在 中建立跨帳戶授權 ARC - Amazon Application Recovery Controller (ARC)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 中建立跨帳戶授權 ARC

您可能會讓資源分散到多個 AWS 帳戶,這可能會讓您難以全面檢視應用程式的運作狀態。也可能導致難以取得快速決策所需的資訊。為了協助簡化 Amazon Application Recovery Controller (ARC) 中的準備狀態檢查,您可以使用跨帳戶授權

中的跨帳戶授權ARC可與準備狀態檢查功能搭配使用。透過跨帳戶授權,您可以使用一個中央 AWS 帳戶來監控位於多個 AWS 帳戶中的資源。在具有您要監控之資源的每個帳戶中,您授權中央帳戶存取這些資源。然後,中央帳戶可以為所有帳戶中的資源建立準備狀態檢查,並從中央帳戶監控容錯移轉的準備狀態。

注意

主控台中無法使用跨帳戶授權設定。反之,請使用 ARC API 操作來設定和使用跨帳戶授權。為了協助您開始使用,本節提供 AWS CLI 命令範例。

假設應用程式有一個帳戶,其在美國西部 (奧勒岡) 區域 (us-west-2) 中具有資源,而且還有一個帳戶,其具有您要在美國東部 (維吉尼亞北部) 區域 (us-east-1) 中監控的資源。ARC 可讓您使用跨帳戶授權,從一個帳戶 us-west-2 監控兩組資源。

例如,假設您有下列 AWS 帳戶:

  • 美國西部帳戶:999999999999

  • 美國東部帳戶:111111111111

在 us-east-1 帳戶 (111111111111) 中,我們可以透過為 us-west-2 帳戶中的 (根) 使用者指定 Amazon Resource Name (ARN) 來啟用跨帳戶授權,以允許 us-west-2 IAM帳戶 (999999999999) 存取:arn:aws:iam::999999999999:root。建立授權後,us-west-2 帳戶可以將 us-east-1 擁有的資源新增至資源集,並建立準備檢查以在資源集上執行。

下列範例說明設定一個帳戶的跨帳戶授權。您必須在每個具有要在 中新增和監控之 AWS 資源的其他帳戶中啟用跨帳戶授權ARC。

注意

ARC 是一項全域服務,支援多個 AWS 區域中的端點,但您必須在大多數ARCCLI命令中指定美國西部 (奧勒岡) 區域 (即指定參數 --region us-west-2)。

下列 AWS CLI 命令顯示如何設定此範例的跨帳戶授權:

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				create-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root

若要停用此授權,請執行下列動作:

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				delete-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root

若要檢查您提供跨帳戶授權的所有帳戶的特定帳戶,請使用 list-cross-account-authorizations命令。請注意,目前您無法以其他方向進行檢查。也就是說,沒有您可以搭配帳戶設定檔使用的 API 操作,以列出其已授予跨帳戶新增和監控資源授權的所有帳戶。

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				list-cross-account-authorizations
{
    "CrossAccountAuthorizations": [
        "arn:aws:iam::999999999999:root"
    ]
}