Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation du rôle IAM
AWS Resilience Hub utilisera un rôle IAM prédéfini existant pour accéder à vos ressources dans le compte ou secondary/resources le compte principal. Il s'agit de l'option d'autorisation recommandée pour accéder à vos ressources.
**Rubriques**
+ [Rôle de l'invocateur](security-iam-resilience-hub-invoker-role.md)
+ [Rôles dans différents AWS comptes pour un accès entre comptes (facultatif)](security-iam-resilience-cross-account-roles.md)
# Rôle de l'invocateur
Le rôle d' AWS Resilience Hub invocateur est un rôle Gestion des identités et des accès AWS (IAM) censé accéder AWS Resilience Hub aux AWS services et aux ressources. Par exemple, vous pouvez créer un rôle d'invocateur autorisé à accéder à votre modèle CFN et à la ressource qu'il crée. Cette page fournit des informations sur la création, l'affichage et la gestion d'un rôle d'invocateur d'application.
Lorsque vous créez une application, vous fournissez un rôle d'invocateur. AWS Resilience Hub assume ce rôle pour accéder à vos ressources lorsque vous importez des ressources ou que vous lancez une évaluation. AWS Resilience Hub Pour assumer correctement votre rôle d'invocateur, la politique de confiance du rôle doit spécifier que le principal du AWS Resilience Hub service (**resiliencehub.amazonaws.com**) est un service fiable.
Pour afficher le rôle d'invocateur de l'application, choisissez **Applications** dans le volet de navigation, puis choisissez **Mettre à jour les autorisations** dans le menu **Actions** de la page **Application**.
Vous pouvez ajouter ou supprimer des autorisations associées à un rôle d'invocateur d'application à tout moment, ou configurer votre application pour qu'elle utilise un rôle différent pour accéder aux ressources de l'application.
**Rubriques**
+ [Création d'un rôle d'invocateur dans la console IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Gestion des rôles avec l'API IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Définition de la politique de confiance à l'aide du fichier JSON](#security-iam-resilience-define-policy)
## Création d'un rôle d'invocateur dans la console IAM
Pour permettre AWS Resilience Hub l'accès aux AWS services et aux ressources, vous devez créer un rôle d'invocateur dans le compte principal à l'aide de la console IAM. Pour plus d'informations sur la création de rôles à l'aide de la console IAM, consultez [Création d'un rôle pour un AWS service (console).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)
**Pour créer un rôle d'invocateur dans le compte principal à l'aide de la console IAM**
1. Ouvrez la console IAM à l’adresse `https://console.aws.amazon.com/iam/`.
1. Dans le volet de navigation, sélectionnez **Rôles**, puis sélectionnez **Créer un rôle**.
1. Sélectionnez **Politique de confiance personnalisée**, copiez la politique suivante dans la fenêtre **Politique de confiance personnalisée**, puis choisissez **Suivant**.
**Note**
Si vos ressources se trouvent dans des comptes différents, vous devez créer un rôle dans chacun de ces comptes et utiliser la politique de confiance du compte secondaire pour les autres comptes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Dans la section **Politiques d'autorisations** de la page **Ajouter des autorisations**, entrez `AWSResilienceHubAsssessmentExecutionPolicy` les **politiques de filtrage par propriété ou par nom de politique et appuyez sur la case Entrée**.
1. Sélectionnez la politique, puis cliquez sur **Suivant**.
1. Dans la section **Détails du rôle**, entrez un nom de rôle unique (tel que`AWSResilienceHubAssessmentRole`) dans la zone **Nom du rôle**.
Ce champ n'accepte que les caractères alphanumériques et les caractères `+=,.@-_/` « ».
1. (Facultatif) Entrez une description du rôle dans la zone **Description**.
1. Choisissez **Create Role** (Créer un rôle).
Pour modifier les cas d'utilisation et les autorisations, à l'étape 6, choisissez le bouton **Modifier** situé à droite des sections **Étape 1 : Sélectionnez les entités de confiance** ou **Étape 2 : Ajouter des autorisations**.
Après avoir créé le rôle d'invocateur et le rôle de ressource (le cas échéant), vous pouvez configurer votre application pour qu'elle utilise ces rôles.
**Note**
Vous devez disposer d'une `iam:passRole` autorisation dans votre IAM actuel pour accéder user/role au rôle d'invocateur lors de la création ou de la mise à jour de l'application. Toutefois, vous n'avez pas besoin de cette autorisation pour exécuter une évaluation.
## Gestion des rôles avec l'API IAM
La politique de confiance d'un rôle autorise le principal spécifié à assumer le rôle. Pour créer les rôles à l'aide de AWS Command Line Interface (AWS CLI), utilisez la `create-role` commande. Lorsque vous utilisez cette commande, vous pouvez spécifier la politique de confiance en ligne. L'exemple suivant montre comment accorder au AWS Resilience Hub service l'autorisation principale d'assumer votre rôle.
**Note**
L'obligation d'échapper aux guillemets (`' '`) dans la chaîne JSON peut varier en fonction de la version de votre shell.
**Exemple `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Définition de la politique de confiance à l'aide du fichier JSON
Vous pouvez définir la politique de confiance pour le rôle à l'aide d'un fichier JSON distinct, puis exécuter la `create-role` commande. Dans l'exemple suivant, **`trust-policy.json`**il s'agit d'un fichier qui contient la politique de confiance dans le répertoire actuel. Cette politique est attachée à un rôle en exécutant une **`create-role`**commande. Le résultat de la `create-role` commande est affiché dans l'**exemple de sortie**. Pour ajouter des autorisations au rôle, utilisez la **attach-policy-to-role**commande et vous pouvez commencer par ajouter la politique `AWSResilienceHubAsssessmentExecutionPolicy` gérée. Pour plus d'informations sur cette politique gérée, consultez[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Exemple `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Exemple `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Exemple de sortie**
**Exemple `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# Rôles dans différents AWS comptes pour un accès entre comptes (facultatif)
Lorsque vos ressources se trouvent dans secondary/resource des comptes, vous devez créer des rôles dans chacun de ces comptes afin de AWS Resilience Hub permettre une évaluation réussie de votre candidature. La procédure de création de rôle est similaire au processus de création de rôle d'invocateur, à l'exception de la configuration de la politique de confiance.
**Note**
Vous devez créer les rôles dans les comptes secondaires où se trouvent les ressources.
**Rubriques**
+ [Création d'un rôle dans la console IAM pour les comptes secondary/resource](#security-iam-resilience-cross-create-roles-infra-account)
+ [Gestion des rôles avec l'API IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Définition de la politique de confiance à l'aide du fichier JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)
## Création d'un rôle dans la console IAM pour les comptes secondary/resource
Pour accéder AWS Resilience Hub aux AWS services et aux ressources d'autres AWS comptes, vous devez créer des rôles dans chacun de ces comptes.
**Pour créer un rôle dans la console IAM pour les secondary/resource comptes à l'aide de la console IAM**
1. Ouvrez la console IAM à l’adresse `https://console.aws.amazon.com/iam/`.
1. Dans le volet de navigation, sélectionnez **Rôles**, puis sélectionnez **Créer un rôle**.
1. Sélectionnez **Politique de confiance personnalisée**, copiez la politique suivante dans la fenêtre **Politique de confiance personnalisée**, puis choisissez **Suivant**.
**Note**
Si vos ressources se trouvent dans des comptes différents, vous devez créer un rôle dans chacun de ces comptes et utiliser la politique de confiance du compte secondaire pour les autres comptes.
1. Dans la section **Politiques d'autorisations** de la page **Ajouter des autorisations**, entrez `AWSResilienceHubAsssessmentExecutionPolicy` les **politiques de filtrage par propriété ou par nom de politique et appuyez sur la case Entrée**.
1. Sélectionnez la politique, puis cliquez sur **Suivant**.
1. Dans la section **Détails du rôle**, entrez un nom de rôle unique (tel que`AWSResilienceHubAssessmentRole`) dans la zone **Nom du rôle**.
1. (Facultatif) Entrez une description du rôle dans la zone **Description**.
1. Choisissez **Create Role** (Créer un rôle).
Pour modifier les cas d'utilisation et les autorisations, à l'étape 6, choisissez le bouton **Modifier** situé à droite des sections **Étape 1 : Sélectionnez les entités de confiance** ou **Étape 2 : Ajouter des autorisations**.
En outre, vous devez également ajouter l'`sts:assumeRole`autorisation au rôle d'invocateur pour lui permettre d'assumer les rôles dans vos comptes secondaires.
Ajoutez la politique suivante à votre rôle d'invocateur pour chacun des rôles secondaires que vous avez créés :
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Gestion des rôles avec l'API IAM
La politique de confiance d'un rôle autorise le principal spécifié à assumer le rôle. Pour créer les rôles à l'aide de AWS Command Line Interface (AWS CLI), utilisez la `create-role` commande. Lorsque vous utilisez cette commande, vous pouvez préciser la politique d’approbation en ligne. L'exemple suivant montre comment accorder au directeur du AWS Resilience Hub service l'autorisation d'assumer votre rôle.
**Note**
L'obligation d'échapper aux guillemets (`' '`) dans la chaîne JSON peut varier en fonction de la version de votre shell.
**Exemple `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Vous pouvez également définir la politique d’approbation pour le rôle à l’aide d’un fichier JSON séparé. Dans l’exemple suivant, le fichier `trust-policy.json` se trouve dans le répertoire actuel.
### Définition de la politique de confiance à l'aide du fichier JSON
Vous pouvez définir la politique de confiance pour le rôle à l'aide d'un fichier JSON distinct, puis exécuter la `create-role` commande. Dans l'exemple suivant, **`trust-policy.json`**il s'agit d'un fichier qui contient la politique de confiance dans le répertoire actuel. Cette politique est attachée à un rôle en exécutant une **`create-role`**commande. Le résultat de la `create-role` commande est affiché dans l'**exemple de sortie**. Pour ajouter des autorisations à un rôle, utilisez la **attach-policy-to-role**commande et vous pouvez commencer par ajouter la politique `AWSResilienceHubAsssessmentExecutionPolicy` gérée. Pour plus d'informations sur cette politique gérée, consultez[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Exemple `trust-policy.json`**
**Exemple `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Exemple de sortie**
**Exemple `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.