本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Invoker 角色
AWS Resilience Hub 叫用者角色是擔任存取 AWS 服務和資源的 AWS Identity and Access Management AWS Resilience Hub (IAM) 角色。例如,您可以建立叫用者角色,該角色具有存取 CFN 範本及其建立的資源的許可。此頁面提供如何建立、檢視和管理應用程式呼叫者角色的相關資訊。
當您建立應用程式時,您會提供叫用者角色。 AWS Resilience Hub 當您匯入資源或開始評估時, 會擔任此角色來存取您的 資源。若要 AWS Resilience Hub 讓 正確擔任您的叫用者角色,角色的信任政策必須將 AWS Resilience Hub 服務委託人 (**resiliencehub.amazonaws.com**://) 指定為信任的服務。
若要檢視應用程式的叫用者角色,請從導覽窗格中選擇**應用程式**,然後從**應用程式**頁面**的動作**選單中選擇**更新許可**。
您可以隨時從應用程式呼叫者角色新增或移除許可,或將應用程式設定為使用不同的角色來存取應用程式資源。
**主題**
+ [在 IAM 主控台中建立調用者角色](#security-iam-resilience-hub-create-invoker-role)
+ [使用 IAM API 管理角色](#security-iam-resilience-hub-manage-roles-with-IAM-API)
+ [使用 JSON 檔案定義信任政策](#security-iam-resilience-define-policy)
## 在 IAM 主控台中建立調用者角色
若要讓 AWS Resilience Hub 存取 AWS 服務和資源,您必須使用 IAM 主控台在主要帳戶中建立叫用者角色。如需使用 IAM 主控台建立角色的詳細資訊,請參閱[為 AWS 服務建立角色 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)。
**使用 IAM 主控台在主要帳戶中建立調用者角色**
1. 在 `https://console.aws.amazon.com/iam/` 開啟 IAM 主控台。
1. 從導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 選取**自訂信任政策**,在**自訂信任政策**視窗中複製下列政策,然後選擇**下一步**。
**注意**
如果您的資源位於不同的帳戶中,則必須在每個帳戶中建立角色,並為其他帳戶使用次要帳戶信任政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 在**新增許可**頁面的**許可政策**區段`AWSResilienceHubAsssessmentExecutionPolicy`中,**輸入依屬性或政策名稱篩選政策,然後按 Enter** 鍵。
1. 選取政策,然後選擇**下一步**。
1. 在**角色詳細資訊**區段中,在角色名稱方塊中輸入唯一的**角色名稱** (例如 `AWSResilienceHubAssessmentRole`)。
此欄位只接受英數字元和「`+=,.@-_/`」字元。
1. (選用) 在描述方塊中輸入角色的**描述**。
1. 選擇**建立角色**。
若要編輯使用案例和許可,請在步驟 6 中,選擇**步驟 1:選取信任的實體**或**步驟 2:新增許可**區段右側的**編輯**按鈕。
建立叫用者角色和資源角色 (如果適用) 之後,您可以將應用程式設定為使用這些角色。
**注意**
在建立或更新應用程式時,您必須在目前的 IAM 使用者/角色中擁有呼叫者角色的`iam:passRole`許可。不過,您不需要此許可即可執行評估。
## 使用 IAM API 管理角色
角色的信任政策會提供指定主體擔任角色的許可。若要使用 AWS Command Line Interface (AWS CLI) 建立角色,請使用 `create-role`命令。使用此命令時,您可以內嵌指定信任政策。下列範例顯示如何授予 AWS Resilience Hub 服務主體擔任您的角色的許可。
**注意**
JSON 字串中逸出引號 (`' '`) 的需求可能會根據您的 Shell 版本而有所不同。
**範例 `create-role`**
```
aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document '{
"Version": "2012-10-17", "Statement":
[
{
"Effect": "Allow",
"Principal": {"Service": "resiliencehub.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}'
```
## 使用 JSON 檔案定義信任政策
您可以使用單獨的 JSON 檔案來定義角色的信任政策,然後執行 `create-role`命令。在下列範例中, **`trust-policy.json`** 是在目前目錄中包含信任政策的檔案。此政策透過執行 **`create-role`**命令連接到角色。`create-role` 命令的輸出會顯示在**範例輸出**中。若要將許可新增至角色,請使用 **attach-policy-to-role** 命令,您可以從新增 `AWSResilienceHubAsssessmentExecutionPolicy`受管政策開始。如需此受管政策的詳細資訊,請參閱 [AWSResilienceHubAsssessmentExecutionPolicy](security-iam-awsmanpol.md#security_iam_aws-assessment-policy)。
**範例 `trust-policy.json`**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "resiliencehub.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
**範例 `create-role`**
`aws iam create-role --role-name AWSResilienceHubAssessmentRole --assume-role-policy-document file://trust-policy.json`
**範例輸出**
**範例 `attach-policy-to-role`**
`aws iam attach-role-policy --role-name AWSResilienceHubAssessmentRole --policy-arn arn:aws:iam::aws:policy/AWSResilienceHubAsssessmentExecutionPolicy`