Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di autorizzazioni per più account in ARC
È possibile che le risorse siano distribuite su più AWS account, il che può rendere difficile ottenere una visione completa dello stato dell'applicazione. Può anche rendere difficile ottenere le informazioni necessarie per prendere decisioni rapide. Per semplificare il controllo di idoneità in Amazon Application Recovery Controller (ARC), puoi utilizzare l'autorizzazione tra account.
L'autorizzazione tra più account ARC funziona con la funzione di controllo della disponibilità. Con l'autorizzazione su più account, puoi utilizzare un AWS account centrale per monitorare le risorse che si trovano in più account. AWS In ogni account con risorse che desideri monitorare, autorizzi l'account centrale ad avere accesso a tali risorse. L'account centrale può quindi creare controlli di idoneità per le risorse di tutti gli account e, dall'account centrale, è possibile monitorare la disponibilità al failover.
Nota
La configurazione dell'autorizzazione tra account non è disponibile nella console. Utilizza invece ARC API le operazioni per configurare e utilizzare l'autorizzazione tra più account. Per aiutarti a iniziare, questa sezione fornisce esempi di AWS CLI comandi.
Supponiamo che un'applicazione disponga di un account con risorse nella regione Stati Uniti occidentali (Oregon) (us-west-2) e che esista anche un account con risorse che desideri monitorare nella regione Stati Uniti orientali (Virginia settentrionale) (us-east-1). ARCpuò consentire l'accesso per monitorare entrambi i set di risorse da un unico account, us-west-2, utilizzando l'autorizzazione tra account.
Ad esempio, supponiamo che tu abbia i seguenti account: AWS
Account USA-Ovest: 9999
Conto negli Stati Uniti orientali: 1111
Nell'account us-east-1 (1111), possiamo abilitare l'autorizzazione tra account per consentire l'accesso all'account us-west-2 (9999) specificando l'Amazon Resource Name () per l'utente ARN (root) nell'account us-west-2:. IAM arn:aws:iam::999999999999:root
Dopo aver creato l'autorizzazione, l'account us-west-2 può aggiungere risorse di proprietà di us-east-1 ai set di risorse e creare controlli di fattibilità da eseguire sui set di risorse.
L'esempio seguente illustra l'impostazione dell'autorizzazione tra più account per un account. È necessario abilitare l'autorizzazione su più account in ogni account aggiuntivo che dispone di AWS risorse da aggiungere e monitorare. ARC
Nota
ARCè un servizio globale che supporta gli endpoint in più AWS regioni, ma è necessario specificare la regione Stati Uniti occidentali (Oregon) (ovvero specificare il parametro--region us-west-2
) nella maggior parte dei comandi. ARC CLI
Il AWS CLI comando seguente mostra come impostare l'autorizzazione tra account per questo esempio:
aws route53-recovery-readiness --region us-west-2 --profile
profile-in-us-east-1-account
\ create-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root
Per disabilitare questa autorizzazione, procedi come segue:
aws route53-recovery-readiness --region us-west-2 --profile
profile-in-us-east-1-account
\ delete-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root
Per archiviare in un account specifico tutti gli account per i quali hai fornito l'autorizzazione per più account, usa il list-cross-account-authorizations
comando. Tieni presente che al momento non puoi effettuare il check-in nella direzione opposta. Cioè, non esiste un'APIoperazione che sia possibile utilizzare con un profilo di account per elencare tutti gli account per i quali è stata concessa l'autorizzazione di aggiungere e monitorare risorse su più account.
aws route53-recovery-readiness --region us-west-2 --profile
profile-in-us-east-1-account
\ list-cross-account-authorizations
{ "CrossAccountAuthorizations": [ "arn:aws:iam::999999999999:root" ] }