As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Função do invocador
A função de AWS Resilience Hub invocador é uma função AWS Identity and Access Management (IAM) que AWS Resilience Hub pressupõe acessar AWS serviços e recursos. Por exemplo, você pode criar uma função de invocador que tenha permissão para acessar seu modelo de CFN e o recurso que ele cria. Esta página fornece informações sobre como criar, visualizar e gerenciar uma função de invocador de aplicativo.
Ao criar um aplicativo, você fornece uma função de invocador. O AWS Resilience Hub assume essa função para acessar seus recursos quando você importa recursos ou inicia uma avaliação. AWS Resilience Hub Para assumir adequadamente sua função de invocador, a política de confiança da função deve especificar o principal do AWS Resilience Hub serviço (**resiliencehub.amazonaws.com**) como um serviço confiável.
Para visualizar a função de invocador do aplicativo, escolha **Aplicativos** no painel de navegação e, em seguida, escolha **Atualizar permissões** no menu **Ações** na página **Aplicativo**.
É possível adicionar ou remover permissões de uma função de invocador de aplicativo a qualquer momento ou configurar seu aplicativo para usar uma função diferente para acessar recursos do aplicativo.
**Tópicos**
+ [Criar uma função de invocador no console do IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Gerenciar funções com a API do IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Definir política de confiança usando o arquivo JSON](#security-iam-resilience-define-policy)
## Criar uma função de invocador no console do IAM
AWS Resilience Hub Para permitir o acesso a AWS serviços e recursos, você deve criar uma função de invocador na conta principal usando o console do IAM. Para obter mais informações sobre a criação de funções usando o console do IAM, consulte [Criação de uma função para um AWS serviço (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).
**Para criar uma função de invocador na conta principal usando o console do IAM**
1. Abra o console do IAM em `https://console.aws.amazon.com/iam/`.
1. No painel de navegação, escolha **Funções** e então escolha **Criar função**.
1. Selecione **Política de confiança personalizada**, copie a política a seguir na janela **Política de confiança personalizada** e escolha **Avançar**.
**nota**
Se seus recursos estiverem em contas diferentes, você precisará criar uma função em cada uma dessas contas e usar a política de confiança da conta secundária para as outras contas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Na seção **Políticas de permissões** da página **Adicionar permissões**, insira `AWSResilienceHubAsssessmentExecutionPolicy` na caixa **Filtrar políticas por propriedade ou nome da política e pressione enter**.
1. Selecione a política e escolha **Próximo**.
1. Na seção **Detalhes da função**, insira um nome de função exclusivo (como `AWSResilienceHubAssessmentRole`) na caixa **Nome da função**.
Esse campo aceita somente caracteres alfanuméricos e '`+=,.@-_/`'.
1. (Opcional) Na caixa **Descrição**, insira uma descrição para a função.
1. Selecione **Criar função**.
Para editar os casos de uso e as permissões, na Etapa 6, escolha o botão **Editar** que está localizado à direita nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: adicionar permissões**.
Depois de criar a função de invocador e a função de recurso (se aplicável), você pode configurar seu aplicativo para usar essas funções.
**nota**
Você deve ter uma `iam:passRole` permissão em seu IAM atual user/role para a função de invocador ao criar ou atualizar o aplicativo. No entanto, você não precisa dessa permissão para executar uma avaliação.
## Gerenciar funções com a API do IAM
A política de confiança de uma função concede a permissão ao principal especificado para assumir a função. Para criar as funções usando AWS Command Line Interface (AWS CLI), use o `create-role` comando. Ao usar esse comando, é possível especificar a política de confiança em linha. O exemplo a seguir mostra como conceder ao AWS Resilience Hub serviço a permissão principal para assumir sua função.
**nota**
A exigência de escapar de aspas (`' '`) na string JSON pode variar com base na sua versão do shell.
**Exemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Definir política de confiança usando o arquivo JSON
É possível definir a política de confiança para a função usando um arquivo JSON separado e em seguida executar o comando `create-role`. No exemplo a seguir, **`trust-policy.json`** é um arquivo que contém a política de confiança no diretório atual. Essa política é anexada a uma função por meio da execução de um comando **`create-role`**. A saída do comando `create-role` é mostrada no **Exemplo de saída**. Para adicionar permissões à função, use o **attach-policy-to-role**comando e comece adicionando a política `AWSResilienceHubAsssessmentExecutionPolicy` gerenciada. Para obter mais informações sobre esta política gerenciada, consulte [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Exemplo de `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Exemplo de `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Exemplo de saída**
**Exemplo de `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`