Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Zonenverschiebung in ARC
Mit Amazon Application Recovery Controller (ARC) *Zonal Shift* können Sie den Datenverkehr für eine unterstützte Ressource von einer beeinträchtigten Availability Zone (AZ) in eine fehlerfreie AWS-Region Ressource AZs in derselben Region verlagern. Durch die Verlagerung des Datenverkehrs Ihrer Ressourcen von einer beeinträchtigten AZ werden Dauer und Schwere der Auswirkungen reduziert, die durch Stromausfälle oder Hardware- oder Softwareprobleme in einer AZ verursacht werden. Dies trägt dazu bei, Probleme zu minimieren und Ihre Anwendung schnell wiederherzustellen. Sie können sich beispielsweise für eine Verlagerung des Datenverkehrs entscheiden, weil eine fehlerhafte Bereitstellung zu Latenzproblemen führt oder weil die Availability Zone beeinträchtigt ist.
Sie müssen Ressourcen aktivieren, um Zonal Shift nutzen zu können. Weitere Informationen finden Sie unter [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md).
Bevor Sie mit einer Zonenverschiebung beginnen, müssen Sie Ihre Anwendung vorab skalieren und sicherstellen, dass Sie über ausreichende Kapazitäten verfügen, um den Datenverkehr von einer Availability Zone wegzuleiten. Nach der Vorskalierung können Sie die Availability Zone auswählen, von der Sie wegwechseln möchten, und die Ressource, für die der Verkehr weggeleitet werden soll, und dann die Zonenverschiebung starten. Sie können die Schicht jederzeit abbrechen, sodass der Verkehr wieder zur ursprünglichen Availability Zone zurückkehrt. Weitere Informationen finden Sie unter [Bewährte Methoden für Zonenverschiebungen in ARC](route53-arc-best-practices.zonal-shifts.md).
Bei allen Zonenverschiebungen handelt es sich um vorübergehende Abhilfemaßnahmen. Sie legen einen anfänglichen Ablaufzeitpunkt fest, wenn Sie eine Zonenverschiebung starten, von einer Minute bis zu drei Tagen (72 Stunden). Diese Dauer können Sie verlängern, wenn Sie die Verschiebung des Datenverkehrs fortsetzen müssen.
In bestimmten Szenarien verlagert die Zonenverschiebung den Verkehr nicht von der AZ weg. Weitere Informationen finden Sie unter [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md).
# Funktionsweise einer Zonenverschiebung
Wenn Sie eine Zonenverschiebung für eine unterstützte Ressource starten, wird der Datenverkehr für die Ressource von der von Ihnen angegebenen Availability Zone (AZ) wegbewegt. Die von ARC unterstützten Ressourcen bieten Integrationen, die die angegebene AZ als fehlerhaft kennzeichnen, was dazu führt, dass der Verkehr von der beeinträchtigten AZ weg verlagert wird.
**Der Verkehr beginnt sich zu verlagern** — Wenn Sie in ARC eine Zonenverschiebung starten, werden Sie möglicherweise nicht sofort feststellen, dass der Verkehr die Availability Zone verlässt. Abhängig vom Verhalten des Clients und der Wiederverwendung von Verbindungen kann es eine kurze Zeit dauern, bis bestehende, laufende Verbindungen in der Availability Zone abgeschlossen sind. DNS-Einstellungen und andere Faktoren, einschließlich vorhandener Verbindungen, können in nur wenigen Minuten abgeschlossen werden, dies kann jedoch länger dauern. Weitere Informationen finden Sie unter [Sicherstellen, dass Verkehrsverlagerungen schnell abgeschlossen](route53-arc-best-practices.zonal-shifts.md#arc-zonal-shift.existing-connections) werden.
**Ende der Verkehrsschicht** — Wenn eine Zonenschicht abläuft oder Sie sie stornieren, ergreift ARC Maßnahmen, um die Verkehrsverlagerung zu beenden, und kehrt den Vorgang zum Starten einer Verkehrsschicht um. Jetzt wird die wiederhergestellte AZ als für die Ressource verfügbar erkannt und der Verkehr fließt wieder zur AZ.
Sie müssen festlegen, dass alle zonalen Schichten ablaufen, wenn Sie die Schichten starten. Sie können zunächst festlegen, dass eine Zonenschicht in maximal drei Tagen (72 Stunden) abläuft. Sie können eine Zonenschicht jedoch jederzeit aktualisieren, um ein neues Ablaufdatum festzulegen. Sie können eine Zonenschicht auch vor ihrem Ablauf stornieren, wenn Sie bereit sind, den Verkehr in der Availability Zone wiederherzustellen.
**Wenn der Verkehr nicht wegverlagert** wird — In bestimmten Szenarien wird der Verkehr durch eine Zonenverschiebung nicht aus der Availability Zone verlagert. Nehmen wir zum Beispiel an, Sie starten eine Zonenverschiebung für einen Load Balancer, wenn die Load Balancer-Zielgruppen AZs keine Instances haben oder wenn alle Instances fehlerhaft sind. In diesem Szenario befindet sich der Load Balancer in einem Fail-Open-Status und der Start einer Zonenverschiebung verlagert den Traffic nicht.
Bevor Sie eine Zonenverschiebung für eine Ressource starten, stellen Sie sicher, dass alle Bedingungen für eine erfolgreiche Zonenverschiebung erfüllt sind. AWS Ressourcen gehen unterschiedlich mit Zonenverschiebungen um. Weitere Hinweise zur Unterstützung von Zonenverschiebungen finden Sie unter. [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md)
# AWS-Region Verfügbarkeit für Zonal Shift
Detaillierte Informationen zu regionalen Support- und Service-Endpunkten für Amazon Application Recovery Controller (ARC) finden Sie unter [Amazon Application Recovery Controller (ARC) -Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/r53arc.html) in der *Amazon Web Services General* Reference.
Zonal Shift und Zonal Autoshift sind derzeit in den hier aufgeführten Versionen verfügbar. AWS-Regionen Zonal Shift und Zonal Autoshift sind auch in den Regionen China verfügbar, d. h. in den Regionen China (Peking) und China (Ningxia). Bei Ressourcen, die Amazon Application Recovery Controller (ARC) verwenden, müssen möglicherweise zusätzliche Überlegungen angestellt werden. Weitere Informationen finden Sie unter [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md).
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/r53recovery/latest/dg/introduction-regions-zonal.html)
# Komponenten für die Zonenverschiebung
Das folgende Diagramm zeigt ein Beispiel für eine zonale Schicht, die den Verkehr von einer Availability Zone in eine verlagert. AWS-Region In die Zonenschicht integrierte Prüfungen verhindern, dass Sie eine weitere Zonenschicht für eine Ressource starten, für die bereits eine aktive Schicht vorhanden ist.
![\[Diagramm einer Zonenverschiebung mit drei Availability Zones\]](http://docs.aws.amazon.com/de_de/r53recovery/latest/dg/images/ZonalShiftDiagramRev2023.png)
Im Folgenden sind die Komponenten der Zonal-Shift-Fähigkeit in ARC aufgeführt.
**Zonale Verschiebung**
Sie starten eine Zonenverschiebung für eine verwaltete Ressource in Ihrem AWS Konto, um den Traffic vorübergehend von einer Availability Zone in einer Region zu verlagern AWS-Region, die AZs in der Region intakt ist, um sich schnell von einem Problem in einer AZ zu erholen. Weitere Informationen zu unterstützten Ressourcen für Zonal Shift finden Sie unter. [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md)
**Integrierte Sicherheitschecks**
In ARC integrierte Prüfungen verhindern, dass mehr als eine Verkehrsverlagerung für eine Ressource gleichzeitig wirksam ist. Das heißt, nur eine vom Kunden initiierte Zonenverschiebung, ein Übungslauf oder eine automatische Verschiebung für die Ressource kann den Verkehr aktiv von einer Availability Zone weg verlagern. Wenn Sie beispielsweise eine Zonenverschiebung für eine Ressource starten, obwohl diese derzeit mit Autoshift wegverlagert ist, hat Ihre Zonenverschiebung Vorrang. Weitere Informationen finden Sie unter [Automatische Zonenverschiebung in ARC](arc-zonal-autoshift.md) und [Ergebnisse](arc-zonal-autoshift.how-it-works.precedence.md#ZAShiftPrecedence) von Übungsläufen.
**Ressourcen-ID**
Der Bezeichner für eine Ressource, die in eine zonale Schicht aufgenommen werden soll. Die Kennung ist der Amazon-Ressourcenname (ARN) für die Ressource.
Bei einer Zonenverschiebung können Sie in Ihrem Konto nur Ressourcen für einen AWS Service auswählen, der von ARC unterstützt wird. Weitere Informationen zu unterstützten Ressourcen für Zonal Shift finden Sie unter. [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md)
**Verwaltete Ressource**
Einige AWS Ressourcen müssen sich manuell für die Zonenverschiebung anmelden, andere werden automatisch aktiviert. Weitere Informationen zu den unterstützten Ressourcen für Zonal Shift finden Sie unter. [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md)
**Ressourcenname**
Der Name einer Ressource in ARC, die Sie für eine Zonenverschiebung angeben können.
**Status (Status der zonalen Verschiebung)**
Ein Status für eine zonale Schicht. Der `Status` für eine zonale Verschiebung kann einen der folgenden Werte haben:
+ **AKTIV**: Die Zonenverschiebung ist gestartet und aktiv.
+ **ABGELAUFEN**: Die Zonenschicht ist abgelaufen (die Ablaufzeit wurde überschritten).
+ **STORNIERT**: Die Zonenschicht wurde storniert.
**Status „Angewendet“**
Der Status „Angewendet“ gibt an, ob für eine Ressource eine Schicht in Kraft ist. Die Schicht, die diesen Status hat, `APPLIED` bestimmt die Availability Zone, in die der Anwendungsdatenverkehr für eine Ressource verlagert wurde, und bestimmt, wann diese Schicht endet.
**Art der Schicht**
Definiert den zonalen Schichttyp. Der `shiftType` kann die folgenden Werte haben:
+ **ZONAL\$1SHIFT**
+ **ZONAL\$1AUTOSHIFT**
+ **ÜBUNGSLAUF**
+ **FIS\$1EXPERIMENT**
**Ablaufzeit (Ablaufzeit)**
Die Ablaufzeit (Ablaufzeit) für eine Zonenschicht. Zonenverschiebungen sind vorübergehend. Für eine zonale Schicht können Sie zunächst festlegen, dass eine zonale Schicht für bis zu drei Tage (72 Stunden) aktiv ist.
Wenn Sie eine Zonenschicht beginnen, geben Sie an, wie lange sie aktiv sein soll. Dieser ARC wird in eine Ablaufzeit (Ablaufzeit) umgerechnet. Sie können beispielsweise eine Zonenverschiebung stornieren, wenn Sie bereit sind, den Verkehr in der Availability Zone wiederherzustellen. Oder Sie können eine vom Kunden initiierte Zonenschicht verlängern, indem Sie sie aktualisieren und einen anderen Zeitraum angeben, in dem sie ablaufen soll.
Sie können Übungsläufe für zonale Schichten stornieren, die Teil von Zonal Autoshift sind.
# Daten- und Steuerungsebenen für Zonal Shift
Denken Sie bei der Planung von Failover und Disaster Recovery darüber nach, wie robust Ihre Failover-Mechanismen sind. Es wird empfohlen, sicherzustellen, dass die Mechanismen, auf die Sie beim Failover angewiesen sind, hochverfügbar sind, sodass Sie sie bei Bedarf in einem Notfallszenario verwenden können. In der Regel sollten Sie, wann immer möglich, Datenebenenfunktionen für Ihre Mechanismen verwenden, um die größtmögliche Zuverlässigkeit und Fehlertoleranz zu gewährleisten. Vor diesem Hintergrund ist es wichtig zu verstehen, wie die Funktionalität eines Dienstes zwischen Steuerungsebenen und Datenebenen aufgeteilt ist und wann Sie sich darauf verlassen können, dass die Datenebene eines Dienstes extrem zuverlässig ist.
Wie bei den meisten AWS Diensten wird die Funktionalität für die Zonenverlagerung durch Steuerungsebenen und Datenebenen unterstützt. Beide sind zwar auf Zuverlässigkeit ausgelegt, eine Steuerungsebene ist jedoch für die Datenkonsistenz optimiert, während eine Datenebene für die Verfügbarkeit optimiert ist. Eine Datenebene ist auf Ausfallsicherheit ausgelegt, sodass sie die Verfügbarkeit auch bei Störungen aufrechterhalten kann, wenn eine Kontrollebene möglicherweise nicht verfügbar ist.
Im Allgemeinen ermöglicht Ihnen eine *Kontrollebene* grundlegende Verwaltungsfunktionen wie das Erstellen, Aktualisieren und Löschen von Ressourcen im Service. Eine *Datenebene* stellt die Kernfunktionalität eines Dienstes bereit.
Weitere Informationen zu Datenebenen, Kontrollebenen und dazu, wie Services AWS entwickelt werden, um Hochverfügbarkeitsziele zu erreichen, finden Sie im [paper Statische Stabilität mithilfe von Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) in der Amazon Builders' Library.
# Preise für die Zonenverschiebung in ARC
Bei einer Zonenverschiebung können Sie eine Zonenverschiebung für unterstützte Ressourcen starten, um Ihre Anwendung nach einem Problem in einer Availability Zone wiederherzustellen. Für die Nutzung von Zonal Shift fallen keine zusätzlichen Gebühren an.
Detaillierte Preisinformationen für ARC und Preisbeispiele finden Sie unter [ARC-Preise](https://aws.amazon.com/application-recovery-controller/pricing/).
# Bewährte Methoden für Zonenverschiebungen in ARC
Wir empfehlen die folgenden bewährten Methoden für die Verwendung von Zonenverschiebungen für die Multi-AZ-Wiederherstellung in ARC.
**Topics**
+ [Kapazitätsplanung und Vorskalierung](#ZSBestPracticeCapacityPrescaling)
+ [Begrenzen Sie die Zeit, in der Clients mit Ihren Endpunkten verbunden bleiben](#arc-zonal-shift.existing-connections)
+ [Testen Sie den Beginn von Zonenschichten im Voraus](#ZSBestPracticeTestShifting)
+ [Stellen Sie sicher, dass alle Availability Zones fehlerfrei sind und Traffic aufnehmen](#ZSBestPracticeEnsureHealthyAZs)
+ [Verwenden Sie API-Operationen auf Datenebene für die Notfallwiederherstellung](#ZSBestPracticeUseDataPlane)
+ [Verschieben Sie den Verkehr mit einer zonalen Verschiebung nur vorübergehend](#ZSBestPracticeMoveTrafficTemp)
**Kapazitätsplanung und Vorskalierung**
Stellen Sie sicher, dass Sie ausreichend Kapazität eingeplant und entweder vorab skaliert haben oder automatisch skalieren können, um die zusätzliche Belastung der Availability Zones zu bewältigen, wenn Sie eine Zonenschicht beginnen. Bei einer auf Wiederherstellung ausgerichteten Architektur wird in der Regel empfohlen, die Rechenkapazität vorab so zu skalieren, dass genügend Headroom vorhanden ist, um den Spitzenverkehr zu bewältigen, wenn eines Ihrer (normalerweise) drei Replikate offline ist.
Wenn Sie eine Zonenverschiebung für eine unterstützte Ressource starten und der Datenverkehr von einer AZ weg verlagert wird, wird die Kapazität, die Ihre Anwendung für Serviceanfragen verwendet hat, entfernt. Sie müssen sicherstellen, dass Sie eine Verlagerung des Datenverkehrs von einer AZ weg geplant haben und in den verbleibenden AZs Bereichen weiterhin Anfragen bearbeiten können.
**Beschränken Sie die Zeit, in der Clients mit Ihren Endpunkten verbunden bleiben**
Wenn Amazon Application Recovery Controller (ARC) den Datenverkehr von einer Beeinträchtigung wegleitet, beispielsweise mithilfe von Zonal Shift oder Zonal Autoshift, ist der Mechanismus, den ARC verwendet, um Ihren Anwendungsdatenverkehr zu verlagern, ein DNS-Update. Ein DNS-Update bewirkt, dass alle neuen Verbindungen vom beeinträchtigten Standort weggeleitet werden.
Clients mit bereits bestehenden offenen Verbindungen können jedoch weiterhin Anfragen an den beeinträchtigten Standort stellen, bis die Clients wieder eine Verbindung herstellen. Um eine schnelle Wiederherstellung zu gewährleisten, empfehlen wir, die Dauer zu begrenzen, für die Clients mit Ihren Endpunkten verbunden bleiben.
**Testen Sie den Beginn von Zonenschichten im Voraus**
Testen Sie regelmäßig, für Ihre Anwendung den Traffic von Availability Zones weg zu verlagern, indem Sie zonale Schichten starten. Planen Sie den Start von Zonenverschiebungen und führen Sie diese aus, vorzugsweise sowohl in Test- als auch in Produktionsumgebungen, als Teil regelmäßiger Failover-Tests zur Wiederherstellung Ihrer Anwendungen im Katastrophenfall. Regelmäßige Tests sind entscheidend, um sicherzustellen, dass Sie auf Probleme vorbereitet sind und das nötige Selbstvertrauen haben, um Probleme zu beheben, wenn ein Betriebsereignis eintritt.
**Stellen Sie sicher, dass alle Availability Zones fehlerfrei sind und Traffic aufnehmen**
Bei Zonenverschiebungen wird eine Ressource, d. h. ein Anwendungsreplikat, in einer Availability Zone als fehlerhaft markiert. Das bedeutet, dass Sie unbedingt sicherstellen müssen, dass die Ressourcen in Ihren Anwendungen im Allgemeinen fehlerfrei sind und den Datenverkehr in den Availability Zones einer Region aktiv aufnehmen. Wir empfehlen, dass Sie Dashboards verwenden, um dies nachzuverfolgen, darunter beispielsweise Elastic Load Balancing Balancing-Metriken für fehlerhafte Ziele und BytesProcessed pro Availability Zone.
Erwägen Sie, den Zustand Ihrer Ressourcen von einer zweiten, angrenzenden Region aus zu überwachen. Der Vorteil dieses Ansatzes besteht darin, dass er die Erfahrung Ihrer Endbenutzer besser wiedergeben kann. Außerdem wird dadurch das Risiko verringert, dass sowohl Ihre Anwendung als auch Ihre Überwachung gleichzeitig von derselben Katastrophe betroffen sind.
**Verwenden Sie API-Operationen auf Datenebene für die Notfallwiederherstellung**
Um eine Zonenverschiebung zu starten, wenn Sie eine Anwendung schnell und mit wenigen Abhängigkeiten wiederherstellen müssen, empfehlen wir, die AWS Command Line Interface OR-API mit Aktionen zur zonalen Verschiebung zu verwenden, wenn möglich mit vorab gespeicherten Anmeldeinformationen. Aus Gründen der Benutzerfreundlichkeit können Sie Zonenverschiebungen auch in der AWS-Managementkonsole starten. Wenn es jedoch auf eine schnelle und zuverlässige Wiederherstellung ankommt, ist der Betrieb auf Datenebene die bessere Wahl. Weitere Informationen finden Sie im [Referenzhandbuch zur Zonal Shift API.](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)
**Verschieben Sie den Verkehr mit einer Zonenverschiebung nur vorübergehend**
Durch eine Zonenverlagerung wird der Verkehr vorübergehend von einer Availability Zone weg verlagert, um eine Beeinträchtigung zu minimieren. Sie sollten die Ressource für den Betrieb der Anwendung wiederherstellen, sobald Sie Maßnahmen zur Behebung eines Problems ergriffen haben. Dadurch wird sichergestellt, dass Ihre gesamte Anwendung wieder in ihren ursprünglichen, vollständig redundanten und belastbaren Zustand versetzt wird.
# API-Operationen mit zonaler Verschiebung
In der folgenden Tabelle sind ARC-API-Operationen aufgeführt, die Sie mithilfe von Zonal Shift verwenden können, wodurch der Datenverkehr für Multi-AZ-Anwendungen von einer Availability Zone weggeleitet wird. Die Tabelle enthält außerdem Links zu relevanter Dokumentation.
Beispiele für die Verwendung gängiger Zonal Shift-API-Operationen mit dem AWS Command Line Interface finden Sie unter. [Beispiele für die Verwendung von AWS CLI mit Zonenverschiebung](getting-started-cli-zonalshift.md)
| Action | Verwenden der ARC-Konsole | Verwendung der ARC-API |
| --- | --- | --- |
| Starten einer Zonenverschiebung | Siehe [Starten einer Zonenverschiebung](arc-zonal-shift.start-cancel.md#arc-zonal-shift.start) | Siehe [StartZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartZonalShift.html) |
| Aktualisieren einer Zonenverschiebung | Siehe [Aktualisieren oder Abbrechen einer Zonenverschiebung](arc-zonal-shift.start-cancel.md#arc-zonal-shift.update-cancel) | Siehe [UpdateZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalShift.html) |
| Zonenverschiebungen auflisten | Siehe [Zonenverschiebung in ARC](arc-zonal-shift.md) | Siehe [ListZonalShifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListZonalShifts.html) |
| Listet verwaltete Ressourcen auf | Siehe [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md) | Siehe [ListManagedResources](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListManagedResources.html) |
| Holen Sie sich die verwaltete Ressource | Siehe [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md) | Siehe [GetManagedResource](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_GetManagedResource.html) |
| Abbrechen einer Zonenverschiebung | Siehe [Aktualisieren oder Abbrechen einer Zonenverschiebung](arc-zonal-shift.start-cancel.md#arc-zonal-shift.update-cancel) | Siehe [CancelZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelZonalShift.html) |
# Beispiele für die Verwendung von AWS CLI mit Zonenverschiebung
Dieser Abschnitt enthält Anwendungsbeispiele für die Verwendung von Zonal Shift und die Nutzung der AWS Command Line Interface Zonal Shift-Funktion in Amazon Application Recovery Controller (ARC) mithilfe von API-Operationen. Die Beispiele sollen Ihnen helfen, ein grundlegendes Verständnis für die Arbeit mit Zonal Shift mithilfe der CLI zu entwickeln.
Zonal Shift in ARC ermöglicht es Ihnen, den Datenverkehr für unterstützte Ressourcen vorübergehend von einer Availability Zone weg zu verlagern, sodass Ihre Anwendung weiterhin normal mit anderen Availability Zones in einer arbeiten kann. AWS-Region
Alle Zonenschichten sind temporär und müssen zunächst so eingestellt werden, dass sie innerhalb von drei Tagen ablaufen. Sie können eine zonale Schicht jedoch später aktualisieren, um ein neues Ablaufdatum festzulegen.
Weitere Informationen zur Verwendung von finden Sie in der [AWS CLI Befehlsreferenz. AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/arc-zonal-shift/index.html) Eine Liste der Zonal Shift-API-Aktionen und Links zu weiteren Informationen finden Sie unter[API-Operationen mit zonaler Verschiebung](actions.zonalshift.md).
## Starten Sie Zonal Shift
Sie können eine Zonenverschiebung mit der CLI starten, indem Sie den `start-zonal-shift` Befehl verwenden.
```
aws arc-zonal-shift start-zonal-shift \
--resource-identifier arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05 \
--away-from use1-az1 \
--expires-in 10m \
--comment "Shifting traffic away from use1-az1"
```
```
{
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
## Holen Sie sich die verwaltete Ressource
Sie können Informationen zu einer verwalteten Ressource mit der CLI abrufen, indem Sie den `get-managed-resource` Befehl verwenden.
```
aws arc-zonal-shift get-managed-resource \
--resource-identifier arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05
```
```
{
"appliedWeights": {
"use1-az1": 0.0,
"use1-az2": 1.0,
"use1-az6": 1.0
},
"arn": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"autoshifts": [],
"name": "Testing",
"zonalAutoshiftStatus": "DISABLED",
"zonalShifts": [
{
"appliedStatus": "APPLIED",
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
"shiftType": "MANUAL"
}
]
}
```
## Verwaltete Ressourcen auflisten
Sie können die verwalteten Ressourcen in Ihrem Konto mit der CLI auflisten, indem Sie den `list-managed-resources` Befehl verwenden.
```
aws arc-zonal-shift list-managed-resources
```
```
{
"items": [
{
"appliedWeights": {
"use1-az1": 0.0,
"use1-az2": 1.0,
"use1-az6": 1.0
},
"arn": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"autoshifts": [],
"availabilityZones": [
"use1-az1",
"use1-az2",
"use1-az6"
],
"name": "Testing",
"practiceRunStatus": "DISABLED",
"zonalAutoshiftStatus": "DISABLED",
"zonalShifts": [
{
"appliedStatus": "APPLIED",
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
]
}
]
}
```
## Zonenverschiebungen auflisten
Sie können die Zonenverschiebungen in Ihrem Konto mit der CLI auflisten, indem Sie den `list-zonal-shifts` Befehl verwenden.
```
aws arc-zonal-shift list-zonal-shifts
```
```
{
"items": [
{
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
]
}
```
## Zonenverschiebung aktualisieren
Sie können eine Zonenverschiebung mit der CLI aktualisieren, indem Sie den `update-zonal-shift` Befehl verwenden.
```
aws arc-zonal-shift update-zonal-shift \
--zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38 \
--expires-in 1h \
--comment "Still shifting traffic away from use1-az1"
```
```
{
"awayFrom": "use1-az1",
"comment": "Still shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
## Zonenverschiebung abbrechen
Sie können eine Zonenverschiebung mit der CLI abbrechen, indem Sie den `cancel-zonal-shift` Befehl verwenden.
```
aws arc-zonal-shift cancel-zonal-shift \
--zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38
```
```
{
"awayFrom": "use1-az1",
"comment": "Still shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "CANCELED",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
# Unterstützte Ressourcen
Amazon Application Recovery Controller (ARC) unterstützt derzeit die Aktivierung der folgenden Ressourcen für Zonal Shift und Zonal Autoshift:
+ [Amazon EC2 Auto-Scaling-Gruppen](arc-zonal-shift.resource-types.ec2-auto-scaling-groups.md)
+ [Amazon Elastic Kubernetes Service](arc-zonal-shift.resource-types.eks.md)
+ [Application Load Balancer](arc-zonal-shift.resource-types.app-load-balancers.md)mit aktiviertem oder deaktiviertem zonenübergreifendem Load Balancing
+ [Network Load Balancers](arc-zonal-shift.resource-types.network-load-balancers.md)mit aktiviertem oder deaktiviertem zonenübergreifendem Load Balancing
Spezifische Anforderungen für Network Load Balancer und Application Load Balancer finden Sie in den zusätzlichen Themen in diesem Abschnitt.
Informieren Sie sich über die folgenden Bedingungen für die Arbeit mit Zonal Shifts, Zonal Autoshift und Ressourcen in ARC:
+ Eine Ressource muss aktiv und vollständig bereitgestellt sein, um den Verkehr auf sie verlagern zu können. Bevor Sie eine Zonenverschiebung für eine Ressource starten, stellen Sie sicher, dass es sich um eine verwaltete Ressource in ARC handelt. Sehen Sie sich beispielsweise die Liste der verwalteten Ressourcen in der an AWS-Managementkonsole, oder verwenden Sie den `get-managed-resource` Vorgang mit der ID der Ressource.
+ Um eine zonale Schicht mit einer Ressource zu starten, muss diese in der Availability Zone bereitgestellt werden und AWS-Region dort, wo Sie die Schicht beginnen. Stellen Sie sicher, dass Sie eine Zonenverschiebung in derselben Region starten, in der sich die AZ befindet, von der Sie wegwechseln möchten, und dass sich die Ressource, für die Sie den Verkehr verlagern, ebenfalls in derselben AZ und Region befindet.
+ Stellen Sie sicher, dass Sie über die richtigen IAM-Berechtigungen verfügen, um Zonal Shift mit einer Ressource zu verwenden. Weitere Informationen finden Sie unter [IAM und Berechtigungen für Zonal Shift](security_iam_service-with-iam-zonal-shift.md).
+ Wenn sich ein Network Load Balancer oder Application Load Balancer im Status Fail Open befindet, hat eine Zonenverschiebung keine Auswirkung. Dieses Verhalten ist zu erwarten, da eine Zonenverschiebung nicht dazu führen kann, dass eine AZ fehlerhaft ist und dann der Verkehr AZs in eine andere Region verlagert wird, wenn ein Load Balancer beim Öffnen ausfällt. Weitere Informationen finden Sie unter [Verwenden von Route 53 53-DNS-Failover für Ihren Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/load-balancer-target-groups.html#r53-dns-failover) im *Network Load Balancer-Benutzerhandbuch* und [Verwenden von Route 53 53-DNS-Failover für Ihren Load Balancer im *Application* Load Balancer-Benutzerhandbuch](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-target-groups.html#r53-dns-failover).
+ Wenn mehrere Load Balancer Traffic an dieselben Ziele weiterleiten, verringert eine zonale Verschiebung auf einem zonenübergreifenden Load Balancer die Zielkapazität für alle Load Balancer, auch wenn ihr Datenverkehr nicht durch eine zonale Verschiebung verschoben wird.
# Amazon EC2 Auto-Scaling-Gruppen
Eine Amazon EC2 Auto Scaling Scaling-Gruppe enthält eine Sammlung von Amazon EC2 EC2-Instances, die für die Zwecke der automatischen Skalierung und Verwaltung als logische Gruppierung behandelt werden. Eine Auto-Scaling-Gruppe ermöglicht Ihnen außerdem die Verwendung von Amazon EC2 Auto Scaling-Funktionen wie Ersetzungen im Zuge von Zustandsprüfungen und Skalierungsrichtlinien. Sowohl die Aufrechterhaltung der Anzahl von Instances in einer Auto-Scaling-Gruppe und die automatische Skalierung sind die wichtigsten Funktionen des Amazon EC2 Auto Scaling-Services.
## Zonal Shift für Auto Scaling Scaling-Gruppen verwenden
Verwenden Sie eine der folgenden Methoden, um Zonal Shift zu aktivieren.
------
#### [ Console ]
**Um Zonal Shift in einer neuen Gruppe (Konsole) zu aktivieren**
1. Folgen Sie den Anweisungen unter [Auto Scaling Scaling-Gruppe mithilfe einer Startvorlage erstellen](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template) und schließen Sie jeden Schritt des Verfahrens bis zu Schritt 10 ab.
1. Aktivieren Sie auf der Seite **Mit anderen Diensten integrieren** für **ARC Zonal Shift** das Kontrollkästchen, um Zonal Shift zu aktivieren.
1. Wählen Sie für **Verhalten bei der Integritätsprüfung** die Option Ungesund ignorieren oder Ungesund ersetzen aus. Wenn diese Option auf gesetzt ist`replace-unhealthy`, werden fehlerhafte Instances in der Availability Zone durch die aktive Zonenverschiebung ersetzt. Wenn diese Option auf gesetzt ist`ignore-unhealthy`, werden fehlerhafte Instances in der Availability Zone nicht durch die aktive Zonenschicht ersetzt.
1. Fahren Sie mit den Schritten unter [Auto Scaling Scaling-Gruppe mithilfe einer Startvorlage erstellen](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template) fort.
------
#### [ AWS CLI ]
**Um die Zonenverschiebung für eine neue Gruppe zu aktivieren ()AWS CLI**
Fügen Sie dem [create-auto-scaling-group](https://docs.aws.amazon.com/cli/latest/reference/autoscaling/create-auto-scaling-group.html)-Befehl den `--availability-zone-impairment-policy`-Parameter hinzu.
Der `--availability-zone-impairment-policy` Parameter hat zwei Optionen:
+ **ZonalShiftEnabled**— Wenn auf gesetzt`true`, registriert Auto Scaling die Auto Scaling Scaling-Gruppe mit ARC-Zonenverschiebung[, und Sie können eine Zonenverschiebung auf der ARC-Konsole starten, aktualisieren oder abbrechen](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.start-cancel.html). Wenn auf gesetzt`false`, hebt Auto Scaling die Auto Scaling Scaling-Gruppe von ARC Zonal Shift ab. Sie müssen Zonal Shift bereits aktiviert haben, um auf setzen zu können. `false`
+ **ImpairedZoneHealthCheckBehavior**— Wenn diese Option auf gesetzt ist`replace-unhealthy`, werden fehlerhafte Instances in der Availability Zone durch die aktive Zonenschicht ersetzt. Wenn diese Option auf gesetzt ist`ignore-unhealthy`, werden fehlerhafte Instances in der Availability Zone nicht durch die aktive Zonenschicht ersetzt.
Das folgende Beispiel aktiviert die Zonenverschiebung für eine neue Auto Scaling Scaling-Gruppe mit dem Namen`my-asg`.
```
aws autoscaling create-auto-scaling-group \
--launch-template LaunchTemplateName=my-launch-template,Version='1' \
--auto-scaling-group-name my-asg \
--min-size 1 \
--max-size 10 \
--desired-capacity 5 \
--availability-zones us-east-1a us-east-1b us-east-1c \
--availability-zone-impairment-policy '{
"ZonalShiftEnabled": true,
"ImpairedZoneHealthCheckBehavior": IgnoreUnhealthy
}'
```
------
------
#### [ Console ]
**Um Zonal Shift für eine bestehende Gruppe (Konsole) zu aktivieren**
1. Öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)und wählen Sie im Navigationsbereich **Auto Scaling Groups** aus.
1. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm die aus, in der AWS-Region Sie Ihre Auto Scaling Scaling-Gruppe erstellt haben.
1. Aktivieren Sie das Kontrollkästchen neben der Auto Scaling Scaling-Gruppe.
Im unteren Teil der Seite wird ein geteilter Bereich geöffnet.
1. **Wählen Sie auf der Registerkarte **Integrationen** unter **ARC Zonal Shift** die Option Bearbeiten aus.**
1. Markieren Sie das Kontrollkästchen, um Zonal Shift zu aktivieren.
1. Wählen Sie für **Verhalten bei der Integritätsprüfung** die Option **Ungesund ignorieren** oder **Ungesund ersetzen** aus.
+ Wenn das Verhalten bei der Integritätsprüfung so eingestellt ist, dass fehlerhafte Instances ignoriert werden, werden fehlerhafte Instances in der Availability Zone *nicht* durch die aktive Zonenverschiebung ersetzt.
+ Wenn das Verhalten bei der Integritätsprüfung so eingestellt ist, dass sie fehlerhafte Instances ersetzt, werden fehlerhafte Instances in der Availability Zone durch die aktive Zonenverschiebung ersetzt.
1. Wählen Sie **Aktualisieren** aus.
------
#### [ AWS CLI ]
**Um die Zonenverschiebung für eine bestehende Gruppe zu aktivieren ()AWS CLI**
Fügen Sie dem [update-auto-scaling-group](https://docs.aws.amazon.com/cli/latest/reference/autoscaling/update-auto-scaling-group.html)-Befehl den `--availability-zone-impairment-policy`-Parameter hinzu.
Der `--availability-zone-impairment-policy` Parameter hat zwei Optionen:
+ **ZonalShiftEnabled**— Wenn auf gesetzt`TRUE`, registriert Auto Scaling die Auto Scaling Scaling-Gruppe mit ARC-Zonenverschiebung[, und Sie können eine Zonenverschiebung auf der ARC-Konsole starten, aktualisieren oder abbrechen](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.start-cancel.html). Wenn auf gesetzt`FALSE`, hebt Auto Scaling die Auto Scaling Scaling-Gruppe von ARC Zonal Shift ab. Sie müssen Zonal Shift bereits aktiviert haben, um sie auf einstellen zu können. `FALSE`
+ **ImpairedZoneHealthCheckBehavior**— Wenn diese Option auf gesetzt ist`replace-unhealthy`, werden fehlerhafte Instances in der Availability Zone durch die aktive Zonenverschiebung ersetzt. Wenn diese Option auf gesetzt ist`ignore-unhealthy`, werden fehlerhafte Instances in der Availability Zone nicht durch die aktive Zonenschicht ersetzt.
Das folgende Beispiel aktiviert die Zonenverschiebung für die angegebene Auto Scaling Scaling-Gruppe.
```
aws autoscaling update-auto-scaling-group --auto-scaling-group-name my-asg \
--availability-zone-impairment-policy '{
"ZonalShiftEnabled": true,
"ImpairedZoneHealthCheckBehavior": IgnoreUnhealthy
}'
```
------
Informationen zum Starten einer Zonenverschiebung finden Sie unter. [Eine Zonenschicht starten, aktualisieren oder stornieren](arc-zonal-shift.start-cancel.md)
## So funktioniert Zonal Shift für Auto Scaling Scaling-Gruppen
Angenommen, Sie haben eine Auto Scaling Scaling-Gruppe mit den folgenden Availability Zones:
+ `us-east-1a`
+ `us-east-1b`
+ `us-east-1c`
Sie stellen Fehler in der Zonenverschiebung fest `us-east-1a` und starten eine Zonenverschiebung. Die folgenden Verhaltensweisen treten auf, wenn eine Zonenverschiebung in gestartet wird. `us-east-1a`
+ **Skalierung** — Auto Scaling startet alle neuen Kapazitätsanfragen in den fehlerfreien Availability Zones (`us-east-1b`und`us-east-1c`).
+ **Dynamische Skalierung** — Auto Scaling verhindert, dass Skalierungsrichtlinien die gewünschte Kapazität verringern. Auto Scaling verhindert nicht, dass Skalierungsrichtlinien die gewünschte Kapazität erhöhen.
+ **Instanzaktualisierung** — Auto Scaling verlängert das Timeout für jeden Instanzaktualisierungsprozess, der während einer aktiven Zonenverschiebung verzögert wird.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/r53recovery/latest/dg/arc-zonal-shift.resource-types.ec2-auto-scaling-groups.html)
## Bewährte Methoden für die Verwendung von Zonal Shift
Um die hohe Verfügbarkeit Ihrer Anwendungen bei Verwendung von Zonal Shift aufrechtzuerhalten, empfehlen wir die folgenden bewährten Methoden.
+ Überwachen EventBridge Sie Benachrichtigungen, um festzustellen, ob eine anhaltende Beeinträchtigung der Availability Zone vorliegt. Weitere Informationen finden Sie unter [Automatisieren von Amazon EC2 Auto Scaling](https://docs.aws.amazon.com//autoscaling/ec2/userguide/automating-ec2-auto-scaling-with-eventbridge.html) mit. EventBridge
+ Verwenden Sie Skalierungsrichtlinien mit geeigneten Schwellenwerten, um sicherzustellen, dass Sie über genügend Kapazität verfügen, um den Verlust einer Availability Zone zu tolerieren.
+ Legen Sie eine Richtlinie zur Instanzwartung fest, die mindestens einen fehlerfreien Prozentsatz von 100 vorsieht. Mit dieser Einstellung wartet Auto Scaling darauf, dass eine neue Instance einsatzbereit ist, bevor es eine fehlerhafte Instance beendet.
Für Kunden mit vorinstallierter Version empfehlen wir außerdem Folgendes:
+ Wählen Sie bei der Integritätsprüfung für die Zone mit eingeschränkter Verfügbarkeit die Option **Ungesunde Instanz ignorieren** aus, da Sie die fehlerhafte Instanz während des Beeinträchtigungsereignisses nicht austauschen müssen.
+ Verwenden Sie Zonal Autoshift in ARC für Ihre Auto Scaling Scaling-Gruppen. Die zonale Autoshift-Funktion Amazon Application Recovery Controller (ARC) ermöglicht es, den Verkehr für eine Ressource von einer Availability Zone weg von einer Availability Zone AWS zu verlagern, wenn eine Beeinträchtigung in einer AWS Availability Zone festgestellt wird. Weitere Informationen finden Sie unter [Automatische Zonenverschiebung in ARC](arc-zonal-autoshift.md).
Für Kunden mit zonenübergreifenden deaktivierten Load Balancern empfehlen wir außerdem:
+ Verwenden Sie **Balanced nur** für die Verteilung in Ihrer Availability Zone.
+ Wenn Sie Zonal Shift sowohl für Ihre Auto Scaling Scaling-Gruppe als auch für Ihre Load Balancer verwenden, stellen Sie sicher, dass Sie zuerst die Zonenverschiebung in Ihrer Auto Scaling Scaling-Gruppe stornieren. Warten Sie dann, bis die Kapazität auf alle Availability Zones verteilt ist, bevor Sie die Zonenverschiebung auf dem Load Balancer abbrechen.
+ Aufgrund der Möglichkeit einer unausgewogenen Kapazität, wenn Sie Zonal Shift aktivieren und einen zonenübergreifenden deaktivierten Load Balancer verwenden, verfügt Auto Scaling über eine zusätzliche Validierung. Wenn Sie die bewährten Methoden befolgen, können Sie diese Möglichkeit bestätigen, indem Sie das Kontrollkästchen im Feld aktivieren AWS-Managementkonsole oder das `skip-zonal-shift-validation` Kennzeichen in`CreateAutoScalingGroup`,, oder verwenden. `UpdateAutoScalingGroup` `AttachTrafficSources`
# Amazon Elastic Kubernetes Service
Amazon EKS bietet Funktionen, mit denen Sie Ihre Anwendungen widerstandsfähiger gegen Ereignisse wie den verschlechterten Zustand oder die Beeinträchtigung einer Availability Zone machen können. Wenn Sie Ihre Workloads in einem Amazon EKS-Cluster ausführen, können Sie die Fehlertoleranz und Anwendungswiederherstellung Ihrer Anwendungsumgebung weiter verbessern, indem Sie Zonal Shift oder Zonal Autoshift verwenden.
## Zonal Shift mit Amazon Elastic Kubernetes Service verwenden
Verwenden Sie eine der folgenden Methoden, um Zonal Shift zu aktivieren. Weitere Informationen finden [Sie unter Erfahren Sie mehr über ARC Zonal Shift](https://docs.aws.amazon.com//eks/latest/userguide/zone-shift-enable.html#zone-shift-enable-steps) im *Amazon Elastic Kubernetes Service User Guide*.
------
#### [ Console ]
**So aktivieren Sie Zonal Shift auf einem neuen Amazon EKS-Cluster (Konsole)**
1. Suchen Sie den Namen und die Region des Amazon EKS-Clusters, den Sie bei ARC registrieren möchten.
1. Öffnen Sie die Amazon EKS-Konsole unter [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Wählen Sie Ihren Cluster aus.
1. Wählen Sie auf der Seite **Cluster-Informationen** die Registerkarte **Übersicht** aus.
1. **Wählen Sie unter **Zonal Shift** die Option Manage aus.**
1. **Wählen Sie für **EKS Zonal Shift** die Option **Aktivieren oder Deaktivieren**.**
------
#### [ AWS CLI ]
**Um Zonal Shift auf einem neuen Amazon EKS-Cluster zu aktivieren ()AWS CLI**
+ Geben Sie den folgenden Befehl ein:
```
aws eks create-cluster --name my-eks-cluster --role-arn my-role-arn-to-create-cluster --resources-vpc-config subnetIds=string,string,securityGroupIds=string,string,endpointPublicAccess=boolean,endpointPrivateAccess=boolean,publicAccessCidrs=string,string --zonal-shift-config enabled=true
```
**Um Zonal Shift auf einem vorhandenen Amazon EKS-Cluster zu aktivieren ()AWS CLI**
+ Geben Sie den folgenden Befehl ein:
```
aws eks update-cluster-config --name my-eks-cluster --zonal-shift-config enabled=true
```
------
Sie können eine Zonenverschiebung für einen Amazon EKS-Cluster starten oder diese für Sie übernehmen lassen AWS , indem Sie Zonal Autoshift aktivieren. Nachdem Ihr Amazon EKS-Cluster Zonal Shift mit ARC aktiviert wurde, können Sie einen Zonal Shift starten oder Zonal Autoshift mit der ARC-Konsole, der AWS CLI oder Zonal Shift und Zonal Autoshift aktivieren. APIs
Weitere Informationen zum Starten einer Zonenverschiebung finden Sie unter. [Eine Zonenschicht starten, aktualisieren oder stornieren](arc-zonal-shift.start-cancel.md)
Weitere Informationen zur Aktivierung von Amazon EKS mit Zonal Shift finden [Sie unter Erfahren Sie mehr über ARC Zonal Shift in Amazon EKS](https://docs.aws.amazon.com//eks/latest/userguide/zone-shift.html) im *Amazon Elastic Kubernetes* Service User Guide.
## So funktioniert Zonal Shift für Amazon Elastic Kubernetes Service
Während einer Amazon EKS-Zonenverschiebung findet automatisch Folgendes statt:
+ Alle Knoten in der betroffenen AZ werden gesperrt. Dadurch wird verhindert, dass der Kubernetes Scheduler neue Pods auf den Knoten in der fehlerhaften AZ plant.
+ Wenn Sie [Managed Node Groups](https://docs.aws.amazon.com//eks/latest/userguide/managed-node-groups.html) verwenden, wird das [Rebalancing der Availability Zone](https://docs.aws.amazon.com//autoscaling/ec2/userguide/auto-scaling-benefits.html#AutoScalingBehavior.InstanceUsage) ausgesetzt und Ihre Auto Scaling Scaling-Gruppe wird aktualisiert, um sicherzustellen, dass neue Amazon EKS-Datenebenenknoten nur im AZs fehlerfreien Zustand gestartet werden.
+ Die Knoten in der fehlerhaften AZ werden nicht beendet und die Pods werden nicht aus diesen Knoten entfernt. Auf diese Weise soll sichergestellt werden, dass Ihr Datenverkehr nach Ablauf oder Abbruch einer Zonenschicht sicher an die AZ zurückgesendet werden kann, die immer noch über die volle Kapazität verfügt.
+ Der EndpointSlice Controller findet alle Pod-Endpunkte in der beeinträchtigten AZ und entfernt sie aus der entsprechenden Zone. EndpointSlices Dadurch wird sichergestellt, dass nur Pod-Endpunkte, die sich in einem AZs fehlerfreien Zustand befinden, gezielt Netzwerkverkehr empfangen. Wenn eine Zonenverschiebung storniert wird oder abläuft, aktualisiert der EndpointSlice Controller sie so, EndpointSlices dass die Endpunkte in die wiederhergestellte AZ aufgenommen werden.
Weitere Informationen finden Sie im [AWS Container-Blog](https://aws.amazon.com/blogs/containers/amazon-eks-now-supports-amazon-application-recovery-controller/).
# Application Load Balancer
## Verwendung von Zonal Shift für Application Load Balancers
Um Application Load Balancers mit Zonal Shift zu verwenden, müssen Sie die ARC-Zonal Shift-Integration in den Application Load Balancer Balancer-Attributen aktivieren. Application Load Balancer unterstützt Zonenverschiebung mit zonenübergreifenden aktivierten oder zonenübergreifenden deaktivierten Konfigurationen.
Bevor Sie die ARC-Integration aktivieren und Zonal Shift verwenden, sollten Sie sich die folgenden Informationen ansehen:
+ Sie können eine Zonenverschiebung für einen bestimmten Load Balancer nur für eine Availability Zone starten. Eine Zonenverschiebung lässt sich nicht für mehrere Availability Zones starten.
+ AWS entfernt proaktiv IP-Adressen von zonalen Load Balancer-Diensten aus DNS, wenn sich mehrere Infrastrukturprobleme auf Dienste auswirken. Prüfen Sie immer die aktuelle Kapazität der Availability Zone, bevor Sie mit einer Zonenverschiebung beginnen.
+ Zonal Shift funktioniert nicht für Single-AZ-Zielgruppen.
+ Wenn ein Application Load Balancer das Ziel eines Network Load Balancers ist, starten Sie die Zonenverschiebung immer vom Network Load Balancer aus. Wenn Sie eine Zonenverschiebung vom Application Load Balancer aus starten, erkennt der Network Load Balancer die Verschiebung nicht und sendet weiterhin Datenverkehr an den Application Load Balancer.
Sie können eine Zonenverschiebung für einen Load Balancer in der Elastic Load Balancing Balancing-Konsole (in den meisten Fällen AWS-Regionen) oder in der ARC-Konsole starten.
------
#### [ Console ]
**Um Zonal Shift auf einem Load Balancer (Konsole) zu aktivieren**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie auf der **Navigationsseite** unter **Load Balancing** die Option Load **Balancers** aus.
1. Wählen Sie den Namen des Application Load Balancer aus.
1. Klicken Sie auf der Registerkarte **Attribute** auf **Bearbeiten**.
1. **Wählen Sie unter **Availability Zone-Routing-Konfiguration** für >ARC Zonal Shift Integration die Option Enable aus.**
1. Wählen Sie **Speichern**.
------
#### [ AWS CLI ]
**Um Zonal Shift auf einem Load Balancer zu aktivieren ()AWS CLI**
+ Geben Sie den folgenden Befehl ein:
```
aws elbv2 modify-load-balancer-attributes --load-balancer-arn my-alb-arn --attributes Key=zonal_shift.config.enabled,Value=true
```
------
Weitere Informationen zum Starten einer Zonenschicht finden Sie unter. [Eine Zonenschicht starten, aktualisieren oder stornieren](arc-zonal-shift.start-cancel.md)
Sie können `keepalive` diese Option verwenden, um zu konfigurieren, wie lange Verbindungen bestehen bleiben. Weitere Informationen finden Sie unter Dauer der [Keepalive-Dauer des HTTP-Clients](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#http-client-keep-alive-duration) im Application Load Balancer Balancer-Benutzerhandbuch. Standardmäßig legen Application Load Balancer den Wert für die Keepalive-Dauer des HTTP-Clients auf 3600 Sekunden oder 1 Stunde fest. Wir empfehlen Ihnen, den Wert zu senken, um Ihrem Ziel für die Wiederherstellungszeit für Ihre Anwendung zu entsprechen, z. B. 300 Sekunden. Wenn Sie die Dauer einer HTTP-Client-Keepalive-Dauer wählen, sollten Sie berücksichtigen, dass dieser Wert einen Kompromiss darstellt zwischen einer häufigeren Wiederherstellung der Verbindung im Allgemeinen, was sich auf die Latenz auswirken kann, und einer schnelleren Verlagerung aller Clients aus einer beeinträchtigten AZ oder Region.
## So funktioniert Zonal Shift für Application Load Balancers
Wenn eine zonale Verschiebung auf einem Application Load Balancer mit aktiviertem zonenübergreifendem Load Balancing gestartet wird, wird der gesamte Datenverkehr zu Zielen in der betroffenen Availability Zone blockiert, und die zonale Verschiebung entfernt die zonale IP-Adresse aus DNS.
Weitere Informationen finden Sie unter [Integrationen für Ihren Application Load Balancer im Application Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-integrations.html#zonal-shift) *Balancer-Benutzerhandbuch*.
# Network Load Balancers
## Verwenden von Zonal Shift für Network Load Balancer
Um Network Load Balancers mit Zonal Shift zu verwenden, müssen Sie die ARC-Zonal Shift-Integration in den Network Load Balancer Balancer-Attributen aktivieren. Network Load Balancer unterstützt Zonenverschiebung mit zonenübergreifenden aktivierten oder zonenübergreifenden deaktivierten Konfigurationen.
Sie können wählen, für welche Ressourcen Sie sich für die Verwendung von Zonal Shift und Zonal Autoshift entscheiden und wann Sie ein Failaway in einer beeinträchtigten Availability Zone durchführen möchten. Sowohl mit dem Internet verbundene als auch interne Network Load Balancer werden unterstützt.
Um Zonal Shift für Ihren zonenübergreifenden Network Load Balancer zu aktivieren, müssen alle an den Load Balancer angeschlossenen Zielgruppen die folgenden Anforderungen erfüllen.
+ Der zonenübergreifende Lastenausgleich muss aktiviert oder auf eingestellt sein. `use_load_balancer_configuration`
+ Weitere Informationen zum zielgruppenübergreifenden Lastenausgleich finden Sie unter [Zonenübergreifender Lastenausgleich für](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/edit-target-group-attributes.html#target-group-cross-zone) Zielgruppen.
+ Das Zielgruppenprotokoll muss TCP oder TLS sein.
+ Weitere Informationen zu den Zielgruppenprotokollen des Network Load Balancer finden Sie unter [Routing-Konfiguration](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/load-balancer-target-groups.html#target-group-routing-configuration).
+ Der Verbindungsabbruch für fehlerhafte Ziele muss deaktiviert werden.
+ Weitere Informationen zum Verbindungsabbruch bei Zielgruppen finden Sie unter [Verbindungsabbruch für fehlerhafte](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/edit-target-group-attributes.html#unhealthy-target-connection-termination) Ziele.
+ Die Zielgruppe darf keine Application Load Balancer als Ziele haben.
+ Weitere Informationen zu Application Load Balancers als Ziele finden Sie unter [Verwenden von Application Load Balancers als Ziele eines Network Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/application-load-balancer-target.html) Balancer.
Sie können eine Zonenverschiebung für einen Network Load Balancer starten, indem Sie das Widget AWS CLI, das oder das AWS-Managementkonsole Elastic Load Balancing Widget verwenden. Wenn ein Application Load Balancer das Ziel eines Network Load Balancers ist, müssen Sie die Zonenverschiebung vom Network Load Balancer aus starten. Wenn Sie die Zonenverschiebung vom Application Load Balancer aus starten, hört der Network Load Balancer nicht auf, Datenverkehr an den Application Load Balancer und seine Ziele zu senden.
------
#### [ Console ]
**So aktivieren Sie Zonal Shift auf einem Load Balancer (Konsole)**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie auf der **Navigationsseite** unter **Load Balancing** die Option Load **Balancers** aus.
1. Wählen Sie den Namen des Network Load Balancer aus.
1. Klicken Sie auf der Registerkarte **Attribute** auf **Bearbeiten**.
1. **Wählen Sie unter **Availability Zone-Routing-Konfiguration** für **ARC Zonal Shift Integration** die Option Enable aus.**
1. Wählen Sie **Speichern**.
------
#### [ AWS CLI ]
**Um Zonal Shift auf einem Load Balancer zu aktivieren ()AWS CLI**
+ Geben Sie den folgenden Befehl ein:
```
aws elbv2 modify-load-balancer-attributes --load-balancer-arn my-nlb-arn --attributes Key=zonal_shift.config.enabled,Value=true
```
------
Weitere Hinweise zum Starten einer Zonenverschiebung finden Sie unter. [Eine Zonenschicht starten, aktualisieren oder stornieren](arc-zonal-shift.start-cancel.md)
## So funktioniert Zonal Shift für Network Load Balancer
ARC verursacht einen Fehler bei der Integritätsprüfung für den registrierten Network Load Balancer, sodass der Network Load Balancer Balancer-Knoten in der beeinträchtigten AZ aus dem DNS entfernt wird, wenn Sie eine Zonenverschiebung starten. Der Network Load Balancer deaktiviert die Ziele in der betroffenen Zone, sodass sie keinen Datenverkehr mehr empfangen, und Elastic Load Balancing behandelt diese Ziele als deaktivierte Ziele für die Zonenverschiebung. Ziele im deaktivierten Zustand erhalten weiterhin Zustandsprüfungen. Wenn die Ziele fehlerfrei sind und die Zonenverschiebung abläuft (oder abgebrochen) wird, wird das Routing zu Zielen in der zuvor beeinträchtigten Zone wieder aufgenommen.
Während der Zonenverschiebung auf Network Load Balancers mit aktiviertem zonenübergreifendem Load Balancing werden die IP-Adressen des zonalen Load Balancers aus DNS entfernt. Bestehende Verbindungen zu Zielen in der beeinträchtigten Availability Zone bleiben bestehen, bis sie organisch geschlossen werden, während neue Verbindungen nicht mehr an Ziele in der beeinträchtigten Availability Zone weitergeleitet werden.
Weitere Informationen finden Sie unter [Zonal Shift für Ihren Network Load Balancer im Network Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/zonal-shift.html) *Balancer-Benutzerhandbuch*.
# Eine Zonenschicht starten, aktualisieren oder stornieren
Dieser Abschnitt enthält Verfahren für die Arbeit mit Zonenschichten, einschließlich des Startens einer Zonenschicht und des Stornierens einer Zonenschicht.
## Starten einer Zonenverschiebung
In den Schritten in diesem Abschnitt wird erklärt, wie Sie eine vom Kunden initiierte Zonenverschiebung auf der Amazon Application Recovery Controller (ARC) -Konsole starten. Informationen zum programmgesteuerten Arbeiten mit Zonal Shift finden Sie im [Zonal](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html) Shift API-Referenzhandbuch.
Sie können nicht nur eine Zonenverschiebung in ARC starten, sondern auch eine Zonenverschiebung für einen Load Balancer in der Elastic Load Balancing Balancing-Konsole (in unterstützten Regionen) starten. Weitere Informationen finden Sie unter [Zonal Shift](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/zonal-shift.html) im Elastic Load Balancing User Guide.
## So starten Sie eine Zonenverschiebung
1. Öffnen Sie die ARC-Konsole unter. [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)
1. Wählen Sie unter **Multi-AZ** die Option **Zonal Shift**.
1. Wählen Sie auf der Seite **Zonal Shift** die Option Zonal Shift **starten** aus.
1. Wählen Sie die Availability Zone aus, von der Sie den Verkehr wegverlagern möchten.
1. Wählen Sie eine unterstützte Ressource aus der **Ressourcentabelle** aus, für die Sie den Verkehr wegverlagern möchten.
1. Wählen Sie unter Ablauf der **Zonenschicht festlegen eine Ablaufzeit** für die Zonenschicht aus, oder geben Sie sie ein. Eine Zonenschicht kann so eingestellt werden, dass sie anfänglich für 1 Minute oder bis zu drei Tage (72 Stunden) aktiv ist.
Alle Zonenverschiebungen sind temporär. Sie müssen ein Ablaufdatum festlegen, aber Sie können aktive Schichten später aktualisieren, um einen neuen Ablaufzeitraum von bis zu drei Tagen festzulegen.
1. Geben Sie einen Kommentar ein. Sie können die Zonenverschiebung später aktualisieren, um den Kommentar zu bearbeiten, wenn Sie möchten.
1. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass durch den Start einer Zonenschicht die verfügbare Kapazität für Ihre Anwendung reduziert wird, da der Verkehr von der Availability Zone weg verlagert wird.
1. Wählen Sie **Starten**.
## Aktualisieren oder Abbrechen einer Zonenverschiebung
In den Schritten in diesem Abschnitt wird erklärt, wie Sie eine Zonenverschiebung, die Sie initiieren, auf der Amazon Application Recovery Controller (ARC) -Konsole aktualisieren oder stornieren. Informationen zum programmgesteuerten Arbeiten mit Zonal Shift finden Sie im [Zonal](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html) Shift API-Referenzhandbuch.
Sie können eine Zonenschicht aktualisieren, um ein neues Ablaufdatum festzulegen, oder den Kommentar für die Zonenschicht bearbeiten oder ersetzen. Sie können eine Zonenschicht jederzeit stornieren, bevor sie abläuft.
Sie können Zonenverschiebungen, die Sie initiiert haben, oder Zonenverschiebungen, die für eine Ressource AWS beginnen, für einen Übungslauf für zonale automatische Verschiebung stornieren. Weitere Informationen zu Übungsschichten bei zonaler Autoshift finden Sie unter. [So funktionieren zonale Autoshift- und Übungsläufe](arc-zonal-autoshift.how-it-works.md)
## So aktualisieren Sie eine zonale Schicht
1. Öffnen Sie die ARC-Konsole unter. [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)
1. Wählen Sie unter **Multi-AZ** die Option **Zonal Shift**.
1. Wählen Sie eine Zonenschicht aus, die Sie aktualisieren möchten, und wählen Sie dann Zonenschicht **aktualisieren** aus.
1. Wählen Sie für **Ablauf der Zonenverschiebung festlegen** optional ein Ablaufdatum aus oder geben Sie es ein.
1. Bearbeiten Sie unter **Kommentar** optional den vorhandenen Kommentar oder geben Sie einen neuen Kommentar ein.
1. Wählen Sie **Aktualisieren** aus.
## Um eine Zonenschicht abzubrechen
1. Öffnen Sie die ARC-Konsole unter. [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)
1. Wählen Sie unter **Multi-AZ** die Option **Zonal Shift**.
1. Wählen Sie eine Zonenschicht aus, die Sie stornieren möchten, und wählen Sie dann Zonenschicht **stornieren** aus.
1. **Wählen Sie im modalen Bestätigungsdialogfeld die Option Bestätigen.**
# Protokollierung und Überwachung von Zonenverschiebungen in Amazon Application Recovery Controller (ARC)
Sie können es AWS CloudTrail für die Überwachung der Zonenverschiebung in Amazon Application Recovery Controller (ARC) verwenden, um Muster zu analysieren und Probleme zu beheben.
**Topics**
+ [Protokollieren von Zonal Shift-API-Aufrufen mit AWS CloudTrail](cloudtrail-zonal-shift.md)
# Protokollieren von Zonal Shift-API-Aufrufen mit AWS CloudTrail
Zonal Shift for ARC ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in ARC ausgeführt wurden. CloudTrail erfasst alle API-Aufrufe für Zonal Shift als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der ARC-Konsole und Codeaufrufen an die ARC-API-Operationen für Zonal Shift.
Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Bereitstellung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Zonenverschiebungen. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen.
Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an ARC für die Zonenverschiebung gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Informationen zur zonalen Schicht in CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn in ARC eine Aktivität für die Zonenverschiebung auftritt, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail **Ereignishistorie in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS-Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem System AWS-Konto, einschließlich der Ereignisse für die Zonenverschiebung in ARC, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle ARC-Aktionen werden vom [Routing Control API Reference Guide für Amazon Application Recovery Controller protokolliert CloudTrail und sind im Routing Control API Reference Guide](https://docs.aws.amazon.com/routing-control/latest/APIReference/) dokumentiert. Beispielsweise generieren Aufrufe der `StartZonalShift` und `ListManagedResources` -Aktionen Einträge in den CloudTrail Protokolldateien.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## ARC-Ereignisse im Ereignisverlauf anzeigen
CloudTrail ermöglicht es Ihnen, aktuelle Ereignisse im **Event-Verlauf einzusehen**. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
## Grundlegendes zu Einträgen in der Zonenschichtprotokolldatei
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `ListManagedResources` Aktion für die Zonenverschiebung demonstriert.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:14:41Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "ListManagedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": null,
"responseElements": null,
"requestID": "VGXG4ZUE7UZTVCMTJGIAF_EXAMPLE",
"eventID": "4b5c42df-1174-46c8-be99-d67_EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `StartZonalShift` Aktion mit einer Konfliktausnahme für Zonal Shift demonstriert.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:10:38Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "StartZonalShift",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"errorCode": "ConflictException",
"errorMessage": "There's already an active zonal shift for that resource identifier: 'arn:aws:testservice:us-west-2:077059137270:testResource/456apples'. Active zonal shift: 'bac23b74-176e-c073-de8f-484ca508910f'",
"requestParameters": {
"resourceIdentifier": "arn:aws:testservice:us-west-2:077059137270:testResource/456apples",
"awayFrom": "usw2-az1",
"expiresIn": "2m",
"comment": "HIDDEN_FOR_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "OP4OYXZ54HUPMIPGWH_EXAMPLE",
"eventID": "0bca6660-e999-43a5-9008-EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
# Identity and Access Management für Zonenverschiebungen in ARC
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um ARC-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Wie funktioniert Zonal Shift mit IAM](security_iam_service-with-iam-zs.md)
+ [Berechtigungen für Zonal Shift](security_iam_service-with-iam-zonal-shift.md)
+ [Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples-zonal.md)
# Wie funktioniert Zonal Shift mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Zonal Shift in Amazon Application Recovery Controller (ARC) zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen mit Zonal Shift verwendet werden können.
**IAM-Funktionen, die Sie mit Zonal Shift verwenden können**
| IAM-Feature | Unterstützung für Zonal Shift |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Teilweise |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
*Einen allgemeinen Überblick darüber, wie AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Identitätsbasierte Richtlinien für ARC
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
Beispiele für identitätsbasierte ARC-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien in Amazon Application Recovery Controller (ARC)](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien innerhalb von ARC
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-Rollen-Vertrauensrichtlinien und Amazon-S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern.
## Politische Maßnahmen zur Zonenverlagerung
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der ARC-Aktionen für Zonal Shift finden Sie unter [Actions defined by Amazon Route 53 Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions) in der *Service Authorization* Reference.
Richtlinienaktionen in ARC für Zonal Shift verwenden vor der Aktion die folgenden Präfixe:
```
arc-zonal-shift
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: Zum Beispiel das Folgende:
```
"Action": [
"arc-zonal-shift:action1",
"arc-zonal-shift:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "arc-zonal-shift:Describe*"
```
Beispiele für identitätsbasierte ARC-Richtlinien für Zonenverschiebungen finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für die Zonenverschiebung in ARC](security_iam_id-based-policy-examples-zonal.md)
## Politische Ressourcen für die Zonenverlagerung
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Ressourcentypen und ihrer Aktionen sowie der Aktionen ARNs, die Sie mit dem ARN jeder Ressource angeben können, finden Sie im folgenden Thema in der *Service Authorization Reference*:
+ [Von Amazon Route 53 — Zonal Shift definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
Informationen zu den Aktionen und Ressourcen, die Sie mit einem Bedingungsschlüssel verwenden können, finden Sie unter dem folgenden Thema in der *Service Authorization Reference:*
+ [Von Amazon Route 53 — Zonal Shift definierte Bedingungsschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
Beispiele für identitätsbasierte ARC-Richtlinien für Zonal Shift finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für die Zonenverschiebung in ARC](security_iam_id-based-policy-examples-zonal.md)
## Schlüssel zu den Bedingungen der Richtlinien für die Zonenverlagerung
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Zustandstasten für zonale Umschaltungen finden Sie unter dem folgenden Thema in der *Service Authorization Reference*:
+ [Von Amazon Route 53 — Zonal Shift definierte Bedingungsschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
Informationen zu den Aktionen und Ressourcen, die Sie mit einem Bedingungsschlüssel verwenden können, finden Sie in den folgenden Themen in der *Service Authorization Reference:*
+ [Von Amazon Route 53 — Zonal Shift definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
+ [Von Amazon Route 53 — Zonal Shift definierte Ressourcentypen](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-resources-for-iam-policies)
Beispiele für identitätsbasierte ARC-Richtlinien für Zonal Shift finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für die Zonenverschiebung in ARC](security_iam_id-based-policy-examples-zonal.md)
## Zugriffskontrolllisten () in ARC ACLs
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## Attributbasierte Zugriffskontrolle (ABAC) mit ARC
**Unterstützt ABAC (Tags in Richtlinien):** Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
ARC bietet die folgende teilweise Unterstützung für ABAC:
+ Zonal Shift unterstützt ABAC für verwaltete Ressourcen, die in ARC für Zonal Shift registriert sind. Weitere Informationen zu den verwalteten Ressourcen von ABAC for Network Load Balancer und Application Load Balancer finden Sie unter [ABAC with Elastic Load Balancing im Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-tags) User Guide.
## Temporäre Anmeldeinformationen mit ARC verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipalberechtigungen für ARC
**Unterstützt Forward Access Sessions (FAS):** Ja
Wenn Sie eine IAM-Entität (Benutzer oder Rolle) verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Richtlinien erteilen einem Prinzipal-Berechtigungen. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service auslösen. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen.
Informationen darüber, ob für eine Aktion zusätzliche abhängige Aktionen in einer Richtlinie erforderlich sind, finden Sie unter dem folgenden Thema in der *Service Authorization Reference:*
+ [Amazon Route 53 Zonenverschiebung](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html)
## Servicerollen für ARC
**Unterstützt Servicerollen:** Nein
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
## Dienstbezogene Rollen für ARC
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Zonal Shift verwendet keine dienstbezogenen Rollen.
# IAM und Berechtigungen für Zonal Shift
Dieser Abschnitt enthält zusätzliche Informationen darüber, wie Berechtigungen für die Zonal Shift-Funktion in Amazon Application Recovery Controller (ARC) funktionieren, insbesondere wenn Sie mit der Funktion von einem anderen AWS Service wie Elastic Load Balancing arbeiten. Informationen zur Funktionsweise von ARC-Funktionen mit IAM und zu Berechtigungen im Allgemeinen finden Sie in den Informationen im Übersichtsthema. [Identity and Access Management für Zonenverschiebungen in ARC](security-iam-zonalshift.md)
Zonal Shift unterstützt Application Load Balancers, Network Load Balancers, Amazon EC2 Auto Scaling Scaling-Gruppen und Amazon EKS. Sie können IAM-Bedingungsschlüssel verwenden, um eine IAM-Berechtigungsrichtlinie auf diese Ressourcen auszudehnen. Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die einen Bedingungsschlüssel mit mehreren Ressourcen unterschiedlichen Typs verwendet:
```
{
"Condition": {
"StringLike": {
"arc-zonal-shift:ResourceIdentifier": [
"arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/*",
"arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/*",
"arn:aws:eks:us-east-1:123456789012:cluster/*"
]
}
},
"Action": [
"arc-zonal-shift:StartZonalShift"
],
"Resource": "*",
"Effect": "Allow"
}
```
Weitere Informationen finden Sie unter [Unterstützte Ressourcen](arc-zonal-shift.resource-types.md).
Zusätzlich zu den im IAM-Übersichtsthema beschriebenen Berechtigungen gilt Folgendes für die Zonenverschiebung für IAM und für Berechtigungen:
+ Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen für die Arbeit mit Zonal Shift in ARC verfügen. Weitere Informationen finden Sie unter Zugriff auf die [Zonal Shift Console und Access](security_iam_id-based-policy-examples-zonal.md#security_iam_id-based-policy-examples-console-zonal) [Zonal Shift Operations](security_iam_id-based-policy-examples-zonal.md#security_iam_id-based-policy-examples-api-zonal).
+ Sie müssen keine zusätzlichen Elastic Load Balancing Balancing-Berechtigungen mit IAM hinzufügen, um mit Zonenverschiebungen für verwaltete Load Balancer-Ressourcen in Ihrem Konto in ARC zu arbeiten.
+ Eine AWS verwaltete Richtlinie, die vollen Zugriff für Elastic Load Balancing bietet, beinhaltet Berechtigungen für die Arbeit mit zonalen Schichten. Wenn Sie AWS verwaltete Richtlinien für den Zugriff auf Elastic Load Balancing verwenden, benötigen Sie keine zusätzlichen Berechtigungen in IAM for Zonal Shift, um Zonal Shifts für Load Balancer zu starten oder in der Elastic Load Balancing Balancing-Konsole damit zu arbeiten. Weitere Informationen finden Sie unter [AWS Verwaltete Richtlinien für Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/managed-policies.html).
# Beispiele für identitätsbasierte Richtlinien für die Zonenverschiebung in ARC
Standardmäßig sind Benutzer und Rollen nicht berechtigt, ARC-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von ARC definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) in der *Service Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [Beispiel: Zugriff auf die Zonal Shift-Konsole](#security_iam_id-based-policy-examples-console-zonal)
+ [Beispiel: Zonal Shift-API-Aktionen](#security_iam_id-based-policy-examples-api-zonal)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand ARC-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Beispiel: Zugriff auf die Zonal Shift-Konsole
Um auf die Amazon Application Recovery Controller (ARC) -Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den ARC-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um Benutzern vollen Zugriff auf die Nutzung von Zonal Shift in zu gewähren AWS-Managementkonsole, fügen Sie dem Benutzer eine Richtlinie wie die folgende hinzu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
## Beispiel: Zonal Shift-API-Aktionen
Die Zonal Shift-API leitet den Datenverkehr vorübergehend von einer Availability Zone weg, um eine Anwendung wiederherzustellen.
Um sicherzustellen, dass ein Benutzer Zonal Shift-API-Aktionen verwenden kann, fügen Sie eine Richtlinie hinzu, die den API-Vorgängen entspricht, mit denen der Benutzer arbeiten muss, z. B. die folgenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource": "*"
}
]
}
```
------