IAM 和可用区转移权限 - Amazon 应用程序恢复控制器(ARC)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 和可用区转移权限

本节提供了有关权限如何使用亚马逊应用程序恢复控制器 (ARC) 中的区域转移功能的更多信息,特别是如果您使用其他 Amazon 服务(例如 Elastic Load Balancing)中的该功能。要了解 ARC 功能如何与 IAM 和一般权限结合使用,请查看适用于 ARC 中可用区转移的 Identity and Access Management中的信息。

区域转移支持应用程序负载均衡器、网络负载均衡器、Amazon A EC2 uto Scaling 组和 Amazon EKS。可以使用 IAM 条件键将 IAM 权限策略的范围限定到这些资源。以下是对多个不同类型的资源使用条件键的策略示例:

{
    "Condition": {
        "StringLike": {
            "arc-zonal-shift:ResourceIdentifier": [
                "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/*",
                "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/*",
                "arn:aws:eks:us-east-1:123456789012:cluster/*"
            ]
        }
    },
    "Action": [
        "arc-zonal-shift:StartZonalShift"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

有关更多信息,请参阅 支持的资源

除了 IAM 概览主题中概括的权限信息外,以下关于 IAM 和权限的信息也适用于可用区转移:

  • 确保您拥有在 ARC 中使用可用区转移所需的权限。有关更多信息,请参阅可用区转移控制台访问权限可用区转移操作访问权限

  • 您无需通过 IAM 添加额外的弹性负载均衡权限即可在 ARC 中对账户中的托管负载均衡器资源进行可用区转移。

  • 为 Elastic Load Balancing 提供完全访问权限的 Amazon 托管策略包括使用区域转移的权限。如果您使用 Amazon 托管策略获取 Elastic Load Balancing 访问权限,则无需在 IAM 中获得额外的区域转移权限即可启动负载均衡器的区域转移或在 Elastic Load Balancing 控制台中使用。有关更多信息,请参阅 Elastic Load Balancing 的Amazon 托管策略