Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Peran di AWS akun berbeda untuk akses lintas akun - opsional
<a name="security-iam-resilience-cross-account-roles"></a>

Ketika sumber daya Anda berada di secondary/resource akun, Anda harus membuat peran di masing-masing akun ini AWS Resilience Hub agar dapat berhasil menilai aplikasi Anda. Prosedur pembuatan peran mirip dengan proses pembuatan peran invoker, kecuali untuk konfigurasi kebijakan kepercayaan.

**catatan**  
Anda harus membuat peran di akun sekunder tempat sumber daya berada.

**Topik**
+ [Membuat peran di konsol IAM untuk akun secondary/resource](#security-iam-resilience-cross-create-roles-infra-account)
+ [Mengelola peran dengan API IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Mendefinisikan kebijakan kepercayaan menggunakan file JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)

## Membuat peran di konsol IAM untuk akun secondary/resource
<a name="security-iam-resilience-cross-create-roles-infra-account"></a>

 AWS Resilience Hub Untuk mengaktifkan akses AWS layanan dan sumber daya di AWS akun lain, Anda harus membuat peran di masing-masing akun ini.

**Untuk membuat peran di konsol IAM untuk secondary/resource akun menggunakan konsol IAM**

1. Buka konsol IAM di `https://console.aws.amazon.com/iam/`.

1. Dari panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.

1. Pilih **Kebijakan Kepercayaan Kustom**, salin kebijakan berikut di jendela **Kebijakan kepercayaan kustom**, lalu pilih **Berikutnya**. 
**catatan**  
Jika sumber daya Anda berada di akun yang berbeda, Anda harus membuat peran di masing-masing akun tersebut dan menggunakan kebijakan kepercayaan akun sekunder untuk akun lainnya.

1. Di bagian **Kebijakan izin** di halaman **Tambahkan izin**, masukkan `AWSResilienceHubAsssessmentExecutionPolicy` di **Filter kebijakan berdasarkan properti atau nama kebijakan, lalu tekan kotak enter**.

1. Pilih kebijakan dan pilih **Berikutnya**.

1. Di bagian **Rincian peran**, masukkan nama peran unik (seperti`AWSResilienceHubAssessmentRole`) di kotak **Nama peran**. 

1. (Opsional) Masukkan deskripsi tentang peran di kotak **Deskripsi**.

1. Pilih **Buat Peran**.

   Untuk mengedit kasus penggunaan dan izin, pada langkah 6, pilih tombol **Edit** yang terletak di sebelah kanan **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Tambahkan bagian izin**.

Selain itu, Anda juga perlu menambahkan `sts:assumeRole` izin ke peran invoker untuk memungkinkannya mengambil peran di akun sekunder Anda.

Tambahkan kebijakan berikut ke peran invoker Anda untuk setiap peran sekunder yang Anda buat:

```
{
    "Effect": "Allow",
    "Resource": [
      "arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
      "arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
      ...
      ],
      "Action": [
        "sts:AssumeRole"
      ]
}
```

### Mengelola peran dengan API IAM
<a name="security-iam-resilience-cross-create-roles-infra-account-api"></a>

Kebijakan kepercayaan peran memberikan izin kepala sekolah yang ditentukan untuk mengambil peran tersebut. Untuk membuat peran menggunakan AWS Command Line Interface (AWS CLI), gunakan `create-role` perintah. Saat menggunakan perintah ini, Anda dapat menentukan kebijakan kepercayaan sebaris. Contoh berikut menunjukkan cara memberikan izin kepada kepala AWS Resilience Hub layanan untuk mengambil peran Anda.

**catatan**  
Persyaratan untuk menghindari tanda kutip (`' '`) dalam string JSON dapat bervariasi berdasarkan versi shell Anda.

**Sampel `create-role`**

```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17",		 	 	 "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```

Anda juga dapat menentukan kebijakan kepercayaan untuk peran tersebut menggunakan file JSON terpisah. Dalam contoh berikut, `trust-policy.json` adalah file dalam direktori saat ini.

### Mendefinisikan kebijakan kepercayaan menggunakan file JSON
<a name="security-iam-resilience-cross-define-trust-policy-infra-account"></a>

Anda dapat menentukan kebijakan kepercayaan untuk peran menggunakan file JSON terpisah dan kemudian menjalankan `create-role` perintah. Dalam contoh berikut, **`trust-policy.json`**adalah file yang berisi kebijakan kepercayaan di direktori saat ini. Kebijakan ini dilampirkan ke peran dengan menjalankan **`create-role`**perintah. Output dari `create-role` perintah ditampilkan dalam **Output Sampel**. Untuk menambahkan izin ke peran, gunakan **attach-policy-to-role**perintah dan Anda dapat memulai dengan menambahkan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola ini, lihat[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).

**Sampel `trust-policy.json`**

**Sampel `create-role`**

```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```

**Keluaran Sampel**

**Sampel `attach-policy-to-role`**

`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.