Einrichten AWS AppConfig

Falls Sie dies noch nicht getan haben, registrieren Sie sich für einen AWS-Konto und erstellen Sie einen Administratorbenutzer.

Melden Sie sich an für ein AWS-Konto

Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.

Um sich für eine anzumelden AWS-Konto

1. Öffnen Sie https://portal.aws.amazon.com/billing/die Anmeldung.

2. Folgen Sie den Online-Anweisungen.

   Bei der Anmeldung müssen Sie auch einen Telefonanruf entgegennehmen und einen Verifizierungscode über die Telefontasten eingeben.

   Wenn Sie sich für eine anmelden AWS-Konto, Root-Benutzer des AWS-Kontoswird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS -Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Administratorbenutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um Aufgaben auszuführen, die Root-Benutzerzugriff erfordern.

AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Sie können jederzeit Ihre aktuelle Kontoaktivität anzeigen und Ihr Konto verwalten. Rufen Sie dazu https://aws.amazon.com/ auf und klicken Sie auf Mein Konto.

Erstellen eines Benutzers mit Administratorzugriff

Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.

Sichern Sie Ihre Root-Benutzer des AWS-Kontos

1. Melden Sie sich AWS Management Consoleals Kontoinhaber an, indem Sie Root-Benutzer auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

   Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter Anmelden als Root-Benutzer im AWS-Anmeldung Benutzerhandbuch zu.

2. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für Ihren Root-Benutzer.

   Anweisungen finden Sie im Benutzerhandbuch unter Aktivieren eines virtuellen MFA Geräts für Ihren AWS-Konto IAM Root-Benutzer (Konsole).

Erstellen eines Benutzers mit Administratorzugriff

1. Aktivieren Sie IAM Identity Center.

   Anweisungen finden Sie unter Aktivieren AWS IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.

2. Gewähren Sie einem Benutzer in IAM Identity Center Administratorzugriff.

   Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie unter Benutzerzugriff mit der Standardeinstellung konfigurieren IAM-Identity-Center-Verzeichnis im AWS IAM Identity Center Benutzerhandbuch.

Anmelden als Administratorbenutzer

• Um sich mit Ihrem IAM Identity Center-Benutzer anzumelden, verwenden Sie die Anmeldung, URL die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM Identity Center-Benutzer erstellt haben.

  Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie im AWS-Anmeldung Benutzerhandbuch unter Anmeldung beim AWS Zugriffsportal.

Weiteren Benutzern Zugriff zuweisen

1. Erstellen Sie in IAM Identity Center einen Berechtigungssatz, der der bewährten Methode zur Anwendung von Berechtigungen mit den geringsten Rechten folgt.

   Anweisungen hierzu finden Sie unter Berechtigungssatz erstellen im AWS IAM Identity Center Benutzerhandbuch.

2. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.

   Eine genaue Anleitung finden Sie unter Gruppen hinzufügen im AWS IAM Identity Center Benutzerhandbuch.

Erteilen programmgesteuerten Zugriffs

Benutzer benötigen programmatischen Zugriff, wenn sie mit AWS außerhalb des interagieren möchten. AWS Management Console Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt von der Art des Benutzers ab, der zugreift. AWS

Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.

Welcher Benutzer benötigt programmgesteuerten Zugriff?	Bis	Von
Mitarbeiteridentität (In IAM Identity Center verwaltete Benutzer)	Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren.	Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. Informationen zu den AWS CLI finden Sie unter Konfiguration der AWS CLI zur Verwendung AWS IAM Identity Center im AWS Command Line Interface Benutzerhandbuch. Informationen zu AWS SDKs Tools und AWS APIs finden Sie unter IAMIdentity Center-Authentifizierung im Referenzhandbuch AWS SDKsund im Tools-Referenzhandbuch.
IAM	Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren.	Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen im IAMBenutzerhandbuch.
IAM	(Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren.	Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. Informationen dazu AWS CLI finden Sie unter Authentifizierung mithilfe von IAM Benutzeranmeldedaten im AWS Command Line Interface Benutzerhandbuch. Informationen zu AWS SDKs und Tools finden Sie unter Authentifizieren mit langfristigen Anmeldeinformationen im Referenzhandbuch AWS SDKsund im Tools-Referenzhandbuch. Weitere Informationen finden Sie unter Verwaltung von Zugriffsschlüsseln für IAM Benutzer im IAMBenutzerhandbuch. AWS APIs

(Empfohlen) Konfigurieren Sie die Berechtigungen für das automatische Rollback

Sie können so konfigurieren AWS AppConfig , dass Sie als Reaktion auf einen oder mehrere CloudWatch Amazon-Alarme zu einer früheren Version einer Konfiguration zurückkehren. Wenn Sie eine Bereitstellung so konfigurieren, dass sie auf CloudWatch Alarme reagiert, geben Sie eine AWS Identity and Access Management (IAM) Rolle an. AWS AppConfig benötigt diese Rolle, um CloudWatch Alarme überwachen zu können. Dieses Verfahren ist optional, wird aber dringend empfohlen.

Anmerkung

Die IAM Rolle muss zum aktuellen Konto gehören. Standardmäßig AWS AppConfig können nur Alarme überwacht werden, die dem aktuellen Konto gehören. Wenn Sie so konfigurieren AWS AppConfig möchten, dass Bereitstellungen als Reaktion auf Messwerte von einem anderen Konto rückgängig gemacht werden, müssen Sie kontenübergreifende Alarme konfigurieren. Weitere Informationen finden Sie unter Kontoübergreifende regionsübergreifende CloudWatch Konsole im CloudWatch Amazon-Benutzerhandbuch.

Verwenden Sie die folgenden Verfahren, um eine IAM Rolle zu erstellen, die ein Rollback auf der Grundlage von Alarmen ermöglicht AWS AppConfig . CloudWatch In diesem Abschnitt werden folgende Verfahren beschrieben.

1. Schritt 1: Erstellen Sie die Berechtigungsrichtlinie für ein Rollback auf der Grundlage von Alarmen CloudWatch

2. Schritt 2: Erstellen Sie die IAM Rolle für das Rollback auf der Grundlage von Alarmen CloudWatch

3. Schritt 3: Hinzufügen einer Vertrauensstellung

Schritt 1: Erstellen Sie die Berechtigungsrichtlinie für ein Rollback auf der Grundlage von Alarmen CloudWatch

Gehen Sie wie folgt vor, um eine IAM Richtlinie zu erstellen, die AWS AppConfig berechtigt, die DescribeAlarms API Aktion aufzurufen.

Um eine IAM Berechtigungsrichtlinie für Rollback auf CloudWatch der Grundlage von Alarmen zu erstellen

1. Öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/

2. Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen).

3. Wählen Sie auf der Seite „Richtlinie erstellen JSON“ die Registerkarte aus.

4. Ersetzen Sie den Standardinhalt auf der JSON Registerkarte durch die folgende Berechtigungsrichtlinie und wählen Sie dann Weiter: Tags aus.

   Anmerkung

   Um Informationen über CloudWatch zusammengesetzte Alarme zurückzugeben, müssen dem DescribeAlarmsAPIVorgang * Berechtigungen zugewiesen werden, wie hier gezeigt. Sie können keine Informationen über zusammengesetzte Alarme zurückgeben, wenn der Anwendungsbereich enger DescribeAlarms ist.

   {
           "Version": "2012-10-17",
           "Statement": [
               {
                   "Effect": "Allow",
                   "Action": [
                       "cloudwatch:DescribeAlarms"
                   ],
                   "Resource": "*"
               }
           ]
       }

5. Geben Sie Tags für diese Rolle ein und wählen Sie dann Next: Review (Weiter: Prüfen) aus.

6. Geben Sie auf der Seite „Überprüfung“ SSMCloudWatchAlarmDiscoveryPolicy in das Feld „Name“ ein.

7. Wählen Sie Create Policy (Richtlinie erstellen) aus. Das System führt Sie zur Seite Policies (Richtlinien) zurück.

Schritt 2: Erstellen Sie die IAM Rolle für das Rollback auf der Grundlage von Alarmen CloudWatch

Gehen Sie wie folgt vor, um eine IAM Rolle zu erstellen und ihr die Richtlinie zuzuweisen, die Sie im vorherigen Verfahren erstellt haben.

Um eine IAM Rolle für Rollback auf der Grundlage von Alarmen zu CloudWatch erstellen

1. Öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/

2. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).

3. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität auswählen) die Option AWS -Service aus.

4. Wählen Sie unmittelbar unter Wählen Sie den Dienst aus, der diese Rolle verwenden soll die Option EC2: Erlaubt EC2 Instances, AWS Dienste in Ihrem Namen aufzurufen, und klicken Sie dann auf Weiter: Berechtigungen.

5. Suchen Sie auf der Seite mit den Richtlinien für angehängte Berechtigungen nach SSMCloudWatchAlarmDiscoveryPolicy.

6. Wählen Sie diese Richtlinie aus, und klicken Sie dann aufNext: Tags (Weiter: Tags).

7. Geben Sie Tags für diese Rolle ein und wählen Sie dann Next: Review (Weiter: Prüfen) aus.

8. Geben Sie auf der Seite Rolle erstellen den Text SSMCloudWatchAlarmDiscoveryRole in das Feld Rollenname ein und wählen Sie dann Rolle erstellen aus.

9. Wählen Sie auf der Seite Roles (Rollen) die von Ihnen soeben erstellte Rolle aus. Die Seite Summary (Übersicht) wird geöffnet.

Schritt 3: Hinzufügen einer Vertrauensstellung

Gehen Sie wie folgt vor, um die Rolle, die Sie gerade erstellt haben, für AWS AppConfig als Vertrauensstellung zu konfigurieren.

Um eine Vertrauensbeziehung hinzuzufügen für AWS AppConfig

1. Wählen Sie auf der Seite Summary für die eben erstellte Rolle die Registerkarte Trust Relationships und wählen Sie dann Edit Trust Relationship.

2. Bearbeiten Sie die Richtlinie so, dass sie nur "appconfig.amazonaws.com" enthält, wie im folgenden Beispiel gezeigt:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "appconfig.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }

3. Wählen Sie Update Trust Policy (Trust Policy aktualisieren).