本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # IAM 角色和权限 AWS Resilience Hub 允许您在为应用程序运行评估时配置要使用的 IAM 角色。您可以通过多种方式配置 AWS Resilience Hub ,以获得对应用程序资源的只读访问权限。但是, AWS Resilience Hub 建议使用以下方法: + **基于角色的访问权限**-此角色是在当前账户中定义和使用的。 AWS Resilience Hub 将担任此角色来访问您的应用程序的资源。 要提供基于角色的访问权限,该角色必须包括以下内容: + 读取资源的只读权限(AWS Resilience Hub 建议您使用`AWSResilienceHubAsssessmentExecutionPolicy`托管策略)。 + 担任此角色的信任策略,允许 AWS Resilience Hub 服务负责人担任此角色。如果您的账户中没有配置此类角色,则 AWS Resilience Hub 会显示创建该角色的说明。有关更多信息,请参阅 [设置权限](setup-permissions.md)。 **注意** 如果您仅提供调用者角色名称,并且您的资源位于其他账户中,则 AWS Resilience Hub 将在其他账户中使用此角色名称来访问跨账户资源。或者,您可以 ARNs 为其他账户配置角色,该角色将用于代替调用者角色名称。 + **当前 IAM 用户访问权限** – AWS Resilience Hub 将使用当前 IAM 用户访问您的应用程序资源。当您的资源位于不同的账户中时, AWS Resilience Hub 将扮演以下 IAM 角色来访问这些资源: + `AwsResilienceHubAdminAccountRole`,在当前账户中 + `AwsResilienceHubExecutorAccountRole`,在其他账户中 此外,在配置定期评估时, AWS Resilience Hub 将担任该`AwsResilienceHubPeriodicAssessmentRole`角色。但是,`AwsResilienceHubPeriodicAssessmentRole`不建议使用,因为您必须手动配置角色和权限,而且某些功能(例如**漂移通知**)可能无法按预期运行。