本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在中创建跨账户授权 ARC
您的资源可能分布在多个 AWS 账户中,这使得全面了解应用程序的运行状况变得困难。它还可能使获取快速决策所需的信息变得困难。为了帮助简化在 Amazon Application Recovery Controll ARC er () 中检查准备情况,您可以使用跨账户授权。
中的跨账户授权ARC与准备情况检查功能配合使用。通过跨账户授权,您可以使用一个中央 AWS 账户来监控位于多个 AWS 账户中的资源。在包含要监控的资源的每个账户中,您可以授权中央账户访问这些资源。然后,该中央账户可以为所有账户中的资源创建就绪检查,并且您可以从该中央账户监控失效转移就绪情况。
注意
在控制台中不能设置跨账户授权。相反,使用ARCAPI操作来设置和使用跨账户授权。为了帮助您入门,本节提供了 AWS CLI 命令示例。
假设某个应用程序有一个账户在美国西部(俄勒冈州)区域 (us-west-2) 拥有资源,还有一个账户在美国东部(弗吉尼亚州北部)区域 (us-east-1) 拥有您想要监控的资源。ARC可以允许您使用跨账户授权从一个账户 us-west-2 监控两组资源。
例如,假设您有以下 AWS 账户:
美国西部账户:999999999999
美国东部账户:111111111111
在 us-east-1 账户 (11111111111111) 中,我们可以启用跨账户授权,允许 us-west-2 账户 (999999999999) 访问,方法是为 us-west-2 账户 (root) 指定亚马逊资源名称 ():。ARN IAM arn:aws:iam::999999999999:root创建授权后,us-west-2 账户便可将 us-east-1 拥有的资源添加到资源集中,并创建要对该资源集运行的就绪检查。
以下示例说明了如何为一个账户设置跨账户授权。您必须在每个拥有要添加和监控的 AWS 资源的额外账户中ARC启用跨账户授权。
注意
ARC是一项全球服务,支持多个 AWS 区域的终端节点,但您必须在大多数ARCCLI命令中指定美国西部(俄勒冈--region us-west-2)区域(即指定参数)。
以下 AWS CLI 命令显示如何为此示例设置跨账户授权:
aws route53-recovery-readiness --region us-west-2 --profileprofile-in-us-east-1-account\ create-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root
要禁用该授权,请执行以下操作:
aws route53-recovery-readiness --region us-west-2 --profileprofile-in-us-east-1-account\ delete-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root
要在一个特定账户中查看所有您已提供跨账户授权的账户,请使用 list-cross-account-authorizations 命令。请注意,目前无法反向检查。也就是说,在账户资料中,没有一种API操作可以用来列出已获得跨账户授权添加和监控资源的所有账户。
aws route53-recovery-readiness --region us-west-2 --profileprofile-in-us-east-1-account\ list-cross-account-authorizations
{ "CrossAccountAuthorizations": [ "arn:aws:iam::999999999999:root" ] }
