Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Regionswechsel in ARC
Sie können Region Switch in ARC verwenden, um umfangreiche, komplexe Wiederherstellungsaufgaben für Ihre Anwendungsressourcen AWS kontenübergreifend zu koordinieren, um die Geschäftskontinuität zu gewährleisten und den betrieblichen Aufwand zu reduzieren. Region Switch bietet eine zentralisierte und beobachtbare Lösung, die Sie manuell durchführen oder mithilfe von CloudWatch Amazon-Alarmauslösern automatisieren können. Wenn ein beeinträchtigt AWS-Region wird, können Sie die Pläne, die Sie erstellt haben, ausführen, indem Sie den Regionenwechsel verwenden, um ein Failover durchzuführen oder Ihre Ressourcen auf eine andere Region umzustellen. Dadurch wird sichergestellt, dass Ihre Anwendung weiterhin betriebsbereit und fehlerfrei ausgeführt werden kann AWS-Region.
Region Switch basiert auf dem Konzept eines *Plans*, den Sie für Ihre spezifischen Wiederherstellungsanforderungen entwerfen und konfigurieren. Jeder Plan umfasst *Workflows*, die aus Schritten bestehen. In jedem Schritt werden ein oder mehrere *Ausführungsblöcke ausgeführt*, wobei der Regions-Switch parallel oder nacheinander ausgeführt wird, um eine Anwendungswiederherstellung abzuschließen. Jeder Ausführungsblock behandelt eine andere Aufgabe, z. B. das Umschalten von Ressourcen oder die Verwaltung der Datenverkehrsumleitung für Ihre Anwendung. Für noch mehr Flexibilität können Sie übergeordnete Tarife erstellen, indem Sie untergeordnete Tarife zu einem übergeordneten Tarif hinzufügen.
Der Regionswechsel umfasst Folgendes:
+ Support für active/passive und active/active Konfigurationen. Sie können Failover und Failback verwenden, wenn Sie Konfigurationen mit active/passive mehreren Regionen haben, oder Shift-away & Return, wenn Ihre Anwendung für mehrere Regionen eingerichtet ist. active/active
+ Kontoübergreifender Support für Anwendungsressourcen, die Sie in Ihre Anwendungswiederherstellung einbeziehen. Sie können Region-Switch-Pläne auch für mehrere Konten gemeinsam nutzen.
+ Automatisches Failover oder Switchover, indem die Ausführung des Plans auf der Grundlage von Amazon-Alarmen ausgelöst wird. CloudWatch Sie können sich auch dafür entscheiden, einen Regions-Switch-Plan manuell auszuführen.
+ Dashboards mit vollem Funktionsumfang, die Ihnen in Echtzeit Einblick in den Wiederherstellungsprozess geben.
+ In jeder Ebene befindet sich eine Datenebene AWS-Region, sodass Sie Ihren Regions-Switch-Plan ausführen können, ohne von der Region abhängig zu sein, die Sie deaktivieren.
Der Regionalwechsel wird vollständig von AWS verwaltet. Durch die Verwendung von Region Switch können Sie von der Stabilität einer Wiederherstellungsplattform profitieren, die sich auf die spezifischen Anforderungen Ihrer Anwendung konzentriert, anstatt Skripts zu erstellen und zu verwalten und manuell Daten über Wiederherstellungen zu sammeln.
# Über Region Switch
Mit dem Regionswechsel können Sie die spezifischen Schritte koordinieren, um zu dem zu wechseln AWS-Region , in dem Ihre Multiregions-Anwendung ausgeführt wird.
Region Switch basiert auf dem Konzept eines *Plans*, den Sie für Ihre spezifischen Wiederherstellungsanforderungen entwerfen und konfigurieren. Jeder Plan umfasst *Workflows*, die aus Schritten bestehen. In jedem Schritt werden ein oder mehrere *Ausführungsblöcke ausgeführt*, wobei der Regions-Switch parallel oder nacheinander ausgeführt wird, um eine Anwendungswiederherstellung abzuschließen. Jeder Ausführungsblock behandelt eine andere Aufgabe, z. B. das Umschalten von Ressourcen oder die Verwaltung der Datenverkehrsumleitung für Ihre Anwendung. Für noch mehr Flexibilität können Sie Elternpläne erstellen, indem Sie untergeordnete Pläne hinzufügen.
Jedes Mal, wenn Sie einen Plan erstellen oder aktualisieren, führt Region Switch eine Planbewertung durch, um sicherzustellen, dass es keine Probleme mit IAM-Berechtigungen, Ressourcenkonfigurationen oder laufender Kapazität gibt. Region Switch führt diese Evaluierungen regelmäßig durch und generiert bei allen festgestellten Problemen eine Warnung.
Region Switch berechnet außerdem für jede Ausführung des Plans einen Wert für die tatsächliche Wiederherstellungszeit, sodass Sie besser beurteilen können, ob der Plan Ihren Zielen entspricht. Sie können die Wiederherstellungszeit und andere Details zur Ausführung von Plänen in den Dashboards für den Regionalwechsel in der einsehen. AWS-Managementkonsole Weitere Informationen finden Sie unter [Dashboards für den Regionswechsel](region-switch.dashboarding-and-reports.md).
Weitere Informationen zu den einzelnen Bereichen von Region Switch finden Sie in den folgenden Abschnitten.
## Pläne für den Regionswechsel
Ein Regions-Switch-Plan ist die wichtigste Ressource in Regions-Switch-Plänen. Sie sollten Ihren Plan auf eine bestimmte Anwendung mit mehreren Regionen ausdehnen. Mit einem Plan können Sie *Workflows* zur Wiederherstellung Ihrer Anwendungen erstellen, indem Sie eine Reihe von *Regions-Switch-Ausführungsblöcken* ausführen, die Ihre Anwendung und ihre Ressourcen, einschließlich kontoübergreifender Ressourcen, in dem AWS-Region von Ihnen angegebenen Bereich aktivieren oder deaktivieren.
Ein Plan besteht aus einem oder mehreren Workflows, mit denen Sie einen bestimmten AWS-Region aktivieren oder deaktivieren können. Sie können Ausführungsblöcke in einem Workflow so konfigurieren, dass sie sequentiell ausgeführt werden, oder Sie können angeben, dass einige der Blöcke parallel ausgeführt werden.
Für einen Plan, den Sie für einen Ansatz mit active/passive mehreren Regionen konfigurieren, erstellen Sie entweder einen Workflow, der zur Aktivierung einer Ihrer Regionen verwendet werden kann, oder zwei separate Aktivierungsworkflows, einen für jede Region. Für einen Plan, den Sie für einen aktiven/aktiven Ansatz konfigurieren, erstellen Sie einen Workflow zur Aktivierung Ihrer Regionen und einen Workflow zur Deaktivierung Ihrer Regionen.
AWS-Regionen sind geografische Standorte auf der ganzen Welt, an denen Rechenzentren AWS gruppiert werden. Jede Region ist so konzipiert, dass sie vollständig von den anderen Regionen isoliert ist, was für Fehlertoleranz und Stabilität sorgt. Wenn Sie Region Switch verwenden, müssen Sie berücksichtigen, in welchen Regionen Ihre Anwendung bereitgestellt wird und welche Regionen Sie für die Wiederherstellung verwenden möchten.
Der Regions-Switch unterstützt die Wiederherstellung zwischen zwei beliebigen AWS-Regionen Orten, in denen der Dienst verfügbar ist. Wenn Sie einen Regions-Switch-Plan konfigurieren, geben Sie die Regionen an, in denen Ihre Anwendung bereitgestellt wird, und den Wiederherstellungsansatz, den Sie verwenden möchten: active/passive oder aktiv/aktiv.
Beispielsweise könnten Sie einen active/passive multiregionalen Ansatz mit us-east-1 als primärer Region und us-west-2 als Standby-Region verfolgen. Um Ihre Anwendung nach einem Betriebsproblem wiederherzustellen, das sich auf die Anwendung in us-east-1 auswirkt, können Sie Ihren Regions-Switch-Plan ausführen, um us-west-2 zu aktivieren. Dies würde dazu führen, dass die Anwendung von Ressourcen in us-east-1 zu Ressourcen in us-west-2 wechselt.
Regions-Switch-Pläne werden mit den Berechtigungen ausgeführt, die der IAM-Rolle zugeordnet sind, die Sie bei der Erstellung des Plans angeben.
*Sie können mehrere Pläne erstellen, einen für jede Ihrer Multi-Region-Anwendungen, und dann die Wiederherstellung dieser Pläne in der gewünschten Reihenfolge orchestrieren, indem Sie einen übergeordneten Plan erstellen.* Ein übergeordneter Plan ist ein Plan, der die Ausführungsblöcke des Regions-Switch-Plans als Schritte verwendet. Die Hierarchie der Pläne ist auf zwei Ebenen (übergeordnetes und untergeordnetes Paket) beschränkt. Sie können jedoch mehrere untergeordnete Pläne in denselben übergeordneten Plan einbeziehen.
## Workflows und Ausführungsblöcke
Nachdem Sie einen Regions-Switch-Plan erstellt haben, müssen Sie dem Plan einen oder mehrere Workflows hinzufügen, um die Schritte zu definieren, die der Plan für die Wiederherstellung Ihrer Anwendung ausführen soll. Für jeden Workflow fügen Sie Schritte hinzu, die Ausführungsblöcke enthalten. Jeder Ausführungsblock führt eine bestimmte Wiederherstellungsaktion durch, z. B. die Skalierung von Ressourcen oder die Aktualisierung der Routingkontrollen zur Umleitung des Datenverkehrs. Schritte organisieren diese Ausführungsblöcke und steuern, ob sie parallel oder nacheinander ausgeführt werden. Durch die Erstellung übergeordneter Pläne können Sie auch die Reihenfolge festlegen, in der mehrere Anwendungen in der Region, die Sie aktivieren, wiederhergestellt werden.
Sie organisieren Ausführungsblöcke innerhalb eines Workflows in Schritte. Jeder Schritt kann einen oder mehrere Ausführungsblöcke enthalten, die parallel ausgeführt werden, und Sie ordnen die Schritte in Ihrem Workflow so an, dass sie nacheinander ausgeführt werden. Je nach Ressource können Sie auch die Option haben, einen Ausführungsblock mit ordnungsgemäßer (geplanter) oder unsachgemäßer (ungeplanter) Ausführung auszuführen.
+ Ordnungsgemäße Ausführung: Ein geplanter Ausführungs-Workflow. Wenn Ihre Umgebung intakt ist, können Sie den Workflow „Graceful“ verwenden, um alle Schritte für eine ordnungsgemäße Ausführung des Plans auszuführen.
+ Fehlerhafte Ausführung: Eine ungeplante Ausführung. Der Workflow-Modus „Ungraaceful“ verwendet nur die erforderlichen Schritte und Aktionen. Dieser Modus ändert entweder das Verhalten der Ausführungsblöcke in einem Workflow oder überspringt bestimmte Ausführungsblöcke.
+ Ausführung nach der Wiederherstellung: Ein Workflow, der nach einer erfolgreichen Wiederherstellung ausgeführt wird, um sich auf future regionale Ereignisse vorzubereiten. Ausführungen nach der Wiederherstellung können Lesereplikate erstellen, benutzerdefinierte Logik über Lambda-Funktionen ausführen, manuelle Genehmigungsgatter hinzufügen und untergeordnete Pläne für eine komplexe Orchestrierung einbetten. Für diese Ausführungen müssen beide Regionen fehlerfrei sein und in der Region ausgeführt werden, die zuvor beeinträchtigt wurde.
Schließlich können Sie auch kontoübergreifende Ressourcen für einen Ausführungsblock konfigurieren. Zunächst müssen Sie die Berechtigungen konfigurieren, indem Sie den Anweisungen unter folgen. [Kontoübergreifender Support bei Regionswechsel](cross-account-resources-rs.md) Nachdem Sie die erforderlichen IAM-Rollen eingerichtet haben, können Sie kontoübergreifende Ressourcen in den Ausführungsblöcken Ihrer Plan-Workflows hinzufügen. Um kontenübergreifende Ressourcen hinzuzufügen, geben Sie beim Hinzufügen eines Schritts eine IAM-Zielrolle an, die über Berechtigungen für die Ressource anderer verfügt. AWS-Konten Sie müssen auch die externe ID angeben, die Sie in der Vertrauensrichtlinie für die kontenübergreifende Rolle angegeben haben. Einzelheiten zum Erstellen der erforderlichen IAM-Rollen finden Sie unter. [Kontoübergreifende Ressourcenberechtigungen](security_iam_region_switch_cross_account.md)
Weitere Informationen zu Workflows finden Sie unter[Erstellen Sie Workflows für den Regionalwechselplan](working-with-rs-workflows.md). Einzelheiten zu den einzelnen Ausführungsblocktypen, einschließlich der Konfigurationsschritte, seiner Funktionsweise und der im Rahmen der Planauswertung bewerteten Elemente, finden Sie unter[Fügen Sie Ausführungsblöcke hinzu](working-with-rs-execution-blocks.md).
## Bewertung des Plans
Die Planauswertung ist ein automatisierter Prozess, bei dem Region Switch ausgeführt wird, wenn ein Plan erstellt oder aktualisiert wird, und danach im Steady-State-Modus alle 30 Minuten. Bei der Evaluierung werden mehrere wichtige Aspekte der Plan- und Ressourcenkonfiguration überprüft. Die Evaluierungen umfassen die Überprüfung der IAM-Berechtigungen, der Ressourcenkonfigurationen und der Betriebskapazität.
Wenn Region Switch ein Problem feststellt, das eine erfolgreiche Ausführung des Plans verhindern könnte, wird eine Warnung zur Planbewertung generiert, die auf der Seite mit den Plandetails in der Konsole hervorgehoben wird. Sie können auch Warnungen zur Planauswertung bei Amazon EventBridge abrufen oder sich Warnungen mithilfe der Regions-Switch-API anzeigen lassen. Weitere Informationen zur Plan Evaluation API finden Sie [GetPlanEvaluationStatus](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanEvaluationStatus.html)im *Region Switch API Reference Guide* for Amazon Application Recovery Controller (ARC).
Einzelheiten und Lösungsvorschläge für Probleme, die bei der Plan-Evaluierung auftreten, finden Sie auf der Seite mit den **Plandetails auf der Registerkarte Planbewertung**. Wir empfehlen Ihnen, auch die Anwendungswiederherstellung zu testen, indem Sie Ihren Plan für den Regionswechsel ausführen, und sich nicht ausschließlich auf die Evaluierung des Regionswechselplans verlassen, um zu testen, ob Ihr Wiederherstellungsplan wie erwartet funktioniert.
## Automatische Berichte zur Planausführung
Region Switch kann automatisch umfassende PDF-Berichte für die Ausführung von Plänen generieren, um Sie bei der Einhaltung gesetzlicher Vorschriften zu unterstützen. Diese Berichte liefern Belege für Ihre Notfallwiederherstellungstests und tatsächliche Wiederherstellungsereignisse, einschließlich detaillierter Ausführungszeitpläne, Plankonfigurationen und Ressourcenstatus.
Wenn Sie die automatische Berichtsgenerierung für einen Plan konfigurieren, erstellt Region Switch nach Abschluss jeder Planausführung einen PDF-Bericht und übermittelt ihn an einen von Ihnen angegebenen Amazon S3 S3-Bucket. Berichte sind in der Regel innerhalb von 30 Minuten nach Abschluss der Ausführung verfügbar. Es fallen S3-Speicherkosten an.
Jeder Bericht beinhaltet:
+ Zusammenfassung mit Serviceübersicht und Datum der Erstellung des Berichts
+ Planen Sie die Konfigurationsdetails so, wie sie zum Zeitpunkt der Ausführung vorlagen
+ Detaillierter Ausführungszeitplan mit Schritten, betroffenen Ressourcen und Status
+ Planen Sie Warnungen ein, die zu Beginn der Ausführung vorhanden waren
+ CloudWatch Amazon-Alarmstatus und Alarmverlauf für zugehörige Alarme
+ Einzelheiten zur Konfiguration und Ausführung der untergeordneten Pläne für übergeordnete Pläne
+ Glossar mit Begriffen und Konzepten
Um die automatische Berichtsgenerierung zu aktivieren, konfigurieren Sie bei der Erstellung oder Aktualisierung eines Plans ein Ziel für die Berichtsausgabe. Sie müssen außerdem sicherstellen, dass die Ausführungs-IAM-Rolle Ihres Plans über die erforderlichen Berechtigungen verfügt, um Berichte in Ihren Amazon S3 S3-Bucket zu schreiben und auf die Ressourcen zuzugreifen, die für die Generierung des Berichtsinhalts erforderlich sind. Weitere Informationen zu erforderlichen Berechtigungen finden Sie unter [Bei der automatischen Ausführung von Plänen werden Genehmigungen gemeldet](security_iam_region_switch_reports.md).
Auf der Seite mit den Details zur Planausführung in der Konsole können Sie den Status der Berichtsgenerierung einsehen und abgeschlossene Berichte herunterladen. Wenn bei der Berichtsgenerierung Fehler auftreten, wie z. B. unzureichende Berechtigungen oder falsch konfigurierte Amazon S3 S3-Buckets, bietet Region Switch Fehlerdetails, um Ihnen bei der Behebung des Problems zu helfen.
Bei der Planauswertung wird Ihre Berichtskonfiguration kontinuierlich validiert, einschließlich der Überprüfung, ob die Ausführungsrolle über die erforderlichen IAM-Berechtigungen verfügt. Wenn Region Switch Konfigurationsprobleme erkennt, die eine erfolgreiche Berichtsgenerierung verhindern würden, werden Warnungen generiert, die Sie auf der Seite mit den Plandetails einsehen können.
## Regionale Alarme und tatsächliche Wiederherstellungszeit
Region Switch berechnet für jede Planausführung einen Wert für die *tatsächliche Wiederherstellungszeit*, den Sie nach der Ausführung des Plans einsehen können. Die tatsächliche Wiederherstellungszeit wird auf der Seite mit den Details zur Planausführung angezeigt, sodass Sie die tatsächliche Zeit mit dem Wiederherstellungszeitziel vergleichen können, das Sie bei der Erstellung des Plans angegeben haben.
Die tatsächliche Wiederherstellungszeit wird berechnet als die Gesamtzeit, die für die Ausführung eines Plans benötigt wird, und als jede zusätzliche Zeit, die vergeht, bis bestimmte CloudWatch Amazon-Alarme, die Sie konfigurieren, wieder in den grünen Zustand zurückkehren.
Um die Berechnung einer genauen tatsächlichen Wiederherstellungszeit für die Ausführung des Plans zu unterstützen, müssen Sie regionale CloudWatch Amazon-Alarme für einen Regionenwechselplan konfigurieren, die ein Signal über den Zustand Ihrer Anwendung in jeder Region liefern. Wenn ein Plan ausgeführt wird, verwendet Region Switch diese Anwendungszustandsalarme, um festzustellen, wann Ihre Anwendung wieder fehlerfrei ist. Anschließend berechnet Region Switch die tatsächliche Wiederherstellungszeit auf der Grundlage der Zeit, die für die Ausführung Ihres Plans benötigt wird, zuzüglich der Zeit, die Ihre Anwendung benötigt, um wieder funktionsfähig zu sein, basierend auf den von Ihnen konfigurierten Anwendungszustandsalarmen.
Bevor Sie CloudWatch Alarme zu einem Regions-Switch-Plan hinzufügen, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [CloudWatch Alarme für Statusberechtigungen von Anwendungen](security_iam_region_switch_cloudwatch.md).
# AWS-Regionen
Der Regionswechsel ist in allen kommerziellen AWS-Regionen Regionen sowie in AWS GovCloud (USA) verfügbar.
Detaillierte Informationen zu regionalen Support- und Service-Endpunkten für Amazon Application Recovery Controller (ARC) finden Sie unter [Amazon Application Recovery Controller (ARC) -Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/arc.html) in der *Amazon Web Services General* Reference.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/r53recovery/latest/dg/aws-regions-rs.html)
# Komponenten für den Regionalschalter
Im Folgenden finden Sie Komponenten und Konzepte zur Regionswechselfunktion in Amazon Application Recovery Controller (ARC).
**Plan**
Ein Plan ist der grundlegende Wiederherstellungsprozess für Ihre Anwendung. Sie erstellen einen Plan, indem Sie einen oder mehrere Workflows mit Ausführungsblöcken erstellen, die nacheinander oder parallel ausgeführt werden. Wenn dann eine regionale Beeinträchtigung vorliegt, führen Sie den Plan aus, um eine Wiederherstellung für Ihre Anwendung abzuschließen, indem Sie die Anwendung so umstellen, dass sie in einer fehlerfreien Region ausgeführt wird.
**Tarif für Kinder**
Ein untergeordneter Plan ist ein eigenständiger Plan, der innerhalb eines übergeordneten Plans ausgeführt werden kann, um komplexere Anwendungswiederherstellungsszenarien zu koordinieren. Sie können Regions-Switch-Pläne auf einer Ebene verschachteln.
**Workflow**
Ein Regions-Switch-Plan umfasst einen oder mehrere Workflows. Ein Workflow besteht aus Schritten, die Ausführungsblöcke enthalten, von denen Sie angeben, dass sie parallel oder nacheinander ausgeführt werden, um die Aktivierung oder Deaktivierung einer Region als Teil eines Wiederherstellungsplans abzuschließen. Für einen Plan, den Sie für einen bestimmten active/passive Ansatz konfigurieren, erstellen Sie entweder einen Workflow, der zur Aktivierung einer Ihrer Regionen verwendet werden kann, oder separate Aktivierungsworkflows, einen für jede Region. Für einen Plan, den Sie für einen active/active Ansatz konfigurieren, erstellen Sie einen Workflow zur Aktivierung Ihrer Regionen und einen Workflow zur Deaktivierung Ihrer Regionen.
**Ausführungsblock**
Sie fügen Schritte zu Ihren Region-Switch-Plan-Workflows hinzu, die einen Ausführungsblock enthalten. Mit Ausführungsblöcken können Sie die Wiederherstellung für mehrere Anwendungen oder Ressourcen in einer aktivierenden Region spezifizieren. Wenn Sie einem Workflow einen Schritt hinzufügen, können Sie ihn nacheinander mit anderen Schritten oder parallel zu einem oder mehreren anderen Schritten hinzufügen.
**Anmutige und unanmutige Konfigurationen**
Sie können wählen, ob bestimmte Ausführungsblöcke ordnungsgemäß (geplant) oder nicht ordnungsgemäß (ungeplant) ausgeführt werden sollen. Wenn Ihre Umgebung intakt ist, können Sie den reibungslosen Workflow verwenden, um alle Schritte für eine ordnungsgemäße Ausführung des Plans auszuführen. Der Workflow-Modus „Ungraceful“ verwendet nur die erforderlichen Schritte und Aktionen. Wenn Sie einen Plan im Modus „Ungraceful“ ausführen, ändert er entweder das Verhalten von Ausführungsblöcken in einem Workflow oder überspringt je nach Art des Ausführungsblocks bestimmte Ausführungsblöcke.
Bestimmte Typen von Ausführungsblöcken verhalten sich unterschiedlich, wenn sie nicht ordnungsgemäß ausgeführt werden. Einzelheiten zu diesen Unterschieden werden in dem Abschnitt beschrieben, der Einzelheiten zu den einzelnen Typen von Ausführungsblöcken enthält. Weitere Informationen finden Sie unter [Fügen Sie Ausführungsblöcke hinzu](working-with-rs-execution-blocks.md).
**Active/active and active/passive-Konfigurationen**
Es gibt zwei Hauptansätze, um eine stabile Konfiguration für eine Anwendung in mehreren Regionen zu erstellen: active/passive aktiv/aktiv. Region Switch unterstützt die Anwendungswiederherstellung für beide Ansätze.
Mit einer active/passive Konfiguration stellen Sie zwei Replikate Ihrer Anwendung in zwei verschiedenen Regionen bereit, wobei der Kundenverkehr nur in eine Region fließt.
Bei einer active/active Konfiguration stellen Sie zwei Replikate in zwei verschiedenen Regionen bereit, aber beide Replikate verarbeiten Arbeit oder empfangen Datenverkehr.
**Ausführung planen**
Bei der Ausführung eines Regions-Switch-Plans wird eine Wiederherstellung für eine Anwendung implementiert, wenn eine Region beeinträchtigt wird, indem eine fehlerfreie Region für Ihre Anwendung und den von ihr empfangenen Datenverkehr aktiviert wird. Mit einer active/active Konfiguration führen Sie auch eine Planausführung durch, um die beeinträchtigte Region zu deaktivieren.
**Gesundheitsalarme für Anwendungen**
CloudWatch Anwendungszustandsalarme sind Alarme, die Sie für einen Plan angeben, um den Zustand Ihrer Anwendung in jeder Region anzuzeigen. Beim Regionswechsel wird anhand von Anwendungszustandsalarmen die tatsächliche Wiederherstellungszeit ermittelt, nachdem Sie die Region gewechselt haben, um die Wiederherstellung zu implementieren.
**Auslöser**
Sie können Trigger im Regionswechsel verwenden, um die Anwendungswiederherstellung zu automatisieren. Wenn Sie einen Trigger erstellen, geben Sie einen oder mehrere CloudWatch Amazon-Alarme an und definieren, welche Alarmbedingungen (wie „rot“ oder „grün“) die Planausführung einleiten sollen. Wenn die angegebenen Bedingungen erfüllt sind, führt Region Switch den Plan automatisch aus. Trigger unterscheiden sich von Anwendungszustandsalarmen: Sie starten die Ausführung des Plans, wohingegen Anwendungszustandsalarme beim Regionswechsel die tatsächliche Wiederherstellungszeit nach Abschluss eines Plans berechnen.
**Arbeitsablauf nach der Wiederherstellung**
Ein Workflow nach der Wiederherstellung ist ein optionaler Workflow, der nach einer erfolgreichen Wiederherstellung ausgeführt wird, um sich auf future regionale Ereignisse vorzubereiten. Diese Workflows setzen voraus, dass beide Regionen fehlerfrei sind und in der Region ausgeführt werden, die zuvor beeinträchtigt wurde. Ausführungen nach der Wiederherstellung verweisen auf die Ausführungs-ID der letzten Wiederherstellungsausführung.
Workflows nach der Wiederherstellung unterstützen die folgenden Ausführungsblöcke:
+ RDS: Regionsübergreifendes Replikat erstellen
+ Lambda für benutzerdefinierte Aktionen
+ Manuelle Genehmigung
+ Plan für den Regionalwechsel
**Dashboards**
Region Switch umfasst Dashboards, in denen Sie Details zur Ausführung von Plänen in Echtzeit verfolgen können.
# Daten- und Steuerungsebenen für den Regionalwechsel
Denken Sie bei der Planung von Failover und Disaster Recovery darüber nach, wie robust Ihre Failover-Mechanismen sind. Es wird empfohlen, sicherzustellen, dass die Mechanismen, auf die Sie beim Failover angewiesen sind, hochverfügbar sind, sodass Sie sie bei Bedarf in einem Notfallszenario verwenden können. In der Regel sollten Sie, wann immer möglich, Datenebenenfunktionen für Ihre Mechanismen verwenden, um die größtmögliche Zuverlässigkeit und Fehlertoleranz zu gewährleisten. Vor diesem Hintergrund ist es wichtig zu verstehen, wie die Funktionalität eines Dienstes zwischen Steuerungsebenen und Datenebenen aufgeteilt ist und wann Sie sich darauf verlassen können, dass die Datenebene eines Dienstes extrem zuverlässig ist.
Wie bei vielen AWS Diensten wird die Funktionalität für die Region-Switch-Funktion durch eine Steuerungsebene und Datenebenen unterstützt. Beide Typen sind zwar auf Zuverlässigkeit ausgelegt, eine Steuerungsebene ist jedoch für die Datenkonsistenz optimiert, während eine Datenebene für die Verfügbarkeit optimiert ist. Eine Datenebene ist auf Ausfallsicherheit ausgelegt, sodass sie die Verfügbarkeit auch bei Störungen aufrechterhalten kann, wenn eine Kontrollebene möglicherweise nicht verfügbar ist.
Im Allgemeinen ermöglicht Ihnen eine *Kontrollebene* grundlegende Verwaltungsfunktionen wie das Erstellen, Aktualisieren und Löschen von Ressourcen im Service. Eine *Datenebene* stellt die Kernfunktionalität eines Dienstes bereit. Aus diesem Grund empfehlen wir, Datenebenenoperationen zu verwenden, wenn die Verfügbarkeit wichtig ist, z. B. wenn Sie während eines Ausfalls Informationen über einen Tarif für einen Regionalwechsel benötigen.
Beim Regionswechsel sind die Steuerungsebenen und Datenebenen wie folgt aufgeteilt:
+ Die Steuerungsebene für den Regional-Switch befindet sich in der Region USA Ost (Nord-Virginia) (US-East-1), der Region AWS GovCloud (US-West) (us-gov-west-1) und ist nur für das Servicemanagement vorgesehen, d. h. für die Erstellung und Aktualisierung von Plänen, nicht für die Wiederherstellung, d. h. für die Ausführung von Plänen. *Die API-Operationen der Kontrollebene für die Konfiguration des Regions-Switches sind nicht hochverfügbar.*
+ Der Regions-Switch verfügt über unabhängige Datenebenen in jeder Ebene AWS-Region. Sie sollten die Datenebene für Wiederherstellungsaktionen verwenden, d. h. für die Ausführung von Regions-Switch-Plänen. Eine Liste der Operationen auf der Datenebene finden Sie unter[API-Operationen für den Regionswechsel](actions.region-switch.md). *Diese Operationen auf der Datenebene zwischen Regionen sind hochverfügbar.*
Region Switch bietet in jeder Konsole eine unabhängige Konsole AWS-Region, die Datenebenen-API-Operationen für Wiederherstellungsaufgaben aufruft, sodass Sie die Konsole in der Region, die Sie aktivieren, verwenden können, um Pläne für die Anwendungswiederherstellung auszuführen. Weitere Informationen zu den wichtigsten Überlegungen bei der Vorbereitung und Durchführung eines Wiederherstellungsvorgangs mit Region Switch finden Sie unter[Bewährte Methoden für den Regionswechsel in ARC](best-practices.region-switch.md).
Weitere Informationen zu Datenebenen, Kontrollebenen und dazu, wie Services AWS entwickelt werden, um Hochverfügbarkeitsziele zu erreichen, finden Sie im [paper Statische Stabilität mithilfe von Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) in der Amazon Builders' Library.
# Tagging für den ARC-Regionswechsel;
Tags sind Wörter oder Ausdrücke (Metadaten), die Sie verwenden, um Ihre AWS Ressourcen zu identifizieren und zu organisieren. Sie können jeder Ressource mehrere Tags hinzufügen, und jedes Tag enthält einen Schlüssel und einen Wert, den Sie definieren. Der Schlüssel könnte beispielsweise „Umgebung“ und der Wert „Produktion“ lauten. Sie können Ihre Ressourcen anhand der von Ihnen hinzugefügten Tags suchen und filtern.
Sie können die folgende Ressource im Regionenwechsel in ARC taggen:
+ Plans (Pläne)
Tagging in ARC ist nur über die API verfügbar, z. B. mit der AWS CLI.
Im Folgenden finden Sie Beispiele für das Tagging im Regions-Switch mithilfe von. AWS CLI
`aws arc-region-switch --region us-east-1 create-plan --plan-name example-plan --tags Region=IAD,Stage=Prod`
Weitere Informationen finden Sie [TagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_TagResource.html)im *Region Switch API-Referenzhandbuch* für Amazon Application Recovery Controller (ARC).
# Preise für den Regionswechsel in ARC
Sie zahlen feste monatliche Kosten pro von Ihnen konfiguriertem Regions-Switch-Plan.
Detaillierte Preisinformationen für ARC und Preisbeispiele finden Sie unter [ARC-Preise](https://aws.amazon.com/application-recovery-controller/pricing/).
# Bewährte Methoden für den Regionswechsel in ARC
Wir empfehlen die folgenden bewährten Methoden für die Wiederherstellung und Failover-Vorbereitung mit Regionswechsel in Amazon Application Recovery Controller (ARC).
**Topics**
+ [Bewahren Sie speziell entwickelte, AWS langlebige Anmeldeinformationen sicher und jederzeit zugänglich auf](#RSBestPracticeCredentials)
+ [Wählen Sie niedrigere TTL-Werte für DNS-Einträge, die am Failover beteiligt sind](#RSBestPracticeLowerTTL)
+ [Reservieren Sie die benötigte Kapazität für kritische Anwendungen](#RSBestPracticeCapacity)
+ [Verwenden Sie die äußerst zuverlässigen API-Operationen auf Datenebene, um Regions-Switch-Pläne aufzulisten und Informationen zu diesen abzurufen](#RSBestPracticeUseDataPlane)
+ [Testen Sie das Failover mit ARC](#RSBestPracticeTestFailover)
**Bewahren Sie speziell entwickelte, langlebige AWS Anmeldeinformationen sicher und jederzeit zugänglich auf**
Halten Sie in einem Disaster Recovery-Szenario (DR) die Systemabhängigkeiten auf ein Minimum, indem Sie einen einfachen Ansatz für den Zugriff auf AWS und die Ausführung von Wiederherstellungsaufgaben verwenden. Erstellen Sie [langlebige IAM-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html) speziell für DR-Aufgaben und bewahren Sie die Anmeldeinformationen sicher in einem lokalen physischen Safe oder einem virtuellen Tresor auf, damit Sie bei Bedarf darauf zugreifen können. Mit IAM können Sie Sicherheitsanmeldedaten wie Zugriffsschlüssel und Berechtigungen für den Zugriff auf Ressourcen zentral verwalten. AWS [Für Aufgaben, bei denen es sich nicht um DR-Aufgaben handelt, empfehlen wir, weiterhin Verbundzugriff zu verwenden und AWS Dienste wie AWS Single Sign-On zu nutzen.](https://aws.amazon.com/single-sign-on/)
**Wählen Sie niedrigere TTL-Werte für DNS-Einträge, die am Failover beteiligt sind**
Für DNS-Einträge, die Sie möglicherweise im Rahmen Ihres Failover-Mechanismus ändern müssen, insbesondere für Datensätze, die einer Integritätsprüfung unterzogen wurden, ist die Verwendung niedrigerer TTL-Werte angemessen. Das Festlegen einer TTL von 60 oder 120 Sekunden ist eine übliche Wahl für dieses Szenario.
Die DNS-TTL-Einstellung (Time to Live) teilt DNS-Resolvern mit, wie lange ein Datensatz zwischengespeichert werden muss, bevor ein neuer angefordert wird. Wenn Sie sich für eine TTL entscheiden, gehen Sie einen Kompromiss zwischen Latenz und Zuverlässigkeit sowie der Reaktionsfähigkeit auf Änderungen ein. Bei einer kürzeren TTL für einen Datensatz bemerken DNS-Resolver Aktualisierungen des Eintrags schneller, da die TTL angibt, dass sie häufiger Abfragen durchführen müssen.
Weitere Informationen finden Sie unter *Auswählen von TTL-Werten für DNS-Einträge* in [Best Practices für Amazon Route 53 DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-dns.html).
**Reservieren Sie die benötigte Kapazität für kritische Anwendungen**
Der Regions-Switch umfasst Typen von Ausführungsblöcken, mit deren Hilfe Rechenressourcen im Rahmen der Wiederherstellung skaliert werden können. Wenn Sie diese Ausführungsblöcke in einem Plan verwenden, garantiert Region Switch nicht, dass die gewünschte Rechenkapazität erreicht wird. Wenn Sie eine kritische Anwendung haben und den Zugriff auf die Kapazität garantieren müssen, empfehlen wir Ihnen, die Kapazität zu reservieren.
Es gibt Strategien, die Sie anwenden können, um Rechenkapazität in einer sekundären Region zu reservieren und gleichzeitig die Kosten zu begrenzen. Weitere Informationen finden Sie unter [Pilotprojekt mit reservierter Kapazität: So optimieren Sie die DR-Kosten mithilfe von Kapazitätsreservierungen auf Abruf](https://aws.amazon.com/blogs/architecture/pilot-light-with-reserved-capacity-how-to-optimize-dr-cost-using-on-demand-capacity-reservations/).
**Verwenden Sie die äußerst zuverlässigen API-Operationen für die Datenebene, um Pläne für den Regionalwechsel aufzulisten und Informationen zu diesen abzurufen**
Verwenden Sie API-Operationen auf Datenebene, um während einer Veranstaltung mit Ihrem Regions-Switch-Plan zu arbeiten und ihn auszuführen. Eine Liste der Operationen auf der Datenebene zwischen Regionen wechseln finden Sie unter[API-Operationen für den Regionswechsel](actions.region-switch.md).
Die Regional-Switch-Konsole in jeder Region verwendet Datenebenenoperationen zur Ausführung von Regions-Switch-Plänen. Sie können auch API-Operationen auf Datenebene aufrufen, indem Sie den AWS CLI oder verwenden, indem Sie Code ausführen, den Sie mit einem der folgenden Befehle schreiben AWS SDKs. ARC bietet extreme Zuverlässigkeit mit der API auf der Datenebene.
**Testen Sie die Anwendungswiederherstellung mit ARC**
Testen Sie die Anwendungswiederherstellung regelmäßig mit ARC Region Switch, um einen sekundären Anwendungsstapel in einem anderen zu aktivieren oder um eine Active-Active-Konfiguration umzuschalten AWS-Region, indem Sie einen Regions-Switch-Plan ausführen, um eine der Regionen zu deaktivieren.
Es ist wichtig, sicherzustellen, dass die von Ihnen erstellten Regions-Switch-Pläne auf die richtigen Ressourcen in Ihrem Stack abgestimmt sind und dass alles so funktioniert, wie Sie es erwarten. Sie sollten dies testen, nachdem Sie Region Switch für Ihre Umgebung eingerichtet haben, und die Tests regelmäßig fortsetzen, um sicherzustellen, dass Ihre Wiederherstellungsprozesse ordnungsgemäß funktionieren. Führen Sie diese Tests regelmäßig durch, bevor es zu einem Ausfall kommt, um Ausfallzeiten für Ihre Benutzer zu vermeiden.
**ARC Region Switch DNS-Failover im Vergleich zu Route 53 Accelerated Recovery**
Die beschleunigte Wiederherstellung bietet einen Ziel-RTO von 60 Minuten, der zur Aktualisierung Ihrer für diese Funktion aktivierten Einträge in Ihrer öffentlichen Hosting-Zone APIs verwendet wird. Wenn Sie die Kontrolle über Ihr RTO behalten und nicht warten müssen, AWS bis die Wiederherstellung der APIs benötigten Daten abgeschlossen ist, sollten Sie die ARC-Routing-Steuerung oder den ARC-Region-Switch-Ausführungsblock Route 53 53-Integritätsprüfung verwenden.
# Tutorial: Erstellen Sie einen Plan für den active/passive Regionalwechsel
Dieses Tutorial führt Sie durch die Erstellung eines active/passive Regions-Switch-Plans für eine Anwendung, die in us-east-1 ausgeführt wird, und die Wiederherstellung in us-west-2. Das Beispiel umfasst Amazon EC2 EC2-Instances für Datenverarbeitung, Amazon Aurora Global Database für Speicher und Amazon Route 53 für DNS.
In diesem Tutorial führen Sie die folgenden Schritte durch:
+ Erstellen Sie einen Plan für den Regionswechsel
+ Erstellen Sie die Workflows und Ausführungsblöcke des Plans
+ Einen EC2 Auto Scaling Scaling-Gruppenausführungsblock erstellen
+ Erstellen Sie zwei Ausführungsblöcke für die manuelle Genehmigung
+ Erstellen Sie zwei benutzerdefinierte Lambda-Aktionsblöcke
+ Einen Amazon Aurora Global Database-Ausführungsblock erstellen
+ Erstellen Sie einen ARC-Routing-Kontrollblock
+ Führen Sie den Regions-Switch-Plan aus
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen, stellen Sie sicher, dass Sie in beiden Regionen die folgenden Voraussetzungen erfüllen:
+ IAM-Rollen mit entsprechenden Berechtigungen
+ EC2 Auto Scaling Scaling-Gruppen
+ Lambda-Funktionen für Wartungsseite und Fencing
+ Globale Aurora-Datenbank
+ ARC-Routing-Steuerelemente
## Schritt 1: Erstellen Sie den Regions-Switch-Plan
1. Wählen Sie in der Region Switch-Konsole die Option **Regions-Switch-Plan erstellen** aus.
1. Geben Sie die folgenden Details an:
+ **Primäre Region**: Wählen Sie us-east-1
+ **Bereitschaftsregion**: Wählen Sie us-west-2
+ **Gewünschtes Wiederherstellungszeitziel (RTO) (optional)**
+ **IAM-Rolle**: Geben Sie die IAM-Rolle für die Planausführung ein. Diese IAM-Rolle ermöglicht es Region Switch, AWS Dienste während der Ausführung aufzurufen.
1. Wählen Sie **Erstellen** aus.
(Optional) Fügen Sie Ressourcen aus verschiedenen AWS Konten zu Ihrem Regions-Switch-Plan hinzu:
1. Erstellen Sie die kontoübergreifende Rolle:
+ Erstellen Sie in dem Konto, das die Ressource hostet, eine IAM-Rolle.
+ Fügen Sie Berechtigungen für die spezifischen Ressourcen hinzu, auf die der Plan zugreifen soll.
+ Fügen Sie eine Vertrauensrichtlinie hinzu, die es der Ausführungsrolle ermöglicht, die neue Rolle anzunehmen.
+ Geben Sie eine externe ID ein, die Sie als gemeinsamen geheimen Schlüssel verwenden werden, und notieren Sie sich diese.
1. Konfigurieren Sie die Ressource in Ihrem Plan:
+ Wenn Sie die Ressource zu Ihrem Plan hinzufügen, geben Sie zwei zusätzliche Felder an:
+ **crossAccountRole**: Der ARN der Rolle, die Sie in Schritt 1 erstellt haben
+ **externalID**: Die externe ID, die Sie in Schritt 1 eingegeben haben
Beispielkonfiguration für einen EC2 Auto Scaling Scaling-Ausführungsblock, der auf Ressourcen im Konto 987654321 zugreift:
```
{
"executionBlock": "EC2AutoScaling",
"name": "ASG",
"crossAccountRole": "arn:aws:iam::987654321:role/RegionSwitchCrossAccountRole",
"externalId": "unique-external-id-123",
"autoScalingGroupArn": "arn:aws:autoscaling:us-west-2:987654321:autoScalingGroup:*:autoScalingGroupName/CrossAccountASG"
}
```
Erforderliche Berechtigungen:
+ Die Ausführungsrolle muss über die sts: AssumeRole -Berechtigung für die kontoübergreifende Rolle verfügen.
+ Die kontoübergreifende Rolle darf nur über Berechtigungen für die spezifischen Ressourcen verfügen, auf die zugegriffen wird.
+ Die Vertrauensrichtlinie der kontenübergreifenden Rolle muss Folgendes beinhalten:
+ Das Konto der Ausführungsrolle als vertrauenswürdige Entität.
+ Die externe ID-Bedingung.
+ Weitere Informationen zur Konfiguration einer kontenübergreifenden Rolle finden Sie unter[Kontoübergreifende Ressourcenberechtigungen](security_iam_region_switch_cross_account.md).
Vor der Ausführung des Plans überprüft Region Switch Folgendes:
+ Die Ausführungsrolle kann die kontoübergreifende Rolle übernehmen.
+ Die kontoübergreifende Rolle verfügt über die erforderlichen Berechtigungen.
+ Die externe ID entspricht der Vertrauensrichtlinie.
## Schritt 2: Erstellen Sie die Workflows und Ausführungsblöcke des Plans
1. Wählen Sie auf der Seite mit den Plandetails zum Regionalwechsel die Option **Workflows erstellen** aus.
1. Wählen Sie **Den gleichen Aktivierungs-Workflow für alle Regionen erstellen** aus.
1. Geben Sie eine Beschreibung des Workflows für die Regionsaktivierung ein (optional). Dies wird verwendet, um den Workflow bei der Ausführung des Plans leicht zu identifizieren.
1. Wählen Sie **Save and continue** aus.
### EC2 Auto Scaling Scaling-Ausführungsblock hinzufügen
Weitere Informationen zu diesem Ausführungsblock finden Sie unter[Amazon EC2 Auto Scaling Scaling-Gruppenausführungsblock](ec2-auto-scaling-block.md).
1. Wählen **Sie Schritt hinzufügen** und anschließend **nacheinander ausführen** aus.
1. Wählen Sie den **EC2 Auto Scaling Scaling-Ausführungsblock** aus und klicken Sie dann auf **Hinzufügen und bearbeiten**. Dieser Block ermöglicht es Ihnen, mit der Erhöhung der Kapazität in der passiven Region zu beginnen.
1. Konfigurieren Sie den Block im rechten Bereich:
+ **Name des Schritts**: Geben Sie „Scale“ ein
+ **Beschreibung des Schritts** (optional)
+ **Auto Scaling Scaling-Gruppen-ARN für us-east-1**: Der ARN Ihrer ASG in us-east-1
+ **Auto Scaling Scaling-Gruppen-ARN für us-west-2**: Der ARN Ihrer ASG in us-west-2
+ **Prozentwert, der der Kapazität der Quellregion entspricht**: Geben Sie 100 ein
+ **Ansatz zur Kapazitätsüberwachung**: Lassen Sie den Wert „Aktuell“ stehen
+ **Timeout** (optional)
Hinweise zu den erforderlichen IAM-Berechtigungen für diesen Ausführungsblock finden Sie unter. [Beispielrichtlinie für den EC2 Auto Scaling Scaling-Ausführungsblock](security_iam_region_switch_ec2_autoscaling.md)
1. Wählen Sie **Schritt speichern**.
### Fügen Sie einen Block zur Ausführung manueller Genehmigungen hinzu
Weitere Hinweise zu diesem Ausführungsblock finden Sie unter[Block für die manuelle Genehmigung](manual-approval-block.md).
1. Wählen **Sie Schritt hinzufügen** aus.
1. Wählen Sie den **Block Manuelle Genehmigungsausführung** aus und fügen Sie ihn dem Designfenster hinzu. Dieser Block ermöglicht eine Überprüfung durch einen Mitarbeiter, bevor Sie fortfahren.
1. Konfigurieren Sie den Block im rechten Bereich:
+ **Name des Schritts**: Geben Sie „Manuelle Genehmigung vor der Einrichtung“ ein
+ **Beschreibung des Schritts** (optional)
+ **IAM-Genehmigungsrolle**: Die Rolle, die ein Benutzer annehmen muss, um die Ausführung zu genehmigen
+ **Timeout** (optional). Nach dem Timeout wird die Ausführung angehalten und Sie können wählen, ob Sie es erneut versuchen, überspringen oder abbrechen möchten.
Hinweise zu den erforderlichen IAM-Berechtigungen für diesen Ausführungsblock finden Sie unter. [Musterrichtlinie für die Blockierung manueller Genehmigungen](security_iam_region_switch_manual_approval.md)
1. Wählen Sie **Schritt speichern**.
### Fügen Sie einen Lambda-Ausführungsblock für benutzerdefinierte Aktionen für die Wartungsseite hinzu
Weitere Informationen zu diesem Ausführungsblock finden Sie unter[Lambda-Ausführungsblock für benutzerdefinierte Aktionen](custom-action-lambda-block.md).
1. Wählen **Sie Schritt hinzufügen** aus.
1. Wählen Sie den **Lambda-Ausführungsblock für die benutzerdefinierte Aktion** und dann **Hinzufügen und bearbeiten** aus. Dieser Block veröffentlicht eine Wartungsseite in der Region, die aktiviert wird.
1. Konfigurieren Sie den Block im rechten Bereich:
+ **Name des Schritts**: Geben Sie „Wartungsseite anzeigen“ ein
+ **Beschreibung des Schritts** (optional)
+ **Lambda-ARN zur Aktivierung von us-east-1**: Der ARN der in us-east-1 bereitgestellten Lambda-Funktion der Wartungsseite
+ **Lambda-ARN zur Aktivierung von us-west-2**: Der ARN der in us-west-2 bereitgestellten Lambda-Funktion der Wartungsseite
+ **Region, in der die Lambda-Funktion ausgeführt** werden soll: Wählen Sie **in der aktivierenden Region die Option Ausführen**
+ **Timeout** (optional)
+ **Wiederholungsintervall (optional**)
Hinweise zu den erforderlichen IAM-Berechtigungen für diesen Ausführungsblock finden Sie unter. [Beispielrichtlinie für Lambda-Ausführungsblöcke mit benutzerdefinierter Aktion](security_iam_region_switch_lambda.md)
1. Wählen Sie **Schritt speichern**.
### Aurora Global Database-Ausführungsblock hinzufügen
Weitere Informationen zu diesem Ausführungsblock finden Sie unter[Amazon Aurora Global Database-Ausführungsblock](aurora-global-database-block.md).
1. Wählen **Sie Schritt hinzufügen** aus.
1. Wählen Sie den **Aurora Global Database-Ausführungsblock** aus und klicken Sie dann auf **Hinzufügen und bearbeiten**. Dieser Block löst einen globalen Aurora-Datenbank-Switchover aus (kein Datenverlust). Weitere Informationen finden Sie unter [Verwenden von Switchover oder Failover für Aurora Global Database](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html) im *Aurora-Benutzerhandbuch*.
1. Konfigurieren Sie im rechten Bereich den Block:
+ **Schrittname**: **Aurora-Switchover** eingeben
+ **Beschreibung des Schritts** (optional)
+ **Globaler Aurora-Datenbankbezeichner**: Der Name des Aurora-Clusters
+ **Cluster-ARN, das für die Aktivierung von us-east-1 verwendet wird**: Der Aurora-Cluster-ARN in us-east-1
+ **Cluster-ARN, das für die Aktivierung von us-west-2 verwendet wird**: Der Aurora-Cluster-ARN in us-west-2
+ **Wählen Sie die Option für die Aurora-Datenbank**: Wählen Sie **Switchover**
+ **Timeout** (optional)
Hinweise zu den erforderlichen IAM-Berechtigungen für diesen Ausführungsblock finden Sie unter. [Beispielrichtlinie für Ausführungsblöcke in Aurora Global Database](security_iam_region_switch_aurora.md)
1. Wählen Sie **Schritt speichern**.
### Fügen Sie den Ausführungsblock für die ARC-Routing Control hinzu
Weitere Hinweise zu diesem Ausführungsblock finden Sie unter[Ausführungsblock für die ARC-Routing-Steuerung](arc-routing-controls-block.md).
1. Wählen **Sie Schritt hinzufügen** aus.
1. Wählen Sie den **ARC-Routing-Control-Ausführungsblock** und dann **Hinzufügen und bearbeiten** aus. Dieser Block führt ein DNS-Failover durch, um den Verkehr in die passive Region zu verlagern.
1. Konfigurieren Sie im rechten Bereich den Block:
+ **Schrittname**: Geben Sie **Toggle DNS** ein
+ **Beschreibung des Schritts** (optional)
+ **Routing-Steuerelemente, die bei der Aktivierung von us-east-1 verwendet wurden**: Wählen Sie Routing-Steuerelemente **hinzufügen**
+ **Timeout**: Geben Sie einen Timeout-Wert ein.
1. Wählen Sie **Routing-Steuerung hinzufügen**:
+ **Routing Control ARN**: Der ARN der Routing-Steuerung, die us-east-1 steuert
+ **Status der Routing-Steuerung: Wählen** **Sie On**
1. Wählen Sie erneut **Routing-Steuerung hinzufügen** aus:
+ **Routing Control ARN**: Der ARN der Routing-Steuerung, die us-west-2 steuert
+ **Status der Routing-Steuerung: Wählen** **Sie Aus**
1. Wählen Sie **Speichern**.
1. **Routing-Steuerelemente, die bei der Aktivierung von us-west-2 verwendet wurden**: Wählen Sie Routing-Steuerelemente **hinzufügen**
1. Wählen Sie **Routing-Steuerung hinzufügen** aus:
+ **Routing Control ARN**: Der ARN der Routing-Steuerung, die us-west-2 steuert
+ **Status der Routing-Steuerung: Wählen** **Sie Ein**
1. Wählen Sie erneut **Routing-Steuerung hinzufügen** aus:
+ **Routing Control ARN**: Der ARN der Routing-Steuerung, die us-east-1 steuert
+ **Status der Routing-Steuerung: Wählen** **Sie Aus**
1. Wählen Sie **Speichern**.
1. Wählen Sie **Schritt speichern**.
Informationen zu den erforderlichen IAM-Berechtigungen für diesen Ausführungsblock finden Sie unter[Beispielrichtlinie für Ausführungsblöcke zur Steuerung von ARC-Routing-Steuerungen](security_iam_region_switch_arc_routing.md).
1. Wählen Sie **Speichern**.
## Schritt 3: Führen Sie den Plan aus
1. Wählen Sie auf der Detailseite des Region Switch-Plans oben rechts die Option **Ausführen aus**.
1. Geben Sie die Ausführungsdetails ein:
+ Wählen Sie die Region aus, die aktiviert werden soll.
+ Wählen Sie den Modus zur Ausführung des Plans aus.
+ (Optional) Sehen Sie sich die Ausführungsschritte an.
+ Bestätigen Sie die Ausführung des Plans.
1. Wählen Sie **Starten**.
1. Auf der Seite mit den Ausführungsdetails können Sie sich die detaillierten Schritte zur Ausführung des Plans ansehen. Sie können jeden Schritt der Planausführung sehen, einschließlich Startzeit, Endzeit, Ressourcen-ARN und Protokollmeldungen.
Wenn die beeinträchtigte Region wiederhergestellt ist, können Sie den Plan erneut ausführen (indem Sie die von Ihnen angegebenen Parameter ändern), um die ursprüngliche Region zu aktivieren und den Betrieb Ihrer Anwendung wieder auf die ursprüngliche primäre Region umzustellen.
# Tutorial: Konfigurieren Sie die automatische Generierung von Berichten zur Planausführung
Dieses Tutorial führt Sie durch die Konfiguration der automatischen Generierung von Berichten zur Planausführung für einen Regions-Switch-Plan. Berichte bieten eine umfassende PDF-Dokumentation der Planausführungen zu Compliance-Zwecken.
In diesem Tutorial führen Sie die folgenden Schritte durch:
+ Erstellen Sie einen Amazon S3 S3-Bucket für die Berichtsspeicherung
+ Aktivieren Sie die automatische Generierung von Berichten für einen Regions-Switch-Plan
+ Führen Sie den Plan aus und laden Sie den Bericht herunter
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
+ Ein vorhandener Regions-Switch-Plan mit konfigurierten Workflows
+ Berechtigungen zum Erstellen von Amazon S3 S3-Buckets
+ Die IAM-Ausführungsrolle Ihres Plans ist mit den erforderlichen Berechtigungen konfiguriert. Weitere Informationen finden Sie unter [Bei der automatischen Ausführung von Plänen werden Genehmigungen gemeldet](security_iam_region_switch_reports.md).
## Schritt 1: Erstellen Sie einen Amazon S3 S3-Bucket für Berichte
1. Öffnen Sie die Amazon S3 S3-Konsole unter[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie **Create Bucket** (Bucket erstellen) aus.
1. Geben Sie die folgenden Details an:
+ **Bucket-Name**: Geben Sie einen eindeutigen Namen ein, z. B. `my-region-switch-reports`
+ **Einstellungen für „Öffentlichen Zugriff blockieren“**: Alle öffentlichen Zugriffe sperren lassen (empfohlen)
+ **Bucket-Versionierung**: Aktivieren Sie die Versionierung (optional, aber empfohlen)
+ **Standardverschlüsselung**: Wählen Sie die Verschlüsselung aus. Wenn Sie SSM-KMS verwenden, sind kms: Encrypt und kms: GenerateDataKey Berechtigungen für das planExecutionRole Standard-CMK des S3-Buckets erforderlich
1. Wählen Sie **Create Bucket** (Bucket erstellen) aus.
1. Notieren Sie sich den Bucket-Namen, der im nächsten Schritt verwendet werden soll.
## Schritt 2: Aktivieren Sie die automatische Berichtsgenerierung für Ihren Plan
1. Öffnen Sie die Region Switch-Konsole unter[https://console.aws.amazon.com/route53recovery/regionswitch/home](https://console.aws.amazon.com/route53recovery/regionswitch/home).
1. Wählen Sie den Plan aus, für den Sie Berichte konfigurieren möchten.
1. Wählen Sie **In der Navigationsleiste, gehen Sie zu Aktionen und wählen Sie Abodetails bearbeiten aus**.
1. Geben Sie im Abschnitt **Berichtseinstellungen** Folgendes an:
+ Wählen Sie **Automatische Berichtsgenerierung aktivieren** aus
+ **Amazon S3 S3-URI:** Wählen Sie den Bucket-S3-URI aus, den Sie in Schritt 1 erstellt haben, oder geben Sie ihn ein
+ **Konto-ID, der der Bucket gehört:** Geben Sie die Konto-ID des Bucket-Besitzers ein
1. Wählen Sie **Speichern**.
1. Warten Sie, bis die Planauswertung abgeschlossen ist. Bei Konfigurationsproblemen werden auf der Seite mit den Plandetails Warnungen angezeigt.
## Schritt 3: Führen Sie den Plan aus und laden Sie den Bericht herunter
1. Wählen Sie auf der Seite mit den Plandetails die Option **Ausführen aus**.
1. Schließen Sie die Ausführung des Plans wie gewohnt ab und wählen Sie die zu aktivierende Region und den Ausführungsmodus aus.
1. Nachdem die Ausführung des Plans abgeschlossen ist, navigieren Sie zur Seite mit den Ausführungsdetails.
1. Überwachen **Sie im Abschnitt Bericht zur Planausführung** den Status der Berichtsgenerierung. Die Berichtsgenerierung ist in der Regel innerhalb von 30 Minuten nach Abschluss der Ausführung abgeschlossen.
1. Wenn der Berichtsstatus **Abgeschlossen angezeigt wird**, wählen Sie **Bericht zur Planausführung** herunterladen, um das PDF herunterzuladen.
1. Alternativ können Sie zu Ihrem Amazon S3 S3-Bucket navigieren, um direkt auf den Bericht zuzugreifen. Berichte werden mit dem folgenden Benennungsmuster gespeichert: `ExecutionReport-${planVersion.ownerAccountId}-${planName}-${execution.regionTo}-${event.executionId}-${dateStr}.pdf`
Der generierte Bericht umfasst:
+ Zusammenfassung mit Serviceübersicht und Datum der Erstellung des Berichts
+ Planen Sie die Konfigurationsdetails so, wie sie zum Zeitpunkt der Ausführung vorlagen
+ Detaillierter Ausführungszeitplan mit Schritten, betroffenen Ressourcen und Status
+ Planen Sie Warnungen ein, die zu Beginn der Ausführung vorhanden waren
+ CloudWatch Amazon-Alarmstatus und Alarmverlauf für zugehörige Alarme
+ Einzelheiten zur Konfiguration und Ausführung der untergeordneten Pläne für übergeordnete Pläne
+ Glossar mit Begriffen und Konzepten
## Fehlerbehebung
Wenn die Berichtsgenerierung fehlschlägt, überprüfen Sie Folgendes:
+ **Berechtigungsfehler**: Stellen Sie sicher, dass die Ausführungsrolle über die richtigen IAM-Berechtigungen verfügt. Weitere Informationen finden Sie unter [Bei der automatischen Ausführung von Plänen werden Genehmigungen gemeldet](security_iam_region_switch_reports.md). Prüfen Sie die Warnungen zur Planbewertung auf spezifische Berechtigungsprobleme.
+ **Amazon S3 S3-Bucket-Zugriff**: Stellen Sie sicher, dass der Amazon S3 S3-Bucket existiert und von der Region aus zugänglich ist, in der der Plan konfiguriert ist. Stellen Sie sicher, dass die Bucket-Richtlinien den Zugriff von der Ausführungsrolle aus nicht blockieren.
+ **Bucket-Verschlüsselung**: Wenn Sie vom Kunden verwaltete KMS-Schlüssel für die Bucket-Verschlüsselung verwenden, stellen Sie sicher, dass die Ausführungsrolle über die Berechtigungen zur Verwendung des KMS-Schlüssels verfügt.
Weitere Hilfe erhalten Sie, wenn Sie detaillierte Fehlermeldungen auf der Seite mit den Ausführungsdetails einsehen oder sich an den AWS Support wenden.
# Tutorial: Führen Sie einen RDS-Workflow nach der Wiederherstellung aus
Dieses Tutorial führt Sie durch die Ausführung eines Workflows nach der Wiederherstellung nach einem erfolgreichen RDS-Failover. Diese Ausführung nach der Wiederherstellung stellt die Redundanz wieder her, indem die regionsübergreifende Replikation für die RDS-Datenbank wiederhergestellt wird. Dadurch wird sichergestellt, dass Ihre RDS-Datenbank auf future regionale Ereignisse vorbereitet ist.
In diesem Tutorial führen Sie die folgenden Schritte durch:
+ Überprüfen Sie die Voraussetzungen für die Ausführung nach der Wiederherstellung
+ Erstellen Sie mit dem Ausführungsblock RDS Create Cross-Region Replica einen Workflow nach der Wiederherstellung
+ Führen Sie den Workflow nach der Wiederherstellung aus
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
+ Ein active/passive Plan für den Regionswechsel mit einem Aktivierungs-Workflow, der einen RDS Promote Read Replica-Ausführungsblock beinhaltet
+ Eine erfolgreiche Aktivierungsausführung, bei der ein Read Replica in der anderen Region heraufgestuft wurde
+ Beide Regionen sind fehlerfrei und zugänglich
+ Die Ausführungs-ID der letzten Wiederherstellungsausführung
## Schritt 1: Erstellen Sie einen Workflow für die Zeit nach der Wiederherstellung
1. Wählen Sie in der Region Switch-Konsole den Plan aus, wählen Sie **Workflows bearbeiten**, wählen Sie **Config**, aktivieren Sie den **Post-Recovery-Workflow in den Plan einbeziehen** und speichern Sie.
1. Wählen Sie auf der Seite Workflows bearbeiten die Dropdownliste **Wählen Sie einen Workflow aus, um Schritte hinzuzufügen**, und wählen Sie **Nach der Wiederherstellung aus**.
1. Wählen Sie **Schritt hinzufügen aus**.
1. Wählen Sie den **Ausführungsblock Amazon RDS create cross region replica** aus.
1. Konfigurieren Sie den Block im rechten Bereich:
+ **Name des Schritts**: Geben Sie „Regionsübergreifende Lesereplik erstellen“ ein
+ **Beschreibung des Schritts** (optional)
+ **ARN der RDS-DB-Instance für die primäre Region**: Der ARN der Datenbank in der primären Region sollte dem Schritt „Read Replica heraufstufen“ entsprechen
+ **ARN der RDS-DB-Instance für die sekundäre Region**: Der ARN der hochgestuften Datenbank in der sekundären Region sollte mit dem Schritt „Read Replica heraufstufen“ identisch sein
+ **Timeout** (optional): Geben Sie einen Timeout-Wert ein, z. B. 90 Minuten
Informationen zu den erforderlichen IAM-Berechtigungen für diesen Ausführungsblock finden Sie unter. [Beispielrichtlinie für Amazon RDS-Ausführungsblöcke](security_iam_region_switch_rds.md)
1. Wählen Sie **Schritt speichern**.
1. Wählen Sie **Workflow speichern**.
## Schritt 2: Führen Sie den Workflow nach der Wiederherstellung aus
1. Wählen Sie auf der Detailseite des Region Switch-Plans oben rechts die Option Nach der Wiederherstellung **ausführen aus.**
1. Geben Sie die Ausführungsdetails ein:
+ **Ausführungs-ID für die Wiederherstellung**: Geben Sie die Ausführungs-ID der letzten Wiederherstellungsausführung ein. Dieses Feld wird verwendet, um die Region zu identifizieren, die derzeit aktiv ist.
+ **Region, in der ausgeführt werden soll**: Wählen Sie die inaktive Region aus, die keinen Anwendungsdatenverkehr empfängt. Dies ist die Region, in der eine Read Replica erstellt wird.
1. Überprüfen Sie die Ausführungsschritte und bestätigen Sie die Ausführung.
1. Wählen Sie **Start Execution** aus.
1. Überwachen Sie den Ausführungsfortschritt auf der Seite mit den Ausführungsdetails. Der RDS-Ausführungsblock Create Cross-Region Replica benennt Ihre alte primäre Instance um und erstellt eine neue Read Replica in der zuvor beeinträchtigten Region.
Nachdem die Ausführung nach der Wiederherstellung erfolgreich abgeschlossen wurde, wird die regionsübergreifende Replikation für Ihre Anwendung wiederhergestellt, und Sie sind auf future regionale Ereignisse vorbereitet. Sie können überprüfen, ob die neue Read Replica erstellt wurde, indem Sie die RDS-Konsole in der Zielregion überprüfen. Die alte Primärversion wird umbenannt und mit *renamedByRegionSwitch* gekennzeichnet.
**Wichtig**
Der Regionsschalter überprüft, ob die Ausführungs-ID für die Wiederherstellung mit der letzten bekannten Ausführung für den Plan übereinstimmt. Wenn die Ausführungs-ID ungültig ist oder es sich nicht um die ID der letzten bekannten Wiederherstellungsausführung handelt, wird die Ausführung nach der Wiederherstellung nicht ausgeführt.
# API-Operationen für den Regionswechsel
In der folgenden Tabelle sind ARC-Operationen aufgeführt, die Sie für den Regionswechsel verwenden können, sowie Links zur entsprechenden Dokumentation.
| Action | Verwenden der ARC-Konsole | Verwendung der ARC-API | Datenebene-API |
| --- | --- | --- | --- |
| Genehmigen oder verweigern Sie einen Schritt zur Ausführung eines Plans | Siehe [Block für die manuelle Genehmigung](manual-approval-block.md) | Siehe [ApprovePlanExecutionStep](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ApprovePlanExecutionStep.html) | Ja |
| Stornieren Sie die Ausführung eines Plans | Siehe [Erstellen Sie einen Plan für den Regionswechsel](working-with-rs-create-plan.md) | Siehe [CancelPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_CancelPlanExecution.html) | Ja |
| Erstellen Sie einen Plan | Siehe [Erstellen Sie einen Plan für den Regionswechsel](working-with-rs-create-plan.md) | Siehe [CreatePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_CreatePlan.html) | Nein |
| Einen Plan löschen | Siehe [Arbeiten Sie mit dem Regionsschalter](working-with-rs.md) | Siehe [DeletePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_DeletePlan.html) | Nein |
| Holen Sie sich einen Plan | Siehe [Arbeiten Sie mit dem Regionsschalter](working-with-rs.md) | Siehe [GetPlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlan.html) | Nein |
| Holen Sie sich den Status der Planbewertung | Siehe [Bewertung des Plans](region-switch-plans.md#region-switch-plans.plan-evaluation) | Siehe [GetPlanEvaluationStatus](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanEvaluationStatus.html) | Ja |
| Holen Sie sich die Ausführung des Plans | Siehe [Dashboards für den Regionswechsel](region-switch.dashboarding-and-reports.md) | Siehe [GetPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanExecution.html) | Ja |
| Holen Sie sich einen Plan in Region | Siehe [Arbeiten Sie mit dem Regionsschalter](working-with-rs.md) | Siehe [GetPlanInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanInRegion.html) | Ja |
| Führt Ereignisse zur Ausführung des Plans auf | Siehe [Führen Sie einen Regions-Switch-Plan aus, um eine Anwendung wiederherzustellen](plan-execution-rs.md) | Siehe [ListPlanExecutionEvents](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlanExecutionEvents.html) | Ja |
| Planausführungen auflisten | Siehe [Führen Sie einen Regions-Switch-Plan aus, um eine Anwendung wiederherzustellen](plan-execution-rs.md) | Siehe [ListPlanExecutions](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlanExecutions.html) | Ja |
| Pläne auflisten | Siehe [Arbeiten Sie mit dem Regionsschalter](working-with-rs.md) | Siehe [ListPlans](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlans.html) | Nein |
| Pläne in der Region auflisten | Siehe [Arbeiten Sie mit dem Regionsschalter](working-with-rs.md) | Siehe [ListPlansInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlansInRegion.html) | Ja |
| Route 53 53-Zustandsprüfungen für einen Plan auflisten | Siehe [Blockierung der Ausführung der Amazon Route 53-Zustandsprüfung](route53-health-check-block.md) | Siehe [ListRoute53 HealthChecksForPlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListRoute53HealthChecks.html) | Nein |
| Route 53 53-Gesundheitschecks für einen Plan in der Region auflisten | Siehe [Blockierung der Ausführung der Amazon Route 53-Zustandsprüfung](route53-health-check-block.md) | Siehe [ListRoute53 HealthChecksForPlanInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListRoute53HealthChecksInRegion.html) | Ja |
| Tags für eine Ressource auflisten | Siehe [Tagging für den ARC-Regionswechsel;](tagging.region-switch.md) | Siehe [ListTagsForResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListTagsForResource.html) | Nein |
| Starten Sie eine Planausführung | Siehe [Führen Sie einen Regions-Switch-Plan aus, um eine Anwendung wiederherzustellen](plan-execution-rs.md) | Siehe [StartPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_StartPlanExecution.html) | Ja |
| Eine Ressource markieren | Siehe [Erstellen Sie einen Plan für den Regionswechsel](working-with-rs-create-plan.md) | Siehe [TagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_TagResource.html) | Nein |
| Entfernen Sie Tags aus einer Ressource | Siehe [Tagging für den ARC-Regionswechsel;](tagging.region-switch.md) | Siehe [UntagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UntagResource.html) | Nein |
| Einen Plan aktualisieren | Siehe [Erstellen Sie einen Plan für den Regionswechsel](working-with-rs-create-plan.md) | Siehe [UpdatePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlan.html) | Nein |
| Aktualisieren Sie die Ausführung eines Plans | Siehe [Erstellen Sie einen Plan für den Regionswechsel](working-with-rs-create-plan.md) | Siehe [UpdatePlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlanExecution.html) | Ja |
| Aktualisieren Sie einen Planausführungsschritt | Siehe [Erstellen Sie einen Plan für den Regionswechsel](working-with-rs-create-plan.md) | Siehe [UpdatePlanExecutionStep](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlanExecutionStep.html) | Ja |
# Arbeiten Sie mit dem Regionsschalter
Dieser Abschnitt enthält step-by-step Anweisungen für die Arbeit mit Regions-Switch-Plänen, mit denen Sie Anwendungen mit mehreren Regionen wiederherstellen können. Mit dem Regionswechsel können Sie Pläne für beide Methoden active/passive und active/active Wiederherstellungsansätze erstellen.
Gehen Sie wie folgt vor, um einen Wiederherstellungsplan für Ihre Anwendung zu erstellen:
1. Erstellen Sie einen Plan für den Regionswechsel. Ein Plan ist eine Struktur mit bestimmten Attributen, z. B. den spezifischen Attributen AWS-Regionen , in denen Ihre Anwendung ausgeführt wird. Jeder Plan umfasst einen oder mehrere *Workflows*.
Optional können Sie mehrere Pläne erstellen und diese *untergeordneten Pläne* in einem allgemeinen Wiederherstellungsplan verschachteln.
1. Erstellen Sie einen Workflow für den Plan. Sie können einen Plan nicht ausführen, ohne zuerst einen Workflow zu erstellen.
1. Fügen Sie im Workflow einen oder mehrere Schritte hinzu, die jeweils einen *Ausführungsblock darstellen*.
Sie könnten beispielsweise einen Schritt hinzufügen, um EC2 Auto Scaling-Gruppen in einer Zielregion hochzuskalieren.
1. Nachdem Sie Ihrem Workflow Schritte hinzugefügt haben, sind möglicherweise weitere Schritte erforderlich, z. B. die Konfiguration von Zustandsprüfungen in Amazon Route 53. Jeder Abschnitt mit den Ausführungsblöcken enthält die Konfigurationsinformationen, die Sie benötigen. Weitere Informationen finden Sie unter [Fügen Sie Ausführungsblöcke hinzu](working-with-rs-execution-blocks.md).
1. Führen Sie den Plan aus, um Ihre Anwendung wiederherzustellen AWS-Region, wenn sie in einem beeinträchtigten Zustand ausgeführt wird.
Sie können den Fortschritt der Ausführung eines Plans verfolgen, indem Sie sich die Informationen im globalen Dashboard oder in einem regionalen Dashboard ansehen.
Die folgenden Abschnitte enthalten detaillierte Informationen und Schritte zum Erstellen eines Plans und von Workflows sowie zum Hinzufügen von Ausführungsblockschritten zu Ihren Workflows.
**Topics**
+ [Erstellen Sie einen Plan](working-with-rs-create-plan.md)
+ [Workflows erstellen](working-with-rs-workflows.md)
+ [Fügen Sie Ausführungsblöcke hinzu](working-with-rs-execution-blocks.md)
+ [Erstellen Sie Pläne für Kinder](working-with-rs-child-plan.md)
+ [Erstellen von -Auslösern](working-with-rs-triggers.md)
+ [Führen Sie einen Plan aus](plan-execution-rs.md)
Die Verfahren in diesem Abschnitt veranschaulichen, wie Sie mit Plänen, Workflows, Ausführungsblöcken und Triggern arbeiten, indem Sie AWS-Managementkonsole Informationen dazu, wie Sie stattdessen mit API-Operationen für den Regionalwechsel arbeiten, finden Sie unter[API-Operationen für den Regionswechsel](actions.region-switch.md).
# Erstellen Sie einen Plan für den Regionswechsel
In Region Switch können Sie zwei verschiedene Arten von Plänen erstellen: einen active/active Plan oder einen active/passive Plan. Wenn Sie einen Plan erstellen, geben Sie den Typ an, der für die Art und Weise gilt, wie Sie das Failover verwalten möchten.
+ Bei einem *aktiven/passiven* Ansatz werden zwei Anwendungsreplikate in zwei Regionen bereitgestellt, wobei der Datenverkehr nur in die aktive Region geleitet wird. Sie können das Replikat in der passiven Region aktivieren, indem Sie den Regions-Switch-Plan ausführen.
+ Bei einem *aktiven/aktiven* Ansatz werden zwei Anwendungsreplikate in zwei Regionen bereitgestellt, und beide Replikate verarbeiten Arbeit oder empfangen Datenverkehr.
# Um einen Plan für einen Regionswechsel zu erstellen
1. Wählen Sie in der Regions-Switch-Konsole die Option **Regions-Switch-Plan mit active/passive Ansatz erstellen** aus.
1. Geben Sie die folgenden Details an:
+ **Name des Plans** — Geben Sie einen aussagekräftigen Namen für Ihren Plan ein.
+ **Regionalübergreifender Ansatz** **— Wählen Sie **Aktiv/Passiv oder Aktiv/Aktiv**.** Dieser Ansatz bedeutet, dass zwei Anwendungsreplikate in zwei Regionen bereitgestellt werden, wobei der Datenverkehr nur in die aktive Region geleitet wird. Sie können das Replikat in der passiven Region aktivieren, indem Sie den Regions-Switch-Plan ausführen.
+ Wählen Sie **aktiv/passiv**, wenn Sie zwei Anwendungsreplikate in zwei Regionen bereitgestellt haben, wobei der Datenverkehr nur in die aktive Region geleitet wird. *Anschließend können Sie das Replikat in der passiven Region aktivieren, indem Sie den Regions-Switch-Plan ausführen, der Aktiv/Passiv spezifiziert.*
+ Wählen Sie **Aktiv/Aktiv**, wenn Sie zwei Anwendungsreplikate in zwei Regionen bereitgestellt haben und beide Replikate Arbeit verarbeiten oder Datenverkehr empfangen.
+ **Primäre und Standby-Regionen oder **Regionen**** — Wählen Sie die Primär- und Standby-Regionen für Ihre Anwendung aus. Wählen Sie für eine active/active Bereitstellung die Regionen aus, in denen die Replikate bereitgestellt werden.
+ **Recovery Time Objective (RTO)** — Geben Sie Ihre gewünschte RTO ein. Region Switch gibt auf dieser Grundlage Aufschluss darüber, wie lange die Ausführung von Regions-Switch-Plänen im Vergleich zu Ihrem gewünschten RTO dauert.
+ **IAM-Rolle** — Geben Sie eine IAM-Rolle für den Regions-Switch an, die zur Ausführung des Plans verwendet werden soll. Weitere Informationen zu Berechtigungen finden Sie unter [Identity and Access Management für Regionalwechsel in ARC](security-iam-region-switch.md).
+ ** CloudWatch Amazon-Alarm** — Stellen Sie einen Anwendungszustandsalarm bereit, den Sie mit Amazon erstellt haben CloudWatch, um den Zustand Ihrer Anwendung in jeder Region anzuzeigen. Der Regionswechsel verwendet diese Anwendungszustandsalarme, um die tatsächliche Wiederherstellungszeit zu ermitteln, nachdem Sie die Region gewechselt haben, um die Wiederherstellung zu implementieren.
Bevor Sie CloudWatch Alarme zu einem Regions-Switch-Plan hinzufügen, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [CloudWatch Alarme für Statusberechtigungen von Anwendungen](security_iam_region_switch_cloudwatch.md).
+ **Automatische Berichtsgenerierung** — Aktivieren Sie optional die automatische Berichtsgenerierung für Planausführungen. Wenn diese Option aktiviert ist, generiert Region Switch nach Abschluss jeder Planausführung einen umfassenden PDF-Bericht und übermittelt ihn an einen von Ihnen angegebenen Amazon S3 S3-Bucket. Geben Sie den Amazon S3 S3-URI und die Konto-ID an, der der Bucket gehört.
Bevor Sie die automatische Berichtsgenerierung für Pläne aktivieren, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen zur Berichtsgenerierung und zu den erforderlichen Berechtigungen finden Sie unter[Automatische Berichte zur Planausführung](region-switch-plans.md#region-switch-plans.plan-execution-reports).
+ **Tags** — Fügen Sie Ihrem Plan optional ein oder mehrere Tags hinzu.
# Erstellen Sie Workflows für den Regionalwechselplan
Nachdem Sie einen Plan für den Regionalwechsel erstellt haben, müssen Sie Workflows definieren und erstellen, die den Wiederherstellungsprozess für Ihre Anwendung spezifizieren. Für jeden Plan definieren Sie einen oder mehrere Workflows, die die Wiederherstellung für Ihre Anwendung abschließen. In jedem Workflow fügen Sie Schritte hinzu, die *Ausführungsblöcke* enthalten, die jede Aktion definieren, die Region Switch für Ihre Anwendungswiederherstellung ausführen soll.
Die Anzahl der Workflows, die Sie erstellen, hängt von Ihrem Anwendungsbereitstellungsszenario und Ihren Einstellungen für die Verwaltung der Wiederherstellung ab. Beispiel:
+ Wenn Ihr Regions-Switch-Plan für active/active application deployment, you also need to create a deactivation workflow. This means that for or active/active Bereitstellungen vorgesehen ist, stehen Ihnen mindestens zwei Workflows zur Verfügung: ein Aktivierungs-Workflow und ein Deaktivierungs-Workflow.
+ Wenn Ihr Tarif für einen Regionswechsel für eine active/passive Anwendungsbereitstellung vorgesehen ist, haben Sie eine primäre und eine sekundäre Region. Wenn Sie sich für separate Aktivierungsworkflows für jede Region entscheiden, erstellen Sie zwei Workflows: einen für jede Region.
# Um Workflows für den Regionswechselplan zu erstellen
1. Wählen Sie im Plan für den Regionalwechsel, den Sie erstellt haben, die Option **Workflows erstellen** aus.
1. Wählen Sie eine der folgenden Workflow-Optionen aus:
+ **Den gleichen Aktivierungs-Workflow für alle Regionen erstellen** — Ermöglicht es Ihnen, denselben Aktivierungs-Workflow für alle Regionen zu verwenden.
+ **Workflows für jede Region separat erstellen** — Erstellt einen individuellen Aktivierungsworkflow für jede Region.
1. Geben Sie optional eine Beschreibung für jeden Workflow an.
1. Definieren Sie den Workflow, der für die Wiederherstellung Ihrer Anwendung erforderlich ist. In Ihrem Workflow fügen Sie *Ausführungsblöcke* hinzu, um die Schritte zu definieren, die Region Switch für Ihre Wiederherstellung ausführen soll. Jeder Ausführungsblock definiert Aktionen wie die Umleitung des Anwendungsdatenverkehrs oder die Datenbankwiederherstellung in einer aktivierenden Region und unterstützt Ressourcen in einer anderen AWS-Konto Region. Sie können wählen, ob Ausführungsblöcke parallel oder sequentiell ausgeführt werden sollen. Ausführliche Informationen zu den spezifischen Ausführungsblöcken, die Sie zu Workflows hinzufügen können, finden Sie unter[Fügen Sie Ausführungsblöcke hinzu](working-with-rs-execution-blocks.md).
1. Gehen Sie je nach der ausgewählten Workflow-Option wie folgt vor:
+ Wenn Sie **denselben Aktivierungs-Workflow für alle Regionen erstellen** ausgewählt haben, ist ein Aktivierungs-Workflow erforderlich.
+ Wenn Sie **für jede Region die Option Workflows separat erstellen** ausgewählt haben, sind zwei Aktivierungsworkflows erforderlich.
Für active/active Pläne müssen Sie sowohl einen Aktivierungs-Workflow als auch einen Deaktivierungs-Workflow definieren.
# Fügen Sie Ausführungsblöcke hinzu
Sie fügen Schritte zu Workflows in Ihrem Regions-Switch-Plan hinzu, um die einzelnen Schritte zum Abschließen des Failovers oder Switchovers für Ihre Anwendung durchzuführen. Einzelheiten zur Funktionalität und zum Verhalten der einzelnen Typen von Ausführungsblöcken finden Sie in den folgenden Beschreibungen.
Region Switch führt sofort, nachdem Sie einen Plan erstellt oder aktualisiert haben, eine Planauswertung durch und anschließend alle 30 Minuten im Steady-State-Modus. Regionswechsel speichert Informationen zur Planbewertung in allen Regionen, in denen Ihr Plan konfiguriert ist. Jeder Abschnitt mit den Ausführungsblöcken hier enthält Informationen darüber, was ausgewertet wird, wenn Region Switch die Planauswertung durchführt.
Der Regions-Switch umfasst Typen von Ausführungsblöcken, mit deren Hilfe Rechenressourcen im Rahmen der Wiederherstellung skaliert werden können. Wenn Sie diese Ausführungsblöcke in einem Plan verwenden, beachten Sie, dass der Regions-Switch nicht garantiert, dass die gewünschte Rechenkapazität erreicht wird. Wenn Sie eine kritische Anwendung haben und den Zugriff auf die Kapazität garantieren müssen, empfehlen wir Ihnen, die Kapazität zu reservieren. Es gibt Strategien, die Sie anwenden können, um Rechenkapazität in einer sekundären Region zu reservieren und gleichzeitig die Kosten zu begrenzen. Weitere Informationen finden Sie unter [Pilotprojekt mit reservierter Kapazität: So optimieren Sie die DR-Kosten mithilfe von Kapazitätsreservierungen auf Abruf](https://aws.amazon.com/blogs/architecture/pilot-light-with-reserved-capacity-how-to-optimize-dr-cost-using-on-demand-capacity-reservations/).
Der Regions-Switch unterstützt die folgenden Ausführungsblöcke.
****
| Ausführungsblock | Funktion | Unanständige Konfiguration |
| --- | --- | --- |
| [Ausführungsblock für den ARC-Regions-Switch-Plan](region-switch-plan-block.md) | Orchestrieren Sie die Wiederherstellung mehrerer Anwendungen in einer Ausführung, indem Sie die auszuführenden untergeordneten Pläne angeben. | Starten Sie untergeordnete Pläne mit ihren fehlerhaften Konfigurationen. |
| [Amazon EC2 Auto Scaling Scaling-Gruppenausführungsblock](ec2-auto-scaling-block.md) | Skalieren Sie im Rahmen Ihrer Planausführung EC2-Rechenressourcen, die sich in einer Auto Scaling Scaling-Gruppe befinden. | Geben Sie den Mindestprozentsatz an Rechenkapazität an, der in der Region, die Sie aktivieren, übereinstimmen soll. |
| [Ausführungsblock zur Skalierung von Amazon EKS-Ressourcen](eks-resource-scaling-block.md) | Skalieren Sie Amazon EKS-Cluster-Pods im Rahmen Ihrer Planausführung. | – |
| [Ausführungsblock zur Skalierung des Amazon ECS-Service](ecs-service-scaling-block.md) | Skalieren Sie Amazon ECS-Serviceaufgaben im Rahmen Ihrer Planausführung. | – |
| [Ausführungsblock für die ARC-Routing-Steuerung](arc-routing-controls-block.md) | Fügen Sie einen Schritt hinzu, um den Status einer oder mehrerer ARC-Routing-Steuerelemente zu ändern, um Ihren Anwendungsdatenverkehr an ein Ziel umzuleiten AWS-Region. | – |
| [Amazon Aurora Global Database-Ausführungsblock](aurora-global-database-block.md) | Führen Sie einen Wiederherstellungs-Workflow für eine globale Aurora-Datenbank durch. | Führen Sie ein Failover für globale Aurora-Datenbanken durch (kann möglicherweise zu Datenverlust führen). |
| [Amazon DocumentDB Global Cluster-Ausführungsblock](documentdb-global-cluster-block.md) | Führen Sie einen Wiederherstellungs-Workflow für einen globalen Amazon DocumentDB-Cluster durch. | Führen Sie einen globalen Amazon DocumentDB-Cluster-Failover durch (kann möglicherweise zu Datenverlust führen). |
| [Amazon RDS Promote Read Replica-Ausführungsblock](rds-promote-read-replica-block.md) | Machen Sie eine Amazon RDS-Read Replica zu einer eigenständigen Datenbank-Instance. | – |
| [Amazon RDS-Ausführungsblock „Regionsübergreifendes Replikat erstellen“](rds-create-cross-region-replica-block.md) | Erstellen Sie im Rahmen der Post-Recovery eine regionsübergreifende Read Replica für eine Amazon RDS-Datenbank-Instance. | – |
| [Block für die manuelle Genehmigung](manual-approval-block.md) | Fügen Sie einen Genehmigungsschritt ein, um die Genehmigung oder Stornierung einer Ausführung zu verlangen, bevor Sie fortfahren können. | – |
| [Lambda-Ausführungsblock für benutzerdefinierte Aktionen](custom-action-lambda-block.md) | Fügen Sie einen benutzerdefinierten Schritt zum Ausführen einer Lambda-Funktion hinzu, um benutzerdefinierte Aktionen zu aktivieren. | Überspringen Sie den Schritt. |
| [Blockierung der Ausführung der Amazon Route 53-Zustandsprüfung](route53-health-check-block.md) | Gibt die Regionen an, in die Ihr Anwendungsdatenverkehr beim Failover umgeleitet wird. | – |
# Ausführungsblock für den ARC-Regions-Switch-Plan
Mit dem Ausführungsblock für Regionalwechselpläne können Sie die Reihenfolge orchestrieren, in der mehrere Anwendungen zu der Region wechseln, die Sie aktivieren möchten, indem Sie auf andere, untergeordnete Regions-Switch-Pläne verweisen. Mithilfe dieser Beziehung zwischen übergeordnetem und untergeordnetem Element können Sie komplexe, koordinierte Wiederherstellungsprozesse einrichten, die mehrere Ressourcen und Abhängigkeiten in Ihrer gesamten Infrastruktur verwalten.
## Konfiguration
Wenn Sie den Block zur Ausführung von Regions-Switch-Plänen verwenden, wählen Sie einen bestimmten Regions-Switch-Plan aus, der im Arbeitsablauf des Plans, den Sie gerade erstellen, ausgeführt werden soll.
**Wichtig**
Bevor Sie den Ausführungsblock konfigurieren, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Beispiel für eine Richtlinie zur Ausführung eines Regions-Switch-Plans](security_iam_region_switch_plan_execution.md).
Geben Sie die folgenden Werte ein, um einen Ausführungsblock für einen Regions-Switch-Plan zu konfigurieren:
1. **Schrittname:** Geben Sie einen Namen ein.
1. **Beschreibung des Schritts (optional):** Geben Sie eine Beschreibung des Schritts ein.
1. **Plan für den Regionswechsel:** Wählen Sie einen Plan aus, der im Workflow für den aktuellen Plan ausgeführt werden soll.
Wählen Sie dann **Schritt speichern.**
## Funktionsweise
Verwenden Sie den Block zur Ausführung des Plans zwischen Regionen wechseln, um übergeordnete Workflows mit parent/child Beziehungen zu erstellen. Beachten Sie, dass dieser Ausführungsblock keine zusätzlichen Stufen von untergeordneten Plänen unterstützt und die Anzahl der übergeordneten und untergeordneten Pläne begrenzt. Tarife für Kinder müssen dieselben Regionen unterstützen wie der übergeordnete Plan und denselben Wiederherstellungsansatz verfolgen wie der übergeordnete Plan (d. h. aktiv/passiv). active/active
Dieser Block unterstützt sowohl den Ausführungsmodus „Graceful“ als auch den „Ungraceful“ -Ausführungsmodus. Bei fehlerhaften Einstellungen werden untergeordnete Pläne mit ihrer fehlerhaften Konfiguration gestartet. Wenn der Regions-Switch-Block ordnungsgemäß ausgeführt und dann in den Ausführungsmodus „Ungraceful“ gewechselt wurde, wechselt jeder untergeordnete Plan ebenfalls in den Ausführungsmodus „Ungraceful“.
## Was wird im Rahmen der Planbewertung bewertet
Wenn Sie einen Plan für mehrere Konten gemeinsam nutzen und der Plan nicht mehr mit dem Konto des übergeordneten Plans geteilt wird, gibt die Evaluierung von Region Switch eine Warnung zurück, dass der Plan nicht gültig ist.
# Amazon EC2 Auto Scaling Scaling-Gruppenausführungsblock
Mit dem EC2 Auto Scaling Scaling-Gruppenausführungsblock können Sie EC2-Instances im Rahmen Ihres Wiederherstellungsprozesses für mehrere Regionen skalieren. Sie können einen Prozentsatz der Kapazität im Verhältnis zu der Region definieren, die Sie verlassen (Quelle und Ziel).
## Konfiguration
Wenn Sie den EC2 Auto Scaling Scaling-Gruppenausführungsblock konfigurieren, geben Sie die EC2 Auto Scaling Scaling-ARNs für die spezifischen Regionen ein, die Ihrem Plan zugeordnet sind. Sie sollten EC2 Auto Scaling ARNs in jeder Region eingeben, die während der Planausführung hochskaliert werden soll.
**Wichtig**
Bevor Sie den Ausführungsblock konfigurieren, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Beispielrichtlinie für den EC2 Auto Scaling Scaling-Ausführungsblock](security_iam_region_switch_ec2_autoscaling.md).
Geben Sie die folgenden Werte ein, um einen EC2 Auto Scaling Scaling-Gruppenausführungsblock zu konfigurieren:
1. **Schrittname:** Geben Sie einen Namen ein.
1. **Beschreibung des Schritts (optional):** Geben Sie eine Beschreibung des Schritts ein.
1. **EC2 Auto Scaling Scaling-Gruppen-ARN für *Region*:** Geben Sie den ARN für die EC2 Auto Scaling Scaling-Gruppe in jeder Region für Ihren Plan ein.
1. **Prozentsatz, der der Kapazität der aktivierten Region entspricht:** Geben Sie den gewünschten Prozentsatz der Anzahl der laufenden Instances in der Auto Scaling Scaling-Gruppe ein, der der aktivierten Region entsprechen soll.
1. **Ansatz zur Kapazitätsüberwachung:** Wählen Sie einen der folgenden Ansätze für die Überwachung der Kapazität Ihrer EC2 Auto Scaling Scaling-Gruppen aus:
+ **Max. Betriebskapazität, die über 24 Stunden abgetastet** wurde: Wählen Sie diese Option, um den **gewünschten Kapazitätswert** zu verwenden, der in Ihrer EC2 Auto Scaling Scaling-Gruppenkonfiguration angegeben ist. Diese Option verursacht keine zusätzlichen Kosten, ist aber möglicherweise weniger genau als die Verwendung der anderen Option, CloudWatch der Metriken.
In der Regions-Switch-API entspricht diese Option der Angabe`sampledMaxInLast24Hours`.
Weitere Informationen finden Sie unter [Skalierungslimits für Ihre Auto Scaling Scaling-Gruppe festlegen](https://docs.aws.amazon.com/autoscaling/ec2/userguide/asg-capacity-limits.html) im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch.
+ **Max. Betriebskapazität, die über 24 Stunden abgetastet wurde, mit CloudWatch**: Wählen Sie diese Option, um die in Amazon CloudWatch for EC2 Auto Scaling angegebenen Metriken zu verwenden. Die Verwendung dieser Option kann genauer sein, verursacht jedoch die zusätzlichen Kosten für die Verwendung von Metriken. CloudWatch
In der Regions-Switch-API entspricht diese Option der Angabe`autoscalingMaxInLast24Hours`.
Um diese Option verwenden zu können, müssen Sie zunächst Gruppenmetriken für Ihre Auto Scaling Scaling-Gruppen aktivieren. Weitere Informationen finden Sie unter [Aktivieren von Auto Scaling Scaling-Gruppenmetriken](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-metrics.html#as-enable-group-metrics) im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch.
1. **Timeout:** Geben Sie einen Timeout-Wert ein.
Wählen Sie dann Schritt **speichern**.
## Funktionsweise
Nachdem Sie einen EC2 Auto Scaling Scaling-Ausführungsblock konfiguriert haben, bestätigt der Regions-Switch, dass es nur eine Auto Scaling Scaling-Quellgruppe und eine Auto Scaling-Zielgruppe gibt. Wenn es mehrere Auto Scaling Scaling-Gruppen gibt, schlägt der Ausführungsblock bei der Planauswertung fehl. Die Zielkapazität ist definiert als die Anzahl der Instanzen, deren Status auf eingestellt ist`InService`. Weitere Informationen finden Sie unter [EC2 Auto Scaling Scaling-Instance-Lebenszyklus](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-lifecycle.html).
Basierend auf dem Wert, den Sie (bei der Konfiguration des Auto Scaling Scaling-Ausführungsblocks) für einen entsprechenden Prozentsatz angeben, berechnet Region Switch die neue gewünschte Kapazität für die Auto Scaling Scaling-Zielgruppe. Die neue gewünschte Kapazität wird mit der gewünschten Kapazität der Auto Scaling Scaling-Zielgruppe verglichen. Die Formel, die der Regions-Switch zur Berechnung der gewünschten Kapazität verwendet, lautet wie folgt:`ceil(percentToMatch * Source Auto Scaling group capacity)`, wobei ceil () eine Funktion ist, die jedes beliebige Ergebnis als Bruchteil aufrundet. Wenn die aktuelle gewünschte Kapazität der Auto Scaling Scaling-Zielgruppe größer oder gleich der gewünschten Kapazität der neuen Auto Scaling Scaling-Gruppe ist, die der Regions-Switch berechnet, wird der Ausführungsblock fortgesetzt. Beachten Sie, dass der Regions-Switch die Auto Scaling-Gruppenkapazität nicht herunterskaliert.
Wenn Region Switch einen Auto Scaling-Block ausführt, versucht Region Switch, die Kapazität der Auto Scaling-Zielgruppe so zu skalieren, dass sie der gewünschten Kapazität entspricht. Anschließend wartet Region Switch, bis die angeforderte Auto Scaling Scaling-Gruppenkapazität in der Auto Scaling Scaling-Gruppe der Zielregion erfüllt ist, bevor Region Switch mit dem nächsten Schritt im Plan fortfährt.
**Anmerkung**
Durch die Ausführung dieses Blocks werden die Mindest- und die gewünschten Kapazitätseinstellungen Ihrer Auto Scaling Scaling-Gruppen geändert, was zu Konfigurationsabweichungen führen kann, wenn Sie diese Werte mithilfe von infrastructure-as-code Tools oder anderer Automatisierung verwalten. Stellen Sie sicher, dass Ihre Konfigurationsverwaltungsprozesse diese Änderungen berücksichtigen, um unbeabsichtigte Rollbacks zu verhindern.
Wenn Sie einen active/active Ansatz verwenden, verwendet der Regions-Switch die andere konfigurierte Region als Quelle. Das heißt, wenn eine Region deaktiviert wird, verwendet der Regions-Switch die andere aktive Region als Quelle, um den zu skalierenden Prozentsatz abzugleichen.
Dieser Block unterstützt sowohl den ordnungsgemäßen als auch den ungeraden Ausführungsmodus. Sie können eine fehlerhafte Ausführung konfigurieren, indem Sie den Mindestprozentsatz an Rechenkapazität angeben, der in der Zielregion abgeglichen werden soll, bevor der Regionswechsel mit dem nächsten Schritt im Plan fortfährt.
## Was wird im Rahmen der Planbewertung bewertet
Wenn Region Switch Ihren Plan auswertet, führt Region Switch mehrere wichtige Prüfungen der Konfiguration und der Berechtigungen Ihres EC2 Auto Scaling Scaling-Gruppenausführungsblocks durch. Die Evaluierung von Regions-Switches überprüft, ob Auto Scaling Scaling-Gruppen in beiden Regionen vorhanden sind, stellt sicher, dass sie ordnungsgemäß konfiguriert und zugänglich sind, und notiert die Anzahl der laufenden Instances in jeder Region. Es bestätigt auch, dass die maximale Kapazität in der Auto Scaling-Gruppe der Zielregion ausreicht, um die angegebene prozentuale Skalierung mit der erforderlichen Kapazität zu bewältigen.
Der Regionswechsel überprüft auch, ob die IAM-Rolle des Plans über die richtigen Berechtigungen für Auto Scaling verfügt. Weitere Informationen zu den erforderlichen Berechtigungen für Regions-Switch-Ausführungsblöcke finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC](security_iam_id-based-policy-examples-region-switch.md) Schlägt eine der Prüfungen fehl, gibt Region Switch Warnmeldungen zurück, die Sie in der Konsole einsehen können. Sie können die Validierungswarnungen auch über EventBridge oder mithilfe von API-Vorgängen erhalten.
# Ausführungsblock zur Skalierung von Amazon EKS-Ressourcen
Mit dem Ausführungsblock zur Skalierung von EKS-Ressourcen können Sie EKS-Ressourcen im Rahmen Ihres Wiederherstellungsprozesses für mehrere Regionen skalieren. Wenn Sie den Ausführungsblock konfigurieren, definieren Sie einen Prozentsatz der zu skalierenden Kapazität im Verhältnis zur Kapazität in der Region, die deaktiviert wird.
## Konfigurieren Sie die EKS-Zugriffsberechtigungen
Bevor Sie einen Schritt für die EKS-Ressourcenskalierung hinzufügen können, müssen Sie Region Switch die erforderlichen Berechtigungen erteilen, um Aktionen mit den Kubernetes-Ressourcen in Ihren EKS-Clustern ausführen zu können. Um Zugriff für den Regional-Switch bereitzustellen, müssen Sie einen EKS-Zugriffseintrag für die IAM-Rolle erstellen, die der Regional-Switch für die Ausführung des Plans verwendet. Verwenden Sie dazu die folgende Regional-Switch-Zugriffsrichtlinie: `arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy`
### EKS-Zugriffsrichtlinie für den Regionalwechsel
Die folgenden Informationen enthalten Einzelheiten zur EKS-Zugriffsrichtlinie.
**Name (Name:** `AmazonARCRegionSwitchScalingPolicy`
**Richtlinien-ARN:** `arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy`
| Kubernetes-API-Gruppen | Kubernetes-Ressourcen | Kubernetes-Verben (Berechtigungen) |
| --- | --- | --- |
| \$1 | \$1/Skala | holen, aktualisieren |
| \$1 | \$1/Status | get |
| automatische Skalierung | horizontale Pod-Autoskalierer | holen, patchen |
### Erstellen Sie einen EKS-Zugriffseintrag für den Regions-Switch
Im folgenden Beispiel wird beschrieben, wie Sie die erforderlichen Zugriffseintrags- und Zugriffsrichtlinienzuordnungen erstellen, sodass der Regions-Switch bestimmte Aktionen für Ihre Kubernetes-Ressourcen ausführen kann. In diesem Beispiel gelten die Berechtigungen für den Namespace *my-namespace1* im EKS-Cluster *my-cluster* für die IAM-Rolle. `arn:aws:iam::555555555555:role/my-role`
Wenn Sie diese Berechtigungen konfigurieren, stellen Sie sicher, dass Sie diese Schritte für beide EKS-Cluster in Ihrem Ausführungsblock ausführen.
**Voraussetzung**
Bevor Sie beginnen, ändern Sie den Authentifizierungsmodus des Clusters entweder auf `API_AND_CONFIG_MAP` oder`API`. Wenn Sie den Autorisierungsmodus ändern, wird die API für Zugriffseinträge hinzugefügt. Weitere Informationen finden Sie unter [Ändern des Authentifizierungsmodus zur Verwendung von Zugriffseinträgen](https://docs.aws.amazon.com/eks/latest/userguide/setting-up-access-entries.html) im Amazon EKS-Benutzerhandbuch.
**Erstellen Sie den Zugriffseintrag**
Der erste Schritt besteht darin, den Zugriffseintrag mithilfe eines AWS CLI Befehls zu erstellen, der dem folgenden ähnelt:
```
aws eks create-access-entry --cluster-name my-cluster --principal-arn
arn:aws:iam::555555555555:user/my-user --type STANDARD
```
Weitere Informationen finden Sie unter [Zugriffseinträge erstellen](https://docs.aws.amazon.com/eks/latest/userguide/creating-access-entries.html) im Amazon EKS-Benutzerhandbuch.
**Erstellen Sie die Zuordnung zu den Zugriffseinträgen**
Erstellen Sie als Nächstes die Zuordnung zur Zugriffsrichtlinie für den Regionalschalter, indem Sie einen AWS CLI Befehl verwenden, der dem folgenden ähnelt:
```
aws eks associate-access-policy --cluster-name my-cluster --principal-arn arn:aws:iam::555555555555:role/my-role \
--access-scope type=namespace,namespaces=my-namespace1 --policy-arn
arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy
```
Weitere Informationen finden Sie im Amazon EKS-Benutzerhandbuch unter [Zugriffsrichtlinien mit Zugriffseinträgen verknüpfen](https://docs.aws.amazon.com/eks/latest/userguide/access-policies.html).
Stellen Sie sicher, dass Sie diese Schritte mit dem zweiten EKS-Cluster in Ihrem Ausführungsblock in der anderen Region wiederholen, um sicherzustellen, dass über den Regions-Switch auf beide Cluster zugegriffen werden kann.
## Konfiguration
**Wichtig**
Bevor Sie einen Schritt zur Skalierung von EKS-Ressourcen hinzufügen, stellen Sie zunächst sicher, dass Sie die richtigen Berechtigungen konfiguriert haben. Weitere Informationen finden Sie unter [Konfigurieren Sie die EKS-Zugriffsberechtigungen](#eks-resource-scaling-block-permissions). Stellen Sie außerdem sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Beispielrichtlinie für Amazon EKS-Ressourcenskalierungsblöcke](security_iam_region_switch_eks.md).
Beachten Sie, dass Region Switch derzeit die folgenden ReplicaSet Ressourcen unterstützt: apps/v1, Deployment, and apps/v 1.
Geben Sie für die Konfiguration des Ausführungsblocks die folgenden Werte ein.
1. **Schrittname:** Geben Sie einen Namen ein.
1. **Beschreibung des Schritts (optional):** Geben Sie eine Beschreibung des Schritts ein.
1. **Anwendungsname:** Geben Sie den Namen Ihrer EKS-Anwendung ein, z. B. *MyApplication*.
1. **Kubernetes-Ressourcentyp:** *Geben Sie den Ressourcentyp für die Anwendung ein, zum Beispiel Deployment.*
1. **Ressource für *Region*:** Geben Sie für jede Region Informationen für den EKS-Cluster ein, einschließlich des EKS-Cluster-ARN, des Ressourcennamespaces usw.
1. **Prozentsatz, der der Kapazität der aktivierten Region entspricht:** Geben Sie den gewünschten Prozentsatz der laufenden Pods in der Quellregion ein, der in der aktivierten Region übereinstimmen soll.
1. **Ansatz zur Kapazitätsüberwachung:** Die einzige Option für die Kapazitätsüberwachung wurde bereits ausgewählt: **Max. Betriebskapazität, die über einen Zeitraum von 24 Stunden abgetastet** wurde.
Bei diesem Ansatz zur Kapazitätsüberwachung wird der `ReplicaCount` Wert für EKS-Serviceanfragen verwendet. Weitere Informationen finden [Sie unter Erfahren Sie mehr über ARC Zonal Shift in Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/zone-shift.html) im Amazon Elastic Kubernetes Service User Guide.
1. **Timeout:** Geben Sie einen Timeout-Wert ein.
Wählen Sie dann Schritt **speichern**.
## Funktionsweise
Während der Ausführung eines Plans ruft Region Switch die maximale Anzahl von Replikaten aus den letzten 24 Stunden für die Zielressource in der Region ab, die Sie aktivieren. Anschließend berechnet es die gewünschte Anzahl von Replikaten für die Zielressource mithilfe der folgenden Formel: `ceil(percentToMatch * Source replica count)`
Wenn die Anzahl der verfügbaren Zielreplikate unter dem gewünschten Wert liegt, skaliert Region Switch den Wert des Zielressourcen-Replikats auf die gewünschte Kapazität. Es wartet darauf, dass die Replikate bereit sind, und nutzt Ihren Node Autoscaler, um die Knotenkapazität bei Bedarf zu erhöhen.
Wenn das optionale `hpaName` Feld nicht leer ist, patcht Region Switch das mithilfe des folgenden Patches, HorizontalPodAutoscaler um eine automatische Skalierung während oder nach der Ausführung zu verhindern: `{"spec":{"behavior":{"scaleDown":{"selectPolicy":"Disabled"}}}}`
Stellen Sie sicher, dass alle Tools zur Korrektur von Abweichungen, wie GitOps z. B. Tools, so konfiguriert sind, dass sowohl das Replikatfeld für die Ressourcen im Patch als auch das Feld ignoriert wird. HorizontalPodAutoscaler
## Was wird im Rahmen der Planbewertung bewertet
Wenn Region Switch Ihren Plan bewertet, führt Region Switch mehrere Prüfungen Ihres konfigurierten EKS-Ausführungsblocks und Ihrer Berechtigungen durch. Der Regions-Switch überprüft, ob die IAM-Rolle des Plans über die richtigen Berechtigungen verfügt, um EKS-Cluster zu beschreiben und die zugehörigen Access Entry-Richtlinien aufzulisten. Der Regionswechsel überprüft auch, ob die IAM-Rolle der richtigen Access Entry-Richtlinie zugeordnet ist, sodass der Regions-Switch über die erforderlichen Berechtigungen verfügt, um auf die Kubernetes-Ressourcen zu reagieren. Schließlich bestätigt der Regionalwechsel, dass die konfigurierten EKS-Cluster und Kubernetes-Ressourcen vorhanden sind.
Darüber hinaus überprüft Region Switch, ob die erforderlichen Überwachungsdaten (Anzahl der Kubernetes-Replikate) erfolgreich erfasst und gespeichert wurden, und erfasst die Anzahl der laufenden Pods, die zur Ausführung des Regional-Switch-Plans erforderlich sind.
# Ausführungsblock zur Skalierung des Amazon ECS-Service
Mit dem ECS-Service Scaling-Ausführungsblock können Sie Ihren ECS-Service im Rahmen Ihres Wiederherstellungsprozesses für mehrere Regionen in einer Zielregion skalieren. Sie können einen Prozentsatz der Kapazität im Verhältnis zu der Region definieren, von der aus der Regional-Switch ein Failover durchführt oder der deaktiviert wird.
## Konfiguration
Geben Sie die folgenden Werte ein, um den ECS-Service Scaling-Ausführungsblock zu konfigurieren.
**Wichtig**
Bevor Sie den Ausführungsblock konfigurieren, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Beispielrichtlinie für Amazon ECS-Service Scaling Execution Block](security_iam_region_switch_ecs.md).
1. **Schrittname:** Geben Sie einen Namen ein.
1. **Beschreibung des Schritts (optional):** Geben Sie eine Beschreibung des Schritts ein.
1. **Ressource für *Region*:** Geben Sie für jede Region den ECS-Cluster-ARN und den ECS-Service-ARN ein.
1. **Prozentsatz, der der Anzahl der Aufgaben der Quellregion entspricht:** Geben Sie den gewünschten Prozentsatz der laufenden Aufgaben in der Quellregion ein, der der aktivierten Region entsprechen soll.
1. **Ansatz zur Kapazitätsüberwachung:** Wählen Sie einen der folgenden Ansätze für die Kapazitätsüberwachung für Amazon ECS aus:
+ **Max. Betriebskapazität, die über 24 Stunden abgetastet** wurde: Wählen Sie diese Option, um den Wert für die **Anzahl der laufenden Aufgaben** in Ihrem Amazon ECS-Service zu verwenden. Diese Option verursacht keine zusätzlichen Kosten, ist aber möglicherweise weniger genau als die Verwendung der anderen Option, der CloudWatch Metriken.
In der Regions-Switch-API entspricht diese Option der Angabe`sampledMaxInLast24Hours`.
Weitere Informationen finden Sie unter [Automatisches Skalieren Ihres Amazon ECS-Service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-auto-scaling.html) im Amazon Elastic Container Service Developer Guide.
+ **Max. Betriebskapazität, die über einen Zeitraum von 24 Stunden anhand von Container-Insights abgetastet** wurde: Wählen Sie diese Option, um Amazon ECS Container Insights-Metriken zu verwenden. Die Verwendung dieser Option kann genauer sein, verursacht jedoch die zusätzlichen Kosten für die Verwendung von Container Insights.
In der Regions-Switch-API entspricht diese Option der Angabe`autoscalingMaxInLast24Hours`.
Um diese Option verwenden zu können, müssen Sie zuerst Container Insights aktivieren. Weitere Informationen finden Sie unter [Container Insights einrichten](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS-cluster.html#set-container-insights-ECS-cluster) im CloudWatch Amazon-Benutzerhandbuch.
1. **Timeout:** Geben Sie einen Timeout-Wert ein.
Wählen Sie dann Schritt **speichern**.
## Funktionsweise
Nachdem Sie den Ausführungsblock in Ihrem Plan konfiguriert haben, bestätigt Region Switch, dass es nur einen ECS-Quelldienst und einen Zieldienst gibt. Wenn es mehrere Dienste gibt, gibt Region Switch eine Warnung für den Ausführungsblock zurück. Region Switch speichert diese Daten in allen Regionen, für die Ihr Plan konfiguriert ist. Die Zielkapazität ist als die gewünschte Anzahl definiert, die in Ihrem ECS-Service festgelegt ist.
Bei einem active/passive Ansatz berechnet Region Switch die neue gewünschte Kapazität für den ECS-Service in der Zielregion (aktivierenden Region). Die neue gewünschte Kapazität wird mit der gewünschten Kapazität des ECS-Zieldienstes verglichen. Die Formel, mit der Region Switch die gewünschte Kapazität berechnet, lautet wie folgt:`ceil(percentToMatch * Source Auto Scaling group capacity)`, wobei ceil () eine Funktion ist, die jedes beliebige Ergebnis als Bruchteil aufrundet. Wenn die aktuelle gewünschte Anzahl für den ECS-Zieldienst höher ist als die berechnete neue gewünschte Kapazität für den ECS-Service, wird die Ausführung des Plans fortgesetzt. Beachten Sie, dass der Regions-Switch die ECS-Servicekapazität nicht herunterskaliert.
Wenn für den ECS-Service Application Autoscaling aktiviert ist, aktualisiert Region Switch die Mindestkapazität in Application Autoscaling und aktualisiert auch die gewünschte Anzahl im ECS-Service.
Wenn Region Switch einen ECS-Serviceblock ausführt, versucht Region Switch, die ECS-Kapazität der Zielregion so zu skalieren, dass sie der gewünschten Kapazität entspricht. Anschließend wartet Region Switch, bis die angeforderte ECS-Servicekapazität im ECS-Service der Zielregion erreicht ist, bevor Region Switch mit dem nächsten Schritt im Plan fortfährt. Wenn Sie möchten, können Sie den Schritt so konfigurieren, dass er abgeschlossen wird, bevor die Erfüllung abgeschlossen ist, indem Sie ein Timeout-Limit dafür festlegen, wie lange Region Switch auf die Kapazitätsauslastung wartet.
Wenn Sie einen active/active Ansatz verwenden, verwendet der Regionswechsel die andere konfigurierte Region als Quelle. Das heißt, wenn eine Region deaktiviert wird, verwendet der Regions-Switch die andere aktive Region als Quelle, um den zu skalierenden Prozentsatz abzugleichen.
## Was wird im Rahmen der Planbewertung bewertet
Wenn Region Switch Ihren Plan bewertet, führt Region Switch mehrere Prüfungen der Konfiguration und der Berechtigungen Ihres ECS-Service Execution Blocks durch. Der Regions-Switch überprüft, ob ECS-Services sowohl in der Quell- als auch in der Zielregion verfügbar sind, und stellt sicher, dass die für den ECS-Service der Zielregion festgelegte maximale Kapazität ausreicht, um die angegebene prozentuale Übereinstimmung mit der Kapazität der Zielregion zu bewältigen. Der Regionswechsel überprüft auch, ob die IAM-Rolle des Plans über die richtigen Berechtigungen für den ECS-Service verfügt. Weitere Informationen zu den erforderlichen Berechtigungen für Regions-Switch-Ausführungsblöcke finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC](security_iam_id-based-policy-examples-region-switch.md)
Darüber hinaus überprüft Region Switch, ob die `ResourceMonitor` erforderlichen Überwachungsdaten für die ECS-Services erfolgreich gesammelt und gespeichert wurden, und erfasst die Anzahl der laufenden Aufgaben.
Schlägt eine der Prüfungen fehl, gibt Region Switch Warnmeldungen zurück, die Sie in der Konsole einsehen können. Sie können die Validierungswarnungen auch über EventBridge oder mithilfe von API-Vorgängen erhalten.
# Ausführungsblock für die ARC-Routing-Steuerung
Wenn Sie die Amazon Application Recovery Controller (ARC) -Routing-Steuerung für Ihre Anwendung konfiguriert haben, können Sie einen ARC-Routing-Kontrollschritt hinzufügen, um den Anwendungsdatenverkehr umzuleiten. In diesem Schritt können Sie den Status einer oder mehrerer ARC-Routing-Steuerelemente ändern, um Ihren Anwendungsdatenverkehr an ein Ziel umzuleiten AWS-Region. Die ARC-Routingsteuerung leitet den Datenverkehr mithilfe von Zustandsprüfungen in Amazon Route 53 um, die mit den Routing-Kontrollen verknüpften DNS-Einträgen konfiguriert sind.
**Wichtig**
Die Routing-Steuerung von Amazon Application Recovery Controller (ARC) ist nur in der AWS kommerziellen Partition verfügbar.
## Konfiguration
Um einen Routing-Control-Ausführungsblock zu konfigurieren, geben Sie die folgenden Werte ein.
**Wichtig**
Bevor Sie den Ausführungsblock konfigurieren, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Beispielrichtlinie für Ausführungsblöcke zur Steuerung von ARC-Routing-Steuerungen](security_iam_region_switch_arc_routing.md).
1. **Schrittname:** Geben Sie einen Namen ein.
1. **Beschreibung des Schritts (optional):** Geben Sie eine Beschreibung des Schritts ein.
1. **Gewünschte Routing-Steuerelemente:** Geben Sie für jede Region, die Sie aktivieren oder deaktivieren möchten, den Routing Control-ARN und den Anfangsstatus für die Routing-Steuerung ein (On oder Off).
1. **Timeout:** Geben Sie einen Timeout-Wert ein.
Wählen Sie dann Schritt **speichern**.
Das erwartete Muster für diesen Ausführungsblock besteht darin, Routingkontrollen und Anfangszustände so festzulegen, wie Sie Ihre Anwendung speziell eingerichtet haben AWS-Regionen. Wenn Sie beispielsweise einen Plan haben, der es Ihnen ermöglicht, Region A und Region B für Ihre Anwendung zu aktivieren, haben Sie möglicherweise eine Routingsteuerung für Region A, in der Sie den Status auf On setzen, und eine Routing-Steuerung für Region B, in der Sie den Status auf On setzen.
Wenn Sie dann den Plan ausführen und angeben, dass Sie Region A aktivieren möchten, aktualisiert der Workflow, der diesen Ausführungsblock beinhaltet, die angegebene Routingsteuerung auf On, wodurch der Verkehr an Region A weitergeleitet wird.
## Funktionsweise
Durch die Konfiguration eines Ausführungsblocks für die ARC-Routingsteuerung können Sie den Anwendungsdatenverkehr zu einem Ziel AWS-Region umleiten oder — bei einer active/active Annäherung — verhindern, dass der Datenverkehr an eine Region weitergeleitet wird, die Sie deaktivieren. Wenn Ihr Plan mehrere Workflows umfasst, stellen Sie sicher, dass Sie für alle von Ihnen verwendeten Ausführungsblöcke der Routing-Steuerung dieselben Eingaben für die DNS-Einträge angeben.
Dieser Block unterstützt den Ausführungsmodus „Ungraceful“ nicht.
## Was wird im Rahmen der Planbewertung bewertet
Wenn Region Switch Ihren Plan auswertet, führt Region Switch mehrere Prüfungen Ihrer Routing Controls, Ausführungsblock-Konfiguration und Berechtigungen durch. Region Switch überprüft, ob die angegebenen Routing-Steuerelemente ordnungsgemäß konfiguriert und zugänglich sind.
Der Regionsschalter überprüft außerdem, ob die IAM-Rolle des Plans über die erforderlichen Berechtigungen für den Zugriff auf und die Aktualisierung der Routingsteuerungsstatus verfügt. Weitere Informationen zu den erforderlichen Berechtigungen für Regions-Switch-Ausführungsblöcke finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC](security_iam_id-based-policy-examples-region-switch.md)
Die richtigen IAM-Berechtigungen sind für das reibungslose Funktionieren des Routing Control-Ausführungsblocks unerlässlich. Wenn eine dieser Überprüfungen fehlschlägt, gibt Region Switch Warnmeldungen aus, dass Probleme vorliegen, und gibt spezielle Fehlermeldungen aus, die Sie bei der Lösung der Berechtigungs- oder Konfigurationsprobleme unterstützen. Dadurch wird sichergestellt, dass Ihr Plan über den erforderlichen Zugriff verfügt, um die ARC-Routing-Steuerungen zu verwalten und mit ihnen zu interagieren, während dieser Schritt während der Ausführung eines Plans ausgeführt wird.
## Vergleich der ARC-Routing-Steuerelemente und der Ausführungsblöcke für die Zustandsprüfung von Route 53
Der Block zur Ausführung von Amazon Route 53-Zustandsprüfungen im Regions-Switch bietet eine kostengünstigere Alternative für das DNS-basierte Verkehrsmanagement. Dieser Ausführungsblock hängt jedoch davon ab, AWS-Region welche Region Sie aktivieren, sodass diese Region verfügbar sein muss. Dies entspricht den Bedürfnissen der meisten Kunden, da sie eine gesunde Region aktivieren.
ARC-Routingkontrollen bieten ein äußerst zuverlässiges DNS-basiertes Verkehrsmanagement mit einer SLA für 100-prozentige Verfügbarkeit. Mit Routing-Kontrollen können Ihre Betriebsteams den Verkehr mit Sicherheitsleitplanken zwischen Regionen verlagern. Routing-Kontrollen bieten eine Single-Tenant-Lösung mit einer 100-prozentigen SLA. Ein Routing Control Cluster ist auf fünf Regionen verteilt und kann tolerieren, dass zwei Regionen offline sind. Wenn Sie über sehr kritische Anwendungen verfügen, sollten Sie die Verwendung von Routingsteuerungen in Betracht ziehen.
Routing-Steuerelemente sind für die Verwendung des Regions-Switches nicht erforderlich. Sie können den Regionsschalter verwenden, um die Verkehrsumleitung zu verwalten, indem Sie die Ausführungsblöcke für die Zustandsprüfung von Route 53 ohne Routingkontrollen verwenden.
Routingsteuerungen bieten in den folgenden Situationen einen Mehrwert mit Regions-Switches:
+ Sie benötigen das SLA für 100% Verfügbarkeit für den Datenverkehrskontrollmechanismus selbst.
+ Ihr Unternehmen benötigt manuelle Betriebskontrollen mit Sicherheitsregeln für kritische Anwendungen.
+ Sie möchten, defense-in-depth dass Betriebsteams die automatische Verkehrsführung bei Bedarf manuell außer Kraft setzen können.
Die Ausführungsblöcke für die Zustandsprüfung von Route 53 hängen nicht von der Steuerungsebene ab. Änderungen an Health Check-Datensätzen verwenden die Datenebene, sodass die aktivierende Region für die Verarbeitung von Konfigurationsupdates nicht erforderlich ist. Die Ausführungsblöcke für die Zustandsprüfung von Route 53 sind in den folgenden Situationen ausreichend:
+ Ihre Anwendung kann davon abhängen AWS-Region , welche Sie aktivieren.
+ Die automatische Datenverkehrsumleitung als Teil des Wiederherstellungsworkflows erfüllt Ihre Anforderungen.
+ Kostenoptimierung hat Priorität. Die Ausführungsblöcke für die Zustandsprüfung von Route 53 sind kostengünstiger als Routing-Kontrollen.
Die meisten Kunden beginnen mit den Ausführungsblöcken für die Zustandsprüfung von Route 53 als Standardmechanismus für das Routing des Datenverkehrs und fügen Routingkontrollen nur für ihre kritischsten Anwendungen hinzu, bei denen die höchste Zuverlässigkeit des Datenverkehrsmanagementmechanismus erforderlich ist.
# Amazon Aurora Global Database-Ausführungsblock
Der Amazon Aurora Global Database-Ausführungsblock ermöglicht es Ihnen, einen *Failover- oder *Switchover-Wiederherstellungs-Workflow** für eine globale Datenbank durchzuführen.
+ Failover – Verwenden Sie diesen Ansatz, um die Daten nach einem ungeplanten Ausfall wiederherzustellen. Mit diesem Ansatz führen Sie ein regionsübergreifendes Failover zu einem der sekundären DB-Cluster in Ihren globalen Aurora-Datenbanken durch. Das Recovery Point Objective (RPO) für diesen Ansatz ist in der Regel ein Wert ungleich Null, der in Sekunden gemessen wird. Das Ausmaß des Datenverlusts hängt von der Verzögerung der Replikation der globalen Aurora-Datenbanken zum AWS-Regionen Zeitpunkt des Ausfalls ab. Weitere Informationen finden Sie unter [Wiederherstellung einer globalen Amazon Aurora Aurora-Datenbank nach einem ungeplanten Ausfall](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-failover) im Amazon Aurora Aurora-Benutzerhandbuch.
+ Switchover — Dieser Vorgang wurde zuvor als *verwaltetes* geplantes Failover bezeichnet. Verwenden Sie diesen Ansatz für kontrollierte Szenarien, z. B. für die betriebliche Wartung und andere geplante betriebliche Verfahren, bei denen alle Aurora-Cluster und andere Services, mit denen sie interagieren, in einem fehlerfreien Zustand sind. Da diese Funktion die sekundären DB-Cluster mit dem primären synchronisiert, bevor andere Änderungen vorgenommen werden, ist der RPO 0 (kein Datenverlust). Weitere Informationen finden Sie unter [Durchführen von Switchovers für globale Amazon Aurora Aurora-Datenbanken](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-disaster-recovery.managed-failover) im Amazon Aurora Aurora-Benutzerhandbuch.
## Konfiguration
Um einen Aurora Global Database-Ausführungsblock zu konfigurieren, geben Sie die folgenden Werte ein.
**Wichtig**
Bevor Sie den Ausführungsblock konfigurieren, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Beispielrichtlinie für Ausführungsblöcke in Aurora Global Database](security_iam_region_switch_aurora.md).
1. **Schrittname:** Geben Sie einen Namen ein.
1. **Beschreibung des Schritts (optional):** Geben Sie eine Beschreibung des Schritts ein.
1. **Name des Aurora Global Database-Clusters:** Geben Sie den Bezeichner für die globale Datenbank ein.
1. **Cluster-ARN für *Region*:** Geben Sie den Cluster-ARN ein, der in jeder Region des Plans verwendet werden soll.
1. **Geben Sie die Option für die Aurora-Datenbank an:** Wählen Sie entweder **Switchover** oder **Failover (Datenverlust)**, je nachdem, wie Sie möchten
1. **Name des Aurora Global Database-Clusters:**
1. **Timeout:** Geben Sie einen Timeout-Wert ein.
Wählen Sie dann Schritt **speichern**.
## Funktionsweise
Durch die Konfiguration eines Aurora Global Databases-Ausführungsblocks können Sie im Rahmen Ihrer Anwendungswiederherstellung globale Datenbanken auf Failover oder Switchover umschalten. Wenn Sie einen active/active Ansatz verwenden, verwendet der Regions-Switch die andere konfigurierte Region als Quelle. Das heißt, wenn eine Region deaktiviert wird, verwendet der Regions-Switch die andere aktive Region als Quelle, um den zu skalierenden Prozentsatz abzugleichen.
Dieser Block unterstützt sowohl den ordnungsgemäßen als auch den ungeraden Ausführungsmodus. Fehlerhafte Einstellungen führen zu einem Aurora Global *Database-Failover*, was zu Datenverlust führen kann.
Weitere Informationen zur Notfallwiederherstellung von Aurora Global Database, einschließlich Failover und Switchover, finden Sie unter [Verwenden von Switchover oder Failover in globalen Amazon Aurora Aurora-Datenbanken im Amazon Aurora Aurora-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html).
## Was wird im Rahmen der Planbewertung bewertet
Wenn Region Switch Ihren Plan bewertet, führt Region Switch mehrere Prüfungen der Konfiguration und der Berechtigungen Ihres Aurora-Ausführungsblocks durch. Der Regions-Switch überprüft, ob Folgendes korrekt ist:
+ Der in der Konfiguration angegebene globale Aurora-Cluster ist vorhanden.
+ Sowohl in der Quell- als auch in der Zielregion gibt es Aurora-DB-Cluster.
+ Die Quell- und Ziel-DB-Cluster befinden sich in einem Zustand, der einen globalen Datenbank-Switchover ermöglicht.
+ Sowohl im Quell- als auch im Zielcluster befinden sich DB-Instances
+ Die globalen Cluster-Engine-Versionen für die Switchover-Aktion sind kompatibel. Dazu gehört die Überprüfung, ob sich die Cluster auf denselben Haupt-, Neben- und Patch-Versionen befinden, mit einigen Ausnahmen, die in der Aurora-Dokumentation aufgeführt sind.
Der Regions-Switch überprüft auch, ob die IAM-Rolle des Plans über die erforderlichen Berechtigungen für Aurora-Failover und Switchover verfügt. Weitere Informationen zu den erforderlichen Berechtigungen für Regions-Switch-Ausführungsblöcke finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC](security_iam_id-based-policy-examples-region-switch.md)
Die richtigen IAM-Berechtigungen sind für das reibungslose Funktionieren des Aurora-Ausführungsblocks unerlässlich. Wenn eine dieser Validierungen fehlschlägt, gibt Region Switch Warnmeldungen aus, dass Probleme vorliegen, und gibt spezielle Fehlermeldungen aus, die Sie bei der Lösung der Berechtigungs- oder Konfigurationsprobleme unterstützen. Dadurch wird sichergestellt, dass Ihr Plan über den erforderlichen Zugriff verfügt, um Aurora zu verwalten und mit ihr zu interagieren, während dieser Schritt während der Ausführung eines Plans ausgeführt wird.
# Amazon DocumentDB Global Cluster-Ausführungsblock
Der Amazon DocumentDB Global Cluster-Ausführungsblock ermöglicht es Ihnen, einen *Failover- oder *Switchover-Wiederherstellungs-Workflow** für einen globalen Cluster durchzuführen.
+ Failover – Verwenden Sie diesen Ansatz, um die Daten nach einem ungeplanten Ausfall wiederherzustellen. Mit diesem Ansatz führen Sie ein regionsübergreifendes Failover zu einem der sekundären Cluster in Ihrem globalen Amazon DocumentDB-Cluster durch. Das Recovery Point Objective (RPO) für diesen Ansatz ist in der Regel ein Wert ungleich Null, der in Sekunden gemessen wird. Das Ausmaß des Datenverlusts hängt von der Verzögerung der globalen Clusterreplikation von Amazon DocumentDB AWS-Regionen zum Zeitpunkt des Ausfalls ab.
+ Switchover — Verwenden Sie diesen Ansatz für kontrollierte Szenarien, wie z. B. betriebliche Wartung und andere geplante Betriebsabläufe, bei denen sich alle Amazon DocumentDB-Cluster in einem fehlerfreien Zustand befinden. Da diese Funktion sekundäre Cluster mit dem primären synchronisiert, bevor weitere Änderungen vorgenommen werden, ist RPO 0 (kein Datenverlust).
## Konfiguration
Um einen Amazon DocumentDB Global Cluster-Ausführungsblock zu konfigurieren, geben Sie die folgenden Werte ein.
**Wichtig**
Bevor Sie den Ausführungsblock konfigurieren, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Beispielrichtlinie für Amazon DocumentDB Global Cluster-Ausführungsblöcke](security_iam_region_switch_documentdb.md).
1. **Schrittname:** Geben Sie einen Namen ein.
1. **Beschreibung des Schritts (optional):** Geben Sie eine Beschreibung des Schritts ein.
1. **Globale Cluster-ID von Amazon DocumentDB:** Geben Sie die Kennung für den globalen Cluster ein.
1. **Cluster-ARN für *Region*:** Geben Sie den Cluster-ARN ein, der in jeder Region des Plans verwendet werden soll.
1. **Geben Sie die Option für den Amazon DocumentDB-Cluster an:** Wählen Sie entweder **Switchover** oder **Failover (Datenverlust)**.
1. **Timeout:** Geben Sie einen Timeout-Wert ein.
Wählen Sie dann Schritt **speichern**.
## Funktionsweise
Durch die Konfiguration eines Amazon DocumentDB Global Cluster-Ausführungsblocks können Sie im Rahmen Ihrer Anwendungswiederherstellung globale Cluster auf Failover oder Switchover umschalten. Wenn Sie einen active/active Ansatz verwenden, verwendet der Regions-Switch die andere konfigurierte Region als Quelle. Das heißt, wenn eine Region deaktiviert wird, verwendet der Regions-Switch die andere aktive Region als Quelle, um den zu skalierenden Prozentsatz abzugleichen.
Dieser Block unterstützt sowohl den ordnungsgemäßen als auch den ungeraden Ausführungsmodus. Fehlerhafte Einstellungen führen zu einem Amazon DocumentDB Global *Cluster-Failover*, was zu Datenverlust führen kann.
Bei Switchover- oder Failover-Vorgängen wird der DNS-Endpunkt, den Kunden zum Schreiben verwenden, geändert. Die Kunden sind dafür verantwortlich, sicherzustellen, dass sie nach Abschluss des Vorgangs den richtigen Endpunkt verwenden.
## Was wird im Rahmen der Planbewertung bewertet
Wenn Region Switch Ihren Plan bewertet, führt Region Switch mehrere Prüfungen der Konfiguration und der Berechtigungen Ihres Amazon DocumentDB DocumentDB-Ausführungsblocks durch. Der Regionswechsel überprüft, ob Folgendes korrekt ist:
+ Der in der Konfiguration angegebene globale Amazon DocumentDB-Cluster ist vorhanden.
+ Es gibt Amazon DocumentDB-Cluster sowohl in der Quell- als auch in der Zielregion.
+ Die Quell- und Zielcluster befinden sich in einem verfügbaren Zustand.
+ Sowohl im Quell- als auch im Zielcluster befinden sich Instanzen.
+ Die Versionen der globalen Cluster-Engine sind kompatibel.
Der Regionswechsel überprüft auch, ob die IAM-Rolle des Plans über die erforderlichen Berechtigungen für Amazon DocumentDB-Failover und Switchover verfügt. Weitere Informationen zu den erforderlichen Berechtigungen für Regions-Switch-Ausführungsblöcke finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC](security_iam_id-based-policy-examples-region-switch.md)
Die richtigen IAM-Berechtigungen sind für das reibungslose Funktionieren des Amazon DocumentDB DocumentDB-Ausführungsblocks unerlässlich. Wenn eine dieser Validierungen fehlschlägt, gibt Region Switch Warnmeldungen aus, dass Probleme vorliegen, und gibt spezielle Fehlermeldungen aus, um Ihnen bei der Lösung der Berechtigungs- oder Konfigurationsprobleme zu helfen. Dadurch wird sichergestellt, dass Ihr Plan über den erforderlichen Zugriff verfügt, um Amazon DocumentDB zu verwalten und mit Amazon DocumentDB zu interagieren, wenn dieser Schritt während der Ausführung eines Plans ausgeführt wird.
# Amazon RDS Promote Read Replica-Ausführungsblock
Mit dem Ausführungsblock Amazon RDS Promote Read Replica können Sie eine Amazon RDS-Read Replica im Rahmen Ihres Wiederherstellungsprozesses für mehrere Regionen zu einer eigenständigen Datenbank-Instance heraufstufen. Auf diese Weise können Sie ein Failover auf eine fehlerfreie Region durchführen, indem Sie die Read Replica in dieser Region zur neuen Primärdatenbank heraufstufen.
## Konfiguration
Um einen Amazon RDS Promote Read Replica-Ausführungsblock zu konfigurieren, geben Sie die folgenden Werte ein.
**Wichtig**
Bevor Sie den Ausführungsblock konfigurieren, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Beispielrichtlinie für Amazon RDS-Ausführungsblöcke](security_iam_region_switch_rds.md).
1. **Schrittname:** Geben Sie einen Namen ein.
1. **Beschreibung des Schritts (optional):** Geben Sie eine Beschreibung des Schritts ein.
1. **RDS-DB-Instance-ARN für Region:** Geben Sie den Datenbank-Instance-ARN für die Read Replica in jeder Region im Plan ein.
1. **Timeout:** Geben Sie einen Timeout-Wert ein.
Wählen Sie dann Schritt **speichern**.
## Funktionsweise
Durch die Konfiguration eines Amazon RDS Promote Read Replica-Ausführungsblocks können Sie eine Read Replica im Rahmen Ihrer Anwendungswiederherstellung zu einer eigenständigen Datenbank-Instance heraufstufen. Wenn Sie den Plan ausführen, stuft Regions-Switch die Read Replica in der Region, die Sie aktivieren, zu einer unabhängigen Datenbank-Instance herauf.
**Anmerkung**
Dieser Block unterstützt nur Pläne active/passive
Während der Promotion bleibt der DNS-Endpunkt, den Sie für die Verbindung mit der Datenbank verwenden, derselbe. Die hochgestufte Instanz repliziert jedoch nicht mehr aus der ursprünglichen Primärdatenbank. Sie sind dafür verantwortlich, dass ihre Anwendung so konfiguriert ist, dass sie nach Abschluss des Vorgangs den richtigen Endpunkt verwendet.
Nach der Heraufstufung erbt die beworbene Instanz die folgenden Backup-Einstellungen von der ursprünglichen primären Instance:
+ Aufbewahrungszeitraum für Backups
+ Bevorzugtes Backup-Fenster
## Was wird im Rahmen der Planbewertung bewertet
Wenn Region Switch Ihren Plan bewertet, führt Region Switch mehrere Prüfungen Ihrer Amazon RDS-Ausführungsblockkonfiguration und -berechtigungen durch. Der Regionswechsel überprüft, ob Folgendes korrekt ist:
+ Die in der Konfiguration angegebenen Amazon RDS-Datenbank-Instances sind vorhanden.
+ Die Datenbank-Instances in den nicht-primären Regionen sind Read Replicas.
+ Die Read Replicas befinden sich in einem verfügbaren Zustand.
+ Die Datenbankinstanzen sind ordnungsgemäß für die regionsübergreifende Replikation konfiguriert.
Der Regionswechsel bestätigt auch, dass die IAM-Rolle des Plans über die erforderlichen Berechtigungen für die Amazon RDS-Read Replica-Promotion verfügt. Weitere Informationen zu den erforderlichen Berechtigungen für Regions-Switch-Ausführungsblöcke finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC](security_iam_id-based-policy-examples-region-switch.md)
Die richtigen IAM-Berechtigungen sind für das reibungslose Funktionieren des Amazon RDS-Ausführungsblocks unerlässlich. Wenn eine dieser Validierungen fehlschlägt, gibt Region Switch Warnmeldungen aus, dass Probleme vorliegen, und gibt spezielle Fehlermeldungen aus, um Ihnen bei der Lösung der Berechtigungs- oder Konfigurationsprobleme zu helfen. Dadurch wird sichergestellt, dass Ihr Plan über den erforderlichen Zugriff verfügt, um Amazon RDS zu verwalten und mit Amazon RDS zu interagieren, wenn dieser Schritt während der Ausführung eines Plans ausgeführt wird.
# Amazon RDS-Ausführungsblock „Regionsübergreifendes Replikat erstellen“
Der Ausführungsblock Amazon RDS Create Cross-Region Replica ermöglicht es Ihnen, im Rahmen Ihres Prozesses nach der Wiederherstellung eine regionsübergreifende Read Replica für eine Amazon RDS-Datenbank-Instance zu erstellen. Dieser Ausführungsblock wird in der Regel nach dem Heraufstufen einer Read Replica verwendet, um die regionsübergreifende Replikation wiederherzustellen und sicherzustellen, dass Ihre Anwendung auf future regionale Ereignisse vorbereitet ist.
## Konfiguration
Um einen Amazon RDS-Ausführungsblock Create Cross-Region Replica zu konfigurieren, geben Sie die folgenden Werte ein.
**Wichtig**
Bevor Sie den Ausführungsblock konfigurieren, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Beispielrichtlinie für Amazon RDS-Ausführungsblöcke](security_iam_region_switch_rds.md).
1. **Schrittname:** Geben Sie einen Namen ein.
1. **Beschreibung des Schritts (optional):** Geben Sie eine Beschreibung des Schritts ein.
1. **Quell-DB-Instance-ARN für Region:** Geben Sie den Datenbank-Instance-ARN für die Quelldatenbank in jeder Region im Plan ein. Der Ausführungsblock verwendet den Bezeichner aus der Region, die aktiviert wird, als Quelldatenbank für die Erstellung der regionsübergreifenden Read Replica.
1. **Replica-DB-Instance-ARN:** Geben Sie den Instance-ARN ein, der für die neue Read Replica verwendet werden soll.
1. **Timeout:** Geben Sie einen Timeout-Wert ein.
Wählen Sie dann Schritt **speichern**.
## Funktionsweise
Durch die Konfiguration eines Amazon RDS-Ausführungsblocks Create Cross-Region Replica können Sie im Rahmen Ihres Post-Recovery-Prozesses eine Read Replica in der anderen Region erstellen. Dieser Ausführungsblock ist so konzipiert, dass er nach einem erfolgreichen Failover ausgeführt wird, um die regionsübergreifende Replikation wiederherzustellen.
Dieser Block kann nur zu Plänen hinzugefügt werden. active/passive
Während der Ausführung wird die alte Primärinstanz umbenannt und mit *renamedByRegionSwitch* gekennzeichnet. Dann wird eine neue Read Replica-Instanz mit den folgenden Einstellungen erstellt, die von der alten Primärinstanz kopiert wurden:
+ Instance-ID
+ DB-Parametergruppen
+ DB-Subnetzgruppen
+ KMS-Schlüssel
+ VPC-Sicherheitsgruppen
+ Optionsgruppen
+ Multi-AZ-Konfiguration
+ Geheimer ARN für die Domänenauthentifizierung
**Wichtig**
Die umbenannte primäre Instanz läuft weiter und es fallen weiterhin Gebühren an. Region Switch kennzeichnet sie zur Identifizierung mit *renamedByRegionSwitch*, ändert oder löscht sie jedoch nicht anderweitig. Sie sind für die Verwaltung der umbenannten Instance verantwortlich, einschließlich der Entscheidung, ob Sie sie weiter ausführen, beenden oder löschen möchten, je nach Ihren Betriebs- und Kostenanforderungen.
**Anmerkung**
Dieser Ausführungsblock ist für Workflows nach der Wiederherstellung konzipiert und setzt voraus, dass die Quellregion fehlerfrei und zugänglich ist. Er sollte nach einem erfolgreichen Failover verwendet werden, um die regionsübergreifende Replikation wiederherzustellen.
## Was wird im Rahmen der Planbewertung bewertet
Wenn Region Switch Ihren Plan bewertet, führt Region Switch mehrere Prüfungen Ihrer Amazon RDS-Ausführungsblockkonfiguration und -berechtigungen durch. Der Regionswechsel überprüft, ob Folgendes korrekt ist:
+ Die Datenbankinstanz ARNs in der Konfiguration ist gültig und richtig formatiert.
+ Die Quelldatenbankinstanzen existieren in ihren jeweiligen Regionen.
+ Die Quelldatenbankinstanzen befinden sich in einem verfügbaren Zustand.
Der Regionswechsel bestätigt auch, dass die IAM-Rolle des Plans über die erforderlichen Berechtigungen für die Erstellung von Amazon RDS-Read Replicas verfügt. Weitere Informationen zu den erforderlichen Berechtigungen für Regions-Switch-Ausführungsblöcke finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC](security_iam_id-based-policy-examples-region-switch.md)
Die richtigen IAM-Berechtigungen sind für das reibungslose Funktionieren des Amazon RDS-Ausführungsblocks unerlässlich. Wenn eine dieser Validierungen fehlschlägt, gibt Region Switch Warnmeldungen aus, dass Probleme vorliegen, und gibt spezielle Fehlermeldungen aus, um Ihnen bei der Lösung der Berechtigungs- oder Konfigurationsprobleme zu helfen. Dadurch wird sichergestellt, dass Ihr Plan über den erforderlichen Zugriff verfügt, um Amazon RDS zu verwalten und mit Amazon RDS zu interagieren, wenn dieser Schritt während der Ausführung eines Plans ausgeführt wird.
# Block für die manuelle Genehmigung
Mit dem Block zur Ausführung manueller Genehmigungen können Sie einen Genehmigungsschritt einfügen, den Sie einer IAM-Rolle zuordnen. Benutzer mit Zugriff auf die Rolle können die Ausführung eines Schritts genehmigen oder ablehnen, den Schritt unterbrechen, bis die Genehmigung erteilt wurde, oder möglicherweise verhindern, dass der Plan fortgeführt wird.
Um sicherzustellen, dass bei der Ausführung des Plans eine manuelle Genehmigung erforderlich ist, geben Sie an einer bestimmten Stelle im Workflow einen manuellen Genehmigungsschritt ein und konfigurieren dann die IAM-Rolle, um anzugeben, wer den Schritt genehmigen kann.
## Konfiguration
Um einen Block zur manuellen Genehmigungsausführung zu konfigurieren, geben Sie die folgenden Werte ein.
**Wichtig**
Bevor Sie den Ausführungsblock konfigurieren, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Musterrichtlinie für die Blockierung manueller Genehmigungen](security_iam_region_switch_manual_approval.md).
1. **Schrittname:** Geben Sie einen Namen ein.
1. **Beschreibung des Schritts (optional):** Geben Sie eine Beschreibung des Schritts ein.
1. **IAM-Genehmigungsrolle:** Geben Sie den ARN für eine IAM-Rolle ein, die berechtigt ist, die Fortsetzung der Ausführung für den Regions-Switch-Plan manuell zu genehmigen. Die IAM-Rolle muss sich in dem Konto befinden, das der Eigentümer des Plans ist.
1. **Timeout:** Geben Sie einen Timeout-Wert ein.
Wählen Sie dann Schritt **speichern**.
## Funktionsweise
Wenn Sie einen Block für die manuelle Ausführung von Genehmigungen konfigurieren, können Sie im Rahmen Ihrer Anwendungswiederherstellung eine Genehmigung verlangen. Bei einem manuellen Ausführungsblock führt Region Switch die folgenden Schritte aus:
+ Wenn Region Switch einen manuellen Ausführungsblock ausführt, unterbricht er die Ausführung und setzt den Ausführungsstatus des Plans auf Ausstehende Genehmigung.
+ Jeder, der Zugriff auf die im Ausführungsblock definierte Rolle hat, kann die Ausführung des Schritts genehmigen oder ablehnen.
+ Wenn sie die Ausführung des Schritts genehmigen, fährt Region Switch mit der Ausführung des Plans fort. Wenn sie ablehnen, bricht Region Switch die Ausführung des Plans ab.
Dieser Block unterstützt den Ausführungsmodus „Ungraceful“ nicht.
## Was wird im Rahmen der Planbewertung bewertet
Bei Regionswechsel werden keine Evaluierungen für Blöcke zur Ausführung manueller Genehmigungen durchgeführt.
# Lambda-Ausführungsblock für benutzerdefinierte Aktionen
Mit dem Lambda-Ausführungsblock für benutzerdefinierte Aktionen können Sie einem Plan mithilfe einer Lambda-Funktion einen benutzerdefinierten Schritt hinzufügen.
## Konfiguration
Geben Sie die folgenden Werte ein, um einen Lambda-Ausführungsblock zu konfigurieren.
**Wichtig**
Bevor Sie den Ausführungsblock konfigurieren, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Beispielrichtlinie für Lambda-Ausführungsblöcke mit benutzerdefinierter Aktion](security_iam_region_switch_lambda.md).
1. **Schrittname:** Geben Sie einen Namen ein.
1. **Beschreibung des Schritts (optional):** Geben Sie eine Beschreibung des Schritts ein.
1. **ARN der Lambda-Funktion, die beim Aktivieren oder Deaktivieren von *Region* aufgerufen werden soll**: Geben Sie den ARN der Lambda-Funktion an, die für diesen Schritt ausgeführt werden soll.
1. **Region, in der die Lambda-Funktion ausgeführt werden soll:** Wählen Sie im Drop-down-Menü die Region aus, in der Sie die Lambda-Funktionen ausführen möchten.
1. **Timeout:** Geben Sie einen Timeout-Wert ein.
1. **Wiederholungsintervall:** Geben Sie ein Wiederholungsintervall ein, um die Lambda-Funktion erneut auszuführen, falls sie innerhalb dieses Intervalls nicht erfolgreich ist.
**Wählen Sie dann Schritt speichern.**
## Funktionsweise
+ Wenn Sie einen Lambda-Ausführungsblock für benutzerdefinierte Aktionen erstellen, müssen Sie zwei Lambda-Funktionen für den auszuführenden Schritt angeben — eine in jeder Region des Plans.
+ Sie können konfigurieren, in welcher Region das Lambda ausgeführt werden soll, z. B. in der aktivierenden Region oder in der deaktivierenden Region. Wenn Sie jedoch in der deaktivierenden Region ausführen, gehen Sie davon aus, dass Sie von dieser Region abhängig sind. Es wird nicht empfohlen, eine Abhängigkeit von der deaktivierten Region einzugehen.
Dieser Block unterstützt sowohl den Ausführungsmodus „Graceful“ als auch den „Ungraceful“ -Ausführungsmodus. Im Modus „Ungraceful Execution“ überspringt der Regions-Switch den Schritt des Lambda-Ausführungsblocks.
## Was wird im Rahmen der Planbewertung bewertet
Wenn Region Switch Ihren Plan auswertet, führt Region Switch mehrere Prüfungen der Konfiguration und der Berechtigungen Ihres Lambda-Ausführungsblocks durch. Der Regions-Switch überprüft, ob Folgendes korrekt ist:
+ Die in der Konfiguration angegebenen Lambda-Funktionen sind vorhanden.
+ Die Parallelitätseinstellungen von Lambda-Funktionen werden nicht gedrosselt, einschließlich der Überprüfung der folgenden Punkte:
+ Parallelität ist nicht auf 0 gesetzt.
+ Es ist mindestens eine gleichzeitige Ausführung verfügbar, oder es ist eine uneingeschränkte Parallelität vorhanden.
Der Regionsschalter führt einen Probelauf der Lambda-Funktion durch, um die angegebenen Parameter und Berechtigungen zu validieren, ohne die eigentliche Funktionslogik auszuführen. Die üblichen Lambda-Kosten fallen an, wenn Sie einen Probelauf durchführen.
Der Regions-Switch überprüft auch, ob die IAM-Rolle des Plans über die erforderlichen Berechtigungen für die Lambda-Ausführung verfügt. Weitere Informationen zu den erforderlichen Berechtigungen für Regions-Switch-Ausführungsblöcke finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC](security_iam_id-based-policy-examples-region-switch.md)
Die richtigen IAM-Berechtigungen sind für das reibungslose Funktionieren des Lambda-Ausführungsblocks unerlässlich. Wenn eine dieser Validierungen fehlschlägt, gibt Region Switch Warnungen zurück, dass Probleme vorliegen, und gibt spezielle Fehlermeldungen aus, die Sie bei der Lösung der Berechtigungs- oder Konfigurationsprobleme unterstützen. Dadurch wird sichergestellt, dass Ihr Plan über den erforderlichen Zugriff verfügt, um das Lambda zu verwalten und mit ihm zu interagieren, während dieser Schritt während der Ausführung eines Plans ausgeführt wird.
# Blockierung der Ausführung der Amazon Route 53-Zustandsprüfung
Mit dem Block zur Ausführung der Amazon Route 53-Zustandsprüfung können Sie die Regionen angeben, in die der Datenverkehr Ihrer Anwendung beim Failover umgeleitet wird. Der Ausführungsblock erstellt Amazon Route 53-Zustandsprüfungen, die Sie dann den Route 53-DNS-Einträgen in Ihrem Konto zuordnen. Wenn Sie Ihren Regions-Switch-Plan ausführen, wird der Status der Route 53-Zustandsprüfung aktualisiert und der Datenverkehr wird basierend auf Ihrer DNS-Konfiguration umgeleitet.
**Wichtig**
Die gehostete Route 53-Zone muss sich in derselben Partition wie der Regions-Switch-Plan befinden.
## Konfiguration
Geben Sie die folgenden Werte ein, um einen Block zur Ausführung der Route 53-Integritätsprüfung zu konfigurieren.
**Wichtig**
Bevor Sie den Ausführungsblock konfigurieren, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Beispielrichtlinie für die Blockierung der Ausführung von Route 53-Integritätsprüfungen](security_iam_region_switch_route53.md).
1. **Schrittname:** Geben Sie einen Namen ein.
1. **Beschreibung des Schritts (optional):** Geben Sie eine Beschreibung des Schritts ein.
1. **Hosting-Zonen-ID:** Die Hosting-Zonen-ID für Ihre Domain und DNS-Einträge in Route 53.
1. **Datensatzname:** Geben Sie den Datensatznamen (Domainnamen) für die Datensätze ein, die Sie zusammen mit den zugehörigen Zustandsprüfungen verwenden, um den Datenverkehr für Ihre Anwendung umzuleiten. Regionswechsel sucht nach den Route 53-Datensätzen für den Datensatznamen und versucht, jeden Datensatz einer Region zuzuordnen, basierend auf dem Regionsnamen innerhalb des **Werts** oder der **Satz-ID** der Datensatzgruppe.
1. **Datensatzbezeichner (optional):** Sie haben die Möglichkeit, die Datensatzbezeichner manuell anzugeben, falls Region Switch die Datensätze anhand des in Schritt 4 angegebenen Datensatznamens nicht automatisch Regionen zuordnen kann, nachdem Sie den Plan erstellt haben. Wenn bei der Planauswertung eine Warnung zurückgegeben wird, die darauf hinweist, dass weitere Informationen erforderlich sind, aktualisieren Sie Ihren Plan mit Datensatzkennungen, indem Sie für jede Region Folgendes angeben:
+ **Datensatz-ID:** Geben Sie die **Satz-ID** oder den **Wert/die Route des Datenverkehrs für die** Datensatzgruppe ein.
+ **Region:** Geben Sie die Region ein, die der Datensatzgruppe zugeordnet ist, die die Informationen zur Datensatzkennung enthält.
1. Wählen Sie **Schritt speichern.**
1. Konfigurieren Sie Integritätsprüfungen in Route 53.
Der Regionsschalter stellt für jede Region und für jeden Datensatznamen innerhalb einer gehosteten Zone, die im Ausführungsblock definiert ist, eine Integritätsprüfungs-ID bereit. Stellen Sie sicher, dass Sie die Integritätsprüfungen für die entsprechenden Datensätze in Ihrem Konto in Route 53 konfigurieren, damit der Regions-Switch den Datenverkehr für Ihre Anwendung während der Ausführung des Plans korrekt umleiten kann. Auf der Seite mit den Plandetails auf der Registerkarte **Integritätsprüfungen** können Sie die Integritätsprüfungen für alle Ausführungsblöcke und Regionen einsehen.
## Funktionsweise
Sie fügen Ihrem Workflow für den Regionswechsel einen Schritt zur Integritätsprüfung hinzu, sodass Sie den Datenverkehr für Konfigurationen in eine sekundäre Region oder für active/passive Konfigurationen aus einer deaktivierten Region umleiten können. active/active Wenn Sie Ihrem Plan mehrere Workflows hinzufügen, geben Sie dieselben Konfigurationswerte für alle Blöcke zur Ausführung von Integritätsprüfungen an, die dieselben DNS-Einträge verwenden.
Basierend auf den Informationen, die Sie bei der Konfiguration des Ausführungsblocks angeben, versucht Region Switch, den richtigen Datensatz für jede Region in Ihrem Plan zu ermitteln. In der Regel reichen die Hosting-Zonen-ID und der Datensatzname aus, um die Datensätze und die zugehörigen Regionen zu bestimmen. Wenn nicht, wird beim Ausführen der automatischen Planauswertung von Region Switch nach der Erstellung des Plans eine Warnung zurückgegeben, die Sie darüber informiert, dass weitere Informationen erforderlich sind.
Region Switch führt Integritätsprüfungen für jeden Ausführungsblock der Route 53-Zustandsprüfung durch. Bei Plänen, die einen active/passive Wiederherstellungsansatz verwenden, beginnt die Integritätsprüfung für die primäre Region als fehlerfrei, und die Integritätsprüfung für die Standby-Region ist zunächst auf fehlerhaft gesetzt. Bei Plänen, die den active/active Wiederherstellungsansatz verwenden, beginnen die Gesundheitschecks für alle Regionen mit dem Status „Fehlerfrei“.
Damit Region Switch diesen Ausführungsblock für Ihren Plan erfolgreich ausführen kann, müssen Sie die Integritätsprüfungen zu Ihren DNS-Einträgen hinzufügen.
Bei einem active/active Plan funktioniert der Ausführungsschritt wie folgt:
+ Wenn ein Deaktivierungs-Workflow für eine Region ausgeführt wird, wird die Integritätsprüfung auf fehlerhaft gesetzt und der Datenverkehr wird nicht mehr in die Region geleitet.
+ Wenn ein Aktivierungs-Workflow für eine Region ausgeführt wird, wird die Integritätsprüfung auf Fehlerfrei gesetzt und der Verkehr wird an die Region weitergeleitet.
Bei einem active/passive Plan funktioniert der Ausführungsschritt wie folgt:
+ Wenn ein Aktivierungs-Workflow für eine Region ausgeführt wird, wird die Integritätsprüfung für diese Region auf Fehlerfrei gesetzt und der Verkehr wird an die Region weitergeleitet. Gleichzeitig wird die Zustandsprüfung für die andere Region im Plan auf fehlerhaft gesetzt und der Verkehr wird nicht mehr in diese Region geleitet.
## Was wird im Rahmen der Planbewertung bewertet
Wenn Region Switch Ihren Plan bewertet, führt Region Switch mehrere Prüfungen an der Konfiguration und den Berechtigungen Ihres Route 53-Zustandsprüfungsblocks durch. Der Regionsschalter überprüft, ob den in der Konfiguration des Ausführungsblocks angegebenen DNS-Einträgen Integritätsprüfungen zugeordnet sind. Das heißt, der Regionswechsel überprüft, ob die DNS-Einträge für eine bestimmte Region so konfiguriert AWS-Region sind, dass sie Integritätsprüfungen für diese Region verwenden.
## Vergleich der ARC-Routing-Steuerelemente und der Ausführungsblöcke für die Zustandsprüfung von Route 53
Der Block zur Ausführung von Amazon Route 53-Zustandsprüfungen im Regions-Switch bietet eine kostengünstigere Alternative für das DNS-basierte Verkehrsmanagement. Dieser Ausführungsblock hängt jedoch davon ab, AWS-Region welche Region Sie aktivieren, sodass diese Region verfügbar sein muss. Dies entspricht den Bedürfnissen der meisten Kunden, da sie eine gesunde Region aktivieren.
ARC-Routingkontrollen bieten ein äußerst zuverlässiges DNS-basiertes Verkehrsmanagement mit einer SLA für 100-prozentige Verfügbarkeit. Mit Routing-Kontrollen können Ihre Betriebsteams den Verkehr mit Sicherheitsleitplanken zwischen Regionen verlagern. Routing-Kontrollen bieten eine Single-Tenant-Lösung mit einer 100-prozentigen SLA. Ein Routing Control Cluster ist auf fünf Regionen verteilt und kann tolerieren, dass zwei Regionen offline sind. Wenn Sie über sehr kritische Anwendungen verfügen, sollten Sie die Verwendung von Routingsteuerungen in Betracht ziehen.
Routing-Steuerelemente sind für die Verwendung des Regions-Switches nicht erforderlich. Sie können den Regionsschalter verwenden, um die Verkehrsumleitung zu verwalten, indem Sie die Ausführungsblöcke für die Zustandsprüfung von Route 53 ohne Routingkontrollen verwenden.
Routingsteuerungen bieten in den folgenden Situationen einen Mehrwert mit Regions-Switches:
+ Sie benötigen das SLA für 100% Verfügbarkeit für den Datenverkehrskontrollmechanismus selbst.
+ Ihr Unternehmen benötigt manuelle Betriebskontrollen mit Sicherheitsregeln für kritische Anwendungen.
+ Sie möchten, defense-in-depth dass Betriebsteams die automatische Verkehrsführung bei Bedarf manuell außer Kraft setzen können.
Die Ausführungsblöcke für die Zustandsprüfung von Route 53 hängen nicht von der Steuerungsebene ab. Änderungen an Health Check-Datensätzen verwenden die Datenebene, sodass die aktivierende Region für die Verarbeitung von Konfigurationsupdates nicht erforderlich ist. Die Ausführungsblöcke für die Zustandsprüfung von Route 53 sind in den folgenden Situationen ausreichend:
+ Ihre Anwendung kann davon abhängen AWS-Region , welche Sie aktivieren.
+ Die automatische Datenverkehrsumleitung als Teil des Wiederherstellungsworkflows erfüllt Ihre Anforderungen.
+ Kostenoptimierung hat Priorität. Die Ausführungsblöcke für die Zustandsprüfung von Route 53 sind kostengünstiger als Routing-Kontrollen.
Die meisten Kunden beginnen mit den Ausführungsblöcken für die Zustandsprüfung von Route 53 als Standardmechanismus für das Routing des Datenverkehrs und fügen Routingkontrollen nur für ihre kritischsten Anwendungen hinzu, bei denen die höchste Zuverlässigkeit des Datenverkehrsmanagementmechanismus erforderlich ist.
# Erstellen Sie Pläne für Kinder
Um komplexere Wiederherstellungsszenarien zu unterstützen, können Sie untergeordnete Pläne erstellen, indem Sie sie mit Ausführungsblöcken für Regionalwechselpläne hinzufügen. Die Hierarchie ist auf zwei Ebenen beschränkt, aber ein übergeordneter Plan kann mehrere untergeordnete Pläne enthalten.
**Wichtig**
Bevor Sie einen untergeordneten Plan erstellen, stellen Sie sicher, dass Sie über die richtige IAM-Richtlinie verfügen. Weitere Informationen finden Sie unter [Beispiel für eine Richtlinie zur Ausführung eines Regions-Switch-Plans](security_iam_region_switch_plan_execution.md).
Aus Kompatibilitätsgründen müssen Tarife für Kinder alle Regionen unterstützen, die der Elternplan unterstützt. Darüber hinaus muss der Erholungsansatz (aktiv/passiv) für die Pläne für Eltern und Kinder derselbe sein. active/active
Beachten Sie die folgenden Möglichkeiten, wie ein Kinderplan auf Änderungen reagiert, die Sie an einem Elternplan und an den Szenarien des Elternplans vornehmen.
+ Ein übergeordneter Ausführungsblock wird als abgeschlossen markiert, wenn alle untergeordneten Pläne und andere darin enthaltene Ausführungsblöcke abgeschlossen sind.
+ Wenn ein Schritt in einem untergeordneten Plan fehlschlägt, schlägt der Ausführungsblock für den Regionalwechselplan im übergeordneten Plan fehl.
+ Kontrollaktionen, die im übergeordneten Plan während des Schritts „Region wechseln“ eingeleitet werden, wie z. B. eine Pause, ein ordnungsgemäßer oder unzulässiger Wechsel oder ein Abbruch, werden automatisch für den untergeordneten Plan versucht, unabhängig vom aktuellen Schritt des untergeordneten Plans.
+ Beim Überspringen von Vorgängen gibt es ein besonderes Verhalten: Der übergeordnete Plan wird übersprungen, der untergeordnete Plan wird jedoch weiterhin ausgeführt.
+ Wenn ein untergeordneter Plan bereits in einem Regions-Switch-Block ausgeführt wird, prüft Region Switch die Kompatibilität des untergeordneten Plans mit dem übergeordneten Plan, um festzustellen, ob er weiterhin ausgeführt wird. Wenn die Konfiguration des untergeordneten Plans den Anforderungen des übergeordneten Plans entspricht, behandelt Region Switch den untergeordneten Plan so, als ob er vom übergeordneten Plan initiiert worden wäre.
+ Der Schritt des übergeordneten Plans schlägt fehl, wenn der untergeordnete Plan mit inkompatiblen Konfigurationsparametern ausgeführt wird, wie z. B. den folgenden:
+ Der untergeordnete Tarif ist in einer anderen Region in Betrieb
+ Der untergeordnete Tarif führt einen Deaktivierungsvorgang aus, wenn Region Switch erwartet, dass er einen Aktivierungsvorgang ausführt
+ Wenn das untergeordnete Abo während einer Zeit, in der ein übergeordnetes Abo pausiert wurde, erfolgreich abgeschlossen wird, ist das übergeordnete Abo erfolgreich, wenn das übergeordnete Abo wieder aufgenommen wird.
# Erstellen Sie einen Auslöser für einen Plan zum Regionenwechsel
Wenn Sie die Wiederherstellung Ihrer Anwendung im Regions-Switch-Plan automatisieren möchten, können Sie einen oder mehrere Auslöser für Ihren Regionswechselplan erstellen. Trigger beginnen automatisch mit der Ausführung eines Regionswechselplans, der auf den von Ihnen ausgewählten CloudWatch Alarmbedingungen basiert.
# Um einen Trigger für einen Regionswechselplan zu erstellen
1. Nachdem Sie einen Plan erstellt haben, wählen Sie auf der Seite mit den **Plandetails** die Registerkarte **Trigger aus**.
1. Wählen Sie **Auslöser verwalten aus**.
1. Wählen Sie die Workflows aus, deren Ausführung Sie automatisieren möchten, und klicken Sie dann auf **Auslöser hinzufügen**.
1. Geben Sie eine Beschreibung für den Trigger ein.
1. Wählen Sie einen CloudWatch Alarm und anschließend bis zu 10 CloudWatch Alarme aus, um die Bedingungen für den Auslöser zu erstellen.
Wenn Sie mehr als eine Bedingung auswählen, müssen alle Bedingungen erfüllt sein, bevor die automatische Ausführung des Plans gestartet werden kann.
Der Trigger startet die Planausführung, wenn ein CloudWatch Alarm die Bedingungen für den Trigger erfüllt. Wenn der Trigger dem Plan hinzugefügt wird und die Bedingungen bereits erfüllt sind, wird der Plan nicht ausgeführt, wodurch unbeabsichtigte Failover-Ereignisse verhindert werden.
# Führen Sie einen Regions-Switch-Plan aus, um eine Anwendung wiederherzustellen
Um eine Anwendung wiederherzustellen, wenn eine beeinträchtigt AWS-Region ist, führen Sie einen Regionswechselplan in Amazon Application Recovery Controller (ARC) aus.
+ Wenn Ihre Anwendung mit einem active/active Ansatz bereitgestellt wird, deaktivieren die Workflows in Ihrem Plan die Region, die beeinträchtigt ist, sodass Ihre andere aktive Region entsprechend skaliert wird und Ihren gesamten Anwendungsdatenverkehr empfängt.
+ Wenn Ihre Anwendung mit einem active/passive Ansatz bereitgestellt wird, deaktivieren die Workflows in Ihrem Plan die beeinträchtigte Region und aktivieren Ihre Standby-Region, indem Sie Ihre Ressourcen dort bei Bedarf skalieren und Ihren Anwendungsdatenverkehr in die Standby-Region umleiten.
Um die Anwendungswiederherstellung manuell durchzuführen, führen Sie Ihren Regions-Switch-Plan wie folgt aus.
Eine weitere Option besteht darin, automatisch eine Ausführung mit bestimmten CloudWatch Amazon-Alarmen auszulösen, die Sie angeben, um eine Planausführung zu starten. Sie können Auslöser für die Planausführung angeben, wenn Sie einen Plan erstellen oder aktualisieren. Weitere Informationen finden Sie unter [Erstellen Sie einen Auslöser für einen Plan zum Regionenwechsel](working-with-rs-triggers.md).
# Um einen Regions-Switch-Plan auszuführen
1. Navigieren Sie im AWS-Managementkonsole zu dem AWS-Region , das Sie für Ihre Anwendung aktivieren möchten.
1. Wählen Sie auf der Amazon Application Recovery Controller (ARC) -Konsole **Region Switch** und wählen Sie dann den Plan aus, den Sie ausführen möchten.
1. Wählen Sie **Plan ausführen aus**.
1. Wenn Ihr Plan manuelle Genehmigungsschritte umfasst, genehmigen Sie jeden Schritt, wenn Sie dazu aufgefordert werden.
Während der Ausführung eines Plans können Sie seinen Fortschritt auf der Seite mit den Ausführungsdetails verfolgen. Diese Seite wird geöffnet, wenn Sie einen Plan ausführen möchten.
In den Regions-Switch-Dashboards können Sie sich auch Informationen zur laufenden Anwendungswiederherstellung ansehen. Wählen Sie auf der Regions-Switch-Konsole in der linken Navigationsleiste unter **Region Switch** eine der folgenden Optionen aus:
+ **Globales Dashboard**
+ **Hinrichtungen im Namen der *Region***
Beachten Sie, dass im globalen Dashboard möglicherweise nicht alle Ihre Plandaten angezeigt werden, wenn es in einer Region zu Beeinträchtigungen kommt. Aus diesem Grund empfehlen wir, dass Sie sich bei betrieblichen Ereignissen nur auf das Dashboard für regionale Ausführungen verlassen. Das Dashboard für regionale Ausführungen ist robuster, da es die lokale Region-Switch-Datenebene verwendet.
Wenn die Ausführung des Plans abgeschlossen ist, können Sie auf der Seite mit den **Plandetails auf der Registerkarte Planausführungsverlauf Informationen zur Ausführung des Plans** **und zu anderen Plänen, die von Region Switch ausgeführt** wurden, einsehen.
# Dashboards für den Regionswechsel
Der Regionswechsel umfasst ein globales Dashboard, mit dem Sie den Status der Regionenwechselpläne in Ihrer Organisation und Ihren Regionen verfolgen können. Der Regionalwechsel verfügt auch über ein Dashboard für regionale Ausführungen, in dem nur Planausführungen in der Region angezeigt werden, in der Sie derzeit angemeldet sind. AWS-Managementkonsole
Beachten Sie, dass im globalen Dashboard möglicherweise nicht alle Ihre Plandaten angezeigt werden, wenn es in einer Region zu Beeinträchtigungen kommt. Aus diesem Grund empfehlen wir, dass Sie sich bei betrieblichen Ereignissen nur auf das Dashboard für regionale Ausführungen verlassen. Das Dashboard für regionale Ausführungen ist robuster, da es die lokale Region-Switch-Datenebene verwendet.
# Um das globale Dashboard für den Regionalwechsel zu öffnen
1. Öffnen Sie die ARC-Konsole unter[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. Wählen Sie unter **Region wechseln** die Option **Globales Dashboard** aus.
# Um das Regionswechsel-Dashboard zu öffnen: Regionales Dashboard
1. Öffnen Sie die ARC-Konsole unter[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. Wählen Sie unter **Region wechseln** die Option **Regionales Dashboard** aus.
# Kontoübergreifender Support bei Regionswechsel
Im Regionswechsel können Sie Ressourcen von anderen Konten zu Ihren Plänen hinzufügen. Sie können einen Regionswechsel-Tarif auch mit anderen Konten teilen. Weitere Informationen finden Sie in den folgenden Abschnitten.
## Kontoübergreifende Ressourcen
Durch den Regionswechsel können Ressourcen in einem Konto gehostet werden, das von dem Konto getrennt ist, das den Regionswechsel-Plan enthält. Wenn der Regions-Switch einen Plan ausführt, übernimmt er die ExecutionRole. Wenn der Plan Ressourcen von einem Konto verwendet, das sich von dem Konto unterscheidet, das den Plan hostet, verwendet der Regional-Switch die ExecutionRole, um den Zugriff auf diese Ressourcen anzunehmen. crossAccountRole
Jede Ressource im Regions-Switch-Plan hat zwei optionale Felder: crossAccountRole und externalId.
+ crossAccountRole: Diese Rolle ermöglicht den Zugriff auf Ressourcen in einem Konto, das sich von dem Konto unterscheidet, das den Regions-Switch-Plan hostet. Die Rolle benötigt nur Berechtigungen, um auf die Ressourcen innerhalb ihres Kontos zu reagieren. Sie benötigt keine Berechtigungen, um auf die Ressourcen in dem Konto zu reagieren, das den Regions-Switch-Plan hostet.
+ ExternalId: Dies ist die externe STS-ID aus der Vertrauensrichtlinie des Kontos, das die Ressource enthält, für die eine Aktion erforderlich ist. Es handelt sich um eine alphanumerische Zeichenfolge, die das gemeinsame Geheimnis der beiden Konten darstellt.
## Teilen von Regions-Switch-Plänen
Region Switch ist in AWS Resource Access Manager (AWS RAM) integriert, sodass Sie Pläne gemeinsam nutzen können AWS-Konten. Wenn Sie einen Plan gemeinsam nutzen, können die von Ihnen angegebenen Konten die Plandetails einsehen, den Plan ausführen und die Ausführungen des Plans einsehen, was mehr Kontrolle und Flexibilität bei den Wiederherstellungsfunktionen für verschiedene Teams bietet.
Um mit der kontenübergreifenden gemeinsamen Nutzung in Region Switch zu beginnen, erstellen Sie eine gemeinsame Nutzung von Ressourcen in. AWS RAM Die Ressourcenfreigabe gibt Teilnehmer an, die berechtigt sind, den Plan, der Ihrem Konto gehört, gemeinsam zu nutzen. Die Teilnehmer können den gemeinsamen Plan über die Konsole, die CLI oder anzeigen und ausführen AWS SDKs.
Wichtig: Sie AWS-Konto müssen Eigentümer der Pläne sein, die Sie teilen möchten. Sie können einen Plan, der mit Ihnen geteilt wurde, nicht teilen. Um einen Plan mit Ihrer Organisation oder einer Organisationseinheit in Ihrer Organisation zu teilen AWS Organizations, müssen Sie die gemeinsame Nutzung mit Organizations aktivieren.
Weitere Informationen zu finden AWS RAM Sie unter[Support gemeinsame Nutzung von Plänen zwischen Konten für den ARC-Regionalwechsel](resource-sharing.region-switch.md).
# Support gemeinsame Nutzung von Plänen zwischen Konten für den ARC-Regionalwechsel
Amazon Application Recovery Controller (ARC) lässt sich integrieren AWS Resource Access Manager , um die gemeinsame Nutzung von Ressourcen zu ermöglichen. AWS RAM ist ein Service, der es Ihnen ermöglicht, Ressourcen mit anderen zu teilen AWS-Konten oder über AWS Organizations. Für den ARC-Regionalwechsel können Sie den Regions-Switch-Plan gemeinsam nutzen. (Um Ressourcen von einem anderen Konto in Ihrem Plan zu verwenden, verwenden Sie eine CrossAccount-Rolle. Weitere Informationen finden Sie unter[Kontoübergreifende Ressourcen](cross-account-resources-rs.md#cross-account-resources-rs-in-plan).)
Mit können Sie Ressourcen AWS RAM, die Sie besitzen, gemeinsam nutzen, indem Sie eine *Ressourcenfreigabe* erstellen. Eine Ressourcenfreigabe gibt die Ressourcen an, die gemeinsam genutzt werden sollen, und die *Teilnehmer*, mit denen sie geteilt werden sollen. Zu den Teilnehmern können gehören:
+ AWS-Konten Spezifisch innerhalb oder außerhalb der Organisation des Eigentümers in AWS Organizations
+ Eine Organisationseinheit innerhalb ihrer Organisation in AWS Organizations
+ Ihre gesamte Organisation ist in AWS Organizations
Weitere Informationen zu AWS RAM finden Sie im *[AWS RAM Benutzerhandbuch](https://docs.aws.amazon.com/ram/latest/userguide/)*.
Durch AWS Resource Access Manager die Nutzung von Abos für mehrere Konten in ARC können Sie einen Plan mit mehreren unterschiedlichen Tarifen verwenden AWS-Konten. Wenn Sie sich dafür entscheiden, einen Plan gemeinsam zu nutzen, kann ein anderer AWS-Konten , von Ihnen festgelegter Plan den Plan ausführen, um die Anwendungswiederherstellung durchzuführen.
AWS RAM ist ein Service, der AWS Kunden dabei unterstützt, Ressourcen auf sichere Weise gemeinsam zu nutzen AWS-Konten. Mit AWS RAM können Sie Ressourcen innerhalb einer Organisation oder von Organisationseinheiten (OUs) gemeinsam nutzen AWS Organizations, indem Sie IAM-Rollen und -Benutzer verwenden. AWS RAM ist eine zentralisierte und kontrollierte Methode zur gemeinsamen Nutzung eines Plans.
Wenn Sie einen Plan gemeinsam nutzen, können Sie die Gesamtzahl der Pläne reduzieren, die Ihre Organisation benötigt. Mit einem gemeinsamen Plan können Sie die Gesamtkosten für die Ausführung des Plans auf verschiedene Teams verteilen, um die Vorteile von ARC bei geringeren Kosten zu maximieren. Die gemeinsame Nutzung von Plänen für mehrere Konten kann auch den Prozess der Integration mehrerer Anwendungen in ARC vereinfachen, insbesondere wenn Sie über eine große Anzahl von Anwendungen verfügen, die auf mehrere Konten und Betriebsteams verteilt sind.
Um mit der kontenübergreifenden gemeinsamen Nutzung in ARC zu beginnen, erstellen Sie eine *gemeinsame Nutzung von Ressourcen*. AWS RAM Die Ressourcenfreigabe gibt *Teilnehmer* an, die berechtigt sind, den Plan, der Ihrem Konto gehört, gemeinsam zu nutzen.
In diesem Thema wird erklärt, wie Sie Ressourcen teilen, deren Eigentümer Sie sind, und wie Sie Ressourcen verwenden, die mit Ihnen gemeinsam genutzt werden.
**Topics**
+ [Voraussetzungen für das Teilen von Plänen](#sharing-prereqs-rs)
+ [Einen Plan teilen](#sharing-share-rs)
+ [Aufheben der Freigabe eines geteilten Tarifs](#sharing-unshare-rs)
+ [Identifizieren eines gemeinsam genutzten Tarifs](#sharing-identify-rs)
+ [Zuständigkeiten und Berechtigungen für gemeinsam genutzte Pläne](#sharing-perms-rs)
+ [Kosten für die Abrechnung](#sharing-billing-rs)
+ [Kontingente](#sharing-quotas-rs)
## Voraussetzungen für das Teilen von Plänen
+ Um einen Plan teilen zu können, müssen Sie ihn in Ihrem besitzen AWS-Konto. Das bedeutet, dass die Ressource Ihrem Konto zugewiesen oder bereitgestellt werden muss. Sie können einen Plan, der mit Ihnen geteilt wurde, nicht teilen.
+ Um einen Plan mit Ihrer Organisation oder einer Organisationseinheit in zu teilen AWS Organizations, müssen Sie das Teilen mit aktivieren AWS Organizations. Weitere Informationen finden Sie unter [ Freigabe für AWS Organizations aktivieren](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) im *AWS RAM -Benutzerhandbuch*.
## Einen Plan teilen
Wenn Sie einen Plan teilen, können die Teilnehmer, die Sie für die gemeinsame Nutzung des Plans angeben, den Plan ansehen und, sofern Sie zusätzliche Berechtigungen gewähren, ihn ausführen.
Um einen Plan gemeinsam zu nutzen, müssen Sie ihn zu einer Ressourcenfreigabe hinzufügen. Eine Ressourcenfreigabe ist eine AWS RAM -Ressource, mit der Sie Ihre Ressourcen in mehreren AWS-Konten gemeinsam nutzen können. Eine Ressourcenfreigabe gibt die Ressourcen an, die gemeinsam genutzt werden sollen, und die Teilnehmer, mit denen sie geteilt werden. Um einen Plan gemeinsam zu nutzen, können Sie eine neue Ressourcenfreigabe erstellen oder die Ressource zu einer vorhandenen Ressourcenfreigabe hinzufügen. Um eine neue Ressourcenfreigabe zu erstellen, können Sie die [AWS RAM Konsole](https://console.aws.amazon.com/ram) verwenden oder AWS RAM API-Operationen mit dem AWS Command Line Interface oder verwenden AWS SDKs.
Wenn Sie Teil einer Organisation in Ihrer Organisation sind AWS Organizations und die gemeinsame Nutzung innerhalb Ihrer Organisation aktiviert ist, erhalten Teilnehmer in Ihrer Organisation automatisch Zugriff auf den gemeinsamen Plan. Andernfalls erhalten die Teilnehmer eine Einladung, dem Resource Share beizutreten, und erhalten nach Annahme der Einladung Zugriff auf den gemeinsamen Plan.
Sie können einen Plan, der Ihnen gehört, mithilfe der AWS RAM Konsole oder mithilfe von AWS RAM API-Operationen mit AWS CLI oder teilen SDKs.
**Um einen Plan, den Sie besitzen, mithilfe der AWS RAM Konsole zu teilen**
Weitere Informationen finden Sie im *AWS RAM Benutzerhandbuch* unter [Erstellen einer gemeinsamen Nutzung von Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html).
**Um einen Plan, den Sie besitzen, zu teilen, verwenden Sie den AWS CLI**
Verwenden Sie den Befehl [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html).
**Erteilen von Berechtigungen zum Teilen von Plänen**
Für die kontenübergreifende gemeinsame Nutzung von Plänen sind die folgenden zusätzlichen Berechtigungen für den IAM-Prinzipal erforderlich, der den Plan gemeinsam nutzt AWS RAM:
```
# read and execute plan permissions
"arc-region-switch:GetPlan",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:StartPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:UpdatePlanExecutionStep"
```
Der Besitzer, der den Plan gemeinsam nutzt, muss über die folgenden Berechtigungen verfügen. Wenn Sie versuchen, einen Plan mit anderen zu teilen, AWS RAM ohne über diese Berechtigungen zu verfügen, wird ein Fehler zurückgegeben.
```
"arc-region-switch:PutResourcePolicy" # Permission only apis
"arc-region-switch:DeleteResourcePolicy" # Permission only apis
"arc-region-switch:GetResourcePolicy" # Permission only apis
```
Weitere Informationen zur AWS Resource Access Manager Verwendung von IAM finden Sie unter [Wie AWS Resource Access Manager verwendet IAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-policies.html) im *AWS RAM Benutzerhandbuch*.
## Aufheben der Freigabe eines geteilten Tarifs
Wenn du die gemeinsame Nutzung eines Abos aufhebst, gilt für Teilnehmer und Inhaber Folgendes:
+ Die Teilnehmer können den Plan, für den die gemeinsame Nutzung nicht freigegeben wurde, nicht mehr ansehen oder ausführen.
Um die gemeinsame Nutzung eines Plans, dessen Eigentümer Sie sind, rückgängig zu machen, entfernen Sie ihn aus der Ressourcenfreigabe. Sie können dies mithilfe der AWS RAM Konsole oder mithilfe von AWS RAM API-Operationen mit dem AWS CLI oder SDKs tun.
**Um die Freigabe eines geteilten Tarifs, den Sie besitzen, mithilfe der AWS RAM Konsole rückgängig zu machen**
Siehe [Aktualisieren einer Ressourcenfreigabe](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update) im *AWS RAM -Benutzerhandbuch*.
**Um die Freigabe eines geteilten Tarifs, den Sie besitzen, rückgängig zu machen, verwenden Sie die AWS CLI**
Verwenden Sie den Befehl [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).
## Identifizieren eines gemeinsam genutzten Tarifs
Eigentümer und Teilnehmer können gemeinsam genutzte Pläne anhand der Informationen unter identifizieren AWS RAM. Sie können auch Informationen über gemeinsam genutzte Ressourcen mithilfe der ARC-Konsole und abrufen AWS CLI.
Im Allgemeinen finden Sie weitere Informationen zu den Ressourcen, die Sie geteilt haben oder die mit Ihnen geteilt wurden, den Informationen im AWS Resource Access Manager Benutzerhandbuch:
+ Als Besitzer können Sie alle Ressourcen, die Sie mit anderen teilen, mithilfe von anzeigen AWS RAM. Weitere Informationen finden Sie unter [Ihre geteilten Ressourcen anzeigen in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-view-sr.html).
+ Als Teilnehmer können Sie alle Ressourcen einsehen, die mit Ihnen geteilt wurden, indem Sie AWS RAM. Weitere Informationen finden Sie unter [Ihre geteilten Ressourcen anzeigen in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-view-sr.html).
Als Eigentümer können Sie feststellen, ob Sie einen Plan teilen, indem Sie die Informationen in den AWS-Managementkonsole oder mithilfe der API-Operationen AWS Command Line Interface mit ARC aufrufen.
**Mithilfe der Konsole können Sie feststellen, ob ein Plan, den Sie besitzen, gemeinsam genutzt wird**
Sehen Sie AWS-Managementkonsole sich auf der Detailseite für einen Plan den **Status der gemeinsamen Nutzung des Plans** an.
Wenn ein Plan mit Ihnen geteilt wird, müssen Sie als Teilnehmer in der Regel die Freigabe akzeptieren, damit Sie auf den Plan zugreifen können.
## Zuständigkeiten und Berechtigungen für gemeinsam genutzte Pläne
### Berechtigungen für Besitzer
Die Teilnehmer können den Plan ansehen oder ausführen (sofern sie über die entsprechenden Berechtigungen verfügen).
### Berechtigungen für Teilnehmer
Wenn Sie einen Plan, den Sie besitzen, mit anderen teilen AWS-Konten, können die Teilnehmer den Plan ansehen oder ausführen (sofern sie über die entsprechenden Berechtigungen verfügen).
Wenn Sie einen Plan mithilfe von teilen AWS RAM, hat ein Teilnehmer standardmäßig nur Leseberechtigungen. Eine Liste der schreibgeschützten Berechtigungen für den Regionswechsel finden Sie unter. [Nur-Lese-Berechtigungen](security_iam_region_switch_read_only.md) Die Teilnehmer benötigen zusätzliche Berechtigungen, um einen Regionswechselplan ausführen zu können. Teilnehmer, die Pläne ausführen müssen, benötigen zusätzliche Berechtigungen. Beachten Sie, dass Sie einem AWS RAM Teilnehmer für die folgenden Operationen keine Erlaubnis erteilen können:
+ ` ApprovePlanExecutionStep`
+ ` UpdatePlan`
## Kosten für die Abrechnung
Dem Inhaber eines Plans in ARC werden die mit dem Plan verbundenen Kosten in Rechnung gestellt. Für Planbesitzer oder Teilnehmer fallen keine zusätzlichen Kosten für die Erstellung von Ressourcen an, die in einem Plan gehostet werden.
Detaillierte Preisinformationen und Beispiele finden Sie unter [Amazon Application Recovery Controller (ARC) — Preise](https://aws.amazon.com/application-recovery-controller/pricing/).
## Kontingente
Alle Ressourcen, die in einem gemeinsamen Plan erstellt wurden, werden auf die Kontingente für den Inhaber des Plans angerechnet.
Eine Liste der Kontingente für den Region-Switch-Plan finden Sie unter[Kontingente für den Regionswechsel](quotas.region-switch.md).
# Identity and Access Management für Regionalwechsel in ARC
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um ARC-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Wie funktioniert der Regionswechsel mit IAM](security_iam_service-with-iam-region-switch.md)
+ [Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples-region-switch.md)
# So funktioniert der Regionswechsel in ARC mit IAM
Bevor Sie IAM zur Verwaltung des Zugriffs auf ARC verwenden, sollten Sie sich darüber informieren, welche IAM-Funktionen für die Verwendung mit ARC verfügbar sind.
Bevor Sie IAM verwenden, um den Zugriff auf den Regions-Switch in Amazon Application Recovery Controller (ARC) zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen für die Verwendung mit Region Switch verfügbar sind.
**IAM-Funktionen, die Sie mit dem Regions-Switch in Amazon Application Recovery Controller (ARC) verwenden können**
| IAM-Feature | Unterstützung für Regions-Switches |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-region-switch-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-region-switch-resource-based-policies) | Ja |
| [Richtlinienaktionen](#security_iam_service-with-iam-region-switch-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-region-switch-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-region-switch-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-region-switch-acls) | Ja |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-region-switch-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-region-switch-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-region-switch-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-region-switch-roles-service) | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-region-switch-roles-service-linked) | Nein |
Einen allgemeinen Überblick darüber, wie AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für den Regionswechsel
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
Beispiele für identitätsbasierte ARC-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien in Amazon Application Recovery Controller (ARC)](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien innerhalb des Regions-Switches
**Unterstützt ressourcenbasierte Richtlinien:** Ja
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-Rollen-Vertrauensrichtlinien und Amazon-S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern.
## Richtlinienaktionen für den Regionswechsel
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Bei Richtlinienaktionen in ARC for Region Switch werden vor der Aktion die folgenden Präfixe verwendet:
```
arc-region-switch
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: Zum Beispiel das Folgende:
```
"Action": [
"arc-region-switch:action1",
"arc-region-switch:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "arc-region-switch:Describe*"
```
Beispiele für identitätsbasierte ARC-Richtlinien für den Regionswechsel finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC](security_iam_id-based-policy-examples-region-switch.md)
## Richtlinienressourcen für den Regionenwechsel
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Beispiele für identitätsbasierte ARC-Richtlinien für den Regionswechsel finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC](security_iam_id-based-policy-examples-region-switch.md)
## Schlüssel zur Richtlinienbedingung für den Regionswechsel
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Beispiele für identitätsbasierte ARC-Richtlinien für den Regionswechsel finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC](security_iam_id-based-policy-examples-region-switch.md)
## Zugriffskontrolllisten (ACLs) im Regions-Switch
**Unterstützt ACLs:** Ja
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## Attributbasierte Zugriffskontrolle (ABAC) mit Regionswechsel
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Verwenden temporärer Anmeldeinformationen mit Regionswechsel
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipalberechtigungen für den Regionswechsel
**Unterstützt Forward Access Sessions (FAS):** Ja
Wenn Sie eine IAM-Entität (Benutzer oder Rolle) verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Richtlinien erteilen einem Prinzipal-Berechtigungen. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service auslösen. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen.
## Servicerollen für den Regionswechsel
**Unterstützt Servicerollen:** Nein
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
## Mit Diensten verknüpfte Rollen für den Regionswechsel
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstgebundene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC
Standardmäßig sind Benutzer und Rollen nicht berechtigt, ARC-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von ARC definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) in der *Service Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [Vertrauensrichtlinie für die Rolle „Planausführung“](security_iam_region_switch_trust_policy.md)
+ [Vollständige Zugriffsberechtigungen](security_iam_region_switch_full_access.md)
+ [Nur-Lese-Berechtigungen](security_iam_region_switch_read_only.md)
+ [Berechtigungen für Ausführungsblöcke](security_iam_region_switch_execution_blocks.md)
+ [CloudWatch Alarme für Statusberechtigungen von Anwendungen](security_iam_region_switch_cloudwatch.md)
+ [Bei der automatischen Ausführung von Plänen werden Genehmigungen gemeldet](security_iam_region_switch_reports.md)
+ [Kontoübergreifende Ressourcenberechtigungen](security_iam_region_switch_cross_account.md)
+ [Vollständige Berechtigungen für die Rolle „Planausführung“](security_iam_region_switch_complete_policy.md)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand ARC-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
# Vertrauensrichtlinie für die Rolle „Planausführung“
Dies ist die Vertrauensrichtlinie, die für die Ausführungsrolle des Plans erforderlich ist, sodass ARC einen Regionenwechselplan ausführen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "arc-region-switch.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Vollständige Zugriffsberechtigungen
Die folgende IAM-Richtlinie gewährt vollen Zugriff für alle Regions-Switches APIs:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "arc-region-switch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:CreatePlan",
"arc-region-switch:UpdatePlan",
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:DeletePlan",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:ApprovePlanExecutionStep",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:StartPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource",
"arc-region-switch:TagResource",
"arc-region-switch:UntagResource",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:UpdatePlanExecutionStep"
],
"Resource": "*"
}
]
}
```
------
# Nur-Lese-Berechtigungen
Die folgende IAM-Richtlinie gewährt Nur-Lese-Zugriffsberechtigungen für den Regions-Switch:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
# Berechtigungen für Ausführungsblöcke
Die folgenden Abschnitte enthalten Beispiele für IAM-Richtlinien, die die erforderlichen Berechtigungen für bestimmte Ausführungsblöcke bereitstellen, die Sie einem Regions-Switch-Plan hinzufügen.
**Topics**
+ [Beispielrichtlinie für den EC2 Auto Scaling Scaling-Ausführungsblock](security_iam_region_switch_ec2_autoscaling.md)
+ [Beispielrichtlinie für Amazon EKS-Ressourcenskalierungsblöcke](security_iam_region_switch_eks.md)
+ [Beispielrichtlinie für Amazon ECS-Service Scaling Execution Block](security_iam_region_switch_ecs.md)
+ [Beispielrichtlinie für Ausführungsblöcke zur Steuerung von ARC-Routing-Steuerungen](security_iam_region_switch_arc_routing.md)
+ [Beispielrichtlinie für Ausführungsblöcke in Aurora Global Database](security_iam_region_switch_aurora.md)
+ [Beispielrichtlinie für Amazon DocumentDB Global Cluster-Ausführungsblöcke](security_iam_region_switch_documentdb.md)
+ [Beispielrichtlinie für Amazon RDS-Ausführungsblöcke](security_iam_region_switch_rds.md)
+ [Musterrichtlinie für die Blockierung manueller Genehmigungen](security_iam_region_switch_manual_approval.md)
+ [Beispielrichtlinie für Lambda-Ausführungsblöcke mit benutzerdefinierter Aktion](security_iam_region_switch_lambda.md)
+ [Beispielrichtlinie für die Blockierung der Ausführung von Route 53-Integritätsprüfungen](security_iam_region_switch_route53.md)
+ [Beispiel für eine Richtlinie zur Ausführung eines Regions-Switch-Plans](security_iam_region_switch_plan_execution.md)
# Beispielrichtlinie für den EC2 Auto Scaling Scaling-Ausführungsblock
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan für EC2 Auto Scaling Scaling-Gruppen Ausführungsblöcke hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"autoscaling:UpdateAutoScalingGroup"
],
"Resource": [
"arn:aws:autoscaling:us-east-1:123456789012:autoScalingGroup:123d456e-123e-1111-abcd-EXAMPLE22222:autoScalingGroupName/app-asg-primary",
"arn:aws:autoscaling:us-west-2:123456789012:autoScalingGroup:1234a321-123e-1234-aabb-EXAMPLE33333:autoScalingGroupName/app-asg-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Beispielrichtlinie für Amazon EKS-Ressourcenskalierungsblöcke
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan für die Amazon EKS-Ressourcenskalierung Ausführungsblöcke hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:cluster/app-eks-primary",
"arn:aws:eks:us-west-2:123456789012:cluster/app-eks-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"eks:ListAssociatedAccessPolicies"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:access-entry/app-eks-primary/*",
"arn:aws:eks:us-west-2:123456789012:access-entry/app-eks-secondary/*"
]
}
]
}
```
------
Hinweis: Zusätzlich zu dieser IAM-Richtlinie muss die Planausführungsrolle mit der Zugriffsrichtlinie zu den Zugriffseinträgen des Amazon EKS-Clusters hinzugefügt werden. `AmazonArcRegionSwitchScalingPolicy` Weitere Informationen finden Sie unter [Konfigurieren Sie die EKS-Zugriffsberechtigungen](eks-resource-scaling-block.md#eks-resource-scaling-block-permissions).
# Beispielrichtlinie für Amazon ECS-Service Scaling Execution Block
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan Ausführungsblöcke für die Amazon ECS-Serviceskalierung hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeServices",
"ecs:UpdateService"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/app-cluster-primary/app-service",
"arn:aws:ecs:us-west-2:123456789012:service/app-cluster-secondary/app-service"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeClusters"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:cluster/app-cluster-primary",
"arn:aws:ecs:us-west-2:123456789012:cluster/app-cluster-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:ListServices"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Beispielrichtlinie für Ausführungsblöcke zur Steuerung von ARC-Routing-Steuerungen
Hinweis: Der Ausführungsblock Amazon ARC Routing Controls erfordert, dass alle Service Control-Richtlinien (SCPs), die auf die Ausführungsrolle des Plans angewendet werden, den Zugriff auf die folgenden Regionen für diese Services ermöglichen:
+ `route53-recovery-control-config: us-west-2`
+ `route53-recovery-cluster: us-west-2, us-east-1, eu-west-1, ap-southeast-2, ap-northeast-1`
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan für ARC-Routingkontrollen Ausführungsblöcke hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-control-config:DescribeControlPanel",
"route53-recovery-control-config:DescribeCluster"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/abcd1234abcd1234abcd1234abcd1234",
"arn:aws:route53-recovery-control::123456789012:cluster/4b325d3b-0e28-4dcf-ba4a-EXAMPLE11111"
]
},
{
"Effect": "Allow",
"Action": [
"route53-recovery-cluster:GetRoutingControlState",
"route53-recovery-cluster:UpdateRoutingControlStates"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/abcdef1234567890",
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/1234567890abcdef"
]
}
]
}
```
------
Sie können die Routing Control Panel-ID und die Cluster-ID mithilfe der CLI abrufen. Weitere Informationen finden Sie unter [Richten Sie Komponenten zur Routing-Steuerung ein](getting-started-cli-routing-config.md).
# Beispielrichtlinie für Ausführungsblöcke in Aurora Global Database
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan für Aurora-Datenbanken Ausführungsblöcke hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": [
"arn:aws:rds::123456789012:global-cluster:app-global-db",
"arn:aws:rds:us-east-1:123456789012:cluster:app-db-primary",
"arn:aws:rds:us-west-2:123456789012:cluster:app-db-secondary"
]
}
]
}
```
------
# Beispielrichtlinie für Amazon DocumentDB Global Cluster-Ausführungsblöcke
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan für globale Amazon DocumentDB-Cluster Ausführungsblöcke hinzufügen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters",
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": "*"
}
]
}
```
# Beispielrichtlinie für Amazon RDS-Ausführungsblöcke
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie Ausführungsblöcke zu einem Regionswechselplan für Amazon RDS-Read Replica-Promotion oder regionsübergreifende Replikaterstellung hinzufügen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:PromoteReadReplica",
"rds:CreateDBInstanceReadReplica",
"rds:ModifyDBInstance"
],
"Resource": "*"
}
]
}
```
# Musterrichtlinie für die Blockierung manueller Genehmigungen
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die angehängt werden kann, wenn Sie einem Plan für den Regionswechsel Ausführungsblöcke für manuelle Genehmigungen hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:ApprovePlanExecutionStep"
],
"Resource": "arn:aws:arc-region-switch::123456789012:plan/sample-plan:0123abc"
}
]
}
```
------
# Beispielrichtlinie für Lambda-Ausführungsblöcke mit benutzerdefinierter Aktion
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan für Lambda-Funktionen Ausführungsblöcke hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:app-recovery-primary",
"arn:aws:lambda:us-west-2:123456789012:function:app-recovery-secondary"
]
}
]
}
```
------
# Beispielrichtlinie für die Blockierung der Ausführung von Route 53-Integritätsprüfungen
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regionenwechselplan für Route 53-Zustandsprüfungen Ausführungsblöcke hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:ListResourceRecordSets"
],
"Resource": [
"arn:aws:route53:::hostedzone/Z1234567890ABCDEFGHIJ"
]
}
]
}
```
------
# Beispiel für eine Richtlinie zur Ausführung eines Regions-Switch-Plans
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Plan für den Regionalwechsel Ausführungsblöcke hinzufügen, um untergeordnete Pläne auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:StartPlanExecution",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": [
"arn:aws:arc-region-switch::123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch::123456789012:plan/child-plan-2/fghij2"
]
}
]
}
```
------
# CloudWatch Alarme für Statusberechtigungen von Anwendungen
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die an CloudWatch Zugriffsalarme für den Anwendungsstatus angehängt werden kann, anhand derer die tatsächliche Wiederherstellungszeit ermittelt werden kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary",
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
]
}
]
}
```
------
# Bei der automatischen Ausführung von Plänen werden Genehmigungen gemeldet
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die angehängt werden kann, wenn Sie die automatische Berichtsgenerierung für einen Regionswechselplan konfigurieren. Diese Richtlinie umfasst Berechtigungen zum Schreiben von Berichten an Amazon S3, zum Zugriff auf CloudWatch Alarmdaten und zum Abrufen von Informationen über Kinderpläne für Eltern.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your-bucket-name/*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeAlarmHistory"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary"
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
],
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutionEvents"
],
"Resource": [
"arn:aws:arc-region-switch:us-east-1:123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch:us-west-2:123456789012:plan/child-plan-2/fghij2"
],
}
]
}
```
Hinweis: Wenn Sie einen vom Kunden verwalteten AWS KMS Schlüssel für die Amazon S3 S3-Bucket-Verschlüsselung konfigurieren, müssen Sie `kms:GenerateDataKey` auch `kms:Encrypt` Berechtigungen für den Schlüssel hinzufügen.
# Kontoübergreifende Ressourcenberechtigungen
Wenn sich Ressourcen in unterschiedlichen Konten befinden, benötigen Sie eine kontenübergreifende Rolle. Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie für eine kontoübergreifende Rolle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
Und im Folgenden finden Sie die Erlaubnis für die Rolle „Planausführung“, diese kontenübergreifende Rolle zu übernehmen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::987654321098:role/RegionSwitchCrossAccountRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
# Vollständige Berechtigungen für die Rolle „Planausführung“
Für die Erstellung einer umfassenden Richtlinie, die Berechtigungen für alle Ausführungsblöcke umfasst, wäre eine ziemlich umfangreiche Richtlinie erforderlich. In der Praxis sollten Sie nur Berechtigungen für die Ausführungsblöcke angeben, die Sie in Ihren spezifischen Plänen verwenden.
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Sie als Ausgangspunkt für eine Rollenrichtlinie zur Planausführung verwenden können. Stellen Sie sicher, dass Sie zusätzliche Richtlinien hinzufügen, die für bestimmte Ausführungsblöcke erforderlich sind, die Sie in Ihren Plan aufnehmen. Geben Sie nur die Berechtigungen an, die für die spezifischen Ausführungsblöcke erforderlich sind, die Sie in Ihrem Plan verwenden, um dem Prinzip der geringsten Rechte zu folgen
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:SimulatePrincipalPolicy",
"Resource": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": "*"
}
]
}
```
------
# Protokollierung und Überwachung für den Regionswechsel in ARC
Sie können Amazon CloudWatch AWS CloudTrail, und Amazon EventBridge für die Überwachung des Regions-Switches in Amazon Application Recovery Controller (ARC) verwenden, um Benachrichtigungen zu erhalten, Muster zu analysieren und Probleme zu beheben.
**Topics**
+ [Protokollieren von Regionswechsel-API-Aufrufen mithilfe von AWS CloudTrail](cloudtrail-region-switch.md)
+ [Verwenden von Region Switch in ARC mit Amazon EventBridge](eventbridge-region-switch.md)
# Protokollieren von Regionswechsel-API-Aufrufen mithilfe von AWS CloudTrail
Der Amazon Application Recovery Controller (ARC) Region Switch ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in ARC ausgeführt wurden. CloudTrail erfasst alle API-Aufrufe für ARC als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der ARC-Konsole und Codeaufrufen für die ARC-API-Operationen.
Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für ARC. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen.
Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an ARC gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## ARC-Informationen in CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn in ARC eine Aktivität stattfindet, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail **Ereignishistorie in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem anzeigen, suchen und herunterladen AWS-Konto. Weitere Informationen finden Sie unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem System AWS-Konto, einschließlich der Ereignisse für ARC, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle ARC-Aktionen werden vom TBD-API-REFERENZLINK protokolliert CloudTrail und sind dort dokumentiert. Beispielsweise generieren Aufrufe von `TBD` und `TBD` Aktionen Einträge in den CloudTrail Protokolldateien. `TBD`
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Regionswechsel-Ereignisse im Eventverlauf anzeigen
CloudTrail ermöglicht es Ihnen, aktuelle Ereignisse im **Event-Verlauf einzusehen**. Die meisten Ereignisse für API-Anfragen zum Regionenwechsel finden in der Region statt, in der Sie mit einem Regionswechselplan arbeiten, z. B. wenn Sie einen Plan erstellen oder einen Plan ausführen. Einige Regionswechsel-Aktionen, die Sie in der ARC-Konsole ausführen, werden jedoch mithilfe von Kontrollplan-API-Operationen und nicht mit Datenebenenoperationen ausgeführt. Bei Operationen auf der Kontrollebene sehen Sie sich Ereignisse im Osten der USA (Nord-Virginia) an. Informationen darüber, welche API-Aufrufe Operationen auf der Kontrollebene sind, finden Sie unter[API-Operationen für den Regionswechsel](actions.region-switch.md).
## Grundlegendes zu Einträgen in ARC-Protokolldateien
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `StartPlanExecution` Aktion für den Regionswechsel demonstriert.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2025-07-06T17:38:05Z"
}
}
},
"eventTime": "2025-07-06T18:08:03Z",
"eventSource": "arc-region-switch.amazonaws.com",
"eventName": "StartPlanExecution",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": {
"planArn": "arn:aws:arc-region-switch::555555555555:plan/CloudTrailIntegTestPlan:bbbbb",
"targetRegion": "us-east-1",
"action": "activate" }
"responseElements": {
"executionId": "us-east-1/dddddddEXAMPLE",
"plan": "arn:aws:arc-region-switch::555555555555:plan/CloudTrailIntegTestPlan:bbbbb",
"planVersion": "1",
"activateRegion": "us-east-1" },
"requestID": "fd42dcf7-6446-41e9-b408-d096example",
"eventID": "4b5c42df-1174-46c8-be99-d67aexample",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.arc.amazon.aws"
}
```
# Verwenden von Region Switch in ARC mit Amazon EventBridge
Mithilfe von Amazon können Sie ereignisgesteuerte Regeln einrichten EventBridge, die die Switch-Ressourcen Ihrer Region in Amazon Application Recovery Controller (ARC) überwachen und dann Zielaktionen initiieren, die andere AWS Services nutzen. Sie können beispielsweise eine Regel für das Versenden von E-Mail-Benachrichtigungen festlegen, indem Sie ein Amazon SNS SNS-Thema signalisieren, wenn die Ausführung eines Regionswechselplans abgeschlossen ist.
Sie können in Amazon Regeln erstellen EventBridge , die auf die folgenden Wechselereignisse der ARC-Region reagieren:
+ *Ausführung des Plans für den Regionswechsel.* Das Ereignis gibt an, dass ein Regionalwechselplan ausgeführt (ausgeführt) wurde.
+ *Evaluierung des Regionswechselplans.* Das Ereignis gibt an, dass die Evaluierung eines Regionswechselplans abgeschlossen ist.
Um bestimmte ARC-Ereignisse zu erfassen, an denen Sie interessiert sind, definieren Sie ereignisspezifische Muster, anhand derer die Ereignisse erkannt EventBridge werden können. Ereignismuster haben dieselbe Struktur wie die Ereignisse, denen sie entsprechen. Das Muster zitiert die Felder, die Sie abgleichen möchten, und liefert die Werte, nach denen Sie suchen.
Ereignisse werden auf bestmögliche Weise ausgegeben. Sie werden unter normalen Betriebsbedingungen nahezu EventBridge in Echtzeit von ARC an übermittelt. Es können jedoch Situationen auftreten, die die Durchführung eines Ereignisses verzögern oder verhindern können.
Informationen darüber, wie EventBridge Regeln mit Ereignismustern funktionieren, finden Sie unter [Ereignisse und Ereignismuster in EventBridge](https://docs.aws.amazon.com//eventbridge/latest/userguide/eventbridge-and-event-patterns.html).
## Überwachen Sie eine Regions-Switch-Ressource mit EventBridge
Mit können Sie Regeln erstellen EventBridge, die Aktionen definieren, die ergriffen werden sollen, wenn ARC Ereignisse für Regionalwechselressourcen ausgibt.
Um ein Ereignismuster einzugeben oder zu kopieren und in die EventBridge Konsole einzufügen, wählen Sie in der Konsole die Option **Eigene Eingabe** aus. Um Ihnen dabei zu helfen, Ereignismuster zu ermitteln, die für Sie nützlich sein könnten, enthält dieses Thema [Beispiele für Muster zwischen Regionen](#arc-eventbridge-examples-region-switch).
**So erstellen Sie eine Regel für ein Ressourcenereignis**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. AWS-Region Um die Regel zu erstellen, wählen Sie die Region aus, in der Sie den Plan erstellt haben, für den Sie Ereignisse überwachen möchten.
1. Wählen Sie **Create rule (Regel erstellen)** aus.
1. Geben Sie für die Regel einen **Name (Namen)** und optional eine Beschreibung ein.
1. Behalten Sie für **Event Bus** den Standardwert **default** bei.
1. Wählen Sie **Weiter** aus.
1. Behalten Sie für den Schritt **Ereignismuster erstellen** **für Ereignisquelle** den Standardwert **AWS Ereignisse** bei.
1. Wählen Sie unter **Beispielereignis** die Option **Eigenes Ereignis eingeben** aus.
1. Geben Sie für **Beispielereignisse** ein Ereignismuster ein oder kopieren Sie es und fügen Sie es ein. Beispiele finden Sie im nächsten Abschnitt.
## Beispiel für Muster zwischen Regionen
Ereignismuster haben dieselbe Struktur wie die Ereignisse, denen sie entsprechen. Das Muster zitiert die Felder, die Sie abgleichen möchten, und liefert die Werte, nach denen Sie suchen.
Sie können Ereignismuster aus diesem Abschnitt kopieren und einfügen, um Regeln EventBridge zu erstellen, mit denen Sie ARC-Aktionen und -Ressourcen überwachen können.
Die folgenden Ereignismuster enthalten Beispiele, die Sie EventBridge für die Regionswechselfunktion in ARC verwenden könnten.
+ *Wählen Sie unter Regionswechsel für alle Ereignisse aus PlanExecution*.
```
{
"source": [ "aws.arc-region-switch" ],
"detail-type": [ "ARC Region switch Plan Execution" ]
}
```
+ *Wählen Sie alle Ereignisse unter Regionswechsel für aus PlanEvaluation*.
```
{
"source": [ "aws.arc-region-switch" ],
"detail-type": [ "ARC Region Switch Plan Evaluation" ]
}
```
Im Folgenden finden Sie ein Beispiel für ein ARC-Ereignis für die *Ausführung eines Regions-Switch-Plans*:
```
{
"version": "0",
"id": "1111111-bbbb-aaaa-cccc-dddddEXAMPLE", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/aaaaaExample"], # planArn
"detail": {
"version": "0.0.1",
"eventType": "ExecutionStarted",
"executionId": "bbbbbbEXAMPLE",
"executionAction": "activating/deactivating {region}",
"idempotencyKey": "1111111-2222-3333-4444-5555555555", # As there is a possibility of dual logging
}
}
```
Im Folgenden finden Sie ein Beispiel für ein ARC-Ereignis für die *Ausführung eines Regions-Switch-Plans auf Schrittebene*:
```
{
"version": "0",
"id": "1111111-bbbb-aaaa-cccc-dddddEXAMPLE", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/aaaaaExample"], # planArn
"detail": {
"version": "0.0.1",
"eventType": "StepStarted",
"executionId": "bbbbbbEXAMPLE",
"executionAction": "activating/deactivating {region}",
"idempotencyKey": "1111111-2222-3333-4444-5555555555", # As there is a possibility of dual logging
"stepDetails" : {
"stepName": "Routing control step",
"resource": ["arn:aws:route53-recovery-control::111122223333:controlpanel/abcdefghiEXAMPLE/routingcontrol/jklmnopqrsEXAMPLE"]
}
}
}
```
Im Folgenden finden Sie ein Beispiel für ein ARC-Ereignis für eine *Warnung zur Evaluierung eines Regionswechselplans*.
Bei der Evaluierung eines Plans für einen Regionswechsel wird ein Ereignis ausgelöst, wenn eine Warnung zurückgegeben wird. Wenn die Warnung nicht gelöscht wird, wird für die Warnung nur einmal alle 24 Stunden ein Ereignis ausgelöst. Wenn das Ereignis gelöscht wird, werden keine weiteren Ereignisse für diese Warnung ausgegeben.
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/a2b89be4821bfd1d"],
"detail": {
"version": "0.0.1",
"idempotencyKey": "1111111-2222-3333-4444-5555555555",
"metadata": {
"evaluationTime" : "timestamp",
"warning" : "There is a plan evaluation warning for arn:aws:arc-region-switch::111122223333:plan/a2b89be4821bfd1d. Navigate to the Region switch console to resolve."
}
}
}
```
## Geben Sie eine CloudWatch Protokollgruppe an, die als Ziel verwendet werden soll
Wenn Sie eine EventBridge Regel erstellen, müssen Sie das Ziel angeben, an das Ereignisse gesendet werden, die der Regel entsprechen. Eine Liste der verfügbaren Ziele für EventBridge finden Sie unter [In der EventBridge Konsole verfügbare Ziele](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html#eb-console-targets). Eines der Ziele, die Sie einer EventBridge Regel hinzufügen können, ist eine CloudWatch Amazon-Protokollgruppe. In diesem Abschnitt werden die Anforderungen für das Hinzufügen von CloudWatch Protokollgruppen als Ziele beschrieben und ein Verfahren zum Hinzufügen einer Protokollgruppe beim Erstellen einer Regel beschrieben.
Um eine CloudWatch Protokollgruppe als Ziel hinzuzufügen, können Sie einen der folgenden Schritte ausführen:
+ Erstellen Sie eine neue Protokollgruppe
+ Wählen Sie eine bestehende Protokollgruppe
Wenn Sie beim Erstellen einer Regel mithilfe der Konsole eine neue Protokollgruppe angeben, EventBridge wird die Protokollgruppe automatisch für Sie erstellt. Stellen Sie sicher, dass die Protokollgruppe, die Sie als Ziel für die EventBridge Regel verwenden, mit beginnt`/aws/events`. Wenn Sie eine bestehende Protokollgruppe auswählen möchten, beachten Sie, dass nur Protokollgruppen, die mit beginnen, als Optionen im Dropdownmenü `/aws/events` angezeigt werden. Weitere Informationen finden Sie unter [Neue Protokollgruppe erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group) im * CloudWatch Amazon-Benutzerhandbuch*.
Wenn Sie eine CloudWatch Protokollgruppe erstellen oder verwenden, um sie mithilfe von CloudWatch Vorgängen außerhalb der Konsole als Ziel zu verwenden, stellen Sie sicher, dass Sie die Berechtigungen korrekt festlegen. Wenn Sie die Konsole verwenden, um einer EventBridge Regel eine Protokollgruppe hinzuzufügen, wird die ressourcenbasierte Richtlinie für die Protokollgruppe automatisch aktualisiert. Wenn Sie jedoch das AWS Command Line Interface oder ein AWS SDK verwenden, um eine Protokollgruppe anzugeben, müssen Sie die ressourcenbasierte Richtlinie für die Protokollgruppe aktualisieren. Die folgende Beispielrichtlinie veranschaulicht die Berechtigungen, die Sie in einer ressourcenbasierten Richtlinie für die Protokollgruppe definieren müssen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com",
"delivery.logs.amazonaws.com"
]
},
"Resource": "arn:aws:logs:us-east-1:222222222222:log-group:/aws/events/*:*",
"Sid": "TrustEventsToStoreLogEvent"
}
]
}
```
------
Sie können eine ressourcenbasierte Richtlinie für eine Protokollgruppe nicht mithilfe der Konsole konfigurieren. Verwenden Sie den API-Vorgang, um einer ressourcenbasierten Richtlinie die erforderlichen Berechtigungen hinzuzufügen. CloudWatch [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) Anschließend können Sie mit dem [describe-resource-policies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/logs/describe-resource-policies.html)CLI-Befehl überprüfen, ob Ihre Richtlinie korrekt angewendet wurde.
**Um eine Regel für ein Ressourcenereignis zu erstellen und ein Ziel für die CloudWatch Protokollgruppe anzugeben**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie AWS-Region die aus, in der Sie die Regel erstellen möchten.
1. Wählen Sie **Regel erstellen** und geben Sie dann alle Informationen zu dieser Regel ein, z. B. das Ereignismuster oder Details zum Zeitplan.
Weitere Informationen zum Erstellen von EventBridge Bereitschaftsregeln finden Sie unter [Überwachen einer Ressource zur Eignungsprüfung mit EventBridge](eventbridge-readiness.md#RCEventBridgeCreateRule).
1. **Wählen Sie auf der Seite „Ziel** auswählen **CloudWatch**“ Ihr Ziel aus.
1. Wählen Sie eine CloudWatch Protokollgruppe aus dem Drop-down-Menü aus.
# Kontingente für den Regionswechsel
Für den Regionswechsel in Amazon Application Recovery Controller (ARC) gelten die folgenden Kontingente.
| Entität | Kontingent |
| --- | --- |
| Anzahl der Pläne pro Konto | 10 Sie können [eine Erhöhung des Kontingents beantragen](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas). |
| Anzahl der Ausführungsblöcke pro Plan | 100 |
| Anzahl der Ausführungsblöcke des Regions-Switch-Plans pro Plan | 25 |
| Anzahl der parallel Ausführungsblöcke pro Schritt | 20 |
| Anzahl der CloudWatch Alarme pro Triggerbedingung | 10 |