设置 AWS AppConfig
如果尚未进行此操作,请注册 AWS 账户 并创建管理用户。
注册 AWS 账户
如果您还没有 AWS 账户,请完成以下步骤来创建一个。
注册 AWS 账户
打开 https://portal.aws.amazon.com/billing/signup
。 按照屏幕上的说明进行操作。
在注册时,将接到一通电话,要求使用电话键盘输入一个验证码。
当您注册 AWS 账户时,系统将会创建一个 AWS 账户根用户。根用户有权访问该账户中的所有 AWS 服务 和资源。作为安全最佳实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务。
注册过程完成后,AWS 会向您发送一封确认电子邮件。在任何时候,您都可以通过转至 https://aws.amazon.com/
创建具有管理访问权限的用户
注册 AWS 账户 后,请保护好您的 AWS 账户根用户,启用 AWS IAM Identity Center,并创建一个管理用户,以避免使用根用户执行日常任务。
保护您的 AWS 账户根用户
-
选择根用户并输入您的 AWS 账户电子邮件地址,以账户拥有者身份登录 AWS Management Console
。在下一页上,输入您的密码。 要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的以根用户身份登录。
-
为您的根用户启用多重身份验证 (MFA)。
有关说明,请参阅《IAM 用户指南》中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)。
创建具有管理访问权限的用户
-
启用 IAM Identity Center。
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的启用 AWS IAM Identity Center。
-
在 IAM Identity Center 中,为用户授予管理访问权限。
有关如何使用 IAM Identity Center 目录 作为身份源的教程,请参阅《AWS IAM Identity Center 用户指南》中的使用默认的 IAM Identity Center 目录 配置用户访问权限。
以具有管理访问权限的用户身份登录
-
要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录网址。
要获取使用 IAM Identity Center 用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的登录 AWS 访问门户。
将访问权限分配给其他用户
授权以编程方式访问
如果用户需要在 AWS Management Console 之外与 AWS 交互,则需要编程式访问权限。授予编程式访问权限的方法取决于访问 AWS 的用户类型。
要向用户授予编程式访问权限,请选择以下选项之一。
| 哪个用户需要编程式访问权限? | 目的 | 方式 |
|---|---|---|
|
人力身份 (在 IAM Identity Center 中管理的用户) |
使用临时凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 |
按照您希望使用的界面的说明进行操作。
|
| IAM | 使用临时凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 | 按照《IAM 用户指南》中将临时凭证用于 AWS 资源中的说明进行操作。 |
| IAM | (不推荐使用) 使用长期凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 |
按照您希望使用的界面的说明进行操作。
|
(建议)配置自动回滚权限
您可以将 AWS AppConfig 配置为回滚到配置文档的上一个版本,以响应一个或多个 Amazon CloudWatch 警报。在配置部署以响应 CloudWatch 警报时,需要指定一个 AWS Identity and Access Management (IAM) 角色。 AWS AppConfig需要此角色以便能够监控 CloudWatch 警报。此过程是可选的,但强烈建议您这样做。
注意
请注意以下信息。
-
IAM 角色必须属于当前账户。默认情况下,AWS AppConfig 只能监控当前账户拥有的警报。如果要配置为 AWS AppConfig 回滚部署以响应来自其他账户的指标,则必须配置跨账户警报。有关更多信息,请参阅 Amazon CloudWatch 用户指南中的跨账户跨区域 CloudWatch 控制台。
-
有关要监控的指标以及如何配置 AWS AppConfig 来实现自动回滚的信息,请参阅监控部署以实现自动回滚。
使用以下过程可创建 IAM 角色,该角色允许 AWS AppConfig 基于 CloudWatch 警报回滚。本节包括以下过程。
第 1 步:创建基于 CloudWatch 警报回滚的权限策略
可以使用以下过程创建一个 IAM 策略,以便为 AWS AppConfig 授予权限以调用 DescribeAlarms API 操作。
创建基于 CloudWatch 警报回滚的 IAM 权限策略
-
访问:https://console.aws.amazon.com/iam/
,打开 IAM 控制台。 -
在导航窗格中,选择 Policies (策略),然后选择 Create policy (创建策略)。
-
在创建策略页面上,选择 JSON 选项卡。
-
将 JSON 选项卡上的默认内容替换以下权限策略,然后选择 Next: Tags。
注意
要返回有关 CloudWatch 复合警报的信息,必须为 DescribeAlarms API 操作分配
*权限,如下所示。如果DescribeAlarms的范围较窄,则无法返回有关复合警报的信息。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" } ] } -
为该角色输入标签,然后选择 Next: Review。
-
在查看页面上,将
SSMCloudWatchAlarmDiscoveryPolicy输入到 名称 字段中。 -
选择创建策略。系统将让您返回到 Policies 页面。
第 2 步:创建基于 CloudWatch 警报回滚的 IAM 角色
使用以下过程创建 IAM 角色并向其分配您在上一过程中创建的策略。
创建基于 CloudWatch 警报回滚的 IAM 角色
-
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)。
-
在 Select type of trusted entity (选择受信任实体的类型) 下,选择 AWS service (Amazon Web Services 服务)。
-
在紧靠选择将使用此角色的服务下面,选择 EC2:允许 EC2 实例调用 AWS 服务,并代表您 ,然后选择 下一步: 权限。
-
在 附加的权限策略 页面上,搜索 SSMCloudWatchAlarmDiscoveryPolicy。
-
选择此策略,然后选择 Next: Tags。
-
为该角色输入标签,然后选择 Next: Review。
-
在 创建角色 页面上,将
SSMCloudWatchAlarmDiscoveryRole输入到 角色名称 字段中,然后选择 创建角色。 -
在 Roles 页面上,选择您刚刚创建的角色。此时将打开摘要页面。
第 3 步:添加信任关系
使用以下过程将您刚刚创建的角色配置为信任 AWS AppConfig。
为 AWS AppConfig 添加信任关系
-
在刚刚创建的角色的摘要页面上,选择信任关系选项卡,然后选择编辑信任关系。
-
编辑策略以仅包含“
appconfig.amazonaws.com”,如以下示例中所示:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "appconfig.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
选择更新信任策略。
