本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 AWS AppConfig
如果您尚未這樣做,請註冊 AWS 帳戶 並建立管理使用者。
註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟以建立 。
若要註冊 AWS 帳戶
開啟https://portal.aws.amazon.com/billing/註冊
。 請遵循線上指示進行。
部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,AWS 帳戶根使用者會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時前往 https://aws.amazon.com/
建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護您的 AWS 帳戶根使用者、啟用 AWS IAM Identity Center並建立管理使用者,這樣您就不會將根使用者用於日常任務。
保護您的 AWS 帳戶根使用者
-
選擇根使用者並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者AWS Management Console
身分登入 。在下一頁中,輸入您的密碼。 如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入。
-
為您的根使用者開啟多重要素驗證 (MFA)。
如需指示,請參閱 IAM 使用者指南 中的為 AWS 帳戶 根使用者 (主控台) 啟用虛擬MFA裝置。
建立具有管理存取權的使用者
-
啟用IAM身分中心。
如需指示,請參閱 AWS IAM Identity Center 使用者指南中的啟用 AWS IAM Identity Center。
-
在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱 AWS IAM Identity Center 使用者指南 中的使用 設定使用者存取權 IAM Identity Center 目錄。
以具有管理存取權的使用者身分登入
-
若要使用 IAM Identity Center 使用者登入,請使用您建立 IAM Identity Center 使用者時URL傳送到您電子郵件地址的登入。
如需使用 IAM Identity Center 使用者登入的協助,請參閱 AWS 登入 使用者指南 中的登入 AWS 存取入口網站。
指派存取權給其他使用者
授與程式設計存取權
如果使用者想要與 AWS 外部互動,則需要程式設計存取權 AWS Management Console。授予程式設計存取權的方式取決於存取 的使用者類型 AWS。
若要授與使用者程式設計存取權,請選擇下列其中一個選項。
| 哪個使用者需要程式設計存取權? | 到 | By |
|---|---|---|
|
人力身分 (在 IAM Identity Center 中管理的使用者) |
使用暫時憑證簽署對 AWS CLI AWS SDKs、 或 的程式設計請求 AWS APIs。 |
請依照您要使用的介面所提供的指示操作。
|
| IAM | 使用暫時憑證簽署對 AWS CLI AWS SDKs、 或 的程式設計請求 AWS APIs。 | 遵循 IAM 使用者指南 中的使用臨時憑證與 AWS 資源的指示。 |
| IAM | (不建議使用) 使用長期憑證簽署對 AWS CLI AWS SDKs、 或 的程式設計請求 AWS APIs。 |
請依照您要使用的介面所提供的指示操作。
|
(建議) 設定自動復原的許可
您可以設定 來 AWS AppConfig 復原至先前版本的組態,以回應一或多個 Amazon CloudWatch 警示。當您設定部署以回應 CloudWatch 警示時,您可以指定 AWS Identity and Access Management (IAM) 角色。 AWS AppConfig 需要此角色,以便監控 CloudWatch 警示。此程序為選用,但強烈建議採用。
注意
IAM 角色必須屬於目前的 帳戶。根據預設, AWS AppConfig 只能監控目前帳戶擁有的警示。如果您想要設定 AWS AppConfig 來復原部署,以回應來自不同帳戶的指標,則必須設定跨帳戶警示。如需詳細資訊,請參閱 Amazon CloudWatch 使用者指南 中的跨帳戶跨區域 CloudWatch 主控台。
使用下列程序來建立IAM角色, AWS AppConfig 讓 能夠根據 CloudWatch 警示復原。本節包括下列程序。
步驟 1:根據 CloudWatch 警示建立復原的許可政策
使用下列程序建立IAM政策,以授予呼叫DescribeAlarmsAPI動作的 AWS AppConfig 許可。
根據警示建立復原 CloudWatch的IAM許可政策
-
在 開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇 Policies (政策),然後選擇 Create policy (建立政策)。
-
在建立政策頁面上,選擇 JSON 索引標籤。
-
將JSON索引標籤上的預設內容取代為下列許可政策,然後選擇下一步:標籤 。
注意
若要傳回 CloudWatch 有關複合警示的資訊,必須指派DescribeAlarmsAPI操作
*許可,如此處所示。如果DescribeAlarms範圍更窄,則無法傳回複合警示的相關資訊。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" } ] } -
輸入此角色的標籤,然後選擇 Next: Review (下一步:檢閱)。
-
在檢閱頁面上,
SSMCloudWatchAlarmDiscoveryPolicy在名稱欄位中輸入 。 -
選擇 建立政策。系統會讓您返回 Policies (政策) 頁面。
步驟 2:根據 CloudWatch 警示建立復原IAM的角色
使用下列程序來建立IAM角色,並將您在先前程序中建立的政策指派給該角色。
根據 CloudWatch 警示建立復原IAM的角色
-
在 開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。
-
在 Select type of trusted entity (選擇可信任執行個體類型) 下,選擇 AWS service ( 服務)。
-
立即在選擇將使用此角色的服務 下,選擇 EC2:允許EC2執行個體代表您呼叫 AWS 服務,然後選擇下一步:許可 。
-
在連接許可政策頁面上,搜尋 SSMCloudWatchAlarmDiscoveryPolicy。
-
選擇此政策,然後選擇 Next: Tags (下一步:標籤)。
-
輸入此角色的標籤,然後選擇 Next: Review (下一步:檢閱)。
-
在建立角色頁面上,
SSMCloudWatchAlarmDiscoveryRole輸入角色名稱欄位,然後選擇建立角色 。 -
在 Roles (角色) 頁面上,選擇您剛建立的角色。Summary (摘要) 頁面隨即開啟。
步驟 3:新增信任關係
使用下列程序來設定您剛建立的角色以信任 AWS AppConfig。
若要新增 的信任關係 AWS AppConfig
-
在您剛建立之角色的 Summary (摘要) 頁面中,選擇 Trust Relationships (信任關係) 索引標籤,然後著選擇 Edit Trust Relationship (編輯信任關係)。
-
編輯政策以僅包含 "
appconfig.amazonaws.com",如下列範例所示:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "appconfig.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
選擇 Update Trust Policy (更新信任政策)。
