Prerequisiti per esperimenti con più account - AWS Servizio di iniezione dei guasti
AutorizzazioniCondizioni di arresto (opzionale)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti per esperimenti con più account

Per utilizzare le condizioni di interruzione per un esperimento con più account, devi prima configurare gli allarmi tra account. I ruoli IAM vengono definiti quando crei un modello di esperimento con più account. Puoi creare i ruoli IAM necessari prima di creare il modello.

Autorizzazioni per esperimenti con più account

Gli esperimenti su più account utilizzano il concatenamento dei ruoli IAM per concedere le autorizzazioni necessarie AWS FIS per intraprendere azioni sulle risorse negli account target. Per gli esperimenti su più account, configuri i ruoli IAM in ogni account di destinazione e nell'account orchestrator. Questi ruoli IAM richiedono una relazione di fiducia tra gli account di destinazione e l'account orchestrator e tra l'account orchestrator e. AWS FIS

I ruoli IAM per gli account di destinazione contengono le autorizzazioni necessarie per agire sulle risorse e vengono creati per un modello di esperimento aggiungendo configurazioni di account di destinazione. Creerai un ruolo IAM per l'account orchestrator con l'autorizzazione ad assumere i ruoli degli account di destinazione e stabilire una relazione di fiducia con. AWS FIS Questo ruolo IAM viene utilizzato come modello roleArn di esperimento.

Per ulteriori informazioni sul concatenamento dei ruoli, consulta Roles Terms and concepts. nella Guida per l'utente di IAM

Nell'esempio seguente, imposterai le autorizzazioni per un account orchestratore A per eseguire un esperimento con aws:ebs:pause-volume-io l'account di destinazione B.

  1. Nell'account B, crea un ruolo IAM con le autorizzazioni necessarie per eseguire l'azione. Per le autorizzazioni richieste per ogni azione, consulta. AWS FIS riferimento alle azioni L'esempio seguente mostra le autorizzazioni concesse da un account di destinazione per eseguire l'azione EBS Pause Volume IO. aws:ebs:pause-volume-io

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVolumes"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:PauseVolumeIO"
            ],
            "Resource": "arn:aws:ec2:region:accountIdB:volume/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": "*"
        }
    ]
}

  2. Successivamente, aggiungi una politica di fiducia nell'account B che crei una relazione di fiducia con l'account A. Scegli un nome per il ruolo IAM per l'account A, che creerai nel passaggio 3.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
           "Effect": "Allow",
            "Principal": {
                "AWS": "AccountIdA"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringLike":{
                    "sts:ExternalId": "arn:aws:fis:region:accountIdA:experiment/*"
                },
                "ArnEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::accountIdA:role/role_name"
                }
            }
        }
    ]
}

  3. Nell'account A, crea un ruolo IAM. Questo nome di ruolo deve corrispondere al ruolo specificato nella politica di fiducia nel passaggio 2. Per scegliere come target più account, concedi all'orchestrator le autorizzazioni per assumere ogni ruolo. L'esempio seguente mostra le autorizzazioni per l'account A ad assumere l'account B. Se disponi di account di destinazione aggiuntivi, aggiungerai ARN di ruolo aggiuntivi a questa politica. Puoi avere un solo ruolo ARN per account di destinazione.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::accountIdB:role/role_name"
            ]
        }
    ]
}

  4. Questo ruolo IAM per l'account A viene utilizzato come modello di esperimento. roleArn L'esempio seguente mostra la policy di fiducia richiesta nel ruolo IAM che concede AWS FIS le autorizzazioni per assumere l'account A, l'account orchestrator.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "fis.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Puoi anche utilizzare Stacksets per fornire più ruoli IAM contemporaneamente. Per utilizzarlo CloudFormation StackSets, dovrai impostare le StackSet autorizzazioni necessarie nei tuoi account. AWS Per ulteriori informazioni, consulta Working with AWS CloudFormation StackSets.

Condizioni di interruzione degli esperimenti con più account (opzionale)

Una condizione di arresto è un meccanismo per interrompere un esperimento se raggiunge una soglia definita come allarme. Per impostare una condizione di interruzione per un esperimento con più account, puoi utilizzare allarmi tra più account. È necessario abilitare la condivisione in ogni account di destinazione per rendere l'allarme disponibile all'account orchestrator utilizzando le autorizzazioni di sola lettura. Una volta condivisa, puoi combinare le metriche di diversi account di destinazione utilizzando Metric Math. Quindi, puoi aggiungere questo allarme come condizione di arresto dell'esperimento.

Per ulteriori informazioni sui dashboard tra account, consulta Attivazione della funzionalità tra account in. CloudWatch