選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

多帳戶實驗的先決條件

PDF
RSS
焦點模式
多帳戶實驗的先決條件 - AWS 故障注入服務
許可停止條件 (選用)多帳戶實驗的安全控制桿 (選用)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要使用多帳戶實驗的停止條件,您必須先設定跨帳戶警示。當您建立多帳戶實驗範本時,會定義 IAM 角色。您可以在建立範本之前建立必要的 IAM 角色。

多帳戶實驗的許可

多帳戶實驗使用 IAM 角色鏈結,將許可授予 AWS FIS ,以對目標帳戶中的資源採取動作。對於多帳戶實驗,您可以在每個目標帳戶和協調器帳戶中設定 IAM 角色。這些 IAM 角色需要目標帳戶與協調者帳戶之間,以及協調者帳戶與 之間的信任關係 AWS FIS。

目標帳戶的 IAM 角色包含對資源採取動作所需的許可,並透過新增目標帳戶組態為實驗範本建立。您將為協調器帳戶建立 IAM 角色,並具有擔任目標帳戶角色的許可,並與之建立信任關係 AWS FIS。此 IAM 角色用作實驗範本roleArn的 。

若要進一步了解角色鏈結,請參閱 IAM 使用者指南中的角色術語和概念。

在下列範例中,您將設定協調器帳戶 A 的許可,以執行目標帳戶 B aws:ebs:pause-volume-io中的 實驗。

  1. 在帳戶 B 中,建立具有執行動作所需許可的 IAM 角色。如需每個動作所需的許可,請參閱 AWS FIS 動作參考。下列範例顯示目標帳戶授予執行 EBS 暫停磁碟區 IO 動作 的許可aws:ebs:pause-volume-io

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVolumes"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:PauseVolumeIO"
            ],
            "Resource": "arn:aws:ec2:region:accountIdB:volume/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": "*"
        }
    ]
}

  2. 接著,在帳戶 B 中新增信任政策,以建立與帳戶 A 的信任關係。選擇帳戶 A 的 IAM 角色名稱,您將在步驟 3 中建立該角色。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
           "Effect": "Allow",
            "Principal": {
                "AWS": "AccountIdA"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringLike":{
                    "sts:ExternalId": "arn:aws:fis:region:accountIdA:experiment/*"
                },
                "ArnEquals": {
                    "aws:PrincipalArn": "arn:aws:iam::accountIdA:role/role_name"
                }
            }
        }
    ]
}

  3. 在帳戶 A 中,建立 IAM 角色。此角色名稱必須符合您在步驟 2 信任政策中指定的角色。若要鎖定多個帳戶,您可以授予協調者擔任每個角色的許可。下列範例顯示帳戶 A 擔任帳戶 B 的許可。如果您有其他目標帳戶,請將其他角色 ARNs 新增至此政策。每個目標帳戶只能有一個角色 ARN。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::accountIdB:role/role_name"
            ]
        }
    ]
}

  4. 帳戶 A 的此 IAM 角色會用作實驗範本roleArn的 。下列範例顯示 IAM 角色中所需的信任政策,授予 AWS FIS 許可以擔任帳戶 A,即協調器帳戶。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "fis.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

您也可以使用 Stacksets 一次佈建多個 IAM 角色。若要使用 CloudFormation StackSets,您需要在 AWS 帳戶中設定必要的 StackSet 許可。若要進一步了解,請參閱使用 AWS CloudFormation StackSets

多帳戶實驗的停止條件 (選用)

停止條件是一種機制,可在實驗達到您定義為警示的閾值時停止實驗。若要設定多帳戶實驗的停止條件,您可以使用跨帳戶警示。您必須啟用每個目標帳戶中的共用,才能使用唯讀許可讓協調器帳戶可以使用警示。共用後,您可以使用指標數學來結合來自不同目標帳戶的指標。然後,您可以新增此警示做為實驗的停止條件。

若要進一步了解跨帳戶儀表板,請參閱在 CloudWatch 中啟用跨帳戶功能。

多帳戶實驗的安全控制桿 (選用)

安全控制桿可用來停止所有執行中的實驗,並防止新的實驗開始。您可能想要使用安全控制桿,在特定期間或回應應用程式運作狀態警示時防止 FIS 實驗。每個 AWS 帳戶都有一個安全控制桿 AWS 區域。使用安全控制桿時,它會影響在與安全控制桿相同的帳戶和區域中執行的所有實驗。若要停止和防止多帳戶實驗,必須在執行實驗的相同帳戶和區域中使用安全控制桿。

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。