Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Rôles dans différents AWS comptes pour un accès entre comptes (facultatif)
Lorsque vos ressources se trouvent dans secondary/resource des comptes, vous devez créer des rôles dans chacun de ces comptes afin de AWS Resilience Hub permettre une évaluation réussie de votre candidature. La procédure de création de rôle est similaire au processus de création de rôle d'invocateur, à l'exception de la configuration de la politique de confiance.
**Note**
Vous devez créer les rôles dans les comptes secondaires où se trouvent les ressources.
**Rubriques**
+ [Création d'un rôle dans la console IAM pour les comptes secondary/resource](#security-iam-resilience-cross-create-roles-infra-account)
+ [Gestion des rôles avec l'API IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Définition de la politique de confiance à l'aide du fichier JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)
## Création d'un rôle dans la console IAM pour les comptes secondary/resource
Pour accéder AWS Resilience Hub aux AWS services et aux ressources d'autres AWS comptes, vous devez créer des rôles dans chacun de ces comptes.
**Pour créer un rôle dans la console IAM pour les secondary/resource comptes à l'aide de la console IAM**
1. Ouvrez la console IAM à l’adresse `https://console.aws.amazon.com/iam/`.
1. Dans le volet de navigation, sélectionnez **Rôles**, puis sélectionnez **Créer un rôle**.
1. Sélectionnez **Politique de confiance personnalisée**, copiez la politique suivante dans la fenêtre **Politique de confiance personnalisée**, puis choisissez **Suivant**.
**Note**
Si vos ressources se trouvent dans des comptes différents, vous devez créer un rôle dans chacun de ces comptes et utiliser la politique de confiance du compte secondaire pour les autres comptes.
1. Dans la section **Politiques d'autorisations** de la page **Ajouter des autorisations**, entrez `AWSResilienceHubAsssessmentExecutionPolicy` les **politiques de filtrage par propriété ou par nom de politique et appuyez sur la case Entrée**.
1. Sélectionnez la politique, puis cliquez sur **Suivant**.
1. Dans la section **Détails du rôle**, entrez un nom de rôle unique (tel que`AWSResilienceHubAssessmentRole`) dans la zone **Nom du rôle**.
1. (Facultatif) Entrez une description du rôle dans la zone **Description**.
1. Choisissez **Create Role** (Créer un rôle).
Pour modifier les cas d'utilisation et les autorisations, à l'étape 6, choisissez le bouton **Modifier** situé à droite des sections **Étape 1 : Sélectionnez les entités de confiance** ou **Étape 2 : Ajouter des autorisations**.
En outre, vous devez également ajouter l'`sts:assumeRole`autorisation au rôle d'invocateur pour lui permettre d'assumer les rôles dans vos comptes secondaires.
Ajoutez la politique suivante à votre rôle d'invocateur pour chacun des rôles secondaires que vous avez créés :
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Gestion des rôles avec l'API IAM
La politique de confiance d'un rôle autorise le principal spécifié à assumer le rôle. Pour créer les rôles à l'aide de AWS Command Line Interface (AWS CLI), utilisez la `create-role` commande. Lorsque vous utilisez cette commande, vous pouvez préciser la politique d’approbation en ligne. L'exemple suivant montre comment accorder au directeur du AWS Resilience Hub service l'autorisation d'assumer votre rôle.
**Note**
L'obligation d'échapper aux guillemets (`' '`) dans la chaîne JSON peut varier en fonction de la version de votre shell.
**Exemple `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Vous pouvez également définir la politique d’approbation pour le rôle à l’aide d’un fichier JSON séparé. Dans l’exemple suivant, le fichier `trust-policy.json` se trouve dans le répertoire actuel.
### Définition de la politique de confiance à l'aide du fichier JSON
Vous pouvez définir la politique de confiance pour le rôle à l'aide d'un fichier JSON distinct, puis exécuter la `create-role` commande. Dans l'exemple suivant, **`trust-policy.json`**il s'agit d'un fichier qui contient la politique de confiance dans le répertoire actuel. Cette politique est attachée à un rôle en exécutant une **`create-role`**commande. Le résultat de la `create-role` commande est affiché dans l'**exemple de sortie**. Pour ajouter des autorisations à un rôle, utilisez la **attach-policy-to-role**commande et vous pouvez commencer par ajouter la politique `AWSResilienceHubAsssessmentExecutionPolicy` gérée. Pour plus d'informations sur cette politique gérée, consultez[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Exemple `trust-policy.json`**
**Exemple `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Exemple de sortie**
**Exemple `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.