Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan peran IAM
AWS Resilience Hub akan menggunakan peran IAM yang sudah ditentukan sebelumnya untuk mengakses sumber daya Anda di akun atau secondary/resources akun utama. Ini adalah opsi izin yang disarankan untuk mengakses sumber daya Anda.
**Topik**
+ [Peran invoker](security-iam-resilience-hub-invoker-role.md)
+ [Peran di AWS akun berbeda untuk akses lintas akun - opsional](security-iam-resilience-cross-account-roles.md)
# Peran invoker
Peran AWS Resilience Hub invoker adalah peran AWS Identity and Access Management (IAM) yang AWS Resilience Hub mengasumsikan untuk mengakses AWS layanan dan sumber daya. Misalnya, Anda dapat membuat peran invoker yang memiliki izin untuk mengakses template CFN Anda dan sumber daya yang dibuatnya. Halaman ini memberikan informasi tentang cara membuat, melihat, dan mengelola peran pemanggil aplikasi.
Saat Anda membuat aplikasi, Anda memberikan peran invoker. AWS Resilience Hub mengasumsikan peran ini untuk mengakses sumber daya Anda saat Anda mengimpor sumber daya atau memulai penilaian. AWS Resilience Hub Agar dapat mengambil peran invoker Anda dengan benar, kebijakan kepercayaan peran harus menentukan prinsip AWS Resilience Hub layanan (**resiliencehub.amazonaws.com**) sebagai layanan tepercaya.
**Untuk melihat peran invoker aplikasi, pilih **Aplikasi** dari panel navigasi, lalu pilih **Perbarui izin** dari menu **Tindakan** di halaman Aplikasi.**
Anda dapat menambahkan atau menghapus izin dari peran pemanggil aplikasi kapan saja, atau mengonfigurasi aplikasi Anda untuk menggunakan peran yang berbeda untuk mengakses sumber daya aplikasi.
**Topik**
+ [Membuat peran invoker di konsol IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Mengelola peran dengan API IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Mendefinisikan kebijakan kepercayaan menggunakan file JSON](#security-iam-resilience-define-policy)
## Membuat peran invoker di konsol IAM
AWS Resilience Hub Untuk mengaktifkan akses AWS layanan dan sumber daya, Anda harus membuat peran invoker di akun utama menggunakan konsol IAM. Untuk informasi selengkapnya tentang membuat peran menggunakan konsol IAM, lihat [Membuat peran untuk AWS layanan (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).
**Untuk membuat peran invoker di akun utama menggunakan konsol IAM**
1. Buka konsol IAM di `https://console.aws.amazon.com/iam/`.
1. Dari panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pilih **Kebijakan Kepercayaan Kustom**, salin kebijakan berikut di jendela **Kebijakan kepercayaan kustom**, lalu pilih **Berikutnya**.
**catatan**
Jika sumber daya Anda berada di akun yang berbeda, Anda harus membuat peran di masing-masing akun tersebut, dan menggunakan kebijakan kepercayaan akun sekunder untuk akun lainnya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Di bagian **Kebijakan izin** di halaman **Tambahkan izin**, masukkan `AWSResilienceHubAsssessmentExecutionPolicy` di **Filter kebijakan berdasarkan properti atau nama kebijakan, lalu tekan kotak enter**.
1. Pilih kebijakan dan pilih **Berikutnya**.
1. Di bagian **Rincian peran**, masukkan nama peran unik (seperti`AWSResilienceHubAssessmentRole`) di kotak **Nama peran**.
Bidang ini hanya menerima karakter alfanumerik dan ''. `+=,.@-_/`
1. (Opsional) Masukkan deskripsi tentang peran di kotak **Deskripsi**.
1. Pilih **Buat Peran**.
Untuk mengedit kasus penggunaan dan izin, pada langkah 6, pilih tombol **Edit** yang terletak di sebelah kanan **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Tambahkan bagian izin**.
Setelah membuat peran invoker dan peran sumber daya (jika ada), Anda dapat mengonfigurasi aplikasi Anda untuk menggunakan peran ini.
**catatan**
Anda harus memiliki `iam:passRole` izin dalam IAM Anda saat ini user/role untuk peran invoker saat membuat atau memperbarui aplikasi. Namun, Anda tidak memerlukan izin ini untuk menjalankan penilaian.
## Mengelola peran dengan API IAM
Kebijakan kepercayaan peran memberikan izin kepala sekolah yang ditentukan untuk mengambil peran tersebut. Untuk membuat peran menggunakan AWS Command Line Interface (AWS CLI), gunakan `create-role` perintah. Saat menggunakan perintah ini, Anda dapat menentukan kebijakan kepercayaan sebaris. Contoh berikut menunjukkan cara memberikan AWS Resilience Hub layanan izin utama untuk mengambil peran Anda.
**catatan**
Persyaratan untuk menghindari tanda kutip (`' '`) dalam string JSON dapat bervariasi berdasarkan versi shell Anda.
**Sampel `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Mendefinisikan kebijakan kepercayaan menggunakan file JSON
Anda dapat menentukan kebijakan kepercayaan untuk peran menggunakan file JSON terpisah dan kemudian menjalankan `create-role` perintah. Dalam contoh berikut, **`trust-policy.json`**adalah file yang berisi kebijakan kepercayaan di direktori saat ini. Kebijakan ini dilampirkan ke peran dengan menjalankan **`create-role`**perintah. Output dari `create-role` perintah ditampilkan dalam **Output Sampel**. Untuk menambahkan izin ke peran, gunakan **attach-policy-to-role**perintah dan Anda dapat memulai dengan menambahkan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola ini, lihat[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Sampel `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Sampel `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Keluaran Sampel**
**Sampel `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# Peran di AWS akun berbeda untuk akses lintas akun - opsional
Ketika sumber daya Anda berada di secondary/resource akun, Anda harus membuat peran di masing-masing akun ini AWS Resilience Hub agar dapat berhasil menilai aplikasi Anda. Prosedur pembuatan peran mirip dengan proses pembuatan peran invoker, kecuali untuk konfigurasi kebijakan kepercayaan.
**catatan**
Anda harus membuat peran di akun sekunder tempat sumber daya berada.
**Topik**
+ [Membuat peran di konsol IAM untuk akun secondary/resource](#security-iam-resilience-cross-create-roles-infra-account)
+ [Mengelola peran dengan API IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Mendefinisikan kebijakan kepercayaan menggunakan file JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)
## Membuat peran di konsol IAM untuk akun secondary/resource
AWS Resilience Hub Untuk mengaktifkan akses AWS layanan dan sumber daya di AWS akun lain, Anda harus membuat peran di masing-masing akun ini.
**Untuk membuat peran di konsol IAM untuk secondary/resource akun menggunakan konsol IAM**
1. Buka konsol IAM di `https://console.aws.amazon.com/iam/`.
1. Dari panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pilih **Kebijakan Kepercayaan Kustom**, salin kebijakan berikut di jendela **Kebijakan kepercayaan kustom**, lalu pilih **Berikutnya**.
**catatan**
Jika sumber daya Anda berada di akun yang berbeda, Anda harus membuat peran di masing-masing akun tersebut dan menggunakan kebijakan kepercayaan akun sekunder untuk akun lainnya.
1. Di bagian **Kebijakan izin** di halaman **Tambahkan izin**, masukkan `AWSResilienceHubAsssessmentExecutionPolicy` di **Filter kebijakan berdasarkan properti atau nama kebijakan, lalu tekan kotak enter**.
1. Pilih kebijakan dan pilih **Berikutnya**.
1. Di bagian **Rincian peran**, masukkan nama peran unik (seperti`AWSResilienceHubAssessmentRole`) di kotak **Nama peran**.
1. (Opsional) Masukkan deskripsi tentang peran di kotak **Deskripsi**.
1. Pilih **Buat Peran**.
Untuk mengedit kasus penggunaan dan izin, pada langkah 6, pilih tombol **Edit** yang terletak di sebelah kanan **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Tambahkan bagian izin**.
Selain itu, Anda juga perlu menambahkan `sts:assumeRole` izin ke peran invoker untuk memungkinkannya mengambil peran di akun sekunder Anda.
Tambahkan kebijakan berikut ke peran invoker Anda untuk setiap peran sekunder yang Anda buat:
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Mengelola peran dengan API IAM
Kebijakan kepercayaan peran memberikan izin kepala sekolah yang ditentukan untuk mengambil peran tersebut. Untuk membuat peran menggunakan AWS Command Line Interface (AWS CLI), gunakan `create-role` perintah. Saat menggunakan perintah ini, Anda dapat menentukan kebijakan kepercayaan sebaris. Contoh berikut menunjukkan cara memberikan izin kepada kepala AWS Resilience Hub layanan untuk mengambil peran Anda.
**catatan**
Persyaratan untuk menghindari tanda kutip (`' '`) dalam string JSON dapat bervariasi berdasarkan versi shell Anda.
**Sampel `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Anda juga dapat menentukan kebijakan kepercayaan untuk peran tersebut menggunakan file JSON terpisah. Dalam contoh berikut, `trust-policy.json` adalah file dalam direktori saat ini.
### Mendefinisikan kebijakan kepercayaan menggunakan file JSON
Anda dapat menentukan kebijakan kepercayaan untuk peran menggunakan file JSON terpisah dan kemudian menjalankan `create-role` perintah. Dalam contoh berikut, **`trust-policy.json`**adalah file yang berisi kebijakan kepercayaan di direktori saat ini. Kebijakan ini dilampirkan ke peran dengan menjalankan **`create-role`**perintah. Output dari `create-role` perintah ditampilkan dalam **Output Sampel**. Untuk menambahkan izin ke peran, gunakan **attach-policy-to-role**perintah dan Anda dapat memulai dengan menambahkan kebijakan `AWSResilienceHubAsssessmentExecutionPolicy` terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola ini, lihat[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Sampel `trust-policy.json`**
**Sampel `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Keluaran Sampel**
**Sampel `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.