As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Resilience Hub referência de permissões de acesso
Você pode usar AWS Identity and Access Management (IAM) para gerenciar o acesso aos recursos do aplicativo e criar políticas do IAM que se aplicam a usuários, grupos ou funções.
Cada AWS Resilience Hub aplicativo pode ser configurado para usar a [Função do invocador](security-iam-resilience-hub-invoker-role.md) (uma função do IAM) ou usar as permissões atuais do usuário do IAM (junto com um conjunto de funções predefinidas para avaliação programada e entre contas). Nessa função, você pode anexar uma política que define as permissões necessárias AWS Resilience Hub para acessar outros AWS recursos ou recursos do aplicativo. A função de invocador deve ter uma política de confiança que seja adicionada ao AWS Resilience Hub Service Principal.
Para gerenciar as permissões do seu aplicativo, recomendamos o uso de [AWS políticas gerenciadas para AWS Resilience Hub](security-iam-awsmanpol.md). É possível usar essas políticas gerenciadas sem modificações ou como um ponto de partida para escrever suas próprias políticas restritivas. Políticas podem restringir permissões de usuários no nível do recurso para ações diferentes usando condições adicionais.
Se os recursos do aplicativo estiverem em contas diferentes (contas secundárias/de recursos), você deverá configurar uma nova função em cada conta que contém os recursos do aplicativo.
**nota**
Se você definir VPC endpoints para seus recursos de carga de trabalho, certifique-se de que as políticas de VPC endpoints forneçam acesso somente de leitura para acessar os recursos. AWS Resilience Hub Para saber mais, consulte [Controlar o acesso a endpoints de VPC usando políticas de endpoint](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html).
**Tópicos**
+ [Usar o perfil do IAM](security-iam-resilience-hub-using-iam-role.md)
+ [Usar permissões atuais de usuário do IAM](security-iam-resilience-hub-current-user-permissions.md)
# Usar o perfil do IAM
AWS Resilience Hub usará uma função predefinida do IAM existente para acessar seus recursos na conta ou secondary/resources na conta principal. Essa é a opção de permissão recomendada para acessar seus recursos.
**Tópicos**
+ [Função do invocador](security-iam-resilience-hub-invoker-role.md)
+ [Funções em AWS contas diferentes para acesso entre contas - opcional](security-iam-resilience-cross-account-roles.md)
# Função do invocador
A função de AWS Resilience Hub invocador é uma função AWS Identity and Access Management (IAM) que AWS Resilience Hub pressupõe acessar AWS serviços e recursos. Por exemplo, você pode criar uma função de invocador que tenha permissão para acessar seu modelo de CFN e o recurso que ele cria. Esta página fornece informações sobre como criar, visualizar e gerenciar uma função de invocador de aplicativo.
Ao criar um aplicativo, você fornece uma função de invocador. O AWS Resilience Hub assume essa função para acessar seus recursos quando você importa recursos ou inicia uma avaliação. AWS Resilience Hub Para assumir adequadamente sua função de invocador, a política de confiança da função deve especificar o principal do AWS Resilience Hub serviço (**resiliencehub.amazonaws.com**) como um serviço confiável.
Para visualizar a função de invocador do aplicativo, escolha **Aplicativos** no painel de navegação e, em seguida, escolha **Atualizar permissões** no menu **Ações** na página **Aplicativo**.
É possível adicionar ou remover permissões de uma função de invocador de aplicativo a qualquer momento ou configurar seu aplicativo para usar uma função diferente para acessar recursos do aplicativo.
**Tópicos**
+ [Criar uma função de invocador no console do IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Gerenciar funções com a API do IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Definir política de confiança usando o arquivo JSON](#security-iam-resilience-define-policy)
## Criar uma função de invocador no console do IAM
AWS Resilience Hub Para permitir o acesso a AWS serviços e recursos, você deve criar uma função de invocador na conta principal usando o console do IAM. Para obter mais informações sobre a criação de funções usando o console do IAM, consulte [Criação de uma função para um AWS serviço (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).
**Para criar uma função de invocador na conta principal usando o console do IAM**
1. Abra o console do IAM em `https://console.aws.amazon.com/iam/`.
1. No painel de navegação, escolha **Funções** e então escolha **Criar função**.
1. Selecione **Política de confiança personalizada**, copie a política a seguir na janela **Política de confiança personalizada** e escolha **Avançar**.
**nota**
Se seus recursos estiverem em contas diferentes, você precisará criar uma função em cada uma dessas contas e usar a política de confiança da conta secundária para as outras contas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Na seção **Políticas de permissões** da página **Adicionar permissões**, insira `AWSResilienceHubAsssessmentExecutionPolicy` na caixa **Filtrar políticas por propriedade ou nome da política e pressione enter**.
1. Selecione a política e escolha **Próximo**.
1. Na seção **Detalhes da função**, insira um nome de função exclusivo (como `AWSResilienceHubAssessmentRole`) na caixa **Nome da função**.
Esse campo aceita somente caracteres alfanuméricos e '`+=,.@-_/`'.
1. (Opcional) Na caixa **Descrição**, insira uma descrição para a função.
1. Selecione **Criar função**.
Para editar os casos de uso e as permissões, na Etapa 6, escolha o botão **Editar** que está localizado à direita nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: adicionar permissões**.
Depois de criar a função de invocador e a função de recurso (se aplicável), você pode configurar seu aplicativo para usar essas funções.
**nota**
Você deve ter uma `iam:passRole` permissão em seu IAM atual user/role para a função de invocador ao criar ou atualizar o aplicativo. No entanto, você não precisa dessa permissão para executar uma avaliação.
## Gerenciar funções com a API do IAM
A política de confiança de uma função concede a permissão ao principal especificado para assumir a função. Para criar as funções usando AWS Command Line Interface (AWS CLI), use o `create-role` comando. Ao usar esse comando, é possível especificar a política de confiança em linha. O exemplo a seguir mostra como conceder ao AWS Resilience Hub serviço a permissão principal para assumir sua função.
**nota**
A exigência de escapar de aspas (`' '`) na string JSON pode variar com base na sua versão do shell.
**Exemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Definir política de confiança usando o arquivo JSON
É possível definir a política de confiança para a função usando um arquivo JSON separado e em seguida executar o comando `create-role`. No exemplo a seguir, **`trust-policy.json`** é um arquivo que contém a política de confiança no diretório atual. Essa política é anexada a uma função por meio da execução de um comando **`create-role`**. A saída do comando `create-role` é mostrada no **Exemplo de saída**. Para adicionar permissões à função, use o **attach-policy-to-role**comando e comece adicionando a política `AWSResilienceHubAsssessmentExecutionPolicy` gerenciada. Para obter mais informações sobre esta política gerenciada, consulte [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Exemplo de `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Exemplo de `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Exemplo de saída**
**Exemplo de `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# Funções em AWS contas diferentes para acesso entre contas - opcional
Quando seus recursos estão localizados em secondary/resource contas, você deve criar funções em cada uma dessas contas para permitir AWS Resilience Hub a avaliação bem-sucedida de sua inscrição. O procedimento de criação da função é semelhante ao processo de criação da função do invocador, exceto pela configuração da política de confiança.
**nota**
Você deve criar as funções nas contas secundárias em que os recursos estão localizados.
**Tópicos**
+ [Criação de uma função no console do IAM para secondary/resource contas](#security-iam-resilience-cross-create-roles-infra-account)
+ [Gerenciar funções com a API do IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Definir política de confiança usando o arquivo JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)
## Criação de uma função no console do IAM para secondary/resource contas
AWS Resilience Hub Para permitir o acesso a AWS serviços e recursos em outras AWS contas, você deve criar funções em cada uma dessas contas.
**Para criar uma função no console do IAM para as secondary/resource contas usando o console do IAM**
1. Abra o console do IAM em `https://console.aws.amazon.com/iam/`.
1. No painel de navegação, escolha **Funções** e então escolha **Criar função**.
1. Selecione **Política de confiança personalizada**, copie a política a seguir na janela **Política de confiança personalizada** e escolha **Avançar**.
**nota**
Se seus recursos estiverem em contas diferentes, você precisará criar uma função em cada uma dessas contas e usar a política de confiança da conta secundária para as outras contas.
1. Na seção **Políticas de permissões** da página **Adicionar permissões**, insira `AWSResilienceHubAsssessmentExecutionPolicy` na caixa **Filtrar políticas por propriedade ou nome da política e pressione enter**.
1. Selecione a política e escolha **Próximo**.
1. Na seção **Detalhes da função**, insira um nome de função exclusivo (como `AWSResilienceHubAssessmentRole`) na caixa **Nome da função**.
1. (Opcional) Na caixa **Descrição**, insira uma descrição para a função.
1. Selecione **Criar função**.
Para editar os casos de uso e as permissões, na Etapa 6, escolha o botão **Editar** que está localizado à direita nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: adicionar permissões**.
Além disso, você também precisa adicionar a permissão `sts:assumeRole` à função de invocador para permitir que ela assuma as funções em suas contas secundárias.
Adicione a seguinte política à sua função de invocador para cada uma das funções secundárias que você criou:
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Gerenciar funções com a API do IAM
A política de confiança de uma função concede a permissão ao principal especificado para assumir a função. Para criar as funções usando AWS Command Line Interface (AWS CLI), use o `create-role` comando. Ao usar esse comando, é possível especificar a política de confiança em linha. O exemplo a seguir mostra como conceder permissão ao responsável pelo AWS Resilience Hub serviço para assumir sua função.
**nota**
A exigência de escapar de aspas (`' '`) na string JSON pode variar com base na sua versão do shell.
**Exemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Também é possível definir a política de confiança para a função usando um arquivo JSON separado. No exemplo a seguir, `trust-policy.json` é um arquivo no diretório atual.
### Definir política de confiança usando o arquivo JSON
É possível definir a política de confiança para a função usando um arquivo JSON separado e em seguida executar o comando `create-role`. No exemplo a seguir, **`trust-policy.json`** é um arquivo que contém a política de confiança no diretório atual. Essa política é anexada a uma função por meio da execução de um comando **`create-role`**. A saída do comando `create-role` é mostrada no **Exemplo de saída**. Para adicionar permissões a uma função, use o **attach-policy-to-role**comando e comece adicionando a política `AWSResilienceHubAsssessmentExecutionPolicy` gerenciada. Para obter mais informações sobre esta política gerenciada, consulte [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Exemplo de `trust-policy.json`**
**Exemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Exemplo de saída**
**Exemplo de `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.
# Usar permissões atuais de usuário do IAM
Use esse método se quiser usar suas permissões atuais de usuário do IAM para criar e executar uma avaliação. É possível anexar a política gerenciada `AWSResilienceHubAsssessmentExecutionPolicy` ao usuário do IAM ou a uma função associada ao usuário.
## Configuração de conta única
Usar a política gerenciada mencionada acima é suficiente para executar uma avaliação em um aplicativo que é gerenciado na mesma conta do usuário do IAM.
## Configuração de avaliação programada
Você deve criar uma nova função `AwsResilienceHubPeriodicAssessmentRole` para permitir que o AWS Resilience Hub execute as tarefas programadas relacionadas à avaliação.
**nota**
Ao usar o acesso baseado em função (com a função de invocador mencionada acima), essa etapa não é necessária.
O tipo de função deve ser `AwsResilienceHubPeriodicAssessmentRole`.
**Para permitir AWS Resilience Hub a execução de tarefas programadas relacionadas à avaliação**
1. Anexe a política gerenciada `AWSResilienceHubAsssessmentExecutionPolicy` à função.
1. Adicione a política a seguir, onde `primary_account_id` está a AWS conta em que o aplicativo está definido e executará a avaliação. Além disso, você deve adicionar a política de confiança associada à função da avaliação agendada, (`AwsResilienceHubPeriodicAssessmentRole`), que dá permissões para que o AWS Resilience Hub serviço assuma a função da avaliação agendada.
**Política de confiança para a função da avaliação programada (`AwsResilienceHubPeriodicAssessmentRole`)**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Configuração entre contas
As seguintes políticas de permissões do IAM são necessárias se você estiver usando o Hub de Resiliência da AWS com várias contas. Cada AWS conta pode precisar de permissões diferentes, dependendo do seu caso de uso. Ao configurar o AWS Resilience Hub para acesso entre contas, as seguintes contas e funções são consideradas:
+ **Conta principal**: conta da AWS na qual você deseja criar o aplicativo e executar avaliações.
+ **Conta (s) secundária/de recursos** — AWS conta (s) em que os recursos estão localizados.
**nota**
Ao usar o acesso baseado em função (com a função de invocador mencionada acima), essa etapa não é necessária.
Para obter mais informações sobre a configuração de permissões para acessar o Amazon Elastic Kubernetes Service, consulte [Habilitando o AWS Resilience Hub acesso ao seu cluster do Amazon Elastic Kubernetes Service](enabling-eks-in-arh.md).
### Configuração da conta principal
Você deve criar uma nova função `AwsResilienceHubAdminAccountRole` na conta principal e habilitar o AWS Resilience Hub acesso para assumi-la. Essa função será usada para acessar outra função em sua AWS conta que contém seus recursos. Ela não deve ter permissões para ler recursos.
**nota**
O tipo de função deve ser `AwsResilienceHubAdminAccountRole`.
Ela deve ser criada na conta principal.
Seu IAM atual user/role deve ter `iam:assumeRole` permissão para assumir essa função.
Substitua `secondary_account_id_1/2/...` pelos identificadores de conta secundários relevantes.
A política a seguir fornece permissões de executor à sua função para acessar recursos em outra função em sua AWS conta:
A política de confiança para a função de administrador (`AwsResilienceHubAdminAccountRole`) é a seguinte:
### Configuração de conta(s) secundária/de recursos
Em cada uma de suas contas secundárias, você deve criar uma nova `AwsResilienceHubExecutorAccountRole` e habilitar a função de administrador criada acima para assumir essa função. Como essa função será usada AWS Resilience Hub para escanear e avaliar os recursos do seu aplicativo, ela também exigirá as permissões apropriadas.
No entanto, você deve anexar a política gerenciada `AWSResilienceHubAsssessmentExecutionPolicy` à função e anexar a política de função do executor.
A política de confiança da função do executor é a seguinte: