本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 ARC 中创建跨账户授权 **注意** 从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.amazonaws.cn/r53recovery/latest/dg/arc-readiness-availability-change.html)。 您的资源可能分布在多个 Amazon 账户中,这使得全面了解应用程序的运行状况变得困难。这也可能导致难以获取做出快速决策所需的信息。为了在 Amazon 应用程序恢复控制器(ARC)中简化就绪检查,您可以使用*跨账户授权*。 ARC 中的跨账户授权会与就绪检查功能结合使用。通过跨账户授权,您可以使用一个中央 Amazon 账户来监控位于多个 Amazon 账户中的资源。在包含要监控的资源的每个账户中,您可以授权中央账户访问这些资源。然后,该中央账户可以为所有账户中的资源创建就绪检查,并且您可以从该中央账户监控失效转移就绪情况。 **注意** 在控制台中不能设置跨账户授权。请使用 ARC API 操作来设置和使用跨账户授权。为了帮助您入门,本节提供了 Amazon CLI 命令示例。 假设某个应用程序有一个账户在美国西部(俄勒冈州)区域 (us-west-2) 拥有资源,还有一个账户在美国东部(弗吉尼亚州北部)区域 (us-east-1) 拥有您想要监控的资源。借助跨账户授权,您可以通过 ARC 从一个账户 us-west-2 访问这两组资源。 例如,假设您有以下 Amazon 账户: + 美国西部账户:999999999999 + 美国东部账户:111111111111 在 us-east-1 账户 (111111111111) 中,我们可以启用跨账户授权,并为 us-west-2 IAM 账户中的(根)用户指定 Amazon 资源名称 (ARN):`arn:aws:iam::999999999999:root`,从而允许 us-west-2 账户 (999999999999) 访问。创建授权后,us-west-2 账户便可将 us-east-1 拥有的资源添加到资源集中,并创建要对该资源集运行的就绪检查。 以下示例说明了如何为一个账户设置跨账户授权。您必须在每个拥有要在 ARC 中添加和监控的 Amazon 资源的额外账户中启用跨账户授权。 **注意** ARC 是一项全球服务,支持多个 Amazon 区域的终端节点,但您必须在大多数 ARC CLI 命令中指定美国西部(俄勒冈`--region us-west-2`)区域(即指定参数)。 以下 Amazon CLI 命令显示如何为此示例设置跨账户授权: ``` aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \ create-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root ``` 要禁用该授权,请执行以下操作: ``` aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \ delete-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root ``` 要在一个特定账户中查看所有您已提供跨账户授权的账户,请使用 `list-cross-account-authorizations` 命令。请注意,目前无法反向检查。也就是说,您无法在某账户资料中使用 API 操作来列出它已获得跨账户授权(以添加和监控资源)的所有账户。 ``` aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \ list-cross-account-authorizations ``` ``` { "CrossAccountAuthorizations": [ "arn:aws:iam::999999999999:root" ] } ```