Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Rol de invocador
<a name="security-iam-resilience-hub-invoker-role"></a>

La función de AWS Resilience Hub invocador es una función AWS Identity and Access Management (IAM) que se AWS Resilience Hub asume para acceder a los AWS servicios y recursos. Por ejemplo, puede crear un rol de invocador que tenga permiso para acceder a su plantilla CFN y al recurso que crea. Esta página proporciona información sobre cómo crear, ver y administrar un rol de invocador de aplicaciones.

Al crear una aplicación, se proporciona un rol de invocador. AWS Resilience Hub asume este rol para acceder a sus recursos cuando importe recursos o inicie una evaluación. AWS Resilience Hub Para asumir correctamente la función de invocador, la política de confianza de la función debe especificar que el principal del AWS Resilience Hub servicio (**resiliencehub.amazonaws.com**) es un servicio de confianza.

Para ver el rol de invocador de la aplicación, seleccione **Aplicaciones** en el panel de navegación y, a continuación, seleccione **Actualizar permisos** en el menú **Acciones** de la página **Aplicación.** 

Puede añadir o eliminar permisos de un rol de invocador de aplicación en cualquier momento, o configurar la aplicación para que utilice un rol diferente para acceder a los recursos de la aplicación.

**Temas**
+ [Crear un rol invocador en la consola de IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Administración de roles con la API de IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Definir la política de confianza mediante un archivo JSON](#security-iam-resilience-define-policy)

## Crear un rol invocador en la consola de IAM
<a name="security-iam-resilience-hub-create-invoker-role"></a>

Para poder acceder AWS Resilience Hub a los AWS servicios y recursos, debe crear un rol de invocador en la cuenta principal mediante la consola de IAM. Para obtener más información sobre la creación de funciones mediante la consola de IAM, consulte [Creación de una función para un AWS servicio (](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)consola).

**Para crear un rol de invocador en la cuenta principal mediante la consola de IAM**

1. Abra la consola de IAM en `https://console.aws.amazon.com/iam/`.

1. En el panel de navegación, seleccione **Roles** y, a continuación, seleccione **Crear rol**.

1. Seleccione **Política de confianza personalizada**, copie la siguiente política en la ventana **Política de confianza personalizada** y, a continuación, seleccione **Siguiente**. 
**nota**  
Si sus recursos están en cuentas diferentes, debe crear un rol en cada una de esas cuentas y usar la política de confianza de la cuenta secundaria para las demás cuentas.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "resiliencehub.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. En la sección **Políticas de permisos** de la página **Añadir permisos**, introduzca `AWSResilienceHubAsssessmentExecutionPolicy` en el cuadro **Filtre las políticas por propiedad o nombre de política y pulse Entrar**.

1. Seleccione la política y elija **Siguiente**.

1. En la sección **Información del rol**, introduzca un nombre de rol único (por ejemplo, `AWSResilienceHubAssessmentRole`) en el cuadro **Nombre del rol**.

   Este campo solo acepta caracteres alfanuméricos y «`+=,.@-_/`».

1. (Opcional) Introduzca una descripción sobre el rol en el cuadro **Descripción**.

1. Elija **Crear rol**.

   Para editar los casos de uso y los permisos, en el paso 6, elija el botón **Editar** que se encuentra a la derecha de las secciones **Paso 1: seleccionar entidades de confianza** o **Paso 2: agregar permisos**.

Tras crear el rol de invocador y el rol de recurso (si procede), puede configurar su aplicación para que utilice estos roles.

**nota**  
Debe tener un `iam:passRole` permiso en su IAM actual user/role para el rol de invocador al crear o actualizar la aplicación. Sin embargo, no necesita este permiso para ejecutar una evaluación.

## Administración de roles con la API de IAM
<a name="security-iam-resilience-hub-manage-roles-with-IAM-API"></a>

La política de confianza de un rol otorga a la entidad principal especificada permiso para asumir el rol. Para crear los roles mediante AWS Command Line Interface (AWS CLI), utilice el `create-role` comando. Al usar este comando, puede especificar las políticas de confianza en línea. El siguiente ejemplo muestra cómo conceder al AWS Resilience Hub servicio el permiso principal para que asuma su función.

**nota**  
El requisito de estar por fuera de las comillas (`' '`) en la cadena JSON puede variar en función de la versión de intérprete de comandos.

**Ejemplo de `create-role`**

```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
  "Version": "2012-10-17",		 	 	 "Statement": 
  [
    { 
      "Effect": "Allow",
      "Principal": {"Service": "resiliencehub.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}'
```

## Definir la política de confianza mediante un archivo JSON
<a name="security-iam-resilience-define-policy"></a>

Puede definir la política de confianza para el rol utilizando un archivo JSON independiente y luego ejecutar el comando `create-role`. En el siguiente ejemplo, se muestra un archivo **`trust-policy.json`** que contiene la política de confianza en el directorio actual. Esta política se asocia a un rol mediante la ejecución del comando **`create-role`**. El resultado del comando `create-role` se muestra en el **Ejemplo de salida**. Para añadir permisos a la función, utilice el **attach-policy-to-role**comando y podrá empezar por añadir la política `AWSResilienceHubAsssessmentExecutionPolicy` gestionada. Para obtener más información sobre esta política administrada, consulte [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).

**Ejemplo de `trust-policy.json`**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "resiliencehub.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}
```

------

**Ejemplo de `create-role`**

`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`

**Resultados de ejemplo**

**Ejemplo de `attach-policy-to-role`**

`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`