Prasyarat untuk eksperimen multi-akun - AWS Layanan Injeksi Kesalahan
IzinKondisi berhenti (opsional)Tuas pengaman untuk eksperimen multi-akun (opsional)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk eksperimen multi-akun

Untuk menggunakan kondisi berhenti untuk eksperimen multi-akun, Anda harus terlebih dahulu mengonfigurasi alarm lintas akun. IAMperan ditentukan saat Anda membuat templat eksperimen multi-akun. Anda dapat membuat IAM peran yang diperlukan sebelum membuat template.

Izin untuk eksperimen multi-akun

Eksperimen multi-akun menggunakan rantai IAM peran untuk memberikan izin AWS FIS untuk mengambil tindakan pada sumber daya di akun target. Untuk eksperimen multi-akun, Anda mengatur IAM peran di setiap akun target dan akun orkestrator. IAMPeran ini memerlukan hubungan kepercayaan antara akun target dan akun orkestrator, dan antara akun orkestra dan. AWS FIS

IAMPeran untuk akun target berisi izin yang diperlukan untuk mengambil tindakan pada sumber daya dan dibuat untuk templat eksperimen dengan menambahkan konfigurasi akun target. Anda akan membuat IAM peran untuk akun orkestra dengan izin untuk mengambil peran akun target dan membangun hubungan kepercayaan dengan. AWS FIS IAMPeran ini digunakan sebagai template percobaan. roleArn

Untuk mempelajari lebih lanjut tentang rantai peran, lihat Syarat dan konsep Peran. IAMPanduan Pengguna in

Dalam contoh berikut, Anda akan menyiapkan izin untuk akun orkestrator A untuk menjalankan eksperimen dengan aws:ebs:pause-volume-io di akun target B.

  1. Di akun B, buat IAM peran dengan izin yang diperlukan untuk menjalankan tindakan. Untuk izin yang diperlukan untuk setiap tindakan, lihatAWS FIS Referensi tindakan. Contoh berikut menunjukkan izin yang diberikan akun target untuk menjalankan tindakan EBS Jeda Volume IO. aws:ebs:pause-volume-io

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVolumes"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:PauseVolumeIO"
            ],
            "Resource": "arn:aws:ec2:region:accountIdB:volume/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": "*"
        }
    ]
}

  2. Selanjutnya, tambahkan kebijakan kepercayaan di akun B yang menciptakan hubungan kepercayaan dengan akun A. Pilih nama untuk IAM peran akun A, yang akan Anda buat di langkah 3.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
           "Effect": "Allow",
            "Principal": {
                "AWS": "AccountIdA"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringLike":{
                    "sts:ExternalId": "arn:aws:fis:region:accountIdA:experiment/*"
                },
                "ArnEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::accountIdA:role/role_name"
                }
            }
        }
    ]
}

  3. Di akun A, buat IAM peran. Nama peran ini harus cocok dengan peran yang Anda tentukan dalam kebijakan kepercayaan di langkah 2. Untuk menargetkan beberapa akun, Anda memberikan izin orkestrator untuk mengambil setiap peran. Contoh berikut menunjukkan izin untuk akun A untuk mengambil akun B. Jika Anda memiliki akun target tambahan, Anda akan menambahkan peran tambahan ARNs ke kebijakan ini. Anda hanya dapat memiliki satu peran ARN per akun target.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::accountIdB:role/role_name"
            ]
        }
    ]
}

  4. IAMPeran untuk akun A ini digunakan sebagai templat percobaan. roleArn Contoh berikut menunjukkan kebijakan kepercayaan yang diperlukan dalam IAM peran yang memberikan AWS FIS izin untuk mengambil akun A, akun orkestrator.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "fis.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Anda juga dapat menggunakan Stacksets untuk menyediakan beberapa IAM peran sekaligus. Untuk menggunakannya CloudFormation StackSets, Anda perlu mengatur StackSet izin yang diperlukan di AWS akun Anda. Untuk mempelajari lebih lanjut, lihat Bekerja dengan AWS CloudFormation StackSets.

Kondisi berhenti untuk eksperimen multi-akun (opsional)

Kondisi berhenti adalah mekanisme untuk menghentikan eksperimen jika mencapai ambang batas yang Anda definisikan sebagai alarm. Untuk mengatur kondisi berhenti untuk eksperimen multi-akun, Anda dapat menggunakan alarm lintas akun. Anda harus mengaktifkan berbagi di setiap akun target agar alarm tersedia ke akun orkestrator menggunakan izin hanya-baca. Setelah dibagikan, Anda dapat menggabungkan metrik dari akun target yang berbeda menggunakan Metric Math. Kemudian, Anda dapat menambahkan alarm ini sebagai kondisi berhenti untuk percobaan.

Untuk mempelajari selengkapnya tentang dasbor lintas akun, lihat Mengaktifkan fungsionalitas lintas akun di. CloudWatch

Tuas pengaman untuk eksperimen multi-akun (opsional)

Tuas pengaman digunakan untuk menghentikan semua eksperimen yang berjalan dan mencegah eksperimen baru dimulai. Anda mungkin ingin menggunakan tuas pengaman untuk mencegah FIS eksperimen selama periode waktu tertentu atau sebagai respons terhadap alarm kesehatan aplikasi. Setiap AWS akun memiliki tuas pengaman per Wilayah AWS. Ketika tuas pengaman diaktifkan, itu berdampak pada semua eksperimen yang berjalan di akun dan wilayah yang sama dengan tuas pengaman. Untuk menghentikan dan mencegah eksperimen multi-akun, tuas pengaman harus terlibat dalam akun dan wilayah yang sama di mana eksperimen berjalan.