(可选)配置基于回滚权限 CloudWatch 警报 - Amazon AppConfig
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

(可选)配置基于回滚权限 CloudWatch 警报

您可以配置Amazon AppConfig回滚到配置的上一个版本,以响应一个或多个 Amazon CloudWatch 警报。当您将部署配置为响应时 CloudWatch 警报,您可以指定Amazon Identity and Access Management(IAM) 角色。Amazon AppConfig需要此角色才能监控 CloudWatch 警报。

注意

IAM 角色必须属于当前账户。默认情况下,Amazon AppConfig只能监控当前账户拥有的警报。如果你想配置Amazon AppConfig要回滚部署以响应来自不同账户的指标,您必须配置跨账户警报。有关更多信息,请参阅 。跨账户跨区域 CloudWatch 控制台中的亚马逊 CloudWatch 用户指南.

使用以下过程创建 IAM 角色,以启用以下过程:Amazon AppConfig要基于回滚 CloudWatch 警报。本节包括以下过程。

第 1 步:创建基于回滚的权限策略 CloudWatch 警报

使用以下过程创建 IAM 策略,以创建 IAM 策略Amazon AppConfig允许调用DescribeAlarmsAPI 操作。

创建基于 CloudWatch 警报回滚的 IAM 权限策略

  1. 访问:https://console.aws.amazon.com/iam/,打开 IAM 控制台。

  2. 在导航窗格中,选择 Policies (策略),然后选择 Create policy (创建策略)

  3. 创建策略页面上,选择 JSON 选项卡。

  4. 将 JSON 选项卡上的默认内容替换以下权限策略,然后选择后续:标签

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" } ] }
  5. 输入此角色的标签,然后选择后续:审核

  6. 在存储库的审核页面,输入SSMCloudWatchAlarmDiscoveryPolicy中的名称字段中返回的子位置类型。

  7. 选择 Create policy(创建策略)。系统将让您返回到 Policies 页面。

第 2 步:创建 IAM 角色以进行回滚 CloudWatch 警报

使用以下过程创建 IAM 角色并向其分配您在上一过程中创建的策略。

创建 IAM 角色以进行回滚 CloudWatch 警报

  1. 访问:https://console.aws.amazon.com/iam/,打开 IAM 控制台。

  2. 在导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)

  3. Select type of trusted entity (选择受信任实体的类型) 下,选择 Amazon service (Amazon Web Services 服务)

  4. 立即下选择将使用此角色的服务,选择EC2: 允许 EC2 实例调用Amazon代表您提供服务,然后选择后续:Permissions (下一步:权限)

  5. 在存储库的附加权限策略页面,搜索SSM CloudWatCHALM 发现政策.

  6. 选择此策略然后选择后续:标签

  7. 输入此角色的标签,然后选择后续:审核

  8. 在存储库的创建角色页面,输入SSMCloudWatchAlarmDiscoveryRole中的Role name (角色名称)字段,然后选择创建角色.

  9. Roles 页面上,选择您刚刚创建的角色。此时将打开摘要页面。

第 3 步:添加信任关系

使用以下过程将您刚刚创建的角色配置为信任 Amazon AppConfig。

为 Amazon AppConfig 添加信任关系

  1. 在刚刚创建的角色的摘要页面上,选择信任关系选项卡,然后选择编辑信任关系

  2. 编辑策略以仅包含“appconfig.amazonaws.com”,如以下示例中所示:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "appconfig.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  3. 选择 Update Trust Policy