本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定 IAM 角色和許可 AWS Resilience Hub 可讓您設定要在應用程式執行評估時使用的 IAM 角色。有多種方式可以設定 AWS Resilience Hub 來取得應用程式資源的唯讀存取權。不過, AWS Resilience Hub 建議下列方式: + **角色型存取** – 此角色已定義並在目前帳戶中使用。 AWS Resilience Hub 將擔任此角色來存取您應用程式的資源。 若要提供角色型存取,角色必須包含下列項目: + 讀取 資源的唯讀許可 (AWS Resilience Hub 建議您使用 `AWSResilienceHubAsssessmentExecutionPolicy`受管政策)。 + 擔任此角色的信任政策,允許 AWS Resilience Hub Service Principal 擔任此角色。如果您的帳戶中未設定此類角色, AWS Resilience Hub 會顯示建立該角色的指示。如需詳細資訊,請參閱[設定許可](setup-permissions.md)。 **注意** 如果您只提供叫用者角色名稱,而且您的資源位於另一個帳戶中,則 AWS Resilience Hub 會在其他帳戶中使用此角色名稱來存取跨帳戶資源。或者,您可以為其他帳戶設定角色 ARNs,這將用來取代叫用者角色名稱。 + **目前的 IAM 使用者存取 ** – AWS Resilience Hub 將使用目前的 IAM 使用者存取您的應用程式資源。當您的資源位於不同的帳戶中時, AWS Resilience Hub 將擔任下列 IAM 角色來存取資源: + `AwsResilienceHubAdminAccountRole` 目前帳戶中的 + `AwsResilienceHubExecutorAccountRole` 在其他帳戶中 此外,當您設定排定的評估時, AWS Resilience Hub 將擔任該`AwsResilienceHubPeriodicAssessmentRole`角色。不過,`AwsResilienceHubPeriodicAssessmentRole`不建議使用 ,因為您必須手動設定角色和許可,某些功能 (例如**偏離通知**) 可能無法如預期運作。