在 ARC 中创建跨账户授权 - Amazon 应用程序恢复控制器 (ARC)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 ARC 中创建跨账户授权

您的资源可能分布在多个 Amazon 账户中,这使得全面了解应用程序的运行状况变得困难。它还可能使获取快速决策所需的信息变得困难。为了帮助简化在 Amazon 应用程序恢复控制器 (ARC) 中检查准备情况,您可以使用跨账户授权

ARC 中的跨账户授权与准备情况检查功能配合使用。通过跨账户授权,您可以使用一个中央 Amazon 账户来监控位于多个 Amazon 账户中的资源。在包含要监控的资源的每个账户中,您可以授权中央账户访问这些资源。然后,该中央账户可以为所有账户中的资源创建就绪检查,并且您可以从该中央账户监控失效转移就绪情况。

注意

在控制台中不能设置跨账户授权。取而代之的是使用 ARC API 操作来设置和使用跨账户授权。为了帮助您入门,本节提供了 Amazon CLI 命令示例。

假设某个应用程序有一个账户在美国西部(俄勒冈州)区域 (us-west-2) 拥有资源,还有一个账户在美国东部(弗吉尼亚州北部)区域 (us-east-1) 拥有您想要监控的资源。ARC 允许您使用跨账户授权从一个账户 us-west-2 监控两组资源。

例如,假设您有以下 Amazon 账户:

  • 美国西部账户:999999999999

  • 美国东部账户:111111111111

在 us-east-1 账户 (111111111111) 中,我们可以启用跨账户授权,并为 us-west-2 IAM 账户中的(根)用户指定 Amazon 资源名称 (ARN):arn:aws:iam::999999999999:root,从而允许 us-west-2 账户 (999999999999) 访问。创建授权后,us-west-2 账户便可将 us-east-1 拥有的资源添加到资源集中,并创建要对该资源集运行的就绪检查。

以下示例说明了如何为一个账户设置跨账户授权。您必须在每个拥有要在 ARC 中添加和监控的 Amazon 资源的额外账户中启用跨账户授权。

注意

ARC 是一项全球服务,支持多个 Amazon 区域的终端节点,但您必须在大多数 ARC CLI 命令中指定美国西部(俄勒冈--region us-west-2)区域(即指定参数)。

以下 Amazon CLI 命令显示如何为此示例设置跨账户授权:

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				create-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root

要禁用该授权,请执行以下操作:

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				delete-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root

要在一个特定账户中查看所有您已提供跨账户授权的账户,请使用 list-cross-account-authorizations 命令。请注意,目前无法反向检查。也就是说,您无法在某账户资料中使用 API 操作来列出它已获得跨账户授权(以添加和监控资源)的所有账户。

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				list-cross-account-authorizations
{
    "CrossAccountAuthorizations": [
        "arn:aws:iam::999999999999:root"
    ]
}