本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
(可选)配置基于 CloudWatch 警报的回滚权限
您可以配置Amazon AppConfig回滚到配置的上一个版本,以响应一个或多个 AmazonCloudWatch警报。当您将部署配置为响应时CloudWatch警报,您可以指定Amazon Identity and Access Management(IAM) 角色。Amazon AppConfig需要此角色才能监控CloudWatch警报。
IAM 角色必须属于当前账户。默认情况下,Amazon AppConfig只能监控当前账户拥有的警报。如果要配置Amazon AppConfig要回滚部署以响应来自不同账户的指标,您必须配置跨账户警报。有关更多信息,请参阅 。跨账户跨区域CloudWatch控制台中的亚马逊CloudWatch用户指南.
使用以下程序创建 IAM 角色,以启用该角色:Amazon AppConfig要基于回滚CloudWatch警报。本节包括以下过程。
第 1 步:创建基于回滚的权限策略CloudWatch警报
使用以下过程创建 IAM 策略,以提供Amazon AppConfig允许调用DescribeAlarmsAPI 操作。
创建 IAM 权限策略,以便基于回滚CloudWatch警报
-
访问:https://console.aws.amazon.com/iam/
,打开 IAM 控制台。 -
在导航窗格中,选择 Policies (策略),然后选择 Create policy (创建策略)。
-
在创建策略页面上,选择 JSON 选项卡。
-
将 JSON 选项卡上的默认内容替换以下权限策略,然后选择后续:标签。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" } ] } -
输入此角色的标签,然后选择后续:审核。
-
在存储库的审核页面,输入
SSMCloudWatchAlarmDiscoveryPolicy中的名称字段中返回的子位置类型。 -
选择 Create policy(创建策略)。系统将让您返回到 Policies 页面。
第 2 步:创建 IAM 角色以进行回滚的基础CloudWatch警报
使用以下过程创建 IAM 角色并向其分配您在上一过程中创建的策略。
创建 IAM 角色以进行回滚的基于CloudWatch警报
-
访问:https://console.aws.amazon.com/iam/
,打开 IAM 控制台。 -
在导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)。
-
在 Select type of trusted entity (选择受信任实体的类型) 下,选择 Amazon service (Amazon Web Services 服务)。
-
立即在下选择将使用此角色的服务,选择EC2: 允许 EC2 实例调用Amazon代表您提供服务,然后选择后续:Permissions (下一步:权限)。
-
在存储库的附加的权限策略页面,搜索SSMCloudWatchAlarmDiscovery策略.
-
选择此策略,然后选择后续:标签。
-
输入此角色的标签,然后选择后续:审核。
-
在存储库的创建角色页面,输入
SSMCloudWatchAlarmDiscoveryRole中的Role name (角色名称)字段,然后选择创建角色. -
在 Roles 页面上,选择您刚刚创建的角色。此时将打开摘要页面。
第 3 步:添加信任关系
使用以下过程将您刚刚创建的角色配置为信任 Amazon AppConfig。
为 Amazon AppConfig 添加信任关系
-
在刚刚创建的角色的摘要页面上,选择信任关系选项卡,然后选择编辑信任关系。
-
编辑策略以仅包含“
appconfig.amazonaws.com”,如以下示例中所示:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "appconfig.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
选择 Update Trust Policy。