翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 呼び出しロール
<a name="security-iam-resilience-hub-invoker-role"></a>

 AWS Resilience Hub 呼び出しロールは、 が AWS サービスとリソースにアクセスするために引き受ける AWS Identity and Access Management AWS Resilience Hub (IAM) ロールです。例えば、CFN テンプレートとそれによって作成されるリソースにアクセス許可を持つ呼び出しロールを作成することができます。このページでは、アプリケーション呼び出しロールを作成、表示、および管理する方法について説明します。

アプリケーションを作成するときは、呼び出しロールを指定します。 AWS Resilience Hub は、リソースをインポートしたり評価を開始したりするときに、このロールを引き受けてリソースにアクセスします。が呼び出しロールを適切に引き受け AWS Resilience Hub るには、ロールの信頼ポリシーで AWS Resilience Hub サービスプリンシパル (**resiliencehub.amazonaws.com**) を信頼されたサービスとして指定する必要があります。

アプリケーションの呼び出しロールを表示するには、ナビゲーションペインから **[アプリケーション]** を選択し、**[アプリケーション]** ページの **[アクション]** メニューから **[権限の更新]** を選択します。

権限は、アプリケーション呼び出しロールからいつでも追加または削除できます。別のロールを使用してアプリケーションリソースにアクセスすることもできます。

**トピック**
+ [IAM コンソールで呼び出しロールを作成する](#security-iam-resilience-hub-create-invoker-role)
+ [IAM API によるロールの管理](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [JSON ファイルを使用した信頼ポリシーの定義](#security-iam-resilience-define-policy)

## IAM コンソールで呼び出しロールを作成する
<a name="security-iam-resilience-hub-create-invoker-role"></a>

 AWS Resilience Hub が AWS サービスとリソースにアクセスできるようにするには、IAM コンソールを使用してプライマリアカウントに呼び出しロールを作成する必要があります。IAM コンソールを使用したロールの作成の詳細については、[「 AWS サービスのロールの作成 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)」を参照してください。

**IAM コンソールを使用してプライマリアカウントに呼び出しロールを作成するには**

1. IAM コンソール (`https://console.aws.amazon.com/iam/`) を開きます。

1. ナビゲーションペインから **[ロール]** を選択し、**[ロールの作成]** を選択します。

1. **[カスタム信頼ポリシー]** を選択し、**[カスタム信頼ポリシー]** ウィンドウに次のポリシーをコピーして、**[次へ]** を選択します。
**注記**  
リソースが異なるアカウントにある場合は、それらのアカウントごとにロールを作成し、他のアカウントにはセカンダリアカウントの信頼ポリシーを使用する必要があります。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "resiliencehub.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. **[権限の追加]** ページの **[権限ポリシー]** セクションで、**[プロパティまたはポリシー名でポリシーを絞り込み、エンターキーを押す]** ボックスに `AWSResilienceHubAsssessmentExecutionPolicy` を入力します。

1. ポリシーを選択し、**[次へ]** を選択します。

1. **[ロールの詳細]** セクションの **[ロール名]** ボックスに、一意のロール名 (`AWSResilienceHubAssessmentRole` など) を入力します。

   このフィールドには英数字と '`+=,.@-_/`' 文字のみを入力できます。

1. (オプション) **[説明]** ボックスにリポジトリの説明を入力します。

1. **[ロールの作成]** を選択します。

   ユースケースと権限を編集するには、ステップ 6 で、**[ステップ 1: 信頼済みエンティティの選択]** セクションまたは **[ステップ 2: 権限の追加]** セクションの右側にある **[編集]** ボタンを選択します。

呼び出しロールとリソースロール (該当する場合) を作成したら、これらのロールを使用するようにアプリケーションを設定できます。

**注記**  
アプリケーションを作成または更新するときは、現在の IAM ユーザー/ロールに呼び出しロールに対する `iam:passRole` 権限が必要です。ただし、評価を実行するのにこの権限は必要ありません。

## IAM API によるロールの管理
<a name="security-iam-resilience-hub-manage-roles-with-IAM-API"></a>

ロールの信頼ポリシーでは、指定したプリンシパルに、ロールを引き受けるための許可を付与します。 AWS Command Line Interface (AWS CLI) を使用してロールを作成するには、 `create-role` コマンドを使用します。このコマンドを使用するときに、信頼ポリシーインラインを指定することもできます。次の例は、ロールを引き受けるプリンシパルアクセス許可を AWS Resilience Hub サービスに付与する方法を示しています。

**注記**  
JSON 文字列で引用符 (`' '`) をエスケープするための要件は、シェルのバージョンに応じて異なる場合があります。

**サンプル `create-role`**

```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
  "Version": "2012-10-17",		 	 	 "Statement": 
  [
    { 
      "Effect": "Allow",
      "Principal": {"Service": "resiliencehub.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}'
```

## JSON ファイルを使用した信頼ポリシーの定義
<a name="security-iam-resilience-define-policy"></a>

個別の JSON ファイルを使用してロールの信頼ポリシーを定義し、`create-role` コマンドを実行できます。次の例では、**`trust-policy.json`** は現在のディレクトリにある信頼ポリシーを含むファイルです。このポリシーは、**`create-role`** コマンドを実行することでロールにアタッチされます。`create-role`コマンドの出力は**サンプル出力**に示されています。ロールに権限を追加するには、**attach-policy-to-role** コマンドを使用します。まず、`AWSResilienceHubAsssessmentExecutionPolicy` 管理ポリシーを追加します。このマネージドポリシーの情報については、「[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy)」を参照してください。

** サンプル`trust-policy.json`**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "resiliencehub.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}
```

------

** サンプル`create-role`**

`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`

**サンプル出力**

** サンプル`attach-policy-to-role`**

`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`