Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Requisitos previos de los experimentos con varias cuentas
Para utilizar las condiciones de parada en un experimento con varias cuentas, primero debes configurar las alarmas entre cuentas. IAMlas funciones se definen al crear una plantilla de experimento con varias cuentas. Puede crear los IAM roles necesarios antes de crear la plantilla.
Contenidos
Permisos para experimentos con varias cuentas
Los experimentos con varias cuentas utilizan IAM el encadenamiento de roles para conceder permisos y AWS FIS realizar acciones en los recursos de las cuentas objetivo. En el caso de los experimentos con varias cuentas, debes configurar IAM los roles en cada cuenta de destino y en la cuenta del orquestador. Estas IAM funciones requieren una relación de confianza entre las cuentas de destino y la cuenta del orquestador, y entre la cuenta del orquestador y. AWS FIS
Los IAM roles de las cuentas de destino contienen los permisos necesarios para realizar acciones con los recursos y se crean para una plantilla de experimento añadiendo configuraciones de cuentas de destino. Crearás un IAM rol para la cuenta del orquestador con permiso para asumir los roles de las cuentas de destino y establecer una relación de confianza con AWS FIS ella. Este IAM rol se utiliza como plantilla del experimento. roleArn
Para obtener más información sobre el encadenamiento de roles, consulte Términos y conceptos de los roles. IAMLa guía del usuario de in
En el siguiente ejemplo, configurará permisos para una cuenta del orquestador A para ejecutar un experimento con aws:ebs:pause-volume-io en la cuenta de destino B.
-
En la cuenta B, crea un IAM rol con los permisos necesarios para ejecutar la acción. Para conocer los permisos necesarios para cada acción, consulte AWS FIS Referencia de acciones. En el siguiente ejemplo, se muestran los permisos que concede una cuenta de destino para ejecutar la acción EBS Pausar el volumen IOaws:ebs:pause-volume-io.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVolumes" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:PauseVolumeIO" ], "Resource": "arn:aws:ec2:region:accountIdB:volume/*" }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] } -
A continuación, añada una política de confianza a la cuenta B que cree una relación de confianza con la cuenta A. Elija un nombre para el IAM rol de la cuenta A, que creará en el paso 3.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AccountIdA" }, "Action": "sts:AssumeRole", "Condition": { "StringLike":{ "sts:ExternalId": "arn:aws:fis:region:accountIdA:experiment/*" }, "ArnEquals": { "aws:PrincipalArn": "arn:aws:iam::accountIdA:role/role_name" } } } ] } -
En la cuenta A, cree un IAM rol. El nombre de este rol debe coincidir con el rol que especificó en la política de confianza del paso 2. Para utilizar varias cuentas, conceda al orquestador permisos para asumir cada rol. El siguiente ejemplo muestra los permisos para que la cuenta A asuma la cuenta B. Si tiene cuentas de destino adicionales, agregará una función adicional ARNs a esta política. Solo puedes tener un rol ARN por cuenta de destino.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::accountIdB:role/role_name" ] } ] } -
Este IAM rol de la cuenta A se usa como plantilla de experimento.
roleArnEl siguiente ejemplo muestra la política de confianza requerida en el IAM rol que concede AWS FIS los permisos para asumir la cuenta A, la cuenta del orquestador.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "fis.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
También puedes usar Stacksets para aprovisionar varios IAM roles a la vez. Para usarlo CloudFormation StackSets, tendrás que configurar los StackSet permisos necesarios en tus AWS cuentas. Para obtener más información, consulte Trabajar con AWS CloudFormation StackSets.
Condiciones de detención para experimentos con varias cuentas (opcional)
Una condición de detención es un mecanismo para detener un experimento si alcanza un umbral que se define como alarma. Para configurar una condición de parada para un experimento con varias cuentas puede emplear alarmas entre cuentas. Debe habilitar el uso compartido en cada cuenta de destino para que la alarma esté disponible en la cuenta del orquestador con permisos de solo lectura. Una vez compartidas, puede combinar métricas de diferentes cuentas de destino mediante Metric Math. A continuación, puede agregar esta alarma como condición de parada para el experimento.
Para obtener más información sobre los paneles de control multicuenta, consulte Habilitar la funcionalidad multicuenta en. CloudWatch
Palancas de seguridad para experimentos en varias cuentas (opcional)
Las palancas de seguridad se utilizan para detener todos los experimentos en curso e impedir que se inicien nuevos experimentos. Es posible que desee utilizar la palanca de seguridad para impedir los FIS experimentos durante determinados períodos de tiempo o en respuesta a las alarmas de estado de la aplicación. Cada AWS cuenta tiene una palanca de seguridad en su interior Región de AWS. Cuando se activa una palanca de seguridad, afecta a todos los experimentos que se estén ejecutando en la misma cuenta y región que la palanca de seguridad. Para detener los experimentos en varias cuentas e impedir que se inicien, la palanca de seguridad debe activarse en la misma cuenta y región en la que se estén ejecutando los experimentos.
