Prasyarat untuk eksperimen multi-akun - AWS Layanan Injeksi Kesalahan
IzinKondisi berhenti (opsional)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk eksperimen multi-akun

Untuk menggunakan kondisi berhenti untuk eksperimen multi-akun, Anda harus terlebih dahulu mengonfigurasi alarm lintas akun. Peran IAM ditentukan saat Anda membuat templat eksperimen multi-akun. Anda dapat membuat peran IAM yang diperlukan sebelum Anda membuat template.

Izin untuk eksperimen multi-akun

Eksperimen multi-akun menggunakan rantai peran IAM untuk memberikan izin AWS FIS untuk mengambil tindakan pada sumber daya di akun target. Untuk eksperimen multi-akun, Anda mengatur peran IAM di setiap akun target dan akun orkestrator. Peran IAM ini memerlukan hubungan kepercayaan antara akun target dan akun orkestrator, dan antara akun orkestra dan akun orkestra. AWS FIS

Peran IAM untuk akun target berisi izin yang diperlukan untuk mengambil tindakan pada sumber daya dan dibuat untuk templat eksperimen dengan menambahkan konfigurasi akun target. Anda akan membuat peran IAM untuk akun orkestrator dengan izin untuk mengambil peran akun target dan membangun hubungan kepercayaan dengan. AWS FIS Peran IAM ini digunakan sebagai template percobaan. roleArn

Untuk mempelajari lebih lanjut tentang rantai peran, lihat Syarat dan konsep Peran. di Panduan Pengguna IAM

Dalam contoh berikut, Anda akan menyiapkan izin untuk akun orkestrator A untuk menjalankan eksperimen dengan aws:ebs:pause-volume-io di akun target B.

  1. Di akun B, buat peran IAM dengan izin yang diperlukan untuk menjalankan tindakan. Untuk izin yang diperlukan untuk setiap tindakan, lihatAWS FIS referensi tindakan. Contoh berikut menunjukkan izin yang diberikan akun target untuk menjalankan tindakan EBS Jeda Volume IO. aws:ebs:pause-volume-io

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVolumes"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:PauseVolumeIO"
            ],
            "Resource": "arn:aws:ec2:region:accountIdB:volume/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": "*"
        }
    ]
}

  2. Selanjutnya, tambahkan kebijakan kepercayaan di akun B yang menciptakan hubungan kepercayaan dengan akun A. Pilih nama untuk peran IAM untuk akun A, yang akan Anda buat di langkah 3.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
           "Effect": "Allow",
            "Principal": {
                "AWS": "AccountIdA"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringLike":{
                    "sts:ExternalId": "arn:aws:fis:region:accountIdA:experiment/*"
                },
                "ArnEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::accountIdA:role/role_name"
                }
            }
        }
    ]
}

  3. Di akun A, buat peran IAM. Nama peran ini harus cocok dengan peran yang Anda tentukan dalam kebijakan kepercayaan di langkah 2. Untuk menargetkan beberapa akun, Anda memberikan izin orkestrator untuk mengambil setiap peran. Contoh berikut menunjukkan izin untuk akun A untuk mengambil akun B. Jika Anda memiliki akun target tambahan, Anda akan menambahkan ARN peran tambahan ke kebijakan ini. Anda hanya dapat memiliki satu peran ARN per akun target.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::accountIdB:role/role_name"
            ]
        }
    ]
}

  4. Peran IAM untuk akun A ini digunakan sebagai template percobaan. roleArn Contoh berikut menunjukkan kebijakan kepercayaan yang diperlukan dalam peran IAM yang memberikan AWS FIS izin untuk mengasumsikan akun A, akun orkestrator.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "fis.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Anda juga dapat menggunakan Stacksets untuk menyediakan beberapa peran IAM sekaligus. Untuk menggunakannya CloudFormation StackSets, Anda perlu mengatur StackSet izin yang diperlukan di AWS akun Anda. Untuk mempelajari lebih lanjut, lihat Bekerja dengan AWS CloudFormation StackSets.

Kondisi berhenti untuk eksperimen multi-akun (opsional)

Kondisi berhenti adalah mekanisme untuk menghentikan eksperimen jika mencapai ambang batas yang Anda definisikan sebagai alarm. Untuk mengatur kondisi berhenti untuk eksperimen multi-akun, Anda dapat menggunakan alarm lintas akun. Anda harus mengaktifkan berbagi di setiap akun target agar alarm tersedia ke akun orkestrator menggunakan izin hanya-baca. Setelah dibagikan, Anda dapat menggabungkan metrik dari akun target yang berbeda menggunakan Metric Math. Kemudian, Anda dapat menambahkan alarm ini sebagai kondisi berhenti untuk percobaan.

Untuk mempelajari selengkapnya tentang dasbor lintas akun, lihat Mengaktifkan fungsionalitas lintas akun di. CloudWatch