IAM 和可用区转移权限 - Amazon 应用程序恢复控制器(ARC)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 和可用区转移权限

本节提供有关权限如何使用 Amazon 应用程序恢复控制器 (ARC) 中的区域转移功能的更多信息,特别是如果您使用其他 Amazon 服务(例如 ELB)的功能。要了解 ARC 功能如何与 IAM 和一般权限结合使用,请查看适用于 ARC 中可用区转移的 Identity and Access Management中的信息。

区域转移支持应用程序负载均衡器、网络负载均衡器、Amazon A EC2 uto Scaling 组和 Amazon EKS。可以使用 IAM 条件键将 IAM 权限策略的范围限定到这些资源。以下是对多个不同类型的资源使用条件键的策略示例:

{
    "Condition": {
        "StringLike": {
            "arc-zonal-shift:ResourceIdentifier": [
                "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/*",
                "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/*",
                "arn:aws:eks:us-east-1:123456789012:cluster/*"
            ]
        }
    },
    "Action": [
        "arc-zonal-shift:StartZonalShift"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

有关更多信息,请参阅 支持的资源

除了 IAM 概览主题中概括的权限信息外,以下关于 IAM 和权限的信息也适用于可用区转移:

  • 确保您拥有在 ARC 中使用可用区转移所需的权限。有关更多信息,请参阅可用区转移控制台访问权限可用区转移操作访问权限

  • 您无需通过 IAM 添加额外的弹性负载均衡权限即可在 ARC 中对账户中的托管负载均衡器资源进行可用区转移。

  • 为 ELB 提供完全访问权限的 Amazon 托管策略包括使用区域轮班的权限。如果您使用 Amazon 托管策略访问 ELB,则无需在 IAM 中使用其他权限进行区域切换即可开始负载均衡器的区域转移或在 ELB 控制台中使用。有关更多信息,请参阅适用于 ELB 的Amazon 托管式策略