Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prerequisiti per esperimenti con più account
Per utilizzare le condizioni di interruzione per un esperimento con più account, devi prima configurare gli allarmi tra account. IAMi ruoli vengono definiti quando si crea un modello di esperimento con più account. È possibile creare i IAM ruoli necessari prima di creare il modello.
Contenuti
Autorizzazioni per esperimenti con più account
Gli esperimenti su più account utilizzano IAM il concatenamento dei ruoli per concedere le autorizzazioni necessarie AWS FIS per intraprendere azioni sulle risorse degli account target. Per gli esperimenti con più account, imposti IAM i ruoli in ogni account di destinazione e nell'account orchestrator. Questi IAM ruoli richiedono una relazione di fiducia tra gli account di destinazione e l'account orchestrator e tra l'account orchestrator e. AWS FIS
I IAM ruoli per gli account di destinazione contengono le autorizzazioni necessarie per agire sulle risorse e vengono creati per un modello di esperimento aggiungendo configurazioni di account di destinazione. Creerai un IAM ruolo per l'account orchestrator con l'autorizzazione ad assumere i ruoli degli account di destinazione e stabilire una relazione di fiducia con. AWS FIS Questo IAM ruolo viene utilizzato come modello roleArn di esperimento.
Per ulteriori informazioni sul concatenamento dei ruoli, consulta Termini e concetti relativi ai ruoli. Guida per IAM l'utente di in
Nell'esempio seguente, imposterai le autorizzazioni per un account orchestratore A con aws:ebs:pause-volume-io cui eseguire un esperimento nell'account di destinazione B.
-
Nell'account B, crea un IAM ruolo con le autorizzazioni necessarie per eseguire l'azione. Per le autorizzazioni richieste per ogni azione, consulta. AWS FIS Riferimento alle azioni L'esempio seguente mostra le autorizzazioni concesse da un account di destinazione per eseguire l'azione EBS Pause Volume IO. aws:ebs:pause-volume-io
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVolumes" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:PauseVolumeIO" ], "Resource": "arn:aws:ec2:region:accountIdB:volume/*" }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" } ] } -
Quindi, aggiungi una politica di fiducia nell'account B che crei una relazione di fiducia con l'account A. Scegli un nome per il IAM ruolo dell'account A, che creerai nel passaggio 3.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AccountIdA" }, "Action": "sts:AssumeRole", "Condition": { "StringLike":{ "sts:ExternalId": "arn:aws:fis:region:accountIdA:experiment/*" }, "ArnEquals": { "aws:PrincipalArn": "arn:aws:iam::accountIdA:role/role_name" } } } ] } -
Nell'account A, crea un IAM ruolo. Il nome di questo ruolo deve corrispondere al ruolo specificato nella politica di fiducia nel passaggio 2. Per scegliere come target più account, concedi all'orchestrator le autorizzazioni per assumere ogni ruolo. L'esempio seguente mostra le autorizzazioni per l'account A ad assumere l'account B. Se disponi di account target aggiuntivi, aggiungerai un ruolo aggiuntivo a questa politica. ARNs Puoi avere un solo ruolo ARN per account di destinazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::accountIdB:role/role_name" ] } ] } -
Questo IAM ruolo per l'account A viene utilizzato come modello di esperimento.
roleArnL'esempio seguente mostra la politica di fiducia richiesta nel IAM ruolo che concede le AWS FIS autorizzazioni per assumere l'account A, l'account dell'orchestratore.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "fis.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
Puoi anche utilizzare Stacksets per fornire più ruoli contemporaneamente. IAM Per utilizzarlo CloudFormation StackSets, dovrai impostare le StackSet autorizzazioni necessarie nei tuoi account. AWS Per ulteriori informazioni, consulta Lavorare con AWS CloudFormation StackSets.
Condizioni di interruzione degli esperimenti con più account (opzionale)
Una condizione di arresto è un meccanismo per interrompere un esperimento se raggiunge una soglia definita come allarme. Per impostare una condizione di interruzione per un esperimento con più account, puoi utilizzare allarmi tra più account. È necessario abilitare la condivisione in ogni account di destinazione per rendere l'allarme disponibile all'account orchestrator utilizzando le autorizzazioni di sola lettura. Una volta condivisa, puoi combinare le metriche di diversi account di destinazione utilizzando Metric Math. Quindi, puoi aggiungere questo allarme come condizione di arresto dell'esperimento.
Per ulteriori informazioni sui dashboard tra account, consulta Attivazione della funzionalità tra account in. CloudWatch
Leve di sicurezza per esperimenti con più account (opzionale)
Le leve di sicurezza vengono utilizzate per interrompere tutti gli esperimenti in corso e impedire l'avvio di nuovi esperimenti. È possibile utilizzare la leva di sicurezza per prevenire FIS gli esperimenti in determinati periodi di tempo o in risposta agli allarmi relativi allo stato dell'applicazione. Ogni AWS account ha una leva di sicurezza per. Regione AWS Quando viene inserita una leva di sicurezza, influisce su tutti gli esperimenti eseguiti nello stesso account e nella stessa regione della leva di sicurezza. Per interrompere e prevenire gli esperimenti con più account, la leva di sicurezza deve essere inserita nello stesso account e nella stessa regione in cui sono in corso gli esperimenti.
