翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Resilience Hub アクセス許可リファレンス
AWS Identity and Access Management (IAM) を使用してアプリケーションリソースへのアクセスを管理し、ユーザー、グループ、またはロールに適用される IAM ポリシーを作成できます。
すべての AWS Resilience Hub アプリケーションは、 [呼び出しロール](security-iam-resilience-hub-invoker-role.md) (IAM ロール) を使用するか、現在の IAM ユーザーのアクセス許可 (クロスアカウントおよびスケジュールされた評価用の事前定義されたロールのセット) を使用するように設定できます。このロールでは、 が他のリソースまたはアプリケーション AWS リソースにアクセス AWS Resilience Hub するために必要なアクセス許可を定義するポリシーをアタッチできます。呼び出しロールには、 AWS Resilience Hub サービスプリンシパルに追加された信頼ポリシーが必要です。
アプリケーションの権限を管理するには、[AWS の 管理ポリシー AWS Resilience Hub](security-iam-awsmanpol.md)を使用することをお勧めします。これらの管理ポリシーは、何も変更せずに使用することができます。また、これらを基にして独自の制限ポリシーを作成することもできます。ポリシーでは、任意の追加条件を使用して、さまざまなアクションに対するユーザーのアクセス許可をリソースレベルで制限できます。
アプリケーションリソースが異なるアカウント (セカンダリアカウントとリソースアカウント) にある場合は、アプリケーションリソースを含む各アカウントに新しいロールを設定する必要があります。
**注記**
ワークロードリソースの VPC エンドポイントを定義する場合は、VPC エンドポイントポリシーがリソースにアクセス AWS Resilience Hub するための読み取り専用アクセスを に提供していることを確認します。詳細については、「[エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。
**トピック**
+ [IAM ロールを使用する](security-iam-resilience-hub-using-iam-role.md)
+ [現在の IAM ユーザーア権限を使用する](security-iam-resilience-hub-current-user-permissions.md)
# IAM ロールを使用する
AWS Resilience Hub は、事前定義された既存の IAM ロールを使用して、プライマリアカウントまたはセカンダリ/リソースアカウントのリソースにアクセスします。これはリソースにアクセスするための推奨権限オプションです。
**トピック**
+ [呼び出しロール](security-iam-resilience-hub-invoker-role.md)
+ [クロス AWS アカウントアクセス用の異なるアカウントのロール - オプション](security-iam-resilience-cross-account-roles.md)
# 呼び出しロール
AWS Resilience Hub 呼び出しロールは、 が AWS サービスとリソースにアクセスするために引き受ける AWS Identity and Access Management AWS Resilience Hub (IAM) ロールです。例えば、CFN テンプレートとそれによって作成されるリソースにアクセス許可を持つ呼び出しロールを作成することができます。このページでは、アプリケーション呼び出しロールを作成、表示、および管理する方法について説明します。
アプリケーションを作成するときは、呼び出しロールを指定します。 AWS Resilience Hub は、リソースをインポートしたり評価を開始したりするときに、このロールを引き受けてリソースにアクセスします。が呼び出しロールを適切に引き受け AWS Resilience Hub るには、ロールの信頼ポリシーで AWS Resilience Hub サービスプリンシパル (**resiliencehub.amazonaws.com**) を信頼されたサービスとして指定する必要があります。
アプリケーションの呼び出しロールを表示するには、ナビゲーションペインから **[アプリケーション]** を選択し、**[アプリケーション]** ページの **[アクション]** メニューから **[権限の更新]** を選択します。
権限は、アプリケーション呼び出しロールからいつでも追加または削除できます。別のロールを使用してアプリケーションリソースにアクセスすることもできます。
**トピック**
+ [IAM コンソールで呼び出しロールを作成する](#security-iam-resilience-hub-create-invoker-role)
+ [IAM API によるロールの管理](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [JSON ファイルを使用した信頼ポリシーの定義](#security-iam-resilience-define-policy)
## IAM コンソールで呼び出しロールを作成する
AWS Resilience Hub が AWS サービスとリソースにアクセスできるようにするには、IAM コンソールを使用してプライマリアカウントに呼び出しロールを作成する必要があります。IAM コンソールを使用したロールの作成の詳細については、[「 AWS サービスのロールの作成 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)」を参照してください。
**IAM コンソールを使用してプライマリアカウントに呼び出しロールを作成するには**
1. IAM コンソール (`https://console.aws.amazon.com/iam/`) を開きます。
1. ナビゲーションペインから **[ロール]** を選択し、**[ロールの作成]** を選択します。
1. **[カスタム信頼ポリシー]** を選択し、**[カスタム信頼ポリシー]** ウィンドウに次のポリシーをコピーして、**[次へ]** を選択します。
**注記**
リソースが異なるアカウントにある場合は、それらのアカウントごとにロールを作成し、他のアカウントにはセカンダリアカウントの信頼ポリシーを使用する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. **[権限の追加]** ページの **[権限ポリシー]** セクションで、**[プロパティまたはポリシー名でポリシーを絞り込み、エンターキーを押す]** ボックスに `AWSResilienceHubAsssessmentExecutionPolicy` を入力します。
1. ポリシーを選択し、**[次へ]** を選択します。
1. **[ロールの詳細]** セクションの **[ロール名]** ボックスに、一意のロール名 (`AWSResilienceHubAssessmentRole` など) を入力します。
このフィールドには英数字と '`+=,.@-_/`' 文字のみを入力できます。
1. (オプション) **[説明]** ボックスにリポジトリの説明を入力します。
1. **[ロールの作成]** を選択します。
ユースケースと権限を編集するには、ステップ 6 で、**[ステップ 1: 信頼済みエンティティの選択]** セクションまたは **[ステップ 2: 権限の追加]** セクションの右側にある **[編集]** ボタンを選択します。
呼び出しロールとリソースロール (該当する場合) を作成したら、これらのロールを使用するようにアプリケーションを設定できます。
**注記**
アプリケーションを作成または更新するときは、現在の IAM ユーザー/ロールに呼び出しロールに対する `iam:passRole` 権限が必要です。ただし、評価を実行するのにこの権限は必要ありません。
## IAM API によるロールの管理
ロールの信頼ポリシーでは、指定したプリンシパルに、ロールを引き受けるための許可を付与します。 AWS Command Line Interface (AWS CLI) を使用してロールを作成するには、 `create-role` コマンドを使用します。このコマンドを使用するときに、信頼ポリシーインラインを指定することもできます。次の例は、ロールを引き受けるプリンシパルアクセス許可を AWS Resilience Hub サービスに付与する方法を示しています。
**注記**
JSON 文字列で引用符 (`' '`) をエスケープするための要件は、シェルのバージョンに応じて異なる場合があります。
**サンプル `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## JSON ファイルを使用した信頼ポリシーの定義
個別の JSON ファイルを使用してロールの信頼ポリシーを定義し、`create-role` コマンドを実行できます。次の例では、**`trust-policy.json`** は現在のディレクトリにある信頼ポリシーを含むファイルです。このポリシーは、**`create-role`** コマンドを実行することでロールにアタッチされます。`create-role`コマンドの出力は**サンプル出力**に示されています。ロールに権限を追加するには、**attach-policy-to-role** コマンドを使用します。まず、`AWSResilienceHubAsssessmentExecutionPolicy` 管理ポリシーを追加します。このマネージドポリシーの情報については、「[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy)」を参照してください。
** サンプル`trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
** サンプル`create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**サンプル出力**
** サンプル`attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# クロス AWS アカウントアクセス用の異なるアカウントのロール - オプション
リソースがセカンダリ/リソースアカウントにある場合、 AWS Resilience Hub がアプリケーションを正常に評価できるように、これらの各アカウントにロールを作成する必要があります。ロールの作成手順は、信頼ポリシーの設定を除いて、呼び出しロールの作成プロセスと似ています。
**注記**
リソースが存在するセカンダリアカウントでロールを作成する必要があります。
**トピック**
+ [IAM コンソールでのセカンダリ/リソースアカウントのロールの作成](#security-iam-resilience-cross-create-roles-infra-account)
+ [IAM API によるロールの管理](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [JSON ファイルを使用した信頼ポリシーの定義](#security-iam-resilience-cross-define-trust-policy-infra-account)
## IAM コンソールでのセカンダリ/リソースアカウントのロールの作成
AWS Resilience Hub が他の AWS アカウントの AWS サービスとリソースにアクセスできるようにするには、これらのアカウントごとにロールを作成する必要があります。
**IAM コンソールを使用してセカンダリ/リソースアカウントのロールを IAM コンソールに作成するには**
1. IAM コンソール (`https://console.aws.amazon.com/iam/`) を開きます。
1. ナビゲーションペインから **[ロール]** を選択し、**[ロールの作成]** を選択します。
1. **[カスタム信頼ポリシー]** を選択し、**[カスタム信頼ポリシー]** ウィンドウに次のポリシーをコピーして、**[次へ]** を選択します。
**注記**
リソースが異なるアカウントにある場合は、それらのアカウントごとにロールを作成し、他のアカウントにはセカンダリアカウントの信頼ポリシーを使用する必要があります。
1. **[権限の追加]** ページの **[権限ポリシー]** セクションで、**[プロパティまたはポリシー名でポリシーを絞り込み、エンターキーを押す]** ボックスに `AWSResilienceHubAsssessmentExecutionPolicy` を入力します。
1. ポリシーを選択し、**[次へ]** を選択します。
1. **[ロールの詳細]** セクションの **[ロール名]** ボックスに、一意のロール名 (`AWSResilienceHubAssessmentRole` など) を入力します。
1. (オプション) **[説明]** ボックスにリポジトリの説明を入力します。
1. **[ロールの作成]** を選択します。
ユースケースと権限を編集するには、ステップ 6 で、**[ステップ 1: 信頼済みエンティティの選択]** セクションまたは **[ステップ 2: 権限の追加]** セクションの右側にある **[編集]** ボタンを選択します。
さらに、呼び出しロールに `sts:assumeRole` 権限を追加して、セカンダリアカウントでそのロールを引き受けられるようにする必要もあります。
作成した各セカンダリロールの呼び出しロールに次のポリシーを追加します。
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### IAM API によるロールの管理
ロールの信頼ポリシーでは、指定したプリンシパルに、ロールを引き受けるための許可を付与します。 AWS Command Line Interface (AWS CLI) を使用してロールを作成するには、 `create-role` コマンドを使用します。このコマンドを使用するときに、信頼ポリシーインラインを指定することもできます。次の例は、ロールを引き受けるアクセス許可を AWS Resilience Hub サービスプリンシパルに付与する方法を示しています。
**注記**
JSON 文字列で引用符 (`' '`) をエスケープするための要件は、シェルのバージョンに応じて異なる場合があります。
** サンプル`create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
また、個別の JSON ファイルを使用してロールの信頼ポリシーを定義することもできます。次の例では、`trust-policy.json` は現在のディレクトリにあるファイルです。
### JSON ファイルを使用した信頼ポリシーの定義
個別の JSON ファイルを使用してロールの信頼ポリシーを定義し、`create-role` コマンドを実行できます。次の例では、**`trust-policy.json`** は現在のディレクトリにある信頼ポリシーを含むファイルです。このポリシーは、**`create-role`** コマンドを実行することでロールにアタッチされます。`create-role` コマンドの出力は**サンプル出力**に示されています。ロールにアクセス許可を追加するには、**attach-policy-to-role** コマンドを使用します。まず、`AWSResilienceHubAsssessmentExecutionPolicy` 管理ポリシーを追加します。このマネージドポリシーの情報については、「[AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy)」を参照してください。
** サンプル`trust-policy.json`**
** サンプル`create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**サンプル出力**
** サンプル`attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.
# 現在の IAM ユーザーア権限を使用する
現在の IAM ユーザー権限を使用して評価を作成および実行する場合は、この方法を使用してください。IAM ユーザーまたはユーザーに関連付けられるロールに、`AWSResilienceHubAsssessmentExecutionPolicy` 管理ポリシーをアタッチできます。
## 単一アカウントの設定
IAM ユーザーと同じアカウントで管理されているアプリケーションで評価を実行するには、上記の管理ポリシーを使用するだけで十分です。
## スケジュールされた評価の設定
AWS Resilience Hub がスケジュールされた評価の関連タスクを実行できるようにするには、新しいロール `AwsResilienceHubPeriodicAssessmentRole` を作成する必要があります。
**注記**
ロールベースのアクセス (前述の呼び出しロールを使用) を使用する場合、このステップは不要です。
ロールタイプは、`AwsResilienceHubPeriodicAssessmentRole` である必要があります。
**AWS Resilience Hub がスケジュールされた評価関連タスクを実行できるようにするには**
1. `AWSResilienceHubAsssessmentExecutionPolicy` 管理ポリシーをロールにアタッチします。
1. 次のポリシーを追加します。ここで、 はアプリケーションが定義されている`primary_account_id` AWS アカウントであり、評価を実行します。さらに、スケジュールされた評価のロールに関連付けられた信頼ポリシー (`AwsResilienceHubPeriodicAssessmentRole`) を追加する必要があります。これにより、 AWS Resilience Hub サービスがスケジュールされた評価のロールを引き受けるアクセス許可が付与されます。
**スケジュールされたのロールに関する信頼ポリシー (`AwsResilienceHubPeriodicAssessmentRole`)**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## クロスアカウントの設定
複数のアカウントで AWS Resilience Hub を使用している場合は、次の IAM 権限ポリシーが必要です。アカウントごとに、ユースケースに応じて異なるアクセス許可が必要になる AWS 場合があります。クロスアカウントアクセス用に AWS Resilience Hub を設定する際、以下のアカウントとロールが考慮されます。
+ **プライマリアカウント** — AWS アプリケーションを作成して評価を実行するアカウント。
+ **セカンダリ/リソースアカウント (複数可)** – リソースが配置されている AWS アカウント (複数可)。
**注記**
ロールベースのアクセス (前述の呼び出しロールを使用) を使用する場合、このステップは不要です。
Amazon Elastic Kubernetes Service にアクセスするためのアクセス権限の設定の詳細については、[Amazon Elastic Kubernetes Service クラスター AWS Resilience Hub へのアクセスの有効化](enabling-eks-in-arh.md)を参照してください。
### プライマリアカウントの設定
`AwsResilienceHubAdminAccountRole` プライマリアカウントに新しいロールを作成し、それを引き受けるための AWS Resilience Hub アクセスを有効にする必要があります。このロールは、 リソースを含む AWS アカウントの別のロールにアクセスするために使用されます。リソースを読み取る権限があってはなりません。
**注記**
ロールタイプは、`AwsResilienceHubAdminAccountRole` である必要があります。
プライマリアカウントで作成する必要があります。
現在の IAM ユーザー/ロールには、このロールを引き受ける`iam:assumeRole`権限が必要です。
`secondary_account_id_1/2/...` を関連するセカンダリアカウント識別子に置き換えます。
次のポリシーは、 AWS アカウントの別のロールのリソースにアクセスするためのエグゼキュターアクセス許可をロールに提供します。
管理者ロール (`AwsResilienceHubAdminAccountRole`) の信頼ポリシーは次のとおりです。
### セカンダリ/リソースアカウントの設定
このロールを引き受けるには、各セカンダリアカウントで `AwsResilienceHubExecutorAccountRole` を新規作成し、上記で作成した管理者ロールを有効にする必要があります。このロールは によってアプリケーションリソースのスキャンと評価 AWS Resilience Hub に使用されるため、適切なアクセス許可も必要です。
ただし、`AWSResilienceHubAsssessmentExecutionPolicy` 管理ポリシーをロールにアタッチし、執行者ロールポリシーをアタッチする必要があります。
執行者ロールの信頼ポリシーは次のとおりです。