Conditions préalables pour les expériences multi-comptes - AWS Service d'injection de défauts
AutorisationsConditions d'arrêt (facultatif)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conditions préalables pour les expériences multi-comptes

Pour utiliser les conditions d'arrêt pour une expérience multi-comptes, vous devez d'abord configurer les alarmes entre comptes. Les rôles IAM sont définis lorsque vous créez un modèle d'expérience multi-comptes. Vous pouvez créer les rôles IAM nécessaires avant de créer le modèle.

Autorisations pour les expériences multi-comptes

Les expériences multi-comptes utilisent le chaînage des rôles IAM pour accorder des autorisations permettant d' AWS FIS effectuer des actions sur les ressources des comptes cibles. Pour les expériences multi-comptes, vous configurez des rôles IAM dans chaque compte cible et dans le compte de l'orchestrateur. Ces rôles IAM nécessitent une relation de confiance entre les comptes cibles et le compte de l'orchestrateur, et entre le compte de l'orchestrateur et. AWS FIS

Les rôles IAM pour les comptes cibles contiennent les autorisations requises pour agir sur les ressources et sont créés pour un modèle d'expérience en ajoutant des configurations de comptes cibles. Vous allez créer un rôle IAM pour le compte d'orchestrateur avec l'autorisation d'assumer les rôles de comptes cibles et d'établir une relation de confiance avec. AWS FIS Ce rôle IAM est utilisé comme modèle roleArn d'expérience.

Pour en savoir plus sur le chaînage des rôles, voir Termes et concepts relatifs aux rôles. dans le guide de l'utilisateur d'IAM

Dans l'exemple suivant, vous allez configurer des autorisations pour qu'un compte d'orchestrateur A puisse exécuter un test aws:ebs:pause-volume-io dans le compte cible B.

  1. Dans le compte B, créez un rôle IAM avec les autorisations requises pour exécuter l'action. Pour connaître les autorisations requises pour chaque action, consultezAWS FIS référence aux actions. L'exemple suivant montre les autorisations accordées par un compte cible pour exécuter l'action aws:ebs:pause-volume-io EBS Pause Volume IO.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVolumes"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:PauseVolumeIO"
            ],
            "Resource": "arn:aws:ec2:region:accountIdB:volume/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": "*"
        }
    ]
}

  2. Ajoutez ensuite une politique de confiance dans le compte B qui crée une relation de confiance avec le compte A. Choisissez un nom pour le rôle IAM du compte A, que vous allez créer à l'étape 3.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
           "Effect": "Allow",
            "Principal": {
                "AWS": "AccountIdA"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringLike":{
                    "sts:ExternalId": "arn:aws:fis:region:accountIdA:experiment/*"
                },
                "ArnEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::accountIdA:role/role_name"
                }
            }
        }
    ]
}

  3. Dans le compte A, créez un rôle IAM. Ce nom de rôle doit correspondre au rôle que vous avez spécifié dans la politique de confiance à l'étape 2. Pour cibler plusieurs comptes, vous accordez à l'orchestrateur l'autorisation d'assumer chaque rôle. L'exemple suivant montre les autorisations permettant au compte A d'assumer le compte B. Si vous avez des comptes cibles supplémentaires, vous ajouterez des ARN de rôle supplémentaires à cette politique. Vous ne pouvez avoir qu'un seul ARN de rôle par compte cible.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::accountIdB:role/role_name"
            ]
        }
    ]
}

  4. Ce rôle IAM pour le compte A est utilisé comme modèle roleArn d'expérience. L'exemple suivant montre la politique de confiance requise dans le rôle IAM qui accorde des AWS FIS autorisations pour assumer le compte A, le compte de l'orchestrateur.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "fis.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Vous pouvez également utiliser Stacksets pour attribuer plusieurs rôles IAM à la fois. Pour l'utiliser CloudFormation StackSets, vous devez configurer les StackSet autorisations nécessaires dans vos AWS comptes. Pour en savoir plus, consultez la section Travailler avec AWS CloudFormation StackSets.

Conditions d'arrêt pour les expériences multi-comptes (facultatif)

Une condition d'arrêt est un mécanisme permettant d'arrêter une expérience si elle atteint un seuil que vous définissez comme une alarme. Pour configurer une condition d'arrêt pour votre expérience multi-comptes, vous pouvez utiliser des alarmes entre comptes. Vous devez activer le partage dans chaque compte cible pour que l'alarme soit accessible au compte de l'orchestrateur à l'aide d'autorisations en lecture seule. Une fois partagées, vous pouvez combiner les statistiques de différents comptes cibles à l'aide de Metric Math. Vous pouvez ensuite ajouter cette alarme comme condition d'arrêt de l'expérience.

Pour en savoir plus sur les tableaux de bord multicomptes, consultez la section Activation de la fonctionnalité multicomptes dans. CloudWatch