Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Voraussetzungen für Experimente mit mehreren Konten
Um Stoppbedingungen für ein Experiment mit mehreren Konten zu verwenden, müssen Sie zunächst Alarme für mehrere Konten konfigurieren. IAMRollen werden definiert, wenn Sie eine Versuchsvorlage für mehrere Konten erstellen. Sie können die erforderlichen IAM Rollen erstellen, bevor Sie die Vorlage erstellen.
Inhalt
Berechtigungen für Experimente mit mehreren Konten
Bei Experimenten mit mehreren Konten wird mithilfe von IAM Rollenverkettung Berechtigungen erteilt für AWS FIS um Maßnahmen mit Ressourcen in Zielkonten zu ergreifen. Für Experimente mit mehreren Konten richten Sie IAM Rollen für jedes Zielkonto und das Orchestrator-Konto ein. Diese IAM Rollen erfordern eine Vertrauensbeziehung zwischen den Zielkonten und dem Orchestrator-Konto sowie zwischen dem Orchestrator-Konto und AWS FIS.
Die IAM Rollen für die Zielkonten enthalten die Berechtigungen, die erforderlich sind, um Maßnahmen mit Ressourcen zu ergreifen. Sie werden für eine Versuchsvorlage erstellt, indem Zielkontenkonfigurationen hinzugefügt werden. Sie erstellen eine IAM Rolle für das Orchestrator-Konto mit der Berechtigung, die Rollen von Zielkonten zu übernehmen und eine Vertrauensbeziehung aufzubauen mit AWS FIS. Diese IAM Rolle wird als Vorlage roleArn für das Experiment verwendet.
Weitere Informationen zur Rollenverkettung finden Sie unter Begriffe und Konzepte von Rollen. IAMDas Benutzerhandbuch von in
Im folgenden Beispiel richten Sie Berechtigungen für ein Orchestrator-Konto A ein, mit dem Sie aws:ebs:pause-volume-io im Zielkonto B ein Experiment durchführen können.
-
Erstellen Sie in Konto B eine IAM Rolle mit den für die Ausführung der Aktion erforderlichen Berechtigungen. Informationen zu den für jede Aktion erforderlichen Berechtigungen finden Sie unterAWS FIS Referenz zu Aktionen. Das folgende Beispiel zeigt die Berechtigungen, die ein Zielkonto für die Ausführung der Aktion „Volume IO EBS pausieren“ gewährtaws:ebs:pause-volume-io.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVolumes" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:PauseVolumeIO" ], "Resource": "arn:aws:ec2:region:accountIdB:volume/*" }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] } -
Fügen Sie als Nächstes eine Vertrauensrichtlinie zu Konto B hinzu, die eine Vertrauensbeziehung mit Konto A herstellt. Wählen Sie einen Namen für die IAM Rolle für Konto A, die Sie in Schritt 3 erstellen werden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AccountIdA" }, "Action": "sts:AssumeRole", "Condition": { "StringLike":{ "sts:ExternalId": "arn:aws:fis:region:accountIdA:experiment/*" }, "ArnEquals": { "aws:PrincipalArn": "arn:aws:iam::accountIdA:role/role_name" } } } ] } -
Erstellen Sie in Konto A eine IAM Rolle. Dieser Rollenname muss mit der Rolle übereinstimmen, die Sie in der Vertrauensrichtlinie in Schritt 2 angegeben haben. Um mehrere Konten ins Visier zu nehmen, gewähren Sie dem Orchestrator die Berechtigungen, jede Rolle zu übernehmen. Das folgende Beispiel zeigt die Berechtigungen für Konto A, Konto B anzunehmen. Wenn Sie zusätzliche Zielkonten haben, fügen Sie dieser Richtlinie eine zusätzliche Rolle ARNs hinzu. Sie können nur eine Rolle ARN pro Zielkonto haben.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::accountIdB:role/role_name" ] } ] } -
Diese IAM Rolle für Konto A wird als Rolle
roleArnfür die Experimentvorlage verwendet. Das folgende Beispiel zeigt die Vertrauensrichtlinie, die für die IAM Rolle erforderlich ist, die gewährt AWS FIS Berechtigungen zur Annahme von Konto A, dem Orchestrator-Konto.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "fis.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
Sie können Stacksets auch verwenden, um mehrere IAM Rollen gleichzeitig bereitzustellen. Um sie verwenden zu können CloudFormation StackSets, müssen Sie die erforderlichen StackSet Berechtigungen in Ihrem einrichten AWS Konten. Weitere Informationen finden Sie unter Arbeiten mit AWS CloudFormation StackSets.
Stoppbedingungen für Experimente mit mehreren Konten (optional)
Eine Stoppbedingung ist ein Mechanismus, um ein Experiment zu beenden, wenn es einen Schwellenwert erreicht, den Sie als Alarm definieren. Um eine Stoppbedingung für Ihr Experiment mit mehreren Konten einzurichten, können Sie kontenübergreifende Alarme verwenden. Sie müssen die gemeinsame Nutzung in jedem Zielkonto aktivieren, damit der Alarm dem Orchestrator-Konto mit Leseberechtigungen zur Verfügung steht. Nach der Freigabe können Sie mit Metric Math Metriken aus verschiedenen Zielkonten kombinieren. Anschließend können Sie diesen Alarm als Stoppbedingung für das Experiment hinzufügen.
Weitere Informationen zu kontoübergreifenden Dashboards finden Sie unter Aktivierung kontenübergreifender Funktionen in. CloudWatch
Sicherheitshebel für Experimente mit mehreren Konten (optional)
Sicherheitshebel werden verwendet, um alle laufenden Experimente zu unterbrechen und zu verhindern, dass neue Experimente gestartet werden. Möglicherweise möchten Sie den Sicherheitshebel verwenden, um FIS Experimente während bestimmter Zeiträume oder als Reaktion auf Betriebsalarme in der Anwendung zu verhindern. Jeder AWS Konto hat einen Sicherheitshebel pro AWS-Region. Wenn ein Sicherheitshebel betätigt wird, wirkt sich dies auf alle Experimente aus, die auf demselben Konto und in derselben Region wie der Sicherheitshebel durchgeführt werden. Um Experimente mit mehreren Konten zu beenden oder zu verhindern, muss der Sicherheitshebel für dasselbe Konto und dieselbe Region aktiviert werden, in der die Experimente durchgeführt werden.
