Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Resilience Hub référence des autorisations d'accès
Vous pouvez utiliser Gestion des identités et des accès AWS (IAM) pour gérer l'accès aux ressources de l'application et créer des politiques IAM qui s'appliquent aux utilisateurs, aux groupes ou aux rôles.
Chaque AWS Resilience Hub application peut être configurée pour utiliser [Rôle de l'invocateur](security-iam-resilience-hub-invoker-role.md) (un rôle IAM) ou utiliser les autorisations utilisateur IAM actuelles (ainsi qu'un ensemble de rôles prédéfinis pour les évaluations croisées et planifiées). Dans ce rôle, vous pouvez associer une politique qui définit les autorisations requises AWS Resilience Hub pour accéder à d'autres AWS ressources ou à des ressources d'application. Le rôle d'invocateur doit avoir une politique de confiance ajoutée à AWS Resilience Hub Service Principal.
Pour gérer les autorisations de votre application, nous vous recommandons d'utiliser[AWS politiques gérées pour AWS Resilience Hub](security-iam-awsmanpol.md). Vous pouvez utiliser ces politiques gérées sans aucune modification, ou vous pouvez les utiliser comme point de départ pour rédiger vos propres politiques restrictives. Les politiques peuvent restreindre les autorisations des utilisateurs au niveau des ressources pour différentes actions en utilisant des conditions facultatives supplémentaires.
Si les ressources de votre application se trouvent dans des comptes différents (comptes secondaires/de ressources), vous devez configurer un nouveau rôle dans chaque compte contenant les ressources de votre application.
**Note**
Si vous définissez des points de terminaison VPC pour vos ressources de charge de travail, assurez-vous que les politiques de point de terminaison VPC fournissent un accès en lecture seule pour accéder aux ressources. AWS Resilience Hub Pour plus d'informations, consultez [Contrôler l'accès aux points de terminaison VPC à l'aide de politiques de point de terminaison](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html).
**Rubriques**
+ [Utilisation du rôle IAM](security-iam-resilience-hub-using-iam-role.md)
+ [Utilisation des autorisations utilisateur IAM actuelles](security-iam-resilience-hub-current-user-permissions.md)
# Utilisation du rôle IAM
AWS Resilience Hub utilisera un rôle IAM prédéfini existant pour accéder à vos ressources dans le compte ou secondary/resources le compte principal. Il s'agit de l'option d'autorisation recommandée pour accéder à vos ressources.
**Rubriques**
+ [Rôle de l'invocateur](security-iam-resilience-hub-invoker-role.md)
+ [Rôles dans différents AWS comptes pour un accès entre comptes (facultatif)](security-iam-resilience-cross-account-roles.md)
# Rôle de l'invocateur
Le rôle d' AWS Resilience Hub invocateur est un rôle Gestion des identités et des accès AWS (IAM) censé accéder AWS Resilience Hub aux AWS services et aux ressources. Par exemple, vous pouvez créer un rôle d'invocateur autorisé à accéder à votre modèle CFN et à la ressource qu'il crée. Cette page fournit des informations sur la création, l'affichage et la gestion d'un rôle d'invocateur d'application.
Lorsque vous créez une application, vous fournissez un rôle d'invocateur. AWS Resilience Hub assume ce rôle pour accéder à vos ressources lorsque vous importez des ressources ou que vous lancez une évaluation. AWS Resilience Hub Pour assumer correctement votre rôle d'invocateur, la politique de confiance du rôle doit spécifier que le principal du AWS Resilience Hub service (**resiliencehub.amazonaws.com**) est un service fiable.
Pour afficher le rôle d'invocateur de l'application, choisissez **Applications** dans le volet de navigation, puis choisissez **Mettre à jour les autorisations** dans le menu **Actions** de la page **Application**.
Vous pouvez ajouter ou supprimer des autorisations associées à un rôle d'invocateur d'application à tout moment, ou configurer votre application pour qu'elle utilise un rôle différent pour accéder aux ressources de l'application.
**Rubriques**
+ [Création d'un rôle d'invocateur dans la console IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Gestion des rôles avec l'API IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Définition de la politique de confiance à l'aide du fichier JSON](#security-iam-resilience-define-policy)
## Création d'un rôle d'invocateur dans la console IAM
Pour permettre AWS Resilience Hub l'accès aux AWS services et aux ressources, vous devez créer un rôle d'invocateur dans le compte principal à l'aide de la console IAM. Pour plus d'informations sur la création de rôles à l'aide de la console IAM, consultez [Création d'un rôle pour un AWS service (console).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)
**Pour créer un rôle d'invocateur dans le compte principal à l'aide de la console IAM**
1. Ouvrez la console IAM à l’adresse `https://console.aws.amazon.com/iam/`.
1. Dans le volet de navigation, sélectionnez **Rôles**, puis sélectionnez **Créer un rôle**.
1. Sélectionnez **Politique de confiance personnalisée**, copiez la politique suivante dans la fenêtre **Politique de confiance personnalisée**, puis choisissez **Suivant**.
**Note**
Si vos ressources se trouvent dans des comptes différents, vous devez créer un rôle dans chacun de ces comptes et utiliser la politique de confiance du compte secondaire pour les autres comptes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Dans la section **Politiques d'autorisations** de la page **Ajouter des autorisations**, entrez `AWSResilienceHubAsssessmentExecutionPolicy` les **politiques de filtrage par propriété ou par nom de politique et appuyez sur la case Entrée**.
1. Sélectionnez la politique, puis cliquez sur **Suivant**.
1. Dans la section **Détails du rôle**, entrez un nom de rôle unique (tel que`AWSResilienceHubAssessmentRole`) dans la zone **Nom du rôle**.
Ce champ n'accepte que les caractères alphanumériques et les caractères `+=,.@-_/` « ».
1. (Facultatif) Entrez une description du rôle dans la zone **Description**.
1. Choisissez **Create Role** (Créer un rôle).
Pour modifier les cas d'utilisation et les autorisations, à l'étape 6, choisissez le bouton **Modifier** situé à droite des sections **Étape 1 : Sélectionnez les entités de confiance** ou **Étape 2 : Ajouter des autorisations**.
Après avoir créé le rôle d'invocateur et le rôle de ressource (le cas échéant), vous pouvez configurer votre application pour qu'elle utilise ces rôles.
**Note**
Vous devez disposer d'une `iam:passRole` autorisation dans votre IAM actuel pour accéder user/role au rôle d'invocateur lors de la création ou de la mise à jour de l'application. Toutefois, vous n'avez pas besoin de cette autorisation pour exécuter une évaluation.
## Gestion des rôles avec l'API IAM
La politique de confiance d'un rôle autorise le principal spécifié à assumer le rôle. Pour créer les rôles à l'aide de AWS Command Line Interface (AWS CLI), utilisez la `create-role` commande. Lorsque vous utilisez cette commande, vous pouvez spécifier la politique de confiance en ligne. L'exemple suivant montre comment accorder au AWS Resilience Hub service l'autorisation principale d'assumer votre rôle.
**Note**
L'obligation d'échapper aux guillemets (`' '`) dans la chaîne JSON peut varier en fonction de la version de votre shell.
**Exemple `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Définition de la politique de confiance à l'aide du fichier JSON
Vous pouvez définir la politique de confiance pour le rôle à l'aide d'un fichier JSON distinct, puis exécuter la `create-role` commande. Dans l'exemple suivant, **`trust-policy.json`**il s'agit d'un fichier qui contient la politique de confiance dans le répertoire actuel. Cette politique est attachée à un rôle en exécutant une **`create-role`**commande. Le résultat de la `create-role` commande est affiché dans l'**exemple de sortie**. Pour ajouter des autorisations au rôle, utilisez la **attach-policy-to-role**commande et vous pouvez commencer par ajouter la politique `AWSResilienceHubAsssessmentExecutionPolicy` gérée. Pour plus d'informations sur cette politique gérée, consultez[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Exemple `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Exemple `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Exemple de sortie**
**Exemple `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# Rôles dans différents AWS comptes pour un accès entre comptes (facultatif)
Lorsque vos ressources se trouvent dans secondary/resource des comptes, vous devez créer des rôles dans chacun de ces comptes afin de AWS Resilience Hub permettre une évaluation réussie de votre candidature. La procédure de création de rôle est similaire au processus de création de rôle d'invocateur, à l'exception de la configuration de la politique de confiance.
**Note**
Vous devez créer les rôles dans les comptes secondaires où se trouvent les ressources.
**Rubriques**
+ [Création d'un rôle dans la console IAM pour les comptes secondary/resource](#security-iam-resilience-cross-create-roles-infra-account)
+ [Gestion des rôles avec l'API IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Définition de la politique de confiance à l'aide du fichier JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)
## Création d'un rôle dans la console IAM pour les comptes secondary/resource
Pour accéder AWS Resilience Hub aux AWS services et aux ressources d'autres AWS comptes, vous devez créer des rôles dans chacun de ces comptes.
**Pour créer un rôle dans la console IAM pour les secondary/resource comptes à l'aide de la console IAM**
1. Ouvrez la console IAM à l’adresse `https://console.aws.amazon.com/iam/`.
1. Dans le volet de navigation, sélectionnez **Rôles**, puis sélectionnez **Créer un rôle**.
1. Sélectionnez **Politique de confiance personnalisée**, copiez la politique suivante dans la fenêtre **Politique de confiance personnalisée**, puis choisissez **Suivant**.
**Note**
Si vos ressources se trouvent dans des comptes différents, vous devez créer un rôle dans chacun de ces comptes et utiliser la politique de confiance du compte secondaire pour les autres comptes.
1. Dans la section **Politiques d'autorisations** de la page **Ajouter des autorisations**, entrez `AWSResilienceHubAsssessmentExecutionPolicy` les **politiques de filtrage par propriété ou par nom de politique et appuyez sur la case Entrée**.
1. Sélectionnez la politique, puis cliquez sur **Suivant**.
1. Dans la section **Détails du rôle**, entrez un nom de rôle unique (tel que`AWSResilienceHubAssessmentRole`) dans la zone **Nom du rôle**.
1. (Facultatif) Entrez une description du rôle dans la zone **Description**.
1. Choisissez **Create Role** (Créer un rôle).
Pour modifier les cas d'utilisation et les autorisations, à l'étape 6, choisissez le bouton **Modifier** situé à droite des sections **Étape 1 : Sélectionnez les entités de confiance** ou **Étape 2 : Ajouter des autorisations**.
En outre, vous devez également ajouter l'`sts:assumeRole`autorisation au rôle d'invocateur pour lui permettre d'assumer les rôles dans vos comptes secondaires.
Ajoutez la politique suivante à votre rôle d'invocateur pour chacun des rôles secondaires que vous avez créés :
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Gestion des rôles avec l'API IAM
La politique de confiance d'un rôle autorise le principal spécifié à assumer le rôle. Pour créer les rôles à l'aide de AWS Command Line Interface (AWS CLI), utilisez la `create-role` commande. Lorsque vous utilisez cette commande, vous pouvez préciser la politique d’approbation en ligne. L'exemple suivant montre comment accorder au directeur du AWS Resilience Hub service l'autorisation d'assumer votre rôle.
**Note**
L'obligation d'échapper aux guillemets (`' '`) dans la chaîne JSON peut varier en fonction de la version de votre shell.
**Exemple `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Vous pouvez également définir la politique d’approbation pour le rôle à l’aide d’un fichier JSON séparé. Dans l’exemple suivant, le fichier `trust-policy.json` se trouve dans le répertoire actuel.
### Définition de la politique de confiance à l'aide du fichier JSON
Vous pouvez définir la politique de confiance pour le rôle à l'aide d'un fichier JSON distinct, puis exécuter la `create-role` commande. Dans l'exemple suivant, **`trust-policy.json`**il s'agit d'un fichier qui contient la politique de confiance dans le répertoire actuel. Cette politique est attachée à un rôle en exécutant une **`create-role`**commande. Le résultat de la `create-role` commande est affiché dans l'**exemple de sortie**. Pour ajouter des autorisations à un rôle, utilisez la **attach-policy-to-role**commande et vous pouvez commencer par ajouter la politique `AWSResilienceHubAsssessmentExecutionPolicy` gérée. Pour plus d'informations sur cette politique gérée, consultez[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Exemple `trust-policy.json`**
**Exemple `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Exemple de sortie**
**Exemple `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.
# Utilisation des autorisations utilisateur IAM actuelles
Utilisez cette méthode si vous souhaitez utiliser vos autorisations d'utilisateur IAM actuelles pour créer et exécuter une évaluation. Vous pouvez associer la politique `AWSResilienceHubAsssessmentExecutionPolicy` gérée à votre utilisateur IAM ou à un rôle associé à votre utilisateur.
## Configuration d'un compte unique
L'utilisation de la politique gérée mentionnée ci-dessus est suffisante pour exécuter une évaluation sur une application gérée dans le même compte que l'utilisateur IAM.
## Configuration de l'évaluation planifiée
Vous devez créer un nouveau rôle `AwsResilienceHubPeriodicAssessmentRole` pour pouvoir AWS Resilience Hub effectuer des tâches liées à l'évaluation planifiée.
**Note**
Lors de l'utilisation de l'accès basé sur les rôles (avec le rôle d'invocateur mentionné ci-dessus), cette étape n'est pas obligatoire.
Le nom du rôle doit être`AwsResilienceHubPeriodicAssessmentRole`.
**Pour permettre d' AWS Resilience Hub effectuer des tâches liées à l'évaluation planifiée**
1. Attachez la stratégie gérée par `AWSResilienceHubAsssessmentExecutionPolicy` au rôle.
1. Ajoutez la politique suivante, où se `primary_account_id` trouve le AWS compte sur lequel l'application est définie et où sera exécutée l'évaluation. En outre, vous devez ajouter la politique de confiance associée au rôle de l'évaluation planifiée, (`AwsResilienceHubPeriodicAssessmentRole`), qui autorise le AWS Resilience Hub service à assumer le rôle de l'évaluation planifiée.
**Politique de confiance pour le rôle de l'évaluation planifiée (`AwsResilienceHubPeriodicAssessmentRole`)**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Configuration multi-comptes
Les politiques d'autorisation IAM suivantes sont requises si vous utilisez AWS Resilience Hub avec plusieurs comptes. Chaque AWS compte peut nécessiter des autorisations différentes en fonction de votre cas d'utilisation. Lors de la configuration AWS Resilience Hub de l'accès entre comptes, les comptes et rôles suivants sont pris en compte :
+ **Compte principal** : AWS compte dans lequel vous souhaitez créer l'application et exécuter des évaluations.
+ **Compte (s) secondaire/de ressources** — AWS compte (s) où se trouvent les ressources.
**Note**
Lors de l'utilisation de l'accès basé sur les rôles (avec le rôle d'invocateur mentionné ci-dessus), cette étape n'est pas obligatoire.
Pour plus d'informations sur la configuration des autorisations d'accès à Amazon Elastic Kubernetes Service, consultez. [Permettre AWS Resilience Hub l'accès à votre cluster Amazon Elastic Kubernetes Service](enabling-eks-in-arh.md)
### Configuration du compte principal
Vous devez créer un nouveau rôle `AwsResilienceHubAdminAccountRole` dans le compte principal et autoriser AWS Resilience Hub l'accès pour l'assumer. Ce rôle sera utilisé pour accéder à un autre rôle de votre AWS compte contenant vos ressources. Il ne doit pas être autorisé à lire les ressources.
**Note**
Le nom du rôle doit être`AwsResilienceHubAdminAccountRole`.
Il doit être créé dans le compte principal.
Votre IAM actuel user/role doit être `iam:assumeRole` autorisé à assumer ce rôle.
`secondary_account_id_1/2/...`Remplacez-les par les identifiants de compte secondaires appropriés.
La politique suivante fournit des autorisations d'exécuteur testamentaire à votre rôle pour accéder aux ressources d'un autre rôle de votre AWS compte :
La politique de confiance pour le rôle d'administrateur (`AwsResilienceHubAdminAccountRole`) est la suivante :
### Configuration d'un ou de plusieurs comptes secondaires/ressources
Dans chacun de vos comptes secondaires, vous devez créer un nouveau rôle `AwsResilienceHubExecutorAccountRole` et activer le rôle d'administrateur créé ci-dessus pour assumer ce rôle. Étant donné que ce rôle sera utilisé AWS Resilience Hub pour analyser et évaluer les ressources de votre application, il nécessitera également les autorisations appropriées.
Toutefois, vous devez associer la politique `AWSResilienceHubAsssessmentExecutionPolicy` gérée au rôle et associer la politique du rôle de l'exécuteur.
La politique de confiance relative au rôle de l'exécuteur est la suivante :