Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS Resilience Hub referencia de permisos de acceso
Puede usar AWS Identity and Access Management (IAM) para administrar el acceso a los recursos de la aplicación y crear políticas de IAM que se apliquen a los usuarios, grupos o roles.
Todas las AWS Resilience Hub aplicaciones se pueden configurar para que utilicen [Rol de invocador](security-iam-resilience-hub-invoker-role.md) (una función de IAM) o los permisos de usuario de IAM actuales (junto con un conjunto de funciones predefinidas para la evaluación multicuenta y programada). En esta función, puede adjuntar una política que defina los permisos necesarios AWS Resilience Hub para acceder a otros AWS recursos o recursos de la aplicación. La función de invocador debe tener una política de confianza que se añada a AWS Resilience Hub Service Principal.
Para administrar los permisos de su aplicación, le recomendamos que utilice [AWS políticas gestionadas para AWS Resilience Hub](security-iam-awsmanpol.md). Puede usar estas políticas administradas sin ninguna modificación, o puede usarlas como punto de partida para escribir sus propias políticas restrictivas. Las políticas pueden restringir los permisos de los usuarios a nivel de recursos para diferentes acciones mediante el uso de condiciones opcionales adicionales.
Si los recursos de la aplicación están en cuentas diferentes (cuentas secundarias o de recursos), debe configurar un nuevo rol en cada cuenta que contenga los recursos de la aplicación.
**nota**
Si define puntos de enlace de VPC para sus recursos de carga de trabajo, asegúrese de que las políticas de puntos de enlace de VPC proporcionen acceso de solo lectura para acceder a los recursos. AWS Resilience Hub Para obtener más información, consulte [Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html).
**Temas**
+ [Uso un rol de IAM](security-iam-resilience-hub-using-iam-role.md)
+ [Usar permisos de usuario de IAM actuales](security-iam-resilience-hub-current-user-permissions.md)
# Uso un rol de IAM
AWS Resilience Hub utilizará un rol de IAM predefinido y existente para acceder a los recursos de la cuenta o cuenta principal. secondary/resources Esta es la opción de permiso recomendada para acceder a sus recursos.
**Temas**
+ [Rol de invocador](security-iam-resilience-hub-invoker-role.md)
+ [Funciones en AWS cuentas diferentes para el acceso entre cuentas (opcional)](security-iam-resilience-cross-account-roles.md)
# Rol de invocador
La función de AWS Resilience Hub invocador es una función AWS Identity and Access Management (IAM) que se AWS Resilience Hub asume para acceder a los AWS servicios y recursos. Por ejemplo, puede crear un rol de invocador que tenga permiso para acceder a su plantilla CFN y al recurso que crea. Esta página proporciona información sobre cómo crear, ver y administrar un rol de invocador de aplicaciones.
Al crear una aplicación, se proporciona un rol de invocador. AWS Resilience Hub asume este rol para acceder a sus recursos cuando importe recursos o inicie una evaluación. AWS Resilience Hub Para asumir correctamente la función de invocador, la política de confianza de la función debe especificar que el principal del AWS Resilience Hub servicio (**resiliencehub.amazonaws.com**) es un servicio de confianza.
Para ver el rol de invocador de la aplicación, seleccione **Aplicaciones** en el panel de navegación y, a continuación, seleccione **Actualizar permisos** en el menú **Acciones** de la página **Aplicación.**
Puede añadir o eliminar permisos de un rol de invocador de aplicación en cualquier momento, o configurar la aplicación para que utilice un rol diferente para acceder a los recursos de la aplicación.
**Temas**
+ [Crear un rol invocador en la consola de IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Administración de roles con la API de IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Definir la política de confianza mediante un archivo JSON](#security-iam-resilience-define-policy)
## Crear un rol invocador en la consola de IAM
Para poder acceder AWS Resilience Hub a los AWS servicios y recursos, debe crear un rol de invocador en la cuenta principal mediante la consola de IAM. Para obtener más información sobre la creación de funciones mediante la consola de IAM, consulte [Creación de una función para un AWS servicio (](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)consola).
**Para crear un rol de invocador en la cuenta principal mediante la consola de IAM**
1. Abra la consola de IAM en `https://console.aws.amazon.com/iam/`.
1. En el panel de navegación, seleccione **Roles** y, a continuación, seleccione **Crear rol**.
1. Seleccione **Política de confianza personalizada**, copie la siguiente política en la ventana **Política de confianza personalizada** y, a continuación, seleccione **Siguiente**.
**nota**
Si sus recursos están en cuentas diferentes, debe crear un rol en cada una de esas cuentas y usar la política de confianza de la cuenta secundaria para las demás cuentas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. En la sección **Políticas de permisos** de la página **Añadir permisos**, introduzca `AWSResilienceHubAsssessmentExecutionPolicy` en el cuadro **Filtre las políticas por propiedad o nombre de política y pulse Entrar**.
1. Seleccione la política y elija **Siguiente**.
1. En la sección **Información del rol**, introduzca un nombre de rol único (por ejemplo, `AWSResilienceHubAssessmentRole`) en el cuadro **Nombre del rol**.
Este campo solo acepta caracteres alfanuméricos y «`+=,.@-_/`».
1. (Opcional) Introduzca una descripción sobre el rol en el cuadro **Descripción**.
1. Elija **Crear rol**.
Para editar los casos de uso y los permisos, en el paso 6, elija el botón **Editar** que se encuentra a la derecha de las secciones **Paso 1: seleccionar entidades de confianza** o **Paso 2: agregar permisos**.
Tras crear el rol de invocador y el rol de recurso (si procede), puede configurar su aplicación para que utilice estos roles.
**nota**
Debe tener un `iam:passRole` permiso en su IAM actual user/role para el rol de invocador al crear o actualizar la aplicación. Sin embargo, no necesita este permiso para ejecutar una evaluación.
## Administración de roles con la API de IAM
La política de confianza de un rol otorga a la entidad principal especificada permiso para asumir el rol. Para crear los roles mediante AWS Command Line Interface (AWS CLI), utilice el `create-role` comando. Al usar este comando, puede especificar las políticas de confianza en línea. El siguiente ejemplo muestra cómo conceder al AWS Resilience Hub servicio el permiso principal para que asuma su función.
**nota**
El requisito de estar por fuera de las comillas (`' '`) en la cadena JSON puede variar en función de la versión de intérprete de comandos.
**Ejemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Definir la política de confianza mediante un archivo JSON
Puede definir la política de confianza para el rol utilizando un archivo JSON independiente y luego ejecutar el comando `create-role`. En el siguiente ejemplo, se muestra un archivo **`trust-policy.json`** que contiene la política de confianza en el directorio actual. Esta política se asocia a un rol mediante la ejecución del comando **`create-role`**. El resultado del comando `create-role` se muestra en el **Ejemplo de salida**. Para añadir permisos a la función, utilice el **attach-policy-to-role**comando y podrá empezar por añadir la política `AWSResilienceHubAsssessmentExecutionPolicy` gestionada. Para obtener más información sobre esta política administrada, consulte [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Ejemplo de `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Ejemplo de `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Resultados de ejemplo**
**Ejemplo de `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# Funciones en AWS cuentas diferentes para el acceso entre cuentas (opcional)
Cuando sus recursos estén ubicados en secondary/resource cuentas, debe crear funciones en cada una de estas cuentas AWS Resilience Hub para poder evaluar correctamente su solicitud. El procedimiento de creación de roles es similar al proceso de creación de roles del invocador, excepto en lo que respecta a la configuración de la política de confianza.
**nota**
Debe crear los roles en las cuentas secundarias donde se encuentran los recursos.
**Temas**
+ [Crear un rol en la consola de IAM para las cuentas secondary/resource](#security-iam-resilience-cross-create-roles-infra-account)
+ [Administración de roles con la API de IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Definir la política de confianza mediante un archivo JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)
## Crear un rol en la consola de IAM para las cuentas secondary/resource
Para poder acceder AWS Resilience Hub a AWS los servicios y recursos de otras AWS cuentas, debe crear roles en cada una de estas cuentas.
**Para crear un rol en la consola de IAM para secondary/resource las cuentas mediante la consola de IAM**
1. Abra la consola de IAM en `https://console.aws.amazon.com/iam/`.
1. En el panel de navegación, seleccione **Roles** y, a continuación, seleccione **Crear rol**.
1. Seleccione **Política de confianza personalizada**, copie la siguiente política en la ventana **Política de confianza personalizada** y, a continuación, seleccione **Siguiente**.
**nota**
Si sus recursos están en cuentas diferentes, debe crear un rol en cada una de esas cuentas y usar la política de confianza de la cuenta secundaria para las demás cuentas.
1. En la sección **Políticas de permisos** de la página **Añadir permisos**, introduzca `AWSResilienceHubAsssessmentExecutionPolicy` en el cuadro **Filtre las políticas por propiedad o nombre de política y pulse Entrar**.
1. Seleccione la política y elija **Siguiente**.
1. En la sección **Información del rol**, introduzca un nombre de rol único (por ejemplo, `AWSResilienceHubAssessmentRole`) en el cuadro **Nombre del rol**.
1. (Opcional) Introduzca una descripción sobre el rol en el cuadro **Descripción**.
1. Elija **Crear rol**.
Para editar los casos de uso y los permisos, en el paso 6, elija el botón **Editar** que se encuentra a la derecha de las secciones **Paso 1: seleccionar entidades de confianza** o **Paso 2: agregar permisos**.
Además, también debe añadir el permiso de `sts:assumeRole` al rol de invocador para que pueda asumir los roles de sus cuentas secundarias.
Añada la siguiente política a su rol de invocador para cada uno de los roles secundarios que haya creado:
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Administración de roles con la API de IAM
La política de confianza de un rol otorga a la entidad principal especificada permiso para asumir el rol. Para crear los roles mediante AWS Command Line Interface (AWS CLI), utilice el `create-role` comando. Al usar este comando, puede especificar las políticas de confianza en línea. En el siguiente ejemplo, se muestra cómo conceder al director del AWS Resilience Hub servicio el permiso para que asuma su función.
**nota**
El requisito de estar por fuera de las comillas (`' '`) en la cadena JSON puede variar en función de la versión de intérprete de comandos.
**Ejemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
También puede definir la política de confianza para el rol con un archivo JSON aparte. En el siguiente ejemplo, `trust-policy.json` es un archivo que se encuentra en el directorio actual.
### Definir la política de confianza mediante un archivo JSON
Puede definir la política de confianza para el rol utilizando un archivo JSON independiente y luego ejecutar el comando `create-role`. En el siguiente ejemplo, se muestra un archivo **`trust-policy.json`** que contiene la política de confianza en el directorio actual. Esta política se asocia a un rol mediante la ejecución del comando **`create-role`**. El resultado del comando `create-role` se muestra en el **Ejemplo de salida**. Para añadir permisos a un rol, utilice el **attach-policy-to-role**comando y podrá empezar por añadir la política `AWSResilienceHubAsssessmentExecutionPolicy` gestionada. Para obtener más información sobre esta política administrada, consulte [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Ejemplo de `trust-policy.json`**
**Ejemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Resultados de ejemplo**
**Ejemplo de `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.
# Usar permisos de usuario de IAM actuales
Utilice este método si quiere usar sus permisos de usuario de IAM actuales para crear y ejecutar una evaluación. Puede adjuntar la política administrada por `AWSResilienceHubAsssessmentExecutionPolicy` a su usuario de IAM o un rol asociado a su usuario.
## Configuración de cuenta única
El uso de la política administrada mencionada anteriormente es suficiente para ejecutar una evaluación en una aplicación que se administra en la misma cuenta que el usuario de IAM.
## Configuración de la evaluación programada
Debe crear un nuevo rol de `AwsResilienceHubPeriodicAssessmentRole` para que AWS Resilience Hub pueda realizar las tareas relacionadas con la evaluación programada.
**nota**
Si utiliza el acceso basado en roles (con el rol de invocador mencionado anteriormente), este paso no es obligatorio.
El nombre de rol debe ser `AwsResilienceHubPeriodicAssessmentRole`.
**Para AWS Resilience Hub permitir la realización de tareas programadas relacionadas con la evaluación**
1. Asocie la política administrada por `AWSResilienceHubAsssessmentExecutionPolicy` al rol.
1. Agregue la siguiente política, donde `primary_account_id` se encuentra la AWS cuenta en la que se define la aplicación y en la que se ejecutará la evaluación. Además, debe agregar la política de confianza asociada a la función de la evaluación programada, (`AwsResilienceHubPeriodicAssessmentRole`), que otorga permisos para que el AWS Resilience Hub servicio asuma la función de la evaluación programada.
**Política de confianza para el rol de evaluación programada (`AwsResilienceHubPeriodicAssessmentRole`)**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Configuración entre cuentas
Las siguientes políticas de permisos de IAM son obligatorias si utiliza AWS Resilience Hub con varias cuentas. Es posible que cada AWS cuenta necesite permisos diferentes según su caso de uso. Al configurar AWS Resilience Hub para el acceso entre cuentas, se tienen en cuenta las siguientes cuentas y roles:
+ **Cuenta principal**: cuenta de AWS en la que desea crear la aplicación y ejecutar las evaluaciones.
+ **Cuentas secundarias o de recursos: AWS cuentas** en las que se encuentran los recursos.
**nota**
Si utiliza el acceso basado en roles (con el rol de invocador mencionado anteriormente), este paso no es obligatorio.
Para obtener más información sobre la configuración de permisos para acceder a Amazon Elastic Kubernetes Service, consulte [Habilitar el AWS Resilience Hub acceso a su clúster de Amazon Elastic Kubernetes Service](enabling-eks-in-arh.md).
### Configuración de cuenta principal
Debe crear un nuevo rol `AwsResilienceHubAdminAccountRole` en la cuenta principal y permitir el AWS Resilience Hub acceso para asumirlo. Esta función se utilizará para acceder a otra función de su AWS cuenta que contenga sus recursos. No debe tener permisos para leer los recursos.
**nota**
El nombre de rol debe ser `AwsResilienceHubAdminAccountRole`.
Debe crearse en la cuenta principal.
Su IAM actual user/role debe tener el `iam:assumeRole` permiso para asumir esta función.
Sustituya `secondary_account_id_1/2/...` por los identificadores de cuenta secundarios correspondientes.
La siguiente política proporciona permisos de ejecutor a tu rol para acceder a los recursos de otro rol de tu AWS cuenta:
La política de confianza del rol de administrador (`AwsResilienceHubAdminAccountRole`) es la siguiente:
### Configuración de cuentas secundarias o de recursos
En cada una de sus cuentas secundarias, debe crear un nuevo `AwsResilienceHubExecutorAccountRole` y habilitar el rol de administrador creado anteriormente para asumir este rol. Como esta función la utilizará AWS Resilience Hub para analizar y evaluar los recursos de la aplicación, también necesitará los permisos adecuados.
Sin embargo, debe asociar la política administrada por `AWSResilienceHubAsssessmentExecutionPolicy` al rol y la política del rol de ejecutor.
La política de confianza del rol de ejecutor es la siguiente: