Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Resilience Hub riferimento alle autorizzazioni di accesso
È possibile utilizzare AWS Identity and Access Management (IAM) per gestire l'accesso alle risorse dell'applicazione e creare policy IAM applicabili a utenti, gruppi o ruoli.
Ogni AWS Resilience Hub applicazione può essere configurata per utilizzare [Ruolo invoker](security-iam-resilience-hub-invoker-role.md) (un ruolo IAM) o utilizzare le attuali autorizzazioni utente IAM (insieme a una serie di ruoli predefiniti per la valutazione pianificata e tra più account). In questo ruolo, puoi allegare una policy che definisce le autorizzazioni richieste AWS Resilience Hub per accedere ad altre AWS risorse o risorse applicative. Il ruolo invoker deve avere una politica di fiducia che viene aggiunta a AWS Resilience Hub Service Principal.
Per gestire le autorizzazioni per la tua applicazione, ti consigliamo di utilizzare. [AWS politiche gestite per AWS Resilience Hub](security-iam-awsmanpol.md) È possibile utilizzare queste politiche gestite senza alcuna modifica oppure utilizzarle come punto di partenza per scrivere politiche restrittive personalizzate. Le politiche possono limitare le autorizzazioni degli utenti a livello di risorsa per diverse azioni utilizzando condizioni opzionali aggiuntive.
Se le risorse dell'applicazione si trovano in account diversi (account secondari/di risorse), è necessario impostare un nuovo ruolo in ogni account che contiene le risorse dell'applicazione.
**Nota**
Se definisci gli endpoint VPC per le tue risorse di carico di lavoro, assicurati che le policy degli endpoint VPC forniscano l'accesso in sola lettura per l'accesso alle risorse. AWS Resilience Hub Per ulteriori informazioni, consulta [Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html).
**Argomenti**
+ [Utilizzo del ruolo IAM](security-iam-resilience-hub-using-iam-role.md)
+ [Utilizzo delle attuali autorizzazioni utente IAM](security-iam-resilience-hub-current-user-permissions.md)
# Utilizzo del ruolo IAM
AWS Resilience Hub utilizzerà un ruolo IAM esistente predefinito per accedere alle risorse nell'account o secondary/resources nell'account principale. Questa è l'opzione di autorizzazione consigliata per accedere alle tue risorse.
**Argomenti**
+ [Ruolo invoker](security-iam-resilience-hub-invoker-role.md)
+ [Ruoli in AWS account diversi per l'accesso su più account - opzionale](security-iam-resilience-cross-account-roles.md)
# Ruolo invoker
Il ruolo AWS Resilience Hub invoker è un ruolo AWS Identity and Access Management (IAM) che AWS Resilience Hub presuppone l'accesso a servizi e risorse. AWS Ad esempio, potresti creare un ruolo invoker con il permesso di accedere al tuo modello CFN e alla risorsa che crea. Questa pagina fornisce informazioni su come creare, visualizzare e gestire un ruolo Application Invoker.
Quando si crea un'applicazione, si fornisce un ruolo di invoker. AWS Resilience Hub assume questo ruolo per accedere alle risorse quando si importano risorse o si avvia una valutazione. AWS Resilience Hub Per assumere correttamente il ruolo di invoker, la politica di fiducia del ruolo deve specificare il AWS Resilience Hub service principal (**resiliencehub.amazonaws.com**) come servizio affidabile.
******Per visualizzare il ruolo di invoker dell'applicazione, scegli **Applicazioni dal riquadro di navigazione, quindi scegli Aggiorna autorizzazioni** dal menu Azioni nella pagina Applicazione.******
È possibile aggiungere o rimuovere le autorizzazioni da un ruolo di richiamo dell'applicazione in qualsiasi momento oppure configurare l'applicazione in modo che utilizzi un ruolo diverso per l'accesso alle risorse dell'applicazione.
**Argomenti**
+ [Creazione di un ruolo invoker nella console IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Gestione dei ruoli con l'API IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Definizione della politica di fiducia utilizzando il file JSON](#security-iam-resilience-define-policy)
## Creazione di un ruolo invoker nella console IAM
Per abilitare l'accesso AWS Resilience Hub a AWS servizi e risorse, devi creare un ruolo invoker nell'account principale utilizzando la console IAM. Per ulteriori informazioni sulla creazione di ruoli utilizzando la console IAM, consulta [Creating a role for an AWS service (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).
**Per creare un ruolo invoker nell'account primario utilizzando la console IAM**
1. Aprire la console IAM all'indirizzo `https://console.aws.amazon.com/iam/`.
1. Dal riquadro di navigazione, scegli **Ruoli**, quindi scegli **Crea** ruolo.
1. Seleziona **Criteri di fiducia personalizzati**, copia i seguenti criteri nella finestra **Criteri di fiducia personalizzati**, quindi scegli **Avanti**.
**Nota**
Se le tue risorse si trovano in account diversi, devi creare un ruolo in ciascuno di questi account e utilizzare la politica di fiducia degli account secondari per gli altri account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Nella sezione **Politiche di autorizzazione** della pagina **Aggiungi autorizzazioni**, inserisci `AWSResilienceHubAsssessmentExecutionPolicy` la sezione **Filtra le politiche per proprietà o nome della politica e premi invio**.
1. **Seleziona la politica e scegli Avanti.**
1. Nella sezione **Dettagli del ruolo**, inserisci un nome di ruolo univoco (ad esempio`AWSResilienceHubAssessmentRole`) nella casella **Nome ruolo**.
Questo campo accetta solo caratteri alfanumerici e «`+=,.@-_/`».
1. (Facoltativo) Inserisci una descrizione del ruolo nella casella **Descrizione**.
1. Selezionare **Crea ruolo**.
Per modificare i casi d'uso e le autorizzazioni, nel passaggio 6, scegli il pulsante **Modifica** che si trova a destra delle sezioni **Passaggio 1: Seleziona entità attendibili** o **Passaggio 2: Aggiungi autorizzazioni**.
Dopo aver creato il ruolo invoker e il ruolo di risorsa (se applicabile), puoi configurare l'applicazione per utilizzare questi ruoli.
**Nota**
È necessario disporre di un'`iam:passRole`autorizzazione nel proprio IAM corrente user/role per il ruolo invoker durante la creazione o l'aggiornamento dell'applicazione. Tuttavia, non è necessaria questa autorizzazione per eseguire una valutazione.
## Gestione dei ruoli con l'API IAM
La politica di fiducia di un ruolo fornisce al principale specificato il permesso di assumere il ruolo. Per creare i ruoli usando AWS Command Line Interface (AWS CLI), usa il `create-role` comando. Durante l'utilizzo di questo comando, è possibile specificare la politica di fiducia in linea. L'esempio seguente mostra come concedere al AWS Resilience Hub servizio l'autorizzazione principale per assumere il proprio ruolo.
**Nota**
Il requisito per evitare le virgolette (`' '`) nella stringa JSON può variare in base alla versione della shell.
**Esempio `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Definizione della politica di fiducia utilizzando il file JSON
È possibile definire la politica di fiducia per il ruolo utilizzando un file JSON separato e quindi eseguire il `create-role` comando. Nell'esempio seguente, **`trust-policy.json`**è un file che contiene la politica di fiducia nella directory corrente. Questa politica è associata a un ruolo mediante l'esecuzione del **`create-role`**comando. L'output del `create-role` comando è mostrato nell'**output di esempio**. Per aggiungere autorizzazioni al ruolo, usa il **attach-policy-to-role**comando e puoi iniziare aggiungendo la politica `AWSResilienceHubAsssessmentExecutionPolicy` gestita. Per ulteriori informazioni su questa politica gestita, consulta[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Esempio `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Esempio `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Esempio di output**
**Esempio `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# Ruoli in AWS account diversi per l'accesso su più account - opzionale
Se le risorse si trovano negli secondary/resource account, è necessario creare ruoli in ciascuno di questi account AWS Resilience Hub per consentire una corretta valutazione della candidatura. La procedura di creazione del ruolo è simile al processo di creazione del ruolo dell'invoker, ad eccezione della configurazione della politica di fiducia.
**Nota**
È necessario creare i ruoli negli account secondari in cui si trovano le risorse.
**Argomenti**
+ [Creazione di un ruolo nella console IAM per secondary/resource gli account](#security-iam-resilience-cross-create-roles-infra-account)
+ [Gestione dei ruoli con l'API IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Definizione della politica di fiducia utilizzando il file JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)
## Creazione di un ruolo nella console IAM per secondary/resource gli account
Per consentire l'accesso AWS Resilience Hub ai AWS servizi e alle risorse in altri AWS account, devi creare ruoli in ciascuno di questi account.
**Per creare un ruolo nella console IAM per secondary/resource gli account utilizzando la console IAM**
1. Aprire la console IAM all'indirizzo `https://console.aws.amazon.com/iam/`.
1. Dal pannello di navigazione, scegli **Ruoli**, quindi scegli **Crea ruolo**.
1. Seleziona **Criteri di fiducia personalizzati**, copia i seguenti criteri nella finestra **Criteri di fiducia personalizzati**, quindi scegli **Avanti**.
**Nota**
Se le tue risorse si trovano in account diversi, devi creare un ruolo in ciascuno di questi account e utilizzare la politica di fiducia degli account secondari per gli altri account.
1. Nella sezione **Politiche di autorizzazione** della pagina **Aggiungi autorizzazioni**, inserisci `AWSResilienceHubAsssessmentExecutionPolicy` la sezione **Filtra le politiche per proprietà o nome della politica e premi invio**.
1. **Seleziona la politica e scegli Avanti.**
1. Nella sezione **Dettagli del ruolo**, inserisci un nome di ruolo univoco (ad esempio`AWSResilienceHubAssessmentRole`) nella casella **Nome ruolo**.
1. (Facoltativo) Inserisci una descrizione del ruolo nella casella **Descrizione**.
1. Selezionare **Crea ruolo**.
Per modificare i casi d'uso e le autorizzazioni, nel passaggio 6, scegli il pulsante **Modifica** che si trova a destra delle sezioni **Passaggio 1: Seleziona entità attendibili** o **Passaggio 2: Aggiungi autorizzazioni**.
Inoltre, devi anche aggiungere l'`sts:assumeRole`autorizzazione al ruolo di invoker per consentirgli di assumere i ruoli nei tuoi account secondari.
Aggiungi la seguente politica al tuo ruolo di invoker per ciascuno dei ruoli secondari che hai creato:
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Gestione dei ruoli con l'API IAM
La politica di fiducia di un ruolo fornisce al principale specificato il permesso di assumere il ruolo. Per creare i ruoli usando AWS Command Line Interface (AWS CLI), usa il `create-role` comando. Quando utilizzi questo comando, puoi specificare la policy di attendibilità in linea. L'esempio seguente mostra come concedere al responsabile del AWS Resilience Hub servizio l'autorizzazione ad assumere il proprio ruolo.
**Nota**
Il requisito per evitare le virgolette (`' '`) nella stringa JSON può variare in base alla versione della shell.
**Esempio `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Puoi inoltre definire la policy di attendibilità per il ruolo utilizzando un file JSON separato. Nell'esempio seguente, `trust-policy.json` è un file che si trova nella directory attuale.
### Definizione della politica di fiducia utilizzando il file JSON
È possibile definire la politica di fiducia per il ruolo utilizzando un file JSON separato e quindi eseguire il `create-role` comando. Nell'esempio seguente, **`trust-policy.json`**è un file che contiene la politica di fiducia nella directory corrente. Questa politica è associata a un ruolo mediante l'esecuzione del **`create-role`**comando. L'output del `create-role` comando è mostrato nell'**output di esempio**. Per aggiungere autorizzazioni a un ruolo, usa il **attach-policy-to-role**comando e puoi iniziare aggiungendo la politica `AWSResilienceHubAsssessmentExecutionPolicy` gestita. Per ulteriori informazioni su questa politica gestita, consulta[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Esempio `trust-policy.json`**
**Esempio `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Esempio di output**
**Esempio `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.
# Utilizzo delle attuali autorizzazioni utente IAM
Utilizza questo metodo se desideri utilizzare le tue attuali autorizzazioni utente IAM per creare ed eseguire una valutazione. Puoi allegare la policy `AWSResilienceHubAsssessmentExecutionPolicy` gestita al tuo utente IAM o a un ruolo associato al tuo utente.
## Configurazione di un account singolo
L'utilizzo della policy gestita sopra menzionata è sufficiente per eseguire una valutazione su un'applicazione gestita nello stesso account dell'utente IAM.
## Configurazione della valutazione pianificata
È necessario creare un nuovo ruolo `AwsResilienceHubPeriodicAssessmentRole` per consentire l'esecuzione AWS Resilience Hub di attività relative alla valutazione pianificata.
**Nota**
Durante l'utilizzo dell'accesso basato sui ruoli (con il ruolo di invoker menzionato sopra) questo passaggio non è richiesto.
Il nome del ruolo deve essere. `AwsResilienceHubPeriodicAssessmentRole`
**Per consentire AWS Resilience Hub l'esecuzione di attività pianificate relative alla valutazione**
1. Collegare la policy gestita `AWSResilienceHubAsssessmentExecutionPolicy` al ruolo.
1. Aggiungi la seguente politica, `primary_account_id` dov'è l' AWS account in cui è definita l'applicazione e dove verrà eseguita la valutazione. Inoltre, è necessario aggiungere la politica di attendibilità associata per il ruolo della valutazione pianificata, (`AwsResilienceHubPeriodicAssessmentRole`), che concede le autorizzazioni affinché il AWS Resilience Hub servizio assuma il ruolo della valutazione pianificata.
**Politica di fiducia per il ruolo della valutazione pianificata () `AwsResilienceHubPeriodicAssessmentRole`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Configurazione tra più account
Le seguenti policy di autorizzazione IAM sono necessarie se utilizzi AWS Resilience Hub con più account. Ogni AWS account potrebbe richiedere autorizzazioni diverse a seconda del caso d'uso. Durante la configurazione AWS Resilience Hub per l'accesso tra account diversi, vengono presi in considerazione i seguenti account e ruoli:
+ **Account principale**: AWS account in cui si desidera creare l'applicazione ed eseguire le valutazioni.
+ **Account secondario/di risorse**: AWS account in cui si trovano le risorse.
**Nota**
Durante l'utilizzo dell'accesso basato sui ruoli (con il ruolo di invoker menzionato sopra) questo passaggio non è richiesto.
Per ulteriori informazioni sulla configurazione delle autorizzazioni per accedere ad Amazon Elastic Kubernetes Service, consulta. [Abilitazione AWS Resilience Hub dell'accesso al tuo cluster Amazon Elastic Kubernetes Service](enabling-eks-in-arh.md)
### Configurazione dell'account principale
È necessario creare un nuovo ruolo `AwsResilienceHubAdminAccountRole` nell'account principale e abilitare AWS Resilience Hub l'accesso per assumerlo. Questo ruolo verrà utilizzato per accedere a un altro ruolo nel tuo AWS account che contiene le tue risorse. Non dovrebbe avere le autorizzazioni per leggere le risorse.
**Nota**
Il nome del ruolo deve essere`AwsResilienceHubAdminAccountRole`.
Deve essere creato nell'account principale.
Il tuo IAM attuale user/role deve avere l'`iam:assumeRole`autorizzazione per assumere questo ruolo.
`secondary_account_id_1/2/...`Sostituiscilo con gli identificatori di account secondari pertinenti.
La seguente politica fornisce le autorizzazioni di esecutore al tuo ruolo per accedere alle risorse in un altro ruolo del tuo account: AWS
La politica di fiducia per il ruolo di amministratore (`AwsResilienceHubAdminAccountRole`) è la seguente:
### Configurazione degli account secondari/di risorsa
In ciascuno dei tuoi account secondari, devi crearne uno nuovo `AwsResilienceHubExecutorAccountRole` e abilitare il ruolo di amministratore creato sopra per assumere questo ruolo. Poiché questo ruolo verrà utilizzato AWS Resilience Hub per analizzare e valutare le risorse dell'applicazione, richiederà anche le autorizzazioni appropriate.
Tuttavia, è necessario allegare la politica `AWSResilienceHubAsssessmentExecutionPolicy` gestita al ruolo e la politica del ruolo di esecutore.
La politica di attendibilità del ruolo dell'esecutore è la seguente: