翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 現在の IAM ユーザーア権限を使用する
<a name="security-iam-resilience-hub-current-user-permissions"></a>

現在の IAM ユーザー権限を使用して評価を作成および実行する場合は、この方法を使用してください。IAM ユーザーまたはユーザーに関連付けられるロールに、`AWSResilienceHubAsssessmentExecutionPolicy` 管理ポリシーをアタッチできます。

## 単一アカウントの設定
<a name="w2aac21c23c41c19b5"></a>

IAM ユーザーと同じアカウントで管理されているアプリケーションで評価を実行するには、上記の管理ポリシーを使用するだけで十分です。

## スケジュールされた評価の設定
<a name="w2aac21c23c41c19b7"></a>

 AWS Resilience Hub がスケジュールされた評価の関連タスクを実行できるようにするには、新しいロール `AwsResilienceHubPeriodicAssessmentRole` を作成する必要があります。

**注記**  
ロールベースのアクセス (前述の呼び出しロールを使用) を使用する場合、このステップは不要です。
ロールタイプは、`AwsResilienceHubPeriodicAssessmentRole` である必要があります。

**AWS Resilience Hub がスケジュールされた評価関連タスクを実行できるようにするには**

1. `AWSResilienceHubAsssessmentExecutionPolicy` 管理ポリシーをロールにアタッチします。

1. 次のポリシーを追加します。ここで、 はアプリケーションが定義されている`primary_account_id` AWS アカウントであり、評価を実行します。さらに、スケジュールされた評価のロールに関連付けられた信頼ポリシー (`AwsResilienceHubPeriodicAssessmentRole`) を追加する必要があります。これにより、 AWS Resilience Hub サービスがスケジュールされた評価のロールを引き受けるアクセス許可が付与されます。

   **スケジュールされたのロールに関する信頼ポリシー (`AwsResilienceHubPeriodicAssessmentRole`)**

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "resiliencehub.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

## クロスアカウントの設定
<a name="w2aac21c23c41c19b9"></a>

複数のアカウントで AWS Resilience Hub を使用している場合は、次の IAM 権限ポリシーが必要です。アカウントごとに、ユースケースに応じて異なるアクセス許可が必要になる AWS 場合があります。クロスアカウントアクセス用に AWS Resilience Hub を設定する際、以下のアカウントとロールが考慮されます。
+ **プライマリアカウント** — AWS アプリケーションを作成して評価を実行するアカウント。
+ **セカンダリ/リソースアカウント (複数可)** – リソースが配置されている AWS アカウント (複数可）。

**注記**  
ロールベースのアクセス (前述の呼び出しロールを使用) を使用する場合、このステップは不要です。
Amazon Elastic Kubernetes Service にアクセスするためのアクセス権限の設定の詳細については、[Amazon Elastic Kubernetes Service クラスター AWS Resilience Hub へのアクセスの有効化](enabling-eks-in-arh.md)を参照してください。

### プライマリアカウントの設定
<a name="w2aac21c23c41c19b9b9"></a>

`AwsResilienceHubAdminAccountRole` プライマリアカウントに新しいロールを作成し、それを引き受けるための AWS Resilience Hub アクセスを有効にする必要があります。このロールは、 リソースを含む AWS アカウントの別のロールにアクセスするために使用されます。リソースを読み取る権限があってはなりません。

**注記**  
ロールタイプは、`AwsResilienceHubAdminAccountRole` である必要があります。
プライマリアカウントで作成する必要があります。
現在の IAM ユーザー/ロールには、このロールを引き受ける`iam:assumeRole`権限が必要です。
`secondary_account_id_1/2/...` を関連するセカンダリアカウント識別子に置き換えます。

次のポリシーは、 AWS アカウントの別のロールのリソースにアクセスするためのエグゼキュターアクセス許可をロールに提供します。

管理者ロール (`AwsResilienceHubAdminAccountRole`) の信頼ポリシーは次のとおりです。

### セカンダリ/リソースアカウントの設定
<a name="w2aac21c23c41c19b9c11"></a>

このロールを引き受けるには、各セカンダリアカウントで `AwsResilienceHubExecutorAccountRole` を新規作成し、上記で作成した管理者ロールを有効にする必要があります。このロールは によってアプリケーションリソースのスキャンと評価 AWS Resilience Hub に使用されるため、適切なアクセス許可も必要です。

ただし、`AWSResilienceHubAsssessmentExecutionPolicy` 管理ポリシーをロールにアタッチし、執行者ロールポリシーをアタッチする必要があります。

執行者ロールの信頼ポリシーは次のとおりです。