本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用目前的 IAM 使用者許可
如果您想要使用目前的 IAM 使用者許可來建立和執行評估,請使用此方法。您可以將 `AWSResilienceHubAsssessmentExecutionPolicy`受管政策連接至您的 IAM 使用者或與使用者相關聯的角色。
## 單一帳戶設定
使用上述受管政策就足以對與 IAM 使用者在相同帳戶中受管的應用程式執行評估。
## 排定的評估設定
您必須建立新的角色`AwsResilienceHubPeriodicAssessmentRole`,讓 AWS Resilience Hub 執行排定的評估相關任務。
**注意**
使用角色型存取 (具有上述叫用者角色) 時,不需要此步驟。
角色名稱必須是 `AwsResilienceHubPeriodicAssessmentRole`。
**若要讓 AWS Resilience Hub 執行排定的評估相關任務**
1. 將 `AWSResilienceHubAsssessmentExecutionPolicy` 受管政策連接至角色。
1. 新增下列政策,其中 `primary_account_id`是定義應用程式並將執行評估 AWS 的帳戶。此外,您必須為排程評估的角色新增相關聯的信任政策 (`AwsResilienceHubPeriodicAssessmentRole`),以授予 AWS Resilience Hub 服務擔任排程評估角色的許可。
**排程評估角色的信任政策 (`AwsResilienceHubPeriodicAssessmentRole`)**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## 跨帳戶設定
如果您將 AWS Resilience Hub 與多個帳戶搭配使用,則需要下列 IAM 許可政策。根據您的使用案例,每個 AWS 帳戶可能需要不同的許可。設定 AWS Resilience Hub 進行跨帳戶存取時,會考慮下列帳戶和角色:
+ **主要帳戶** – AWS 您要在其中建立應用程式並執行評估的帳戶。
+ **次要/資源帳戶 (s)** – 資源所在的 AWS 帳戶 (s)。
**注意**
使用角色型存取 (具有上述叫用者角色) 時,不需要此步驟。
如需設定許可以存取 Amazon Elastic Kubernetes Service 的詳細資訊,請參閱 [啟用對 Amazon Elastic Kubernetes Service 叢集的 AWS Resilience Hub 存取](enabling-eks-in-arh.md)。
### 主要帳戶設定
您必須在主要帳戶中建立新的角色`AwsResilienceHubAdminAccountRole`,並啟用 AWS Resilience Hub 存取以擔任該角色。此角色將用於存取 AWS 帳戶中包含 資源的另一個角色。它不應具有讀取資源的許可。
**注意**
角色名稱必須是 `AwsResilienceHubAdminAccountRole`。
它必須在主要帳戶中建立。
您目前的 IAM 使用者/角色必須具有擔任此角色的`iam:assumeRole`許可。
將 取代`secondary_account_id_1/2/...`為相關的次要帳戶識別符。
下列政策為您的角色提供執行器許可,以存取 AWS 您帳戶中另一個角色中的資源:
管理員角色 (`AwsResilienceHubAdminAccountRole`) 的信任政策如下所示:
### 次要/資源帳戶 (s) 設定
在每個次要帳戶中,您必須建立新的 ,`AwsResilienceHubExecutorAccountRole`並啟用上述建立的管理員角色,才能擔任此角色。由於此角色將由 AWS Resilience Hub 用來掃描和評估您的應用程式資源,因此也需要適當的許可。
不過,您必須將 `AWSResilienceHubAsssessmentExecutionPolicy`受管政策連接到角色,並連接執行器角色政策。
執行器角色信任政策如下所示: