IAM 和可用区转移权限 - Amazon 应用程序恢复控制器 (ARC)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 和可用区转移权限

本节提供了有关权限如何使用亚马逊应用程序恢复控制器 (ARC) 中的区域转移功能的更多信息,特别是如果您使用其他 Amazon 服务(例如 Elastic Load Balancing)中的该功能。要了解 ARC 功能如何与 IAM 和一般权限配合使用,请查看概述主题中的信息用于亚马逊应用程序恢复控制器 (ARC) 区域转移的 Identity and Access Management

区域转移支持应用程序负载均衡器、网络负载均衡器、Amazon A EC2 uto Scaling 组和 Amazon EKS。您可以使用 IAM 条件键将 IAM 权限策略的范围限定为这些资源。以下是一个使用条件密钥的策略示例,其中包含多个不同类型的资源:

{
    "Condition": {
        "StringLike": {
            "arc-zonal-shift:ResourceIdentifier": [
                "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/*",
                "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/*",
                "arn:aws:eks:us-east-1:123456789012:cluster/*"
            ]
        }
    },
    "Action": [
        "arc-zonal-shift:StartZonalShift"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

有关更多信息,请参阅 支持的资源

除了 IAM 概述主题中概述的权限外,以下内容还适用于 IAM 和权限的区域转移:

  • 确保您拥有在 ARC 中处理区域偏移所需的权限。有关更多信息,请参阅分区移位控制台访问权限区域移位操作访问权限。

  • 您无需通过 IAM 添加额外的 Elastic Load Balancing 权限,即可在 ARC 中对账户中的托管负载均衡器资源进行区域切换。

  • 为 Elastic Load Balancing 提供完全访问权限的 Amazon 托管策略包括使用区域转移的权限。如果您使用 Amazon 托管策略获取 Elastic Load Balancing 访问权限,则无需在 IAM 中获得额外的区域转移权限即可启动负载均衡器的区域转移或在 Elastic Load Balancing 控制台中使用。有关更多信息,请参阅 Elastic Load Balancing 的Amazon 托管策略