Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Conditions préalables pour les expériences multi-comptes
Pour utiliser les conditions d'arrêt pour une expérience multi-comptes, vous devez d'abord configurer les alarmes entre comptes. IAMles rôles sont définis lorsque vous créez un modèle d'expérience multi-comptes. Vous pouvez créer les IAM rôles nécessaires avant de créer le modèle.
Contenu
Autorisations pour les expériences multi-comptes
Les expériences multi-comptes utilisent IAM le chaînage des rôles pour accorder des autorisations à AWS FIS pour prendre des mesures sur les ressources des comptes cibles. Pour les expériences multi-comptes, vous définissez IAM des rôles dans chaque compte cible et dans le compte d'orchestrateur. Ces IAM rôles nécessitent une relation de confiance entre les comptes cibles et le compte de l'orchestrateur, et entre le compte de l'orchestrateur et AWS FIS.
Les IAM rôles des comptes cibles contiennent les autorisations requises pour agir sur les ressources et sont créés pour un modèle d'expérience en ajoutant des configurations de compte cible. Vous allez créer un IAM rôle pour le compte orchestrateur avec l'autorisation d'assumer les rôles de comptes cibles et d'établir une relation de confiance avec AWS FIS. Ce IAM rôle est utilisé comme modèle roleArn d'expérience.
Pour en savoir plus sur le chaînage des rôles, voir Termes et concepts relatifs aux rôles. Guide de IAM l'utilisateur de In
Dans l'exemple suivant, vous allez configurer des autorisations pour qu'un compte d'orchestrateur A puisse exécuter un test aws:ebs:pause-volume-io dans le compte cible B.
-
Dans le compte B, créez un IAM rôle doté des autorisations requises pour exécuter l'action. Pour connaître les autorisations requises pour chaque action, consultezAWS FIS Référence des actions. L'exemple suivant montre les autorisations accordées par un compte cible pour exécuter l'action EBS Pause Volume IOaws:ebs:pause-volume-io.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVolumes" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:PauseVolumeIO" ], "Resource": "arn:aws:ec2:region:accountIdB:volume/*" }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] } -
Ajoutez ensuite une politique de confiance dans le compte B qui crée une relation de confiance avec le compte A. Choisissez un nom pour le IAM rôle du compte A, que vous allez créer à l'étape 3.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AccountIdA" }, "Action": "sts:AssumeRole", "Condition": { "StringLike":{ "sts:ExternalId": "arn:aws:fis:region:accountIdA:experiment/*" }, "ArnEquals": { "aws:PrincipalArn": "arn:aws:iam::accountIdA:role/role_name" } } } ] } -
Dans le compte A, créez un IAM rôle. Ce nom de rôle doit correspondre au rôle que vous avez spécifié dans la politique de confiance à l'étape 2. Pour cibler plusieurs comptes, vous accordez à l'orchestrateur l'autorisation d'assumer chaque rôle. L'exemple suivant montre les autorisations permettant au compte A d'assumer le compte B. Si vous avez des comptes cibles supplémentaires, vous ajouterez un rôle supplémentaire ARNs à cette politique. Vous ne pouvez avoir qu'un seul rôle ARN par compte cible.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::accountIdB:role/role_name" ] } ] } -
Ce IAM rôle pour le compte A est utilisé comme modèle
roleArnd'expérience. L'exemple suivant montre la politique de confiance requise dans le IAM rôle qui accorde AWS FIS autorisations pour assumer le compte A, le compte de l'orchestrateur.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "fis.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
Vous pouvez également utiliser Stacksets pour attribuer plusieurs IAM rôles à la fois. Pour l'utiliser CloudFormation StackSets, vous devez configurer les StackSet autorisations nécessaires dans votre AWS comptes. Pour en savoir plus, consultez la section Travailler avec AWS CloudFormation StackSets.
Conditions d'arrêt pour les expériences multi-comptes (facultatif)
Une condition d'arrêt est un mécanisme permettant d'arrêter une expérience si elle atteint un seuil que vous définissez comme une alarme. Pour configurer une condition d'arrêt pour votre expérience multi-comptes, vous pouvez utiliser des alarmes entre comptes. Vous devez activer le partage dans chaque compte cible pour que l'alarme soit accessible au compte de l'orchestrateur à l'aide d'autorisations en lecture seule. Une fois partagées, vous pouvez combiner les statistiques de différents comptes cibles à l'aide de Metric Math. Vous pouvez ensuite ajouter cette alarme comme condition d'arrêt de l'expérience.
Pour en savoir plus sur les tableaux de bord multicomptes, consultez la section Activation de la fonctionnalité multicomptes dans. CloudWatch
Leviers de sécurité pour les expériences multi-comptes (en option)
Les leviers de sécurité sont utilisés pour arrêter toutes les expériences en cours et empêcher le démarrage de nouvelles expériences. Vous pouvez utiliser le levier de sécurité pour empêcher les FIS expériences pendant certaines périodes ou en réponse à des alarmes relatives à l'état de l'application. Chaque AWS le compte dispose d'un levier de sécurité par Région AWS. Lorsqu'un levier de sécurité est activé, cela a un impact sur toutes les expériences exécutées dans le même compte et dans la même région que le levier de sécurité. Pour arrêter et empêcher les expériences multi-comptes, le levier de sécurité doit être activé dans le même compte et dans la même région que ceux où les expériences sont en cours.
