本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用当前的 IAM 用户权限
如果您想使用当前的 IAM 用户权限来创建和运行评测,请使用此方法。您可以将 `AWSResilienceHubAsssessmentExecutionPolicy` 托管式策略附加到您的 IAM 用户或与用户关联的角色。
## 单个账户设置
使用上述托管式策略足以对与 IAM 用户使用同一账户托管的应用程序进行评测。
## 计划评测设置
您必须创建一个新角色 `AwsResilienceHubPeriodicAssessmentRole` 以使 AWS Resilience Hub 执行与计划评测相关的任务。
**注意**
使用基于角色的访问权限(使用上面提到的调用者角色)时,不需要执行此步骤。
角色名称必须为 `AwsResilienceHubPeriodicAssessmentRole`。
**AWS Resilience Hub 要允许执行与计划评估相关的任务**
1. 将 `AWSResilienceHubAsssessmentExecutionPolicy` 托管式策略附加到角色。
1. 添加以下策略,其中`primary_account_id`是定义应用程序并将运行评估的 AWS 账户。此外,您必须为定期评估的角色添加关联的信任策略 (`AwsResilienceHubPeriodicAssessmentRole`),该策略允许该 AWS Resilience Hub 服务担任预定评估的角色。
**计划评测角色的信任策略(`AwsResilienceHubPeriodicAssessmentRole`)**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## 跨账户设置
如果您在多个账户中使用 AWS 韧性监测中心,则需要使用以下 IAM 权限策略。根据您的用例,每个 AWS 账户可能需要不同的权限。在设置 AWS Resilience Hub 进行跨账户存取时,需要考虑以下账户和角色:
+ **主账户** – AWS 您要在其中创建应用程序和运行评测的账户。
+ **次要/资源 AWS 账户** — 资源所在的账户。
**注意**
使用基于角色的访问权限(使用上面提到的调用者角色)时,不需要执行此步骤。
有关配置访问 Amazon Elastic Kubernetes Service 的权限的更多信息,请参阅 [允许 AWS Resilience Hub 访问您的亚马逊 Elastic Kubernetes Service 集群](enabling-eks-in-arh.md)。
### 主账户设置
您必须在主账户`AwsResilienceHubAdminAccountRole`中创建一个新角色并允许 AWS Resilience Hub 访问权限才能代入该角色。此角色将用于访问您 AWS 账户中包含您的资源的另一个角色。它不应拥有读取资源的权限。
**注意**
角色名称必须为 `AwsResilienceHubAdminAccountRole`。
它必须在主账户中创建。
您当前的 IAM user/role 必须拥有担任此角色的`iam:assumeRole`权限。
替换 `secondary_account_id_1/2/...` 为相关的辅助账户标识符。
以下策略为您的角色提供访问 AWS 账户中其他角色的资源的执行者权限:
管理员角色(`AwsResilienceHubAdminAccountRole`)的信任策略如下:
### 辅助/资源账户设置
在每个辅助账户中,您必须创建一个新的 `AwsResilienceHubExecutorAccountRole` 并启用以上创建的管理员角色以担任此角色。由于此角色将 AWS Resilience Hub 用于扫描和评估您的应用程序资源,因此还需要相应的权限。
但是,您必须将 `AWSResilienceHubAsssessmentExecutionPolicy` 托管式策略附加到角色,并附加执行者角色策略。
执行者角色信任策略如下所示: