本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 AWS AppConfig
如果您尚未這麼做,請註冊 AWS 帳戶 並建立管理使用者。
註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個 。
註冊 AWS 帳戶
開啟 https://portal.aws.amazon.com/billing/signup
。 請遵循線上指示進行。
部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,AWS 帳戶根使用者會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 https://aws.amazon.com/
建立具有管理存取權的使用者
註冊 之後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。
保護您的 AWS 帳戶根使用者
-
選擇根使用者並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者AWS Management Console
身分登入 。在下一頁中,輸入您的密碼。 如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入。
-
若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《IAM 使用者指南》中的為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置。
建立具有管理存取權的使用者
-
啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的啟用 AWS IAM Identity Center。
-
在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱AWS IAM Identity Center 《 使用者指南》中的使用預設值設定使用者存取權 IAM Identity Center 目錄。
以具有管理存取權的使用者身分登入
-
若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱AWS 登入 《 使用者指南》中的登入 AWS 存取入口網站。
指派存取權給其他使用者
授與程式設計存取權
如果使用者想要與 AWS 外部互動,則需要程式設計存取 AWS Management Console。授予程式設計存取權的方式取決於存取的使用者類型 AWS。
若要授與使用者程式設計存取權,請選擇下列其中一個選項。
| 哪個使用者需要程式設計存取權? | 到 | 根據 |
|---|---|---|
|
人力資源身分 (IAM Identity Center 中管理的使用者) |
使用臨時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs |
請依照您要使用的介面所提供的指示操作。
|
| IAM | 使用臨時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請遵循 IAM 使用者指南中的使用臨時登入資料與 AWS 資源的指示。 |
| IAM | (不建議使用) 使用長期登入資料來簽署對 AWS CLI、 AWS SDKs 或 AWS APIs程式設計請求。 |
請依照您要使用的介面所提供的指示操作。
|
(建議) 設定自動復原的許可
您可以 AWS AppConfig 設定 來復原至先前版本的組態,以回應一或多個 Amazon CloudWatch 警示。當您設定部署以回應 CloudWatch 警示時,您可以指定 AWS Identity and Access Management (IAM) 角色。 AWS AppConfig 需要此角色,才能監控 CloudWatch 警示。此程序是選用的,但強烈建議使用。
注意
記下以下資訊。
-
IAM 角色必須屬於目前的帳戶。根據預設, AWS AppConfig 只能監控目前帳戶擁有的警示。
-
如需監控指標以及如何 AWS AppConfig 設定自動復原的詳細資訊,請參閱 監控部署的自動復原。
使用下列程序來建立 IAM 角色,讓 AWS AppConfig 能夠根據 CloudWatch 警示復原。本節包括下列程序。
步驟 1:根據 CloudWatch 警示建立復原的許可政策
使用下列程序建立 IAM 政策,提供呼叫 DescribeAlarms API 動作的 AWS AppConfig 許可。
根據 CloudWatch 警示建立復原的 IAM 許可政策
-
在 https://console.aws.amazon.com/iam/
中開啟 IAM 主控台。 -
在導覽窗格中,選擇 Policies (政策),然後選擇 Create policy (建立政策)。
-
在建立政策頁面上,選擇 JSON 標籤。
-
將 JSON 標籤上的預設內容取代為下列許可政策,然後選擇下一步:標籤。
注意
若要傳回有關 CloudWatch 複合警示的資訊,必須指派 DescribeAlarms API 操作
*的許可,如下所示。如果DescribeAlarms的範圍較窄,則無法傳回複合警示的相關資訊。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" } ] } -
輸入此角色的標籤,然後選擇 Next: Review (下一步:檢閱)。
-
在檢閱頁面上,
SSMCloudWatchAlarmDiscoveryPolicy在名稱欄位中輸入 。 -
選擇 建立政策。系統會讓您返回 Policies (政策) 頁面。
步驟 2:根據 CloudWatch 警示建立用於復原的 IAM 角色
使用下列程序來建立 IAM 角色,並將您在先前程序中建立的政策指派給該角色。
根據 CloudWatch 警示建立復原的 IAM 角色
-
在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。
-
在 Select type of trusted entity (選擇可信任執行個體類型) 下,選擇 AWS service ( 服務)。
-
立即在選擇將使用此角色的服務下,選擇 EC2:允許 EC2 執行個體代表您呼叫 AWS 服務,然後選擇下一步:許可。
-
在連接許可政策頁面上,搜尋 SSMCloudWatchAlarmDiscoveryPolicy。
-
選擇此政策,然後選擇 Next: Tags (下一步:標籤)。
-
輸入此角色的標籤,然後選擇 Next: Review (下一步:檢閱)。
-
在建立角色頁面上,
SSMCloudWatchAlarmDiscoveryRole在角色名稱欄位中輸入 ,然後選擇建立角色。 -
在 Roles (角色) 頁面上,選擇您剛建立的角色。Summary (摘要) 頁面隨即開啟。
步驟 3:新增信任關係
使用下列程序來設定您剛建立的角色以信任 AWS AppConfig。
新增 的信任關係 AWS AppConfig
-
在您剛建立之角色的 Summary (摘要) 頁面中,選擇 Trust Relationships (信任關係) 索引標籤,然後著選擇 Edit Trust Relationship (編輯信任關係)。
-
編輯政策以僅包含 "
appconfig.amazonaws.com",如下列範例所示:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "appconfig.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
選擇 Update Trust Policy (更新信任政策)。
