(可选)配置基于 CloudWatch 警报的回滚权限 - AWS AppConfig
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

(可选)配置基于 CloudWatch 警报的回滚权限

您可以配置 AWS AppConfig 回滚至一个或多个配置的先前版本 Amazon CloudWatch 警报。在配置部署以响应 CloudWatch 警报时,您可以指定 AWS Identity and Access Management (IAM) 角色。AWS AppConfig 需要使用该角色,以便它可以监控 CloudWatch 警报,即使在当前 AWS 账户中未创建这些警报。

使用以下过程可创建 IAM 角色,该角色允许 AWS AppConfig 基于 CloudWatch 警报回滚。本节包括以下过程:

步骤 1. 根据基于 CloudWatch 警报

可以使用以下过程创建一个 IAM 策略,以便为 AWS AppConfig 授予权限以调用 DescribeAlarms API 操作。

创建基于 CloudWatch 警报回滚的 IAM 权限策略

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择策略,然后选择创建策略

  3. 创建策略页面上,选择 JSON 选项卡。

  4. 将 JSON 选项卡上的默认内容替换以下权限策略,然后选择 Review

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" } ] }
  5. 检查页面上,在角色名称字段中输入 SSMCloudWatchAlarmDiscoveryRole

  6. 选择 Create policy (创建策略)。系统将让您返回到 Policies 页面。

步骤 2. 创建 IAM 基于 CloudWatch 警报

使用以下过程创建 IAM 角色并向其分配您在上一过程中创建的策略。

创建基于 CloudWatch 警报回滚的 IAM 角色

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Roles (角色),然后选择 Create Role (创建角色)

  3. 选择受信任实体的类型下,选择 AWS 服务

  4. 立即在 选择将使用此角色的服务,选择 EC2,然后选择 下一步: Permissions (权限)

    
                                在 IAM 控制台中选择 EC2 服务
  5. Attached permissions policy 页面上,搜索 SSMCloudWatchAlarmDiscoveryRole

  6. 选择此策略,然后选择 下一步: 标签

  7. 输入此角色的标签,然后选择 下一步: 审核

  8. Create role 页面上的 Role name 字段中,输入一个名称,然后选择 Create role

  9. Roles 页面上,选择您刚刚创建的角色。此时将打开摘要页面。

步骤 3 添加信托关系

使用以下过程将您刚刚创建的角色配置为信任 AWS AppConfig。

为 AWS AppConfig 添加信任关系

  1. 在刚刚创建的角色的摘要页面上,选择信任关系选项卡,然后选择编辑信任关系

  2. 编辑策略以仅包含“appconfig.amazonaws.com”,如以下示例中所示:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "appconfig.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  3. 选择 Update Trust Policy