でのクロスアカウント認証の作成 ARC

リソースを複数の AWS アカウントに分散させると、アプリケーションのヘルスを包括的に把握することが困難になる場合があります。また、迅速な意思決定に必要な情報を取得することも難しくなります。Amazon Application Recovery Controller (ARC) での準備状況チェックを効率化するために、クロスアカウント認証 を使用できます。

でのクロスアカウント認証ARCは、準備状況チェック機能と連携しています。クロスアカウント認可では、中央にある 1 つの AWS アカウントを使用して、複数の AWS アカウントにあるリソースをモニタリングできます。モニタリングするリソースがある各アカウントで、中央のアカウントに、それらのリソースへのアクセスを許可します。それにより、中央のアカウントで、すべてのアカウントのリソースに対する準備状況チェックを作成し、中央のアカウントからフェイルオーバーの準備状況をモニタリングできるようになります。

あるアプリケーションに、米国西部 (オレゴン) リージョンにリソースを有するアカウント (us-west-2) があり、さらに、モニタリングするリソースを米国東部 (バージニア北部) リージョンに有するアカウント (us-east-1) もあるとします。ARC では、クロスアカウント認証を使用して、1 つのアカウント us-west-2 から両方のリソースセットをモニタリングできます。

例えば、次の AWS アカウントがあるとします。

us-east-1 アカウント (111111111111) では、us-west-2 アカウント (999999999999) で (ルートARN) ユーザーの Amazon リソースネーム () を指定することで、クロスアカウント認証を有効にして us-west-2 IAMアカウント ) によるアクセスを許可できますarn:aws:iam::999999999999:root。認可を作成すると、us-west-2 アカウントは、us-east-1 が所有するリソースをリソースセットに追加し、そのリソースセットで実行する準備状況チェックを作成できます。

次の例は、1 つのアカウントにクロスアカウント認可を設定する方法を示したものです。で追加およびモニタリングする AWS リソースを持つ追加のアカウントごとに、クロスアカウント認証を有効にする必要がありますARC。

以下の AWS CLI コマンドは、こちらの例でクロスアカウント認可を設定する方法を示しています。

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				create-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root

この認可を無効にするには、次の手順を実行します。

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				delete-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root

クロスアカウント認証を行ったすべてのアカウントについて特定のアカウントをチェックインするには、 list-cross-account-authorizations コマンドを使用します。現時点では、反対方向にチェックインできません。つまり、リソースを追加およびモニタリングするためのクロスアカウント認証が付与されているすべてのアカウントを一覧表示するために、アカウントプロファイルで使用できるAPIオペレーションはありません。

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				list-cross-account-authorizations

{
    "CrossAccountAuthorizations": [
        "arn:aws:iam::999999999999:root"
    ]
}