区域切换中的跨账户支持
在区域切换中,您可以将其他账户的资源添加到您的计划中。您也可以与其他账户共享区域切换计划。有关更多信息,请参阅以下部分。
跨账户资源
区域切换允许资源托管在与区域切换计划所在账户不同的独立账户中。当区域切换器执行计划时,它会代入 executionRole。如果计划使用的资源来自与托管计划的账户不同的账户,则区域切换将使用 executionRole 代入 crossAccountRole 来访问这些资源。
区域切换计划中的每个资源都有两个可选字段:crossAccountRole 和 externalId。
crossAccountRole:此角色允许访问与托管区域切换计划的账户不同的账户中的资源。该角色只需要对其账户中的资源进行操作的权限,不需要对托管区域切换计划的账户中的资源进行操作的权限。
ExternalId:这是来自账户的信任策略的 STS 外部 ID,该账户包含需要操作的资源。它是一个字母数字字符串,是两个账户之间的共享密钥。
共享区域切换计划
区域切换与 Amazon Resource Access Manager(Amazon RAM)集成,允许您在 Amazon Web Services 账户之间共享计划。共享计划时,您指定的账户可以查看计划详细信息、执行计划和查看计划的执行情况,这为跨团队的恢复能力提供了更强的控制力和灵活性。
要开始在区域切换中进行跨账户共享,请在 Amazon RAM 中创建资源共享。资源共享指定有权共享您的账户所拥有的计划的参与者。参与者可以通过控制台、CLI 或 Amazon SDK 查看和执行共享计划。
重要提示:您要共享的计划必须归您的 Amazon Web Services 账户所有。无法共享已与您共享的计划。要与您的组织或 Amazon Organizations 内的组织单元共享计划,您必须允许与组织共享。
有关 Amazon RAM 的更多信息,请参阅 支持跨账户共享计划以实现 ARC 区域切换。