Crear autorizaciones multicuenta en ARC

Es posible que tenga sus recursos distribuidos en varias AWS cuentas, lo que puede dificultar la obtención de una visión integral del estado de su aplicación. También puede dificultar la obtención de la información necesaria para tomar decisiones rápidas. Para agilizar esta comprobación de disponibilidad en Amazon Application Recovery Controller (ARC), puede utilizar la autorización multicuenta.

La autorización multicuenta ARC funciona con la función de verificación de disponibilidad. Con la autorización multicuenta, puede utilizar una AWS cuenta central para supervisar los recursos que se encuentran en varias AWS cuentas. En cada cuenta que tenga recursos que desee supervisar, usted autoriza a la cuenta central a tener acceso a esos recursos. A continuación, la cuenta central puede crear comprobaciones de disponibilidad de los recursos de todas las cuentas y, desde la cuenta central, puede supervisar la preparación de los recursos para la conmutación por error.

Supongamos que una aplicación tiene una cuenta que tiene recursos en la región Oeste de EE. UU. (Oregón) (us-west-2) y también hay una cuenta que tiene recursos que desea monitorear en la región Este de EE. UU. (Norte de Virginia) (us-east-1). ARCpuede permitir el acceso para monitorear ambos conjuntos de recursos desde una cuenta, us-west-2, mediante la autorización entre cuentas.

Por ejemplo, supongamos que tiene las siguientes cuentas: AWS

En la cuenta us-east-1 (1111), podemos habilitar la autorización entre cuentas para permitir el acceso de la cuenta us-west-2 (10000 9999) especificando el ARN nombre de recurso de Amazon () para el usuario (root) de la cuenta us-west-2:. IAM arn:aws:iam::999999999999:root Tras crear la autorización, la cuenta us-west-2 puede añadir los recursos que son propiedad de us-east-1 a los conjuntos de recursos y crear comprobaciones de preparación para que se ejecuten en los conjuntos de recursos.

El siguiente ejemplo ilustra la configuración de la autorización multicuenta para una cuenta. Debe habilitar la autorización multicuenta en cada cuenta adicional que contenga recursos que desee añadir y supervisar. AWS ARC

El siguiente AWS CLI comando muestra cómo configurar la autorización entre cuentas para este ejemplo:

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				create-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root

Para deshabilitar esta autorización, haga lo siguiente:

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				delete-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root

Para registrar una cuenta específica para todas las cuentas para las que has autorizado varias cuentas, usa el list-cross-account-authorizations comando. Tenga en cuenta que en este momento no puede realizar el check-in en la otra dirección. Es decir, no hay ninguna API operación que se pueda utilizar con un perfil de cuenta para enumerar todas las cuentas para las que se ha concedido una autorización multicuenta a fin de añadir y supervisar recursos.

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				list-cross-account-authorizations

{
    "CrossAccountAuthorizations": [
        "arn:aws:iam::999999999999:root"
    ]
}