Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Ruoli in AWS account diversi per l'accesso su più account - opzionale
Se le risorse si trovano negli secondary/resource account, è necessario creare ruoli in ciascuno di questi account AWS Resilience Hub per consentire una corretta valutazione della candidatura. La procedura di creazione del ruolo è simile al processo di creazione del ruolo dell'invoker, ad eccezione della configurazione della politica di fiducia.
**Nota**
È necessario creare i ruoli negli account secondari in cui si trovano le risorse.
**Argomenti**
+ [Creazione di un ruolo nella console IAM per secondary/resource gli account](#security-iam-resilience-cross-create-roles-infra-account)
+ [Gestione dei ruoli con l'API IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Definizione della politica di fiducia utilizzando il file JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)
## Creazione di un ruolo nella console IAM per secondary/resource gli account
Per consentire l'accesso AWS Resilience Hub ai AWS servizi e alle risorse in altri AWS account, devi creare ruoli in ciascuno di questi account.
**Per creare un ruolo nella console IAM per secondary/resource gli account utilizzando la console IAM**
1. Aprire la console IAM all'indirizzo `https://console.aws.amazon.com/iam/`.
1. Dal pannello di navigazione, scegli **Ruoli**, quindi scegli **Crea ruolo**.
1. Seleziona **Criteri di fiducia personalizzati**, copia i seguenti criteri nella finestra **Criteri di fiducia personalizzati**, quindi scegli **Avanti**.
**Nota**
Se le tue risorse si trovano in account diversi, devi creare un ruolo in ciascuno di questi account e utilizzare la politica di fiducia degli account secondari per gli altri account.
1. Nella sezione **Politiche di autorizzazione** della pagina **Aggiungi autorizzazioni**, inserisci `AWSResilienceHubAsssessmentExecutionPolicy` la sezione **Filtra le politiche per proprietà o nome della politica e premi invio**.
1. **Seleziona la politica e scegli Avanti.**
1. Nella sezione **Dettagli del ruolo**, inserisci un nome di ruolo univoco (ad esempio`AWSResilienceHubAssessmentRole`) nella casella **Nome ruolo**.
1. (Facoltativo) Inserisci una descrizione del ruolo nella casella **Descrizione**.
1. Selezionare **Crea ruolo**.
Per modificare i casi d'uso e le autorizzazioni, nel passaggio 6, scegli il pulsante **Modifica** che si trova a destra delle sezioni **Passaggio 1: Seleziona entità attendibili** o **Passaggio 2: Aggiungi autorizzazioni**.
Inoltre, devi anche aggiungere l'`sts:assumeRole`autorizzazione al ruolo di invoker per consentirgli di assumere i ruoli nei tuoi account secondari.
Aggiungi la seguente politica al tuo ruolo di invoker per ciascuno dei ruoli secondari che hai creato:
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Gestione dei ruoli con l'API IAM
La politica di fiducia di un ruolo fornisce al principale specificato il permesso di assumere il ruolo. Per creare i ruoli usando AWS Command Line Interface (AWS CLI), usa il `create-role` comando. Quando utilizzi questo comando, puoi specificare la policy di attendibilità in linea. L'esempio seguente mostra come concedere al responsabile del AWS Resilience Hub servizio l'autorizzazione ad assumere il proprio ruolo.
**Nota**
Il requisito per evitare le virgolette (`' '`) nella stringa JSON può variare in base alla versione della shell.
**Esempio `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Puoi inoltre definire la policy di attendibilità per il ruolo utilizzando un file JSON separato. Nell'esempio seguente, `trust-policy.json` è un file che si trova nella directory attuale.
### Definizione della politica di fiducia utilizzando il file JSON
È possibile definire la politica di fiducia per il ruolo utilizzando un file JSON separato e quindi eseguire il `create-role` comando. Nell'esempio seguente, **`trust-policy.json`**è un file che contiene la politica di fiducia nella directory corrente. Questa politica è associata a un ruolo mediante l'esecuzione del **`create-role`**comando. L'output del `create-role` comando è mostrato nell'**output di esempio**. Per aggiungere autorizzazioni a un ruolo, usa il **attach-policy-to-role**comando e puoi iniziare aggiungendo la politica `AWSResilienceHubAsssessmentExecutionPolicy` gestita. Per ulteriori informazioni su questa politica gestita, consulta[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Esempio `trust-policy.json`**
**Esempio `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Esempio di output**
**Esempio `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.