Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Importación del archivo de estado de Terraform a AWS Resilience Hub
<a name="security-iam-resilience-hub-terraform-secondary"></a>

AWS Resilience Hub admite la importación de archivos de estado de Terraform cifrados mediante cifrado del lado del servidor (SSE) con claves administradas de Amazon Simple Storage Service (SSE-S3) o con claves AWS Key Management Service administradas (SSE-KMS). Si sus archivos de estado de Terraform están cifrados con claves de cifrado proporcionadas por el cliente (SSE-C), no podrá importarlos mediante AWS Resilience Hub.

La importación de archivos de estado de Terraform a archivos de estado AWS Resilience Hub requiere las siguientes políticas de IAM, según la ubicación del archivo de estado.

## Importar archivos de estado de Terraform desde un bucket de Amazon S3 ubicado en la cuenta principal
<a name="w2aac21c23c48b7"></a>

Se requieren las siguientes políticas de bucket de Amazon S3 y de IAM para permitir a AWS Resilience Hub el acceso de solo lectura a los archivos de estado de Terraform ubicados en un bucket de Amazon S3 de la cuenta principal.
+ Política de bucket: política de bucket en el bucket de Amazon S3 de destino, que se encuentra en la cuenta principal. Para obtener más información, consulte el siguiente ejemplo.
+ Política de identidad: la política de identidad asociada a la función de invocador definida para esta aplicación o a la función de IAM AWS actual de AWS Resilience Hub la cuenta principal. AWS Para obtener más información, consulte el siguiente ejemplo.

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Action": "s3:GetObject",
        "Resource": "arn:aws:s3:::<s3-bucket-name>/<path-to-state-file>"
      },
      {
        "Effect": "Allow",
        "Action": "s3:ListBucket",
        "Resource": "arn:aws:s3:::<s3-bucket-name>"
      }
    ]
  }
  ```

------
**nota**  
Si utiliza la política administrada por `AWSResilienceHubAsssessmentExecutionPolicy`, no se requiere permiso de `ListBucket`.

**nota**  
Si sus archivos de estado de Terraform están cifrados mediante KMS, debe añadir el siguiente permiso de `kms:Decrypt`.  

```
{
      "Effect": "Allow",
      "Action": [
              "kms:Decrypt",
      ],
      "Resource": "<arn_of_kms_key>"
}
```

## Importar archivos de estado de Terraform desde un bucket de Amazon S3 ubicado en una cuenta secundaria
<a name="w2aac21c23c48b9"></a>
+ Política de bucket: política de bucket en el bucket de Amazon S3 de destino, que se encuentra en una de las cuentas secundarias. Para obtener más información, consulte el siguiente ejemplo.
+ Política de identidad: la política de identidad asociada al rol de AWS cuenta, que se ejecuta AWS Resilience Hub en la cuenta principal AWS . Para obtener más información, consulte el siguiente ejemplo.
**nota**  
Si utiliza la política administrada por `AWSResilienceHubAsssessmentExecutionPolicy`, no se requiere permiso de `ListBucket`.

**nota**  
Si sus archivos de estado de Terraform están cifrados mediante KMS, debe añadir el siguiente permiso de `kms:Decrypt`.  

```
{
      "Effect": "Allow",
      "Action": [
              "kms:Decrypt",
      ],
      "Resource": "<arn_of_kms_key>"
}
```