(可选)配置基于 CloudWatch 警报的回滚权限 - Amazon AppConfig
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

(可选)配置基于 CloudWatch 警报的回滚权限

您可以配置Amazon AppConfig回滚到配置的上一个版本,以响应一个或多个 AmazonCloudWatch警报。当您将部署配置为响应时CloudWatch警报,您可以指定Amazon Identity and Access Management(IAM) 角色。Amazon AppConfig需要此角色才能监控CloudWatch警报。

注意

IAM 角色必须属于当前账户。默认情况下,Amazon AppConfig只能监控当前账户拥有的警报。如果要配置Amazon AppConfig要回滚部署以响应来自不同账户的指标,您必须配置跨账户警报。有关更多信息,请参阅 。跨账户跨区域CloudWatch控制台中的亚马逊CloudWatch用户指南.

使用以下程序创建 IAM 角色,以启用该角色:Amazon AppConfig要基于回滚CloudWatch警报。本节包括以下过程。

第 1 步:创建基于回滚的权限策略CloudWatch警报

使用以下过程创建 IAM 策略,以提供Amazon AppConfig允许调用DescribeAlarmsAPI 操作。

创建 IAM 权限策略,以便基于回滚CloudWatch警报

  1. 访问:https://console.aws.amazon.com/iam/,打开 IAM 控制台。

  2. 在导航窗格中,选择 Policies (策略),然后选择 Create policy (创建策略)

  3. 创建策略页面上,选择 JSON 选项卡。

  4. 将 JSON 选项卡上的默认内容替换以下权限策略,然后选择后续:标签

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" } ] }
  5. 输入此角色的标签,然后选择后续:审核

  6. 在存储库的审核页面,输入SSMCloudWatchAlarmDiscoveryPolicy中的名称字段中返回的子位置类型。

  7. 选择 Create policy(创建策略)。系统将让您返回到 Policies 页面。

第 2 步:创建 IAM 角色以进行回滚的基础CloudWatch警报

使用以下过程创建 IAM 角色并向其分配您在上一过程中创建的策略。

创建 IAM 角色以进行回滚的基于CloudWatch警报

  1. 访问:https://console.aws.amazon.com/iam/,打开 IAM 控制台。

  2. 在导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)

  3. Select type of trusted entity (选择受信任实体的类型) 下,选择 Amazon service (Amazon Web Services 服务)

  4. 立即在下选择将使用此角色的服务,选择EC2: 允许 EC2 实例调用Amazon代表您提供服务,然后选择后续:Permissions (下一步:权限)

  5. 在存储库的附加的权限策略页面,搜索SSMCloudWatchAlarmDiscovery策略.

  6. 选择此策略,然后选择后续:标签

  7. 输入此角色的标签,然后选择后续:审核

  8. 在存储库的创建角色页面,输入SSMCloudWatchAlarmDiscoveryRole中的Role name (角色名称)字段,然后选择创建角色.

  9. Roles 页面上,选择您刚刚创建的角色。此时将打开摘要页面。

第 3 步:添加信任关系

使用以下过程将您刚刚创建的角色配置为信任 Amazon AppConfig。

为 Amazon AppConfig 添加信任关系

  1. 在刚刚创建的角色的摘要页面上,选择信任关系选项卡,然后选择编辑信任关系

  2. 编辑策略以仅包含“appconfig.amazonaws.com”,如以下示例中所示:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "appconfig.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  3. 选择 Update Trust Policy