Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden der IAM-Rolle
AWS Resilience Hub verwendet eine vordefinierte bestehende IAM-Rolle, um auf Ihre Ressourcen im primären Konto oder secondary/resources Konto zuzugreifen. Dies ist die empfohlene Berechtigungsoption für den Zugriff auf Ihre Ressourcen.
**Topics**
+ [Rolle des Aufrufers](security-iam-resilience-hub-invoker-role.md)
+ [Rollen in verschiedenen AWS Konten für kontoübergreifenden Zugriff — optional](security-iam-resilience-cross-account-roles.md)
# Rolle des Aufrufers
Die AWS Resilience Hub Aufruferrolle ist eine AWS Identity and Access Management (IAM-) Rolle, die den Zugriff auf AWS Dienste und Ressourcen AWS Resilience Hub voraussetzt. Sie könnten beispielsweise eine Aufruferrolle erstellen, die berechtigt ist, auf Ihre CFN-Vorlage und die von ihr erstellte Ressource zuzugreifen. Diese Seite enthält Informationen zum Erstellen, Anzeigen und Verwalten einer Anwendungsaufruferrolle.
Wenn Sie eine Anwendung erstellen, geben Sie eine Aufruferrolle an. AWS Resilience Hub nimmt diese Rolle für den Zugriff auf Ihre Ressourcen an, wenn Sie Ressourcen importieren oder eine Bewertung starten. AWS Resilience Hub Damit Sie Ihre Rolle als Aufrufer ordnungsgemäß wahrnehmen können, muss in der Vertrauensrichtlinie der Rolle der AWS Resilience Hub Service Principal (**resiliencehub.amazonaws.com**) als vertrauenswürdiger Service angegeben sein.
****Um die Aufruferrolle der Anwendung anzuzeigen, wählen Sie im Navigationsbereich **Anwendungen** und dann auf der Anwendungsseite im Menü Aktionen die Option Berechtigungen **aktualisieren** aus.****
Sie können einer Anwendungsaufruferrolle jederzeit Berechtigungen hinzufügen oder daraus entfernen oder Ihre Anwendung so konfigurieren, dass sie eine andere Rolle für den Zugriff auf Anwendungsressourcen verwendet.
**Topics**
+ [Eine Aufruferrolle in der IAM-Konsole erstellen](#security-iam-resilience-hub-create-invoker-role)
+ [Verwalten von Rollen mit der IAM-API](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Definition der Vertrauensrichtlinie mithilfe der JSON-Datei](#security-iam-resilience-define-policy)
## Eine Aufruferrolle in der IAM-Konsole erstellen
Um den Zugriff auf AWS Dienste und Ressourcen AWS Resilience Hub zu ermöglichen, müssen Sie mithilfe der IAM-Konsole eine Aufruferrolle im primären Konto erstellen. Weitere Informationen zum Erstellen von Rollen mithilfe der IAM-Konsole finden Sie unter [Erstellen einer Rolle für einen AWS Dienst (](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)Konsole).
**So erstellen Sie mithilfe der IAM-Konsole eine Aufruferrolle im primären Konto**
1. Öffnen Sie unter `https://console.aws.amazon.com/iam/` die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann Rolle **erstellen** aus.
1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie** aus, kopieren Sie die folgende Richtlinie in das Fenster **Benutzerdefinierte Vertrauensrichtlinie** und klicken Sie dann auf **Weiter**.
**Anmerkung**
Wenn sich Ihre Ressourcen in unterschiedlichen Konten befinden, müssen Sie für jedes dieser Konten eine Rolle erstellen und die Vertrauensrichtlinie für sekundäre Konten für die anderen Konten verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Geben Sie auf der Seite „****Berechtigungen hinzufügen**“ `AWSResilienceHubAsssessmentExecutionPolicy` im Abschnitt „Berechtigungsrichtlinien**“ das Feld **Richtlinien nach Eigenschaft oder Richtliniennamen filtern ein und drücken Sie die Eingabetaste**.
1. Wählen Sie die Richtlinie aus und klicken Sie auf **Weiter**.
1. Geben Sie im Abschnitt **Rollendetails** einen eindeutigen Rollennamen (z. B.`AWSResilienceHubAssessmentRole`) in das Feld **Rollenname** ein.
Dieses Feld akzeptiert nur alphanumerische Zeichen und '`+=,.@-_/`' Zeichen.
1. (Optional) Geben Sie im Feld Beschreibung eine **Beschreibung** der Rolle ein.
1. Wählen Sie **Rolle erstellen** aus.
Um die Anwendungsfälle und Berechtigungen zu bearbeiten, klicken Sie in Schritt 6 auf die Schaltfläche **Bearbeiten**, die sich rechts neben **Schritt 1: Vertrauenswürdige Entitäten auswählen** oder **Schritt 2: Berechtigungsbereiche hinzufügen** befindet.
Nachdem Sie die Aufruferrolle und die Ressourcenrolle (falls zutreffend) erstellt haben, können Sie Ihre Anwendung so konfigurieren, dass sie diese Rollen verwendet.
**Anmerkung**
Sie müssen in Ihrem aktuellen IAM über eine `iam:passRole` Berechtigung für die user/role Aufruferrolle verfügen, wenn Sie die Anwendung erstellen oder aktualisieren. Sie benötigen diese Berechtigung jedoch nicht, um eine Bewertung durchzuführen.
## Verwalten von Rollen mit der IAM-API
Die Vertrauensrichtlinie einer Rolle erteilt dem angegebenen Prinzipal die Erlaubnis, die Rolle zu übernehmen. Verwenden Sie den `create-role` Befehl, um die Rollen mit AWS Command Line Interface (AWS CLI) zu erstellen. Bei Verwendung dieses Befehls können Sie die Vertrauensrichtlinie direkt angeben. Das folgende Beispiel zeigt, wie Sie dem AWS Resilience Hub Dienst die Hauptberechtigung erteilen, Ihre Rolle zu übernehmen.
**Anmerkung**
Die Anforderung, Anführungszeichen (`' '`) in der JSON-Zeichenfolge zu umgehen, kann je nach Ihrer Shell-Version variieren.
**Beispiel `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Definition der Vertrauensrichtlinie mithilfe der JSON-Datei
Sie können die Vertrauensrichtlinie für die Rolle mithilfe einer separaten JSON-Datei definieren und dann den `create-role` Befehl ausführen. Im folgenden Beispiel **`trust-policy.json`**befindet sich eine Datei, die die Vertrauensrichtlinie im aktuellen Verzeichnis enthält. Diese Richtlinie wird durch Ausführen eines **`create-role`**Befehls an eine Rolle angehängt. Die Ausgabe des `create-role` Befehls wird in der **Beispielausgabe** angezeigt. Verwenden Sie den **attach-policy-to-role**Befehl, um der Rolle Berechtigungen hinzuzufügen, und Sie können damit beginnen, die `AWSResilienceHubAsssessmentExecutionPolicy` verwaltete Richtlinie hinzuzufügen. Weitere Informationen zu dieser verwalteten Richtlinie finden Sie unter[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Beispiel `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Probe `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Beispielausgabe**
**Beispiel `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# Rollen in verschiedenen AWS Konten für kontoübergreifenden Zugriff — optional
Wenn sich Ihre Ressourcen in secondary/resource Konten befinden, müssen Sie in jedem dieser Konten Rollen erstellen, AWS Resilience Hub damit Ihre Bewerbung erfolgreich geprüft werden kann. Das Verfahren zur Rollenerstellung ähnelt dem Verfahren zur Erstellung der Aufruferrolle, mit Ausnahme der Konfiguration der Vertrauensrichtlinie.
**Anmerkung**
Sie müssen die Rollen in sekundären Konten erstellen, in denen sich die Ressourcen befinden.
**Topics**
+ [In der IAM-Konsole eine Rolle für secondary/resource Konten erstellen](#security-iam-resilience-cross-create-roles-infra-account)
+ [Verwalten von Rollen mit der IAM-API](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Definition der Vertrauensrichtlinie mithilfe der JSON-Datei](#security-iam-resilience-cross-define-trust-policy-infra-account)
## In der IAM-Konsole eine Rolle für secondary/resource Konten erstellen
Um den Zugriff auf AWS Dienste und Ressourcen in anderen AWS Konten AWS Resilience Hub zu ermöglichen, müssen Sie in jedem dieser Konten Rollen erstellen.
**Um eine Rolle in der IAM-Konsole für die secondary/resource Konten mithilfe der IAM-Konsole zu erstellen**
1. Öffnen Sie unter `https://console.aws.amazon.com/iam/` die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann Rolle **erstellen** aus.
1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie** aus, kopieren Sie die folgende Richtlinie in das Fenster **Benutzerdefinierte Vertrauensrichtlinie** und klicken Sie dann auf **Weiter**.
**Anmerkung**
Wenn sich Ihre Ressourcen in verschiedenen Konten befinden, müssen Sie für jedes dieser Konten eine Rolle erstellen und die Vertrauensrichtlinie für sekundäre Konten für die anderen Konten verwenden.
1. Geben Sie auf der Seite „****Berechtigungen hinzufügen**“ `AWSResilienceHubAsssessmentExecutionPolicy` im Abschnitt „Berechtigungsrichtlinien**“ das Feld **Richtlinien nach Eigenschaft oder Richtliniennamen filtern ein und drücken Sie die Eingabetaste**.
1. Wählen Sie die Richtlinie aus und klicken Sie auf **Weiter**.
1. Geben Sie im Abschnitt **Rollendetails** einen eindeutigen Rollennamen (z. B.`AWSResilienceHubAssessmentRole`) in das Feld **Rollenname** ein.
1. (Optional) Geben Sie im Feld Beschreibung eine **Beschreibung** der Rolle ein.
1. Wählen Sie **Rolle erstellen** aus.
Um die Anwendungsfälle und Berechtigungen zu bearbeiten, klicken Sie in Schritt 6 auf die Schaltfläche **Bearbeiten**, die sich rechts neben **Schritt 1: Vertrauenswürdige Entitäten auswählen** oder **Schritt 2: Berechtigungsbereiche hinzufügen** befindet.
Darüber hinaus müssen Sie der Aufruferrolle die `sts:assumeRole` Berechtigung hinzufügen, damit sie die Rollen in Ihren sekundären Konten übernehmen kann.
Fügen Sie Ihrer Aufruferrolle für jede der von Ihnen erstellten sekundären Rollen die folgende Richtlinie hinzu:
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Verwalten von Rollen mit der IAM-API
Die Vertrauensrichtlinie einer Rolle erteilt dem angegebenen Prinzipal die Erlaubnis, die Rolle zu übernehmen. Verwenden Sie den `create-role` Befehl, um die Rollen mit AWS Command Line Interface (AWS CLI) zu erstellen. Wenn Sie diesen Befehl verwenden, können Sie die Vertrauensrichtlinie angeben. Das folgende Beispiel zeigt, wie Sie dem AWS Resilience Hub Dienstprinzipal die Erlaubnis erteilen, Ihre Rolle zu übernehmen.
**Anmerkung**
Die Anforderung, Anführungszeichen (`' '`) in der JSON-Zeichenfolge zu umgehen, kann je nach Ihrer Shell-Version variieren.
**Beispiel `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Sie können die Vertrauensrichtlinie für die Rolle auch mithilfe einer separaten JSON-Datei definieren. Im folgenden Beispiel ist `trust-policy.json` eine Datei im aktuellen Verzeichnis.
### Definition der Vertrauensrichtlinie mithilfe der JSON-Datei
Sie können die Vertrauensrichtlinie für die Rolle mithilfe einer separaten JSON-Datei definieren und dann den `create-role` Befehl ausführen. Im folgenden Beispiel **`trust-policy.json`**befindet sich eine Datei, die die Vertrauensrichtlinie im aktuellen Verzeichnis enthält. Diese Richtlinie wird durch Ausführen eines **`create-role`**Befehls an eine Rolle angehängt. Die Ausgabe des `create-role` Befehls wird in der **Beispielausgabe** angezeigt. Verwenden Sie den **attach-policy-to-role**Befehl, um einer Rolle Berechtigungen hinzuzufügen, und Sie können damit beginnen, die `AWSResilienceHubAsssessmentExecutionPolicy` verwaltete Richtlinie hinzuzufügen. Weitere Informationen zu dieser verwalteten Richtlinie finden Sie unter[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Beispiel `trust-policy.json`**
**Probe `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Beispielausgabe**
**Beispiel `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.