Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS Resilience Hub referensi izin akses
Anda dapat menggunakan AWS Identity and Access Management (IAM) untuk mengelola akses ke sumber daya aplikasi dan membuat kebijakan IAM yang berlaku untuk pengguna, grup, atau peran.
Setiap AWS Resilience Hub aplikasi dapat dikonfigurasi untuk menggunakan [Peran invoker](security-iam-resilience-hub-invoker-role.md) (peran IAM), atau menggunakan izin pengguna IAM saat ini (bersama dengan serangkaian peran yang telah ditentukan untuk penilaian lintas akun dan terjadwal). Dalam peran ini, Anda dapat melampirkan kebijakan yang menentukan izin yang diperlukan AWS Resilience Hub untuk mengakses AWS sumber daya atau sumber daya aplikasi lainnya. Peran invoker harus memiliki kebijakan kepercayaan yang ditambahkan ke Prinsipal AWS Resilience Hub Layanan.
Untuk mengelola izin untuk aplikasi Anda, kami sarankan untuk menggunakan[AWS kebijakan terkelola untuk AWS Resilience Hub](security-iam-awsmanpol.md). Anda dapat menggunakan kebijakan terkelola ini tanpa modifikasi apa pun, atau Anda dapat menggunakannya sebagai titik awal untuk menulis kebijakan pembatasan Anda sendiri. Kebijakan dapat membatasi izin pengguna di tingkat sumber daya untuk tindakan yang berbeda dengan menggunakan kondisi opsional tambahan.
Jika sumber daya aplikasi Anda berada di akun yang berbeda (akun sekunder/sumber daya), Anda harus menyiapkan peran baru di setiap akun yang berisi sumber daya aplikasi Anda.
**catatan**
Jika Anda menentukan titik akhir VPC untuk sumber daya beban kerja Anda, pastikan bahwa kebijakan titik akhir VPC menyediakan akses hanya-baca untuk mengakses sumber daya. AWS Resilience Hub Untuk informasi selengkapnya, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html).
**Topik**
+ [Menggunakan peran IAM](security-iam-resilience-hub-using-iam-role.md)
+ [Menggunakan izin pengguna IAM saat ini](security-iam-resilience-hub-current-user-permissions.md)
# Menggunakan peran IAM
AWS Resilience Hub akan menggunakan peran IAM yang sudah ditentukan sebelumnya untuk mengakses sumber daya Anda di akun atau secondary/resources akun utama. Ini adalah opsi izin yang disarankan untuk mengakses sumber daya Anda.
**Topik**
+ [Peran invoker](security-iam-resilience-hub-invoker-role.md)
+ [Peran di AWS akun berbeda untuk akses lintas akun - opsional](security-iam-resilience-cross-account-roles.md)
# Peran invoker
Peran AWS Resilience Hub invoker adalah peran AWS Identity and Access Management (IAM) yang AWS Resilience Hub mengasumsikan untuk mengakses AWS layanan dan sumber daya. Misalnya, Anda dapat membuat peran invoker yang memiliki izin untuk mengakses template CFN Anda dan sumber daya yang dibuatnya. Halaman ini memberikan informasi tentang cara membuat, melihat, dan mengelola peran pemanggil aplikasi.
Saat Anda membuat aplikasi, Anda memberikan peran invoker. AWS Resilience Hub mengasumsikan peran ini untuk mengakses sumber daya Anda saat Anda mengimpor sumber daya atau memulai penilaian. AWS Resilience Hub Agar dapat mengambil peran invoker Anda dengan benar, kebijakan kepercayaan peran harus menentukan prinsip AWS Resilience Hub layanan (**resiliencehub.amazonaws.com**) sebagai layanan tepercaya.
**Untuk melihat peran invoker aplikasi, pilih **Aplikasi** dari panel navigasi, lalu pilih **Perbarui izin** dari menu **Tindakan** di halaman Aplikasi.**
Anda dapat menambahkan atau menghapus izin dari peran pemanggil aplikasi kapan saja, atau mengonfigurasi aplikasi Anda untuk menggunakan peran yang berbeda untuk mengakses sumber daya aplikasi.
**Topik**
+ [Membuat peran invoker di konsol IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Mengelola peran dengan API IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Mendefinisikan kebijakan kepercayaan menggunakan file JSON](#security-iam-resilience-define-policy)
## Membuat peran invoker di konsol IAM
AWS Resilience Hub Untuk mengaktifkan akses AWS layanan dan sumber daya, Anda harus membuat peran invoker di akun utama menggunakan konsol IAM. Untuk informasi selengkapnya tentang membuat peran menggunakan konsol IAM, lihat [Membuat peran untuk AWS layanan (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).
**Untuk membuat peran invoker di akun utama menggunakan konsol IAM**
1. Buka konsol IAM di `https://console.aws.amazon.com/iam/`.
1. Dari panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pilih **Kebijakan Kepercayaan Kustom**, salin kebijakan berikut di jendela **Kebijakan kepercayaan kustom**, lalu pilih **Berikutnya**.
**catatan**
Jika sumber daya Anda berada di akun yang berbeda, Anda harus membuat peran di masing-masing akun tersebut, dan menggunakan kebijakan kepercayaan akun sekunder untuk akun lainnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Di bagian **Kebijakan izin** di halaman **Tambahkan izin**, masukkan `AWSResilienceHubAsssessmentExecutionPolicy` di **Filter kebijakan berdasarkan properti atau nama kebijakan, lalu tekan kotak enter**.
1. Pilih kebijakan dan pilih **Berikutnya**.
1. Di bagian **Rincian peran**, masukkan nama peran unik (seperti`AWSResilienceHubAssessmentRole`) di kotak **Nama peran**.
Bidang ini hanya menerima karakter alfanumerik dan ''. `+=,.@-_/`
1. (Opsional) Masukkan deskripsi tentang peran di kotak **Deskripsi**.
1. Pilih **Buat Peran**.
Untuk mengedit kasus penggunaan dan izin, pada langkah 6, pilih tombol **Edit** yang terletak di sebelah kanan **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Tambahkan bagian izin**.
Setelah membuat peran invoker dan peran sumber daya (jika ada), Anda dapat mengonfigurasi aplikasi Anda untuk menggunakan peran ini.
**catatan**
Anda harus memiliki `iam:passRole` izin dalam IAM Anda saat ini user/role untuk peran invoker saat membuat atau memperbarui aplikasi. Namun, Anda tidak memerlukan izin ini untuk menjalankan penilaian.
## Mengelola peran dengan API IAM
Kebijakan kepercayaan peran memberikan izin kepala sekolah yang ditentukan untuk mengambil peran tersebut. Untuk membuat peran menggunakan AWS Command Line Interface (AWS CLI), gunakan `create-role` perintah. Saat menggunakan perintah ini, Anda dapat menentukan kebijakan kepercayaan sebaris. Contoh berikut menunjukkan cara memberikan AWS Resilience Hub layanan izin utama untuk mengambil peran Anda.
**catatan**
Persyaratan untuk menghindari tanda kutip (`' '`) dalam string JSON dapat bervariasi berdasarkan versi shell Anda.
**Sampel `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Mendefinisikan kebijakan kepercayaan menggunakan file JSON
Anda dapat menentukan kebijakan kepercayaan untuk peran menggunakan file JSON terpisah dan kemudian menjalankan `create-role` perintah. Dalam contoh berikut, **`trust-policy.json`**adalah file yang berisi kebijakan kepercayaan di direktori saat ini. Kebijakan ini dilampirkan ke peran dengan menjalankan **`create-role`**perintah. Output dari `create-role` perintah ditampilkan dalam **Output Sampel**. Untuk menambahkan izin ke peran, gunakan **attach-policy-to-role**perintah dan Anda dapat memulai dengan menambahkan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola ini, lihat[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Sampel `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Sampel `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Keluaran Sampel**
**Sampel `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# Peran di AWS akun berbeda untuk akses lintas akun - opsional
Ketika sumber daya Anda berada di secondary/resource akun, Anda harus membuat peran di masing-masing akun ini AWS Resilience Hub agar dapat berhasil menilai aplikasi Anda. Prosedur pembuatan peran mirip dengan proses pembuatan peran invoker, kecuali untuk konfigurasi kebijakan kepercayaan.
**catatan**
Anda harus membuat peran di akun sekunder tempat sumber daya berada.
**Topik**
+ [Membuat peran di konsol IAM untuk akun secondary/resource](#security-iam-resilience-cross-create-roles-infra-account)
+ [Mengelola peran dengan API IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Mendefinisikan kebijakan kepercayaan menggunakan file JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)
## Membuat peran di konsol IAM untuk akun secondary/resource
AWS Resilience Hub Untuk mengaktifkan akses AWS layanan dan sumber daya di AWS akun lain, Anda harus membuat peran di masing-masing akun ini.
**Untuk membuat peran di konsol IAM untuk secondary/resource akun menggunakan konsol IAM**
1. Buka konsol IAM di `https://console.aws.amazon.com/iam/`.
1. Dari panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pilih **Kebijakan Kepercayaan Kustom**, salin kebijakan berikut di jendela **Kebijakan kepercayaan kustom**, lalu pilih **Berikutnya**.
**catatan**
Jika sumber daya Anda berada di akun yang berbeda, Anda harus membuat peran di masing-masing akun tersebut dan menggunakan kebijakan kepercayaan akun sekunder untuk akun lainnya.
1. Di bagian **Kebijakan izin** di halaman **Tambahkan izin**, masukkan `AWSResilienceHubAsssessmentExecutionPolicy` di **Filter kebijakan berdasarkan properti atau nama kebijakan, lalu tekan kotak enter**.
1. Pilih kebijakan dan pilih **Berikutnya**.
1. Di bagian **Rincian peran**, masukkan nama peran unik (seperti`AWSResilienceHubAssessmentRole`) di kotak **Nama peran**.
1. (Opsional) Masukkan deskripsi tentang peran di kotak **Deskripsi**.
1. Pilih **Buat Peran**.
Untuk mengedit kasus penggunaan dan izin, pada langkah 6, pilih tombol **Edit** yang terletak di sebelah kanan **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Tambahkan bagian izin**.
Selain itu, Anda juga perlu menambahkan `sts:assumeRole` izin ke peran invoker untuk memungkinkannya mengambil peran di akun sekunder Anda.
Tambahkan kebijakan berikut ke peran invoker Anda untuk setiap peran sekunder yang Anda buat:
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Mengelola peran dengan API IAM
Kebijakan kepercayaan peran memberikan izin kepala sekolah yang ditentukan untuk mengambil peran tersebut. Untuk membuat peran menggunakan AWS Command Line Interface (AWS CLI), gunakan `create-role` perintah. Saat menggunakan perintah ini, Anda dapat menentukan kebijakan kepercayaan sebaris. Contoh berikut menunjukkan cara memberikan izin kepada kepala AWS Resilience Hub layanan untuk mengambil peran Anda.
**catatan**
Persyaratan untuk menghindari tanda kutip (`' '`) dalam string JSON dapat bervariasi berdasarkan versi shell Anda.
**Sampel `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Anda juga dapat menentukan kebijakan kepercayaan untuk peran tersebut menggunakan file JSON terpisah. Dalam contoh berikut, `trust-policy.json` adalah file dalam direktori saat ini.
### Mendefinisikan kebijakan kepercayaan menggunakan file JSON
Anda dapat menentukan kebijakan kepercayaan untuk peran menggunakan file JSON terpisah dan kemudian menjalankan `create-role` perintah. Dalam contoh berikut, **`trust-policy.json`**adalah file yang berisi kebijakan kepercayaan di direktori saat ini. Kebijakan ini dilampirkan ke peran dengan menjalankan **`create-role`**perintah. Output dari `create-role` perintah ditampilkan dalam **Output Sampel**. Untuk menambahkan izin ke peran, gunakan **attach-policy-to-role**perintah dan Anda dapat memulai dengan menambahkan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola ini, lihat[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Sampel `trust-policy.json`**
**Sampel `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Keluaran Sampel**
**Sampel `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.
# Menggunakan izin pengguna IAM saat ini
Gunakan metode ini jika Anda ingin menggunakan izin pengguna IAM saat ini untuk membuat dan menjalankan penilaian. Anda dapat melampirkan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola ke pengguna IAM atau Peran yang terkait dengan pengguna Anda.
## Penyiapan akun tunggal
Menggunakan kebijakan terkelola yang disebutkan di atas sudah cukup untuk menjalankan penilaian pada aplikasi yang dikelola di akun yang sama dengan pengguna IAM.
## Pengaturan penilaian terjadwal
Anda harus membuat peran baru `AwsResilienceHubPeriodicAssessmentRole` agar dapat AWS Resilience Hub melakukan tugas terkait penilaian terjadwal.
**catatan**
Saat menggunakan akses berbasis peran (dengan peran invoker yang disebutkan di atas) langkah ini tidak diperlukan.
Nama peran harus`AwsResilienceHubPeriodicAssessmentRole`.
**Untuk memungkinkan AWS Resilience Hub untuk melakukan tugas terkait penilaian terjadwal**
1. Lampirkan kebijakan yang `AWSResilienceHubAsssessmentExecutionPolicy` dikelola ke peran.
1. Tambahkan kebijakan berikut, di `primary_account_id` mana AWS akun tempat aplikasi didefinisikan dan akan menjalankan penilaian. Selain itu, Anda harus menambahkan kebijakan kepercayaan terkait untuk peran penilaian terjadwal, (`AwsResilienceHubPeriodicAssessmentRole`), yang memberikan izin bagi AWS Resilience Hub layanan untuk mengambil peran penilaian terjadwal.
**Kebijakan kepercayaan untuk peran penilaian terjadwal (`AwsResilienceHubPeriodicAssessmentRole`)**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Penyiapan lintas akun
Kebijakan izin IAM berikut diperlukan jika Anda menggunakan AWS Resilience Hub dengan beberapa akun. Setiap AWS akun mungkin memerlukan izin yang berbeda tergantung pada kasus penggunaan Anda. Saat menyiapkan AWS Resilience Hub akses lintas akun, akun dan peran berikut dipertimbangkan:
+ **Akun utama** — AWS akun tempat Anda ingin membuat aplikasi dan menjalankan penilaian.
+ **Akun Sekunder/Sumber Daya —** AWS akun tempat sumber daya berada.
**catatan**
Saat menggunakan akses berbasis peran (dengan peran invoker yang disebutkan di atas) langkah ini tidak diperlukan.
Untuk informasi selengkapnya tentang mengonfigurasi izin untuk mengakses Amazon Elastic Kubernetes Service, lihat. [Mengaktifkan AWS Resilience Hub akses ke klaster Amazon Elastic Kubernetes Service](enabling-eks-in-arh.md)
### Penyiapan akun utama
Anda harus membuat peran baru `AwsResilienceHubAdminAccountRole` di akun utama dan mengaktifkan AWS Resilience Hub akses untuk menganggapnya. Peran ini akan digunakan untuk mengakses peran lain di AWS akun Anda yang berisi sumber daya Anda. Seharusnya tidak memiliki izin untuk membaca sumber daya.
**catatan**
Nama peran harus`AwsResilienceHubAdminAccountRole`.
Itu harus dibuat di akun utama.
IAM Anda saat ini user/role harus memiliki `iam:assumeRole` izin untuk mengambil peran ini.
Ganti `secondary_account_id_1/2/...` dengan pengidentifikasi akun sekunder yang relevan.
Kebijakan berikut memberikan izin pelaksana untuk peran Anda untuk mengakses sumber daya di peran lain di akun Anda: AWS
Kebijakan kepercayaan untuk peran admin (`AwsResilienceHubAdminAccountRole`) adalah sebagai berikut:
### Pengaturan akun Sekunder/Sumber Daya
Di setiap akun sekunder Anda, Anda harus membuat yang baru `AwsResilienceHubExecutorAccountRole` dan mengaktifkan peran admin yang dibuat di atas untuk mengambil peran ini. Karena peran ini akan digunakan oleh AWS Resilience Hub untuk memindai dan menilai sumber daya aplikasi Anda, itu juga akan memerlukan izin yang sesuai.
Namun, Anda harus melampirkan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola ke peran dan melampirkan kebijakan peran pelaksana.
Kebijakan kepercayaan peran pelaksana adalah sebagai berikut: