您的资源可能分布在多个 AWS 账户中,这使得***了解您的应用程序的运行状况并获取做出快速决策所需的信息具有挑战性。为了帮助在 Amazon Route 53 Application Recovery Controller 中简化此操作,您可以使用跨账户授权。
Route 53 ARC 中的跨账户授权与就绪检查功能配合使用。通过跨账户授权,您可以使用一个中央 AWS 账户来监控位于多个 AWS 账户中的资源。在每个拥有您要监控的资源的账户中,您授权中央账户访问这些资源。然后中央帐户可以为所有帐户中的资源创建就绪检查,并且您可以从中央帐户监控故障转移的就绪情况。
跨账户授权设置在控制台中不可用。相反,请使用 Route 53 ARC API 操作来设置和使用跨账户授权。为了帮助您入门,本部分提供了 AWS CLI 命令示例。
假设一个应用程序有一个在美国西部(俄勒冈)区域 (us-west-2) 拥有资源的账户,并且还有一个账户在美国东部(弗吉尼亚北部)拥有您想要监控的资源) 地区 (us-east-1)。Route 53 ARC 允许您使用跨账户授权从一个账户 us-west-2 监控两组资源。
例如,假设您有以下 AWS 账户:
在 us-east-1 账户 (111111111111) 中,我们可以启用跨账户授权以允许 us-west-2 账户 (999999999999) 通过为 us-西 2 IAM 帐户:arn:aws:iam::999999999999:root
。创建授权后,us-west-2 帐户可以将 us-east-1 拥有的资源添加到资源集并创建就绪检查以在资源集上运行。
以下示例说明为一个帐户设置跨帐户授权。您必须在每个具有要在 Route 53 ARC 中添加和监控的 AWS 资源的附加账户中启用跨账户授权。
--region us-west-2
Route 53 ARC 是一项全球服务,支持多个 AWS 区域中的终端节点,但您必须在大多数 Route 53 ARC CLI 命令中指定美国西部(俄勒冈)区域(即指定参数)。
以下 AWS CLI 命令显示如何为此示例设置跨账户授权:
aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \ create-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root
要禁用此授权,请执行以下操作:
aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \ delete-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root
要为您提供跨账户授权的所有账户签入特定账户,请使用该 list-cross-account-authorizations
命令。请注意,此时您不能向另一个方向检查。也就是说,您无法将 API 操作与帐户配置文件一起使用来列出已被授予跨帐户授权以添加和监控资源的所有帐户。
aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \ list-cross-account-authorizations
{"CrossAccountAuthorizations": ["arn:aws:iam::999999999999:root" ] }