本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 AWS AppConfig
如果您尚未這麼做,請註冊 AWS 帳戶 並建立系統管理使用者。
註冊一個 AWS 帳戶
如果您沒有 AWS 帳戶,請完成以下步驟來建立一個。
若要註冊成為 AWS 帳戶
打開https://portal.aws.amazon.com/billing/註冊
。 請遵循線上指示進行。
部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。
當您註冊一個時 AWS 帳戶,將創建AWS 帳戶根使用者一個。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務。
AWS 註冊過程完成後,會向您發送確認電子郵件。您可以隨時登錄 https://aws.amazon.com/
建立具有管理存取權的使用者
註冊後,請確保您的安全 AWS 帳戶 AWS 帳戶根使用者 AWS IAM Identity Center、啟用和建立系統管理使用者,這樣您就不會將 root 使用者用於日常工作。
保護您的 AWS 帳戶根使用者
-
選擇 Root 使用者並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入。AWS Management Console
在下一頁中,輸入您的密碼。 如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入。
-
為您的 root 使用者開啟多因素驗證 (MFA)。
如需指示,請參閱《使用指南》中的「IAM為 AWS 帳戶 root 使用者啟用虛擬MFA裝置 (主控台)」。
建立具有管理存取權的使用者
-
啟用IAM身分識別中心。
如需指示,請參閱 AWS IAM Identity Center 使用者指南中的啟用 AWS IAM Identity Center。
-
在IAM身分識別中心中,將管理存取權授與使用者。
以具有管理存取權的使用者身分登入
-
若要使用您的 IAM Identity Center 使用者登入URL,請使用建立IAM身分識別中心使用者時傳送至您電子郵件地址的登入資訊。
如需使用IAM身分識別中心使用者登入的說明,請參閱使用指南中的登入 AWS 存取入口網站。AWS 登入
指派存取權給其他使用者
授與程式設計存取權
如果使用者想要與 AWS 之外的 AWS Management Console. 授與程式設計存 AWS取權的方式取決於正在存取的使用者類型。
若要授與使用者程式設計存取權,請選擇下列其中一個選項。
| 哪個使用者需要程式設計存取權? | 到 | By |
|---|---|---|
|
人力身分 (在IAM身分識別中心管理的使用者) |
使用臨時認證來簽署 AWS CLI、 AWS SDKs或 AWS APIs的程式設計要求。 |
請依照您要使用的介面所提供的指示操作。
|
| IAM | 使用臨時認證來簽署 AWS CLI、 AWS SDKs或 AWS APIs的程式設計要求。 | 請遵照《使用指南》中的〈搭配資 AWS 源使用臨時登入資料〉中的IAM指示 |
| IAM | (不建議使用) 使用長期認證來簽署 AWS CLI、 AWS SDKs或 AWS APIs的程式設計要求。 |
請依照您要使用的介面所提供的指示操作。
|
(建議) 設定自動復原的權限
您可以設定 AWS AppConfig 為回復到先前版本的組態,以回應一個或多個 Amazon CloudWatch 警示。當您將部署設定為回應 CloudWatch 警示時,您可以指定 AWS Identity and Access Management (IAM) 角色。 AWS AppConfig 需要此角色才能監控 CloudWatch 警報。此程序是選擇性的,但強烈建議您使用。
注意
IAM角色必須屬於目前帳戶。默認情況下,只 AWS AppConfig 能監視當前帳戶擁有的警報。如果您要設定為 AWS AppConfig 回復部署以回應來自不同帳戶的指標,則必須設定跨帳戶警示。如需詳細資訊,請參閱 Amazon CloudWatch 使用者指南中的跨帳戶跨區域 CloudWatch 主控台。
使用下列程序建立可根據 CloudWatch 警示 AWS AppConfig 復原的IAM角色。本節包括下列程序。
步驟 1:根據 CloudWatch 警示建立復原的權限原則
使用下列程序來建立授與呼叫DescribeAlarmsAPI動作之 AWS AppConfig 權限的IAM原則。
若要根據 CloudWatch警示建立復原的IAM權限原則
-
在開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇 Policies (政策),然後選擇 Create policy (建立政策)。
-
在 [建立原則] 頁面上,選擇索JSON引標籤。
-
將JSON索引標籤上的預設內容取代為下列權限原則,然後選擇 [下一步:標記]。
注意
若要傳回有關 CloudWatch 複合警示的資訊,必須將
*權限指派給DescribeAlarmsAPI作業,如下所示。如果範圍較窄,則無法傳回DescribeAlarms有關複合警報的資訊。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" } ] } -
輸入此角色的標籤,然後選擇 Next: Review (下一步:檢閱)。
-
在「複查」頁面的「名稱」欄位
SSMCloudWatchAlarmDiscoveryPolicy中輸入。 -
選擇 建立政策。系統會讓您返回 Policies (政策) 頁面。
步驟 2:根據 CloudWatch 警示建立復原IAM角色
使用下列程序建立IAM角色,並將您在上一個程序中建立的原則指派給角色。
若要根據 CloudWatch 警示建立復原IAM角色
-
在開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。
-
在 Select type of trusted entity (選擇可信任執行個體類型) 下,選擇 AWS service ( 服務)。
-
立即在 [選擇要使用此角色的服務] 下方,選擇EC2:允許EC2執行個體代表您呼叫 AWS 服務,然後選擇 [下一步:權限]。
-
在 [附加的權限原則] 頁面上,搜尋SSMCloudWatchAlarmDiscoveryPolicy。
-
選擇此政策,然後選擇 Next: Tags (下一步:標籤)。
-
輸入此角色的標籤,然後選擇 Next: Review (下一步:檢閱)。
-
在 [建立角色] 頁面上,輸
SSMCloudWatchAlarmDiscoveryRole入 [角色名稱] 欄位,然後選擇 [建立角色]。 -
在 Roles (角色) 頁面上,選擇您剛建立的角色。Summary (摘要) 頁面隨即開啟。
步驟 3:新增信任關係
使用下列程序來設定您剛建立的角色以信任 AWS AppConfig。
若要新增信任關係 AWS AppConfig
-
在您剛建立之角色的 Summary (摘要) 頁面中,選擇 Trust Relationships (信任關係) 索引標籤,然後著選擇 Edit Trust Relationship (編輯信任關係)。
-
編輯政策以僅包含 "
appconfig.amazonaws.com",如下列範例所示:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "appconfig.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
選擇 Update Trust Policy (更新信任政策)。
