Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo del ruolo IAM
AWS Resilience Hub utilizzerà un ruolo IAM esistente predefinito per accedere alle risorse nell'account o secondary/resources nell'account principale. Questa è l'opzione di autorizzazione consigliata per accedere alle tue risorse.
**Argomenti**
+ [Ruolo invoker](security-iam-resilience-hub-invoker-role.md)
+ [Ruoli in AWS account diversi per l'accesso su più account - opzionale](security-iam-resilience-cross-account-roles.md)
# Ruolo invoker
Il ruolo AWS Resilience Hub invoker è un ruolo AWS Identity and Access Management (IAM) che AWS Resilience Hub presuppone l'accesso a servizi e risorse. AWS Ad esempio, potresti creare un ruolo invoker con il permesso di accedere al tuo modello CFN e alla risorsa che crea. Questa pagina fornisce informazioni su come creare, visualizzare e gestire un ruolo Application Invoker.
Quando si crea un'applicazione, si fornisce un ruolo di invoker. AWS Resilience Hub assume questo ruolo per accedere alle risorse quando si importano risorse o si avvia una valutazione. AWS Resilience Hub Per assumere correttamente il ruolo di invoker, la politica di fiducia del ruolo deve specificare il AWS Resilience Hub service principal (**resiliencehub.amazonaws.com**) come servizio affidabile.
******Per visualizzare il ruolo di invoker dell'applicazione, scegli **Applicazioni dal riquadro di navigazione, quindi scegli Aggiorna autorizzazioni** dal menu Azioni nella pagina Applicazione.******
È possibile aggiungere o rimuovere le autorizzazioni da un ruolo di richiamo dell'applicazione in qualsiasi momento oppure configurare l'applicazione in modo che utilizzi un ruolo diverso per l'accesso alle risorse dell'applicazione.
**Argomenti**
+ [Creazione di un ruolo invoker nella console IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Gestione dei ruoli con l'API IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Definizione della politica di fiducia utilizzando il file JSON](#security-iam-resilience-define-policy)
## Creazione di un ruolo invoker nella console IAM
Per abilitare l'accesso AWS Resilience Hub a AWS servizi e risorse, devi creare un ruolo invoker nell'account principale utilizzando la console IAM. Per ulteriori informazioni sulla creazione di ruoli utilizzando la console IAM, consulta [Creating a role for an AWS service (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).
**Per creare un ruolo invoker nell'account primario utilizzando la console IAM**
1. Aprire la console IAM all'indirizzo `https://console.aws.amazon.com/iam/`.
1. Dal riquadro di navigazione, scegli **Ruoli**, quindi scegli **Crea** ruolo.
1. Seleziona **Criteri di fiducia personalizzati**, copia i seguenti criteri nella finestra **Criteri di fiducia personalizzati**, quindi scegli **Avanti**.
**Nota**
Se le tue risorse si trovano in account diversi, devi creare un ruolo in ciascuno di questi account e utilizzare la politica di fiducia degli account secondari per gli altri account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Nella sezione **Politiche di autorizzazione** della pagina **Aggiungi autorizzazioni**, inserisci `AWSResilienceHubAsssessmentExecutionPolicy` la sezione **Filtra le politiche per proprietà o nome della politica e premi invio**.
1. **Seleziona la politica e scegli Avanti.**
1. Nella sezione **Dettagli del ruolo**, inserisci un nome di ruolo univoco (ad esempio`AWSResilienceHubAssessmentRole`) nella casella **Nome ruolo**.
Questo campo accetta solo caratteri alfanumerici e «`+=,.@-_/`».
1. (Facoltativo) Inserisci una descrizione del ruolo nella casella **Descrizione**.
1. Selezionare **Crea ruolo**.
Per modificare i casi d'uso e le autorizzazioni, nel passaggio 6, scegli il pulsante **Modifica** che si trova a destra delle sezioni **Passaggio 1: Seleziona entità attendibili** o **Passaggio 2: Aggiungi autorizzazioni**.
Dopo aver creato il ruolo invoker e il ruolo di risorsa (se applicabile), puoi configurare l'applicazione per utilizzare questi ruoli.
**Nota**
È necessario disporre di un'`iam:passRole`autorizzazione nel proprio IAM corrente user/role per il ruolo invoker durante la creazione o l'aggiornamento dell'applicazione. Tuttavia, non è necessaria questa autorizzazione per eseguire una valutazione.
## Gestione dei ruoli con l'API IAM
La politica di fiducia di un ruolo fornisce al principale specificato il permesso di assumere il ruolo. Per creare i ruoli usando AWS Command Line Interface (AWS CLI), usa il `create-role` comando. Durante l'utilizzo di questo comando, è possibile specificare la politica di fiducia in linea. L'esempio seguente mostra come concedere al AWS Resilience Hub servizio l'autorizzazione principale per assumere il proprio ruolo.
**Nota**
Il requisito per evitare le virgolette (`' '`) nella stringa JSON può variare in base alla versione della shell.
**Esempio `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Definizione della politica di fiducia utilizzando il file JSON
È possibile definire la politica di fiducia per il ruolo utilizzando un file JSON separato e quindi eseguire il `create-role` comando. Nell'esempio seguente, **`trust-policy.json`**è un file che contiene la politica di fiducia nella directory corrente. Questa politica è associata a un ruolo mediante l'esecuzione del **`create-role`**comando. L'output del `create-role` comando è mostrato nell'**output di esempio**. Per aggiungere autorizzazioni al ruolo, usa il **attach-policy-to-role**comando e puoi iniziare aggiungendo la politica `AWSResilienceHubAsssessmentExecutionPolicy` gestita. Per ulteriori informazioni su questa politica gestita, consulta[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Esempio `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Esempio `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Esempio di output**
**Esempio `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# Ruoli in AWS account diversi per l'accesso su più account - opzionale
Se le risorse si trovano negli secondary/resource account, è necessario creare ruoli in ciascuno di questi account AWS Resilience Hub per consentire una corretta valutazione della candidatura. La procedura di creazione del ruolo è simile al processo di creazione del ruolo dell'invoker, ad eccezione della configurazione della politica di fiducia.
**Nota**
È necessario creare i ruoli negli account secondari in cui si trovano le risorse.
**Argomenti**
+ [Creazione di un ruolo nella console IAM per secondary/resource gli account](#security-iam-resilience-cross-create-roles-infra-account)
+ [Gestione dei ruoli con l'API IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Definizione della politica di fiducia utilizzando il file JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)
## Creazione di un ruolo nella console IAM per secondary/resource gli account
Per consentire l'accesso AWS Resilience Hub ai AWS servizi e alle risorse in altri AWS account, devi creare ruoli in ciascuno di questi account.
**Per creare un ruolo nella console IAM per secondary/resource gli account utilizzando la console IAM**
1. Aprire la console IAM all'indirizzo `https://console.aws.amazon.com/iam/`.
1. Dal pannello di navigazione, scegli **Ruoli**, quindi scegli **Crea ruolo**.
1. Seleziona **Criteri di fiducia personalizzati**, copia i seguenti criteri nella finestra **Criteri di fiducia personalizzati**, quindi scegli **Avanti**.
**Nota**
Se le tue risorse si trovano in account diversi, devi creare un ruolo in ciascuno di questi account e utilizzare la politica di fiducia degli account secondari per gli altri account.
1. Nella sezione **Politiche di autorizzazione** della pagina **Aggiungi autorizzazioni**, inserisci `AWSResilienceHubAsssessmentExecutionPolicy` la sezione **Filtra le politiche per proprietà o nome della politica e premi invio**.
1. **Seleziona la politica e scegli Avanti.**
1. Nella sezione **Dettagli del ruolo**, inserisci un nome di ruolo univoco (ad esempio`AWSResilienceHubAssessmentRole`) nella casella **Nome ruolo**.
1. (Facoltativo) Inserisci una descrizione del ruolo nella casella **Descrizione**.
1. Selezionare **Crea ruolo**.
Per modificare i casi d'uso e le autorizzazioni, nel passaggio 6, scegli il pulsante **Modifica** che si trova a destra delle sezioni **Passaggio 1: Seleziona entità attendibili** o **Passaggio 2: Aggiungi autorizzazioni**.
Inoltre, devi anche aggiungere l'`sts:assumeRole`autorizzazione al ruolo di invoker per consentirgli di assumere i ruoli nei tuoi account secondari.
Aggiungi la seguente politica al tuo ruolo di invoker per ciascuno dei ruoli secondari che hai creato:
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Gestione dei ruoli con l'API IAM
La politica di fiducia di un ruolo fornisce al principale specificato il permesso di assumere il ruolo. Per creare i ruoli usando AWS Command Line Interface (AWS CLI), usa il `create-role` comando. Quando utilizzi questo comando, puoi specificare la policy di attendibilità in linea. L'esempio seguente mostra come concedere al responsabile del AWS Resilience Hub servizio l'autorizzazione ad assumere il proprio ruolo.
**Nota**
Il requisito per evitare le virgolette (`' '`) nella stringa JSON può variare in base alla versione della shell.
**Esempio `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Puoi inoltre definire la policy di attendibilità per il ruolo utilizzando un file JSON separato. Nell'esempio seguente, `trust-policy.json` è un file che si trova nella directory attuale.
### Definizione della politica di fiducia utilizzando il file JSON
È possibile definire la politica di fiducia per il ruolo utilizzando un file JSON separato e quindi eseguire il `create-role` comando. Nell'esempio seguente, **`trust-policy.json`**è un file che contiene la politica di fiducia nella directory corrente. Questa politica è associata a un ruolo mediante l'esecuzione del **`create-role`**comando. L'output del `create-role` comando è mostrato nell'**output di esempio**. Per aggiungere autorizzazioni a un ruolo, usa il **attach-policy-to-role**comando e puoi iniziare aggiungendo la politica `AWSResilienceHubAsssessmentExecutionPolicy` gestita. Per ulteriori informazioni su questa politica gestita, consulta[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Esempio `trust-policy.json`**
**Esempio `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Esempio di output**
**Esempio `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.