Rollen mithilfe der IAM-Konsole finden Sie unter [Erstellen einer Rolle für einen AWS Dienst (](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)Konsole).
**So erstellen Sie mithilfe der IAM-Konsole eine Aufruferrolle im primären Konto**
1. Öffnen Sie unter `https://console.aws.amazon.com/iam/` die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann Rolle **erstellen** aus.
1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie** aus, kopieren Sie die folgende Richtlinie in das Fenster **Benutzerdefinierte Vertrauensrichtlinie** und klicken Sie dann auf **Weiter**.
**Anmerkung**
Wenn sich Ihre Ressourcen in unterschiedlichen Konten befinden, müssen Sie für jedes dieser Konten eine Rolle erstellen und die Vertrauensrichtlinie für sekundäre Konten für die anderen Konten verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Geben Sie auf der Seite „****Berechtigungen hinzufügen**“ `AWSResilienceHubAsssessmentExecutionPolicy` im Abschnitt „Berechtigungsrichtlinien**“ das Feld **Richtlinien nach Eigenschaft oder Richtliniennamen filtern ein und drücken Sie die Eingabetaste**.
1. Wählen Sie die Richtlinie aus und klicken Sie auf **Weiter**.
1. Geben Sie im Abschnitt **Rollendetails** einen eindeutigen Rollennamen (z. B.`AWSResilienceHubAssessmentRole`) in das Feld **Rollenname** ein.
Dieses Feld akzeptiert nur alphanumerische Zeichen und '`+=,.@-_/`' Zeichen.
1. (Optional) Geben Sie im Feld Beschreibung eine **Beschreibung** der Rolle ein.
1. Wählen Sie **Rolle erstellen** aus.
Um die Anwendungsfälle und Berechtigungen zu bearbeiten, klicken Sie in Schritt 6 auf die Schaltfläche **Bearbeiten**, die sich rechts neben **Schritt 1: Vertrauenswürdige Entitäten auswählen** oder **Schritt 2: Berechtigungsbereiche hinzufügen** befindet.
Nachdem Sie die Aufruferrolle und die Ressourcenrolle (falls zutreffend) erstellt haben, können Sie Ihre Anwendung so konfigurieren, dass sie diese Rollen verwendet.
**Anmerkung**
Sie müssen in Ihrem aktuellen IAM über eine `iam:passRole` Berechtigung für die user/role Aufruferrolle verfügen, wenn Sie die Anwendung erstellen oder aktualisieren. Sie benötigen diese Berechtigung jedoch nicht, um eine Bewertung durchzuführen.
## Verwalten von Rollen mit der IAM-API
Die Vertrauensrichtlinie einer Rolle erteilt dem angegebenen Prinzipal die Erlaubnis, die Rolle zu übernehmen. Verwenden Sie den `create-role` Befehl, um die Rollen mit AWS Command Line Interface (AWS CLI) zu erstellen. Bei Verwendung dieses Befehls können Sie die Vertrauensrichtlinie direkt angeben. Das folgende Beispiel zeigt, wie Sie dem AWS Resilience Hub Dienst die Hauptberechtigung erteilen, Ihre Rolle zu übernehmen.
**Anmerkung**
Die Anforderung, Anführungszeichen (`' '`) in der JSON-Zeichenfolge zu umgehen, kann je nach Ihrer Shell-Version variieren.
**Beispiel `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Definition der Vertrauensrichtlinie mithilfe der JSON-Datei
Sie können die Vertrauensrichtlinie für die Rolle mithilfe einer separaten JSON-Datei definieren und dann den `create-role` Befehl ausführen. Im folgenden Beispiel **`trust-policy.json`**befindet sich eine Datei, die die Vertrauensrichtlinie im aktuellen Verzeichnis enthält. Diese Richtlinie wird durch Ausführen eines **`create-role`**Befehls an eine Rolle angehängt. Die Ausgabe des `create-role` Befehls wird in der **Beispielausgabe** angezeigt. Verwenden Sie den **attach-policy-to-role**Befehl, um der Rolle Berechtigungen hinzuzufügen, und Sie können damit beginnen, die `AWSResilienceHubAsssessmentExecutionPolicy` verwaltete Richtlinie hinzuzufügen. Weitere Informationen zu dieser verwalteten Richtlinie finden Sie unter[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Beispiel `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Probe `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Beispielausgabe**
**Beispiel `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# Rollen in verschiedenen AWS Konten für kontoübergreifenden Zugriff — optional
Wenn sich Ihre Ressourcen in secondary/resource Konten befinden, müssen Sie in jedem dieser Konten Rollen erstellen, AWS Resilience Hub damit Ihre Bewerbung erfolgreich geprüft werden kann. Das Verfahren zur Rollenerstellung ähnelt dem Verfahren zur Erstellung der Aufruferrolle, mit Ausnahme der Konfiguration der Vertrauensrichtlinie.
**Anmerkung**
Sie müssen die Rollen in sekundären Konten erstellen, in denen sich die Ressourcen befinden.
**Topics**
+ [In der IAM-Konsole eine Rolle für secondary/resource Konten erstellen](#security-iam-resilience-cross-create-roles-infra-account)
+ [Verwalten von Rollen mit der IAM-API](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Definition der Vertrauensrichtlinie mithilfe der JSON-Datei](#security-iam-resilience-cross-define-trust-policy-infra-account)
## In der IAM-Konsole eine Rolle für secondary/resource Konten erstellen
Um den Zugriff auf AWS Dienste und Ressourcen in anderen AWS Konten AWS Resilience Hub zu ermöglichen, müssen Sie in jedem dieser Konten Rollen erstellen.
**Um eine Rolle in der IAM-Konsole für die secondary/resource Konten mithilfe der IAM-Konsole zu erstellen**
1. Öffnen Sie unter `https://console.aws.amazon.com/iam/` die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann Rolle **erstellen** aus.
1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie** aus, kopieren Sie die folgende Richtlinie in das Fenster **Benutzerdefinierte Vertrauensrichtlinie** und klicken Sie dann auf **Weiter**.
**Anmerkung**
Wenn sich Ihre Ressourcen in verschiedenen Konten befinden, müssen Sie für jedes dieser Konten eine Rolle erstellen und die Vertrauensrichtlinie für sekundäre Konten für die anderen Konten verwenden.
1. Geben Sie auf der Seite „****Berechtigungen hinzufügen**“ `AWSResilienceHubAsssessmentExecutionPolicy` im Abschnitt „Berechtigungsrichtlinien**“ das Feld **Richtlinien nach Eigenschaft oder Richtliniennamen filtern ein und drücken Sie die Eingabetaste**.
1. Wählen Sie die Richtlinie aus und klicken Sie auf **Weiter**.
1. Geben Sie im Abschnitt **Rollendetails** einen eindeutigen Rollennamen (z. B.`AWSResilienceHubAssessmentRole`) in das Feld **Rollenname** ein.
1. (Optional) Geben Sie im Feld Beschreibung eine **Beschreibung** der Rolle ein.
1. Wählen Sie **Rolle erstellen** aus.
Um die Anwendungsfälle und Berechtigungen zu bearbeiten, klicken Sie in Schritt 6 auf die Schaltfläche **Bearbeiten**, die sich rechts neben **Schritt 1: Vertrauenswürdige Entitäten auswählen** oder **Schritt 2: Berechtigungsbereiche hinzufügen** befindet.
Darüber hinaus müssen Sie der Aufruferrolle die `sts:assumeRole` Berechtigung hinzufügen, damit sie die Rollen in Ihren sekundären Konten übernehmen kann.
Fügen Sie Ihrer Aufruferrolle für jede der von Ihnen erstellten sekundären Rollen die folgende Richtlinie hinzu:
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Verwalten von Rollen mit der IAM-API
Die Vertrauensrichtlinie einer Rolle erteilt dem angegebenen Prinzipal die Erlaubnis, die Rolle zu übernehmen. Verwenden Sie den `create-role` Befehl, um die Rollen mit AWS Command Line Interface (AWS CLI) zu erstellen. Wenn Sie diesen Befehl verwenden, können Sie die Vertrauensrichtlinie angeben. Das folgende Beispiel zeigt, wie Sie dem AWS Resilience Hub Dienstprinzipal die Erlaubnis erteilen, Ihre Rolle zu übernehmen.
**Anmerkung**
Die Anforderung, Anführungszeichen (`' '`) in der JSON-Zeichenfolge zu umgehen, kann je nach Ihrer Shell-Version variieren.
**Beispiel `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Sie können die Vertrauensrichtlinie für die Rolle auch mithilfe einer separaten JSON-Datei definieren. Im folgenden Beispiel ist `trust-policy.json` eine Datei im aktuellen Verzeichnis.
### Definition der Vertrauensrichtlinie mithilfe der JSON-Datei
Sie können die Vertrauensrichtlinie für die Rolle mithilfe einer separaten JSON-Datei definieren und dann den `create-role` Befehl ausführen. Im folgenden Beispiel **`trust-policy.json`**befindet sich eine Datei, die die Vertrauensrichtlinie im aktuellen Verzeichnis enthält. Diese Richtlinie wird durch Ausführen eines **`create-role`**Befehls an eine Rolle angehängt. Die Ausgabe des `create-role` Befehls wird in der **Beispielausgabe** angezeigt. Verwenden Sie den **attach-policy-to-role**Befehl, um einer Rolle Berechtigungen hinzuzufügen, und Sie können damit beginnen, die `AWSResilienceHubAsssessmentExecutionPolicy` verwaltete Richtlinie hinzuzufügen. Weitere Informationen zu dieser verwalteten Richtlinie finden Sie unter[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Beispiel `trust-policy.json`**
**Probe `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Beispielausgabe**
**Beispiel `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.
# Aktuelle IAM-Benutzerberechtigungen verwenden
Verwenden Sie diese Methode, wenn Sie Ihre aktuellen IAM-Benutzerberechtigungen verwenden möchten, um eine Bewertung zu erstellen und auszuführen. Sie können die `AWSResilienceHubAsssessmentExecutionPolicy` verwaltete Richtlinie Ihrem IAM-Benutzer oder einer Rolle zuordnen, die Ihrem Benutzer zugeordnet ist.
## Einrichtung eines einzelnen Kontos
Die Verwendung der oben genannten verwalteten Richtlinie reicht aus, um eine Bewertung für eine Anwendung durchzuführen, die unter demselben Konto wie der IAM-Benutzer verwaltet wird.
## Einrichtung einer geplanten Bewertung
Sie müssen eine neue Rolle erstellen`AwsResilienceHubPeriodicAssessmentRole`, um geplante Aufgaben im Zusammenhang mit der Bewertung durchführen AWS Resilience Hub zu können.
**Anmerkung**
Bei Verwendung des rollenbasierten Zugriffs (mit der oben genannten Aufruferrolle) ist dieser Schritt nicht erforderlich.
Der Rollenname muss sein. `AwsResilienceHubPeriodicAssessmentRole`
**Um die Durchführung von geplanten Aufgaben im Zusammenhang mit der Bewertung AWS Resilience Hub zu ermöglichen**
1. Hängen Sie die von `AWSResilienceHubAsssessmentExecutionPolicy` verwaltete Richtlinie an die Rolle an.
1. Fügen Sie die folgende Richtlinie hinzu, in der `primary_account_id` sich das AWS Konto befindet, für das die Anwendung definiert ist und die Bewertung ausführt. Darüber hinaus müssen Sie die zugehörige Vertrauensrichtlinie (`AwsResilienceHubPeriodicAssessmentRole`) für die Rolle der geplanten Bewertung hinzufügen, die dem AWS Resilience Hub Dienst die Rechte gibt, die Rolle der geplanten Bewertung zu übernehmen.
**Vertrauensrichtlinie für die Rolle der geplanten Bewertung (`AwsResilienceHubPeriodicAssessmentRole`)**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Kontoübergreifende Einrichtung
Die folgenden IAM-Berechtigungsrichtlinien sind erforderlich, wenn Sie AWS Resilience Hub mit mehreren Konten verwenden. Für jedes AWS Konto sind je nach Anwendungsfall möglicherweise unterschiedliche Berechtigungen erforderlich. AWS Resilience Hub Bei der Einrichtung des kontoübergreifenden Zugriffs werden die folgenden Konten und Rollen berücksichtigt:
+ **Primärkonto** — AWS Konto, in dem Sie die Anwendung erstellen und Bewertungen ausführen möchten.
+ **Sekundäres Konto/Ressourcenkonto (e)** — AWS Konto (e), in dem sich die Ressourcen befinden.
**Anmerkung**
Bei Verwendung des rollenbasierten Zugriffs (mit der oben genannten Aufruferrolle) ist dieser Schritt nicht erforderlich.
Weitere Informationen zur Konfiguration von Berechtigungen für den Zugriff auf Amazon Elastic Kubernetes Service finden Sie unter. [AWS Resilience Hub Zugriff auf Ihren Amazon Elastic Kubernetes Service Service-Cluster aktivieren](enabling-eks-in-arh.md)
### Einrichtung des primären Kontos
Sie müssen eine neue Rolle `AwsResilienceHubAdminAccountRole` im Hauptkonto erstellen und den AWS Resilience Hub Zugriff aktivieren, um diese Rolle übernehmen zu können. Diese Rolle wird verwendet, um auf eine andere Rolle in Ihrem AWS Konto zuzugreifen, die Ihre Ressourcen enthält. Sie sollte keine Berechtigungen zum Lesen von Ressourcen haben.
**Anmerkung**
Der Rollenname muss sein`AwsResilienceHubAdminAccountRole`.
Er muss im Hauptkonto erstellt werden.
Ihr aktueller IAM user/role muss über die `iam:assumeRole` Berechtigung verfügen, diese Rolle zu übernehmen.
Ersetzen Sie es `secondary_account_id_1/2/...` durch die entsprechenden sekundären Kontokennungen.
Die folgende Richtlinie gewährt Ihrer Rolle Ausführungsberechtigungen für den Zugriff auf Ressourcen in einer anderen Rolle in Ihrem Konto: AWS
Die Vertrauensrichtlinie für die Administratorrolle (`AwsResilienceHubAdminAccountRole`) lautet wie folgt:
### Einrichtung von Sekundär-/Ressourcenkonten
In jedem Ihrer sekundären Konten müssen Sie ein neues erstellen `AwsResilienceHubExecutorAccountRole` und die oben erstellte Administratorrolle aktivieren, um diese Rolle übernehmen zu können. Da diese Rolle von verwendet wird AWS Resilience Hub , um Ihre Anwendungsressourcen zu scannen und zu bewerten, sind auch die entsprechenden Berechtigungen erforderlich.
Sie müssen jedoch die `AWSResilienceHubAsssessmentExecutionPolicy` verwaltete Richtlinie an die Rolle anhängen und die Richtlinie für die Rolle des Ausführers anhängen.
Die Vertrauensrichtlinie für die Rolle des Ausführers lautet wie folgt: