As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usar o perfil do IAM
AWS Resilience Hub usará uma função predefinida do IAM existente para acessar seus recursos na conta ou secondary/resources na conta principal. Essa é a opção de permissão recomendada para acessar seus recursos.
**Tópicos**
+ [Função do invocador](security-iam-resilience-hub-invoker-role.md)
+ [Funções em AWS contas diferentes para acesso entre contas - opcional](security-iam-resilience-cross-account-roles.md)
# Função do invocador
A função de AWS Resilience Hub invocador é uma função AWS Identity and Access Management (IAM) que AWS Resilience Hub pressupõe acessar AWS serviços e recursos. Por exemplo, você pode criar uma função de invocador que tenha permissão para acessar seu modelo de CFN e o recurso que ele cria. Esta página fornece informações sobre como criar, visualizar e gerenciar uma função de invocador de aplicativo.
Ao criar um aplicativo, você fornece uma função de invocador. O AWS Resilience Hub assume essa função para acessar seus recursos quando você importa recursos ou inicia uma avaliação. AWS Resilience Hub Para assumir adequadamente sua função de invocador, a política de confiança da função deve especificar o principal do AWS Resilience Hub serviço (**resiliencehub.amazonaws.com**) como um serviço confiável.
Para visualizar a função de invocador do aplicativo, escolha **Aplicativos** no painel de navegação e, em seguida, escolha **Atualizar permissões** no menu **Ações** na página **Aplicativo**.
É possível adicionar ou remover permissões de uma função de invocador de aplicativo a qualquer momento ou configurar seu aplicativo para usar uma função diferente para acessar recursos do aplicativo.
**Tópicos**
+ [Criar uma função de invocador no console do IAM](#security-iam-resilience-hub-create-invoker-role)
+ [Gerenciar funções com a API do IAM](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [Definir política de confiança usando o arquivo JSON](#security-iam-resilience-define-policy)
## Criar uma função de invocador no console do IAM
AWS Resilience Hub Para permitir o acesso a AWS serviços e recursos, você deve criar uma função de invocador na conta principal usando o console do IAM. Para obter mais informações sobre a criação de funções usando o console do IAM, consulte [Criação de uma função para um AWS serviço (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).
**Para criar uma função de invocador na conta principal usando o console do IAM**
1. Abra o console do IAM em `https://console.aws.amazon.com/iam/`.
1. No painel de navegação, escolha **Funções** e então escolha **Criar função**.
1. Selecione **Política de confiança personalizada**, copie a política a seguir na janela **Política de confiança personalizada** e escolha **Avançar**.
**nota**
Se seus recursos estiverem em contas diferentes, você precisará criar uma função em cada uma dessas contas e usar a política de confiança da conta secundária para as outras contas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Na seção **Políticas de permissões** da página **Adicionar permissões**, insira `AWSResilienceHubAsssessmentExecutionPolicy` na caixa **Filtrar políticas por propriedade ou nome da política e pressione enter**.
1. Selecione a política e escolha **Próximo**.
1. Na seção **Detalhes da função**, insira um nome de função exclusivo (como `AWSResilienceHubAssessmentRole`) na caixa **Nome da função**.
Esse campo aceita somente caracteres alfanuméricos e '`+=,.@-_/`'.
1. (Opcional) Na caixa **Descrição**, insira uma descrição para a função.
1. Selecione **Criar função**.
Para editar os casos de uso e as permissões, na Etapa 6, escolha o botão **Editar** que está localizado à direita nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: adicionar permissões**.
Depois de criar a função de invocador e a função de recurso (se aplicável), você pode configurar seu aplicativo para usar essas funções.
**nota**
Você deve ter uma `iam:passRole` permissão em seu IAM atual user/role para a função de invocador ao criar ou atualizar o aplicativo. No entanto, você não precisa dessa permissão para executar uma avaliação.
## Gerenciar funções com a API do IAM
A política de confiança de uma função concede a permissão ao principal especificado para assumir a função. Para criar as funções usando AWS Command Line Interface (AWS CLI), use o `create-role` comando. Ao usar esse comando, é possível especificar a política de confiança em linha. O exemplo a seguir mostra como conceder ao AWS Resilience Hub serviço a permissão principal para assumir sua função.
**nota**
A exigência de escapar de aspas (`' '`) na string JSON pode variar com base na sua versão do shell.
**Exemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## Definir política de confiança usando o arquivo JSON
É possível definir a política de confiança para a função usando um arquivo JSON separado e em seguida executar o comando `create-role`. No exemplo a seguir, **`trust-policy.json`** é um arquivo que contém a política de confiança no diretório atual. Essa política é anexada a uma função por meio da execução de um comando **`create-role`**. A saída do comando `create-role` é mostrada no **Exemplo de saída**. Para adicionar permissões à função, use o **attach-policy-to-role**comando e comece adicionando a política `AWSResilienceHubAsssessmentExecutionPolicy` gerenciada. Para obter mais informações sobre esta política gerenciada, consulte [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Exemplo de `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**Exemplo de `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**Exemplo de saída**
**Exemplo de `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`
# Funções em AWS contas diferentes para acesso entre contas - opcional
Quando seus recursos estão localizados em secondary/resource contas, você deve criar funções em cada uma dessas contas para permitir AWS Resilience Hub a avaliação bem-sucedida de sua inscrição. O procedimento de criação da função é semelhante ao processo de criação da função do invocador, exceto pela configuração da política de confiança.
**nota**
Você deve criar as funções nas contas secundárias em que os recursos estão localizados.
**Tópicos**
+ [Criação de uma função no console do IAM para secondary/resource contas](#security-iam-resilience-cross-create-roles-infra-account)
+ [Gerenciar funções com a API do IAM](#security-iam-resilience-cross-create-roles-infra-account-api)
+ [Definir política de confiança usando o arquivo JSON](#security-iam-resilience-cross-define-trust-policy-infra-account)
## Criação de uma função no console do IAM para secondary/resource contas
AWS Resilience Hub Para permitir o acesso a AWS serviços e recursos em outras AWS contas, você deve criar funções em cada uma dessas contas.
**Para criar uma função no console do IAM para as secondary/resource contas usando o console do IAM**
1. Abra o console do IAM em `https://console.aws.amazon.com/iam/`.
1. No painel de navegação, escolha **Funções** e então escolha **Criar função**.
1. Selecione **Política de confiança personalizada**, copie a política a seguir na janela **Política de confiança personalizada** e escolha **Avançar**.
**nota**
Se seus recursos estiverem em contas diferentes, você precisará criar uma função em cada uma dessas contas e usar a política de confiança da conta secundária para as outras contas.
1. Na seção **Políticas de permissões** da página **Adicionar permissões**, insira `AWSResilienceHubAsssessmentExecutionPolicy` na caixa **Filtrar políticas por propriedade ou nome da política e pressione enter**.
1. Selecione a política e escolha **Próximo**.
1. Na seção **Detalhes da função**, insira um nome de função exclusivo (como `AWSResilienceHubAssessmentRole`) na caixa **Nome da função**.
1. (Opcional) Na caixa **Descrição**, insira uma descrição para a função.
1. Selecione **Criar função**.
Para editar os casos de uso e as permissões, na Etapa 6, escolha o botão **Editar** que está localizado à direita nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: adicionar permissões**.
Além disso, você também precisa adicionar a permissão `sts:assumeRole` à função de invocador para permitir que ela assuma as funções em suas contas secundárias.
Adicione a seguinte política à sua função de invocador para cada uma das funções secundárias que você criou:
```
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::secondary_account_id_1:role/RoleInSecondaryAccount_1",
"arn:aws:iam::secondary_account_id_2:role/RoleInSecondaryAccount_2",
...
],
"Action": [
"sts:AssumeRole"
]
}
```
### Gerenciar funções com a API do IAM
A política de confiança de uma função concede a permissão ao principal especificado para assumir a função. Para criar as funções usando AWS Command Line Interface (AWS CLI), use o `create-role` comando. Ao usar esse comando, é possível especificar a política de confiança em linha. O exemplo a seguir mostra como conceder permissão ao responsável pelo AWS Resilience Hub serviço para assumir sua função.
**nota**
A exigência de escapar de aspas (`' '`) na string JSON pode variar com base na sua versão do shell.
**Exemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::primary_account_id:role/InvokerRoleName"]},"Action": "sts:AssumeRole"}]}'
```
Também é possível definir a política de confiança para a função usando um arquivo JSON separado. No exemplo a seguir, `trust-policy.json` é um arquivo no diretório atual.
### Definir política de confiança usando o arquivo JSON
É possível definir a política de confiança para a função usando um arquivo JSON separado e em seguida executar o comando `create-role`. No exemplo a seguir, **`trust-policy.json`** é um arquivo que contém a política de confiança no diretório atual. Essa política é anexada a uma função por meio da execução de um comando **`create-role`**. A saída do comando `create-role` é mostrada no **Exemplo de saída**. Para adicionar permissões a uma função, use o **attach-policy-to-role**comando e comece adicionando a política `AWSResilienceHubAsssessmentExecutionPolicy` gerenciada. Para obter mais informações sobre esta política gerenciada, consulte [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy).
**Exemplo de `trust-policy.json`**
**Exemplo de `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json
```
**Exemplo de saída**
**Exemplo de `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`.