Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso un rol de IAM
AWS Resilience Hub utilizará un rol de IAM predefinido y existente para acceder a los recursos de la cuenta o cuenta principal. secondary/resources Esta es la opción de permiso recomendada para acceder a sus recursos.
**Temas**
+ [Rol de invocador](security-iam-resilience-hub-invoker-role.md)
+ [Funciones en AWS cuentas diferentes para el acceso entre cuentas (opcional)](security-iam-resilience-cross-account-roles.md)
# Rol de invocador
La función de AWS Resilience Hub invocador es una función AWS Identity and Access Management (IAM) que se AWS Resilience Hub asume para acceder a los AWS servicios y recursos. Por ejemplo, puede crear un rol de invocador que tenga permiso para acceder a su plantilla CFN y al recurso que crea. Esta página proporciona información sobre cómo crear, ver y administrar un rol de invocador de aplicaciones.
Al crear una aplicación, se proporciona un rol de invocador. AWS Resilience Hub asume este rol para acceder a sus recursos cuando importe recursos o inicie una evaluación. AWS Resilience Hub Para asumir correctamente la función de invocador, la política de confianza de la función debe especificar que el principal del AWS Resilience Hub servicio (**resiliencehub.amazonaws.com**) es un servicio de confianza.
Para ver el rol de invocador de la aplicación, seleccione **Aplicaciones** en el panel de navegación y, a continuación, seleccione **Actualizar permisos** en el menú **Acciones** de la página **Aplicación.**
Puede añadir o eliminar permisos de un rol de invocador de aplicación en cualquier momento, o configurar la aplicación para que utilice un rol diferente para acceder a los recursos de la aplicación.
**Temas**
+ [Crear un rol invocador en la consola de IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Administración de roles con la API de IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Definir la política de confianza mediante un archivo JSON](#security-iam-resilience-define-policy)
## Crear un rol invocador en la consola de IAM
Para poder acceder AWS Resilience Hub a los AWS servicios y recursos, debe crear un rol de invocador en la cuenta principal mediante la consola de IAM. Para obtener más información sobre la creación de funciones mediante la consola de IAM, consulte [Creación de una función para un AWS servicio (](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)consola).
**Para crear un rol de invocador en la cuenta principal mediante la consola de IAM**
1. Abra la consola de IAM en `https://console.aws.amazon.com/iam/`.
1. En el panel de navegación, seleccione **Roles** y, a continuación, seleccione **Crear rol**.
1. Seleccione **Política de confianza personalizada**, copie la siguiente política en la ventana **Política de confianza personalizada** y, a continuación, seleccione **Siguiente**.
**nota**
Si sus recursos están en cuentas diferentes, debe crear un rol en cada una de esas cuentas y usar la política de confianza de la cuenta secundaria para las demás cuentas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. En la sección **Políticas de permisos** de la página **Añadir permisos**, introduzca `AWSResilienceHubAsssessmentExecutionPolicy` en el cuadro **Filtre las políticas por propiedad o nombre de política y pulse Entrar**.
1. Seleccione la política y elija **Siguiente**.
1. En la sección **Información del rol**, introduzca un nombre de rol único (por ejemplo, `AWSResilienceHubAssessmentRole`) en el cuadro **Nombre del rol**.
Este campo solo acepta caracteres alfanuméricos y «`+=,.@-_/`».
1. (Opcional) Introduzca una descripción sobre el rol en el cuadro **Descripción**.
1. Elija **Crear rol**.
Para editar los casos de uso y los permisos, en el paso 6, elija el botón **Editar** que se encuentra a la derecha de las secciones **Paso 1: seleccionar entidades de confianza** o **Paso 2: agregar permisos**.
Tras crear el rol de invocador y el rol de recurso (si procede), puede configurar su aplicación para que utilice estos roles.
**nota**
Debe tener un `iam:passRole` permiso en su IAM actual user/role para el rol de invocador al crear o actualizar la aplicación. Sin embargo, no necesita este permiso para ejecutar una evaluación.
## Administración de roles con la API de IAM
La política de confianza de un rol otorga a la entidad principal especificada permiso para asumir el rol. Para crear los roles mediante AWS Command Line Interface (AWS CLI), utilice el `create-role` comando. Al usar este comando, puede especificar las políticas de confianza en línea. El siguiente ejemplo muestra cómo conceder al AWS Resilience Hub servicio el permiso principal para que asuma su función.
**nota**
El requisito de estar por fuera de las comillas (`' '`) en la cadena JSON puede variar en función de la versión de intérprete de comandos.
**Ejemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Definir la política de confianza mediante un archivo JSON
Puede definir la política de confianza para el rol utilizando un archivo JSON independiente y luego ejecutar el comando `create-role`. En el siguiente ejemplo, se muestra un archivo **`trust-policy.json`** que contiene la política de confianza en el directorio actual. Esta política se asocia a un rol mediante la ejecución del comando **`create-role`**. El resultado del comando `create-role` se muestra en el **Ejemplo de salida**. Para añadir permisos a la función, utilice el **attach-policy-to-role**comando y podrá empezar por añadir la política `AWSResilienceHubAsssessmentExecutionPolicy` gestionada. Para obtener más información sobre esta política administrada, consulte [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Ejemplo de `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Ejemplo de `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Resultados de ejemplo**
**Ejemplo de `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# Funciones en AWS cuentas diferentes para el acceso entre cuentas (opcional)
Cuando sus recursos estén ubicados en secondary/resource cuentas, debe crear funciones en cada una de estas cuentas AWS Resilience Hub para poder evaluar correctamente su solicitud. El procedimiento de creación de roles es similar al proceso de creación de roles del invocador, excepto en lo que respecta a la configuración de la política de confianza.
**nota**
Debe crear los roles en las cuentas secundarias donde se encuentran los recursos.
**Temas**
+ [Crear un rol en la consola de IAM para las cuentas secondary/resource](#security-iam-resilience-cross-create-roles-infra-account)
+ [Administración de roles con la API de IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Definir la política de confianza mediante un archivo JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)
## Crear un rol en la consola de IAM para las cuentas secondary/resource
Para poder acceder AWS Resilience Hub a AWS los servicios y recursos de otras AWS cuentas, debe crear roles en cada una de estas cuentas.
**Para crear un rol en la consola de IAM para secondary/resource las cuentas mediante la consola de IAM**
1. Abra la consola de IAM en `https://console.aws.amazon.com/iam/`.
1. En el panel de navegación, seleccione **Roles** y, a continuación, seleccione **Crear rol**.
1. Seleccione **Política de confianza personalizada**, copie la siguiente política en la ventana **Política de confianza personalizada** y, a continuación, seleccione **Siguiente**.
**nota**
Si sus recursos están en cuentas diferentes, debe crear un rol en cada una de esas cuentas y usar la política de confianza de la cuenta secundaria para las demás cuentas.
1. En la sección **Políticas de permisos** de la página **Añadir permisos**, introduzca `AWSResilienceHubAsssessmentExecutionPolicy` en el cuadro **Filtre las políticas por propiedad o nombre de política y pulse Entrar**.
1. Seleccione la política y elija **Siguiente**.
1. En la sección **Información del rol**, introduzca un nombre de rol único (por ejemplo, `AWSResilienceHubAssessmentRole`) en el cuadro **Nombre del rol**.
1. (Opcional) Introduzca una descripción sobre el rol en el cuadro **Descripción**.
1. Elija **Crear rol**.
Para editar los casos de uso y los permisos, en el paso 6, elija el botón **Editar** que se encuentra a la derecha de las secciones **Paso 1: seleccionar entidades de confianza** o **Paso 2: agregar permisos**.
Además, también debe añadir el permiso de `sts:assumeRole` al rol de invocador para que pueda asumir los roles de sus cuentas secundarias.
Añada la siguiente política a su rol de invocador para cada uno de los roles secundarios que haya creado:
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Administración de roles con la API de IAM
La política de confianza de un rol otorga a la entidad principal especificada permiso para asumir el rol. Para crear los roles mediante AWS Command Line Interface (AWS CLI), utilice el `create-role` comando. Al usar este comando, puede especificar las políticas de confianza en línea. En el siguiente ejemplo, se muestra cómo conceder al director del AWS Resilience Hub servicio el permiso para que asuma su función.
**nota**
El requisito de estar por fuera de las comillas (`' '`) en la cadena JSON puede variar en función de la versión de intérprete de comandos.
**Ejemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
También puede definir la política de confianza para el rol con un archivo JSON aparte. En el siguiente ejemplo, `trust-policy.json` es un archivo que se encuentra en el directorio actual.
### Definir la política de confianza mediante un archivo JSON
Puede definir la política de confianza para el rol utilizando un archivo JSON independiente y luego ejecutar el comando `create-role`. En el siguiente ejemplo, se muestra un archivo **`trust-policy.json`** que contiene la política de confianza en el directorio actual. Esta política se asocia a un rol mediante la ejecución del comando **`create-role`**. El resultado del comando `create-role` se muestra en el **Ejemplo de salida**. Para añadir permisos a un rol, utilice el **attach-policy-to-role**comando y podrá empezar por añadir la política `AWSResilienceHubAsssessmentExecutionPolicy` gestionada. Para obtener más información sobre esta política administrada, consulte [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Ejemplo de `trust-policy.json`**
**Ejemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Resultados de ejemplo**
**Ejemplo de `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.