Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Routing-Steuerung in ARC
<a name="routing-control"></a>

Um den Datenverkehr an mehrere Anwendungsreplikate weiterzuleiten AWS-Regionen, können Sie Routing-Steuerelemente in Amazon Application Recovery Controller (ARC) verwenden, die in eine bestimmte Art von Zustandsprüfung in Amazon Route 53 integriert sind. *Routing-Steuerelemente* sind einfache Ein- und Ausschalter, mit denen Sie Ihren Client-Verkehr von einem regionalen Replikat auf ein anderes umschalten können. Die Umleitung des Datenverkehrs erfolgt durch *Zustandsprüfungen der Routing-Kontrolle*, die mit Amazon Route 53-DNS-Einträgen eingerichtet werden. Zum Beispiel DNS-Failover-Einträge, die mit Domainnamen verknüpft sind, die Ihren Anwendungsreplikaten in jeder Region zugeordnet sind. 

In diesem Abschnitt wird erklärt, wie die Routingsteuerung funktioniert, wie Routingsteuerungskomponenten eingerichtet werden und wie sie verwendet werden, um den Datenverkehr für ein Failover umzuleiten.

Die Routing-Steuerungskomponenten in ARC sind: Cluster, Bedienfelder, Routingsteuerungen und Zustandsprüfungen der Routing-Steuerung. Alle Routing-Steuerelemente sind in Bedienfeldern gruppiert. Sie können sie auf dem Standard-Bedienfeld gruppieren, das ARC für Ihren Cluster erstellt, oder Sie können Ihre eigenen benutzerdefinierten Bedienfelder erstellen. Sie müssen einen Cluster erstellen, bevor Sie ein Control Panel oder eine Routing-Steuerung erstellen können. Jeder Cluster in ARC ist eine Datenebene mit fünf AWS-Regionen Endpunkten.

Nachdem Sie Routingkontrollen und Integritätsprüfungen für die Routingsteuerung erstellt haben, können Sie Sicherheitsregeln für die Routingsteuerung erstellen, um unbeabsichtigte Nebenwirkungen der Wiederherstellungsautomatisierung zu vermeiden. Sie können den Status der Routingsteuerung aktualisieren, um den Verkehr einzeln oder stapelweise umzuleiten, indem Sie die API-Aktionen AWS CLI oder (empfohlen) oder die verwenden. AWS-Managementkonsole

In diesem Abschnitt wird erklärt, wie Routingkontrollen funktionieren und wie Sie sie erstellen und verwenden, um den Datenverkehr für Ihre Anwendung umzuleiten.

**Wichtig**  
Weitere Informationen zur Vorbereitung der Verwendung von ARC zur Umleitung von Datenverkehr als Teil eines Failoverplans für Ihre Anwendung in einem Notfallszenario finden Sie unter. [Bewährte Methoden für die Routingsteuerung in ARC](route53-arc-best-practices.regional.md)

# Informationen zur Routingsteuerung
<a name="routing-control.about"></a>

Die Routingsteuerung leitet den Datenverkehr mithilfe von Zustandsprüfungen in Amazon Route 53 um, die mit DNS-Einträgen konfiguriert sind, die der obersten Ressource der Zellen in Ihrer Wiederherstellungsgruppe zugeordnet sind, z. B. einem Elastic Load Balancing Load Balancer. Sie können den Verkehr von einer Zelle zu einer anderen umleiten, indem Sie beispielsweise einen Routing-Kontrollstatus auf aktualisieren `Off` (um den Datenfluss zu einer Zelle zu stoppen) und einen anderen Routing-Kontrollstatus auf `On` (um den Datenfluss zu einer anderen zu starten) aktualisieren. Der Prozess, der den Verkehrsfluss verändert, ist die mit der Routingsteuerung verknüpfte Zustandsprüfung von Route 53, nachdem ARC sie aktualisiert hat, um sie je nach dem entsprechenden Status der Routingsteuerung als fehlerfrei oder fehlerhaft festzulegen. 

Routingkontrollen unterstützen Failover für alle AWS Dienste, die über einen DNS-Endpunkt verfügen. Sie können den Status der Routingsteuerung so aktualisieren, dass der Datenverkehr für die Notfallwiederherstellung oder wenn Sie Latenzabfälle bei Ihrer Anwendung oder andere Probleme feststellen, ein Failover für den Verkehr durchführt. 

Sie können auch Sicherheitsregeln für die Routingsteuerung konfigurieren, um sicherzustellen, dass die Umleitung des Datenverkehrs mithilfe von Routingkontrollen die Verfügbarkeit nicht beeinträchtigt. Weitere Informationen finden Sie unter [Sicherheitsregeln für die Routingsteuerung erstellen](routing-control.safety-rules.md).

Es ist wichtig zu beachten, dass Routingkontrollen selbst keine Integritätsprüfungen sind, mit denen der zugrunde liegende Zustand der Endgeräte überwacht wird. Im Gegensatz zu einer Route 53-Zustandsprüfung überwacht eine Routingsteuerung beispielsweise weder die Antwortzeiten noch die TCP-Verbindungszeiten. Eine Routingsteuerung ist ein einfacher Ein-/Ausschalter, der eine Zustandsprüfung steuert. In der Regel ändern Sie den Status, um den Datenverkehr umzuleiten, und durch diese Statusänderung wird der Datenverkehr für einen gesamten Anwendungsstapel an einen bestimmten Endpunkt verschoben oder das Routing an den gesamten Anwendungsstapel verhindert. Wenn Sie beispielsweise in einem einfachen Szenario den Status einer Routingsteuerung von `On` zu ändern`Off`, wird dadurch eine Route 53-Zustandsprüfung aktualisiert, die Sie mit einem DNS-Failover-Datensatz verknüpft haben, um den Datenverkehr von einem Endpunkt abzuleiten.

## Wie verwendet man die Routingsteuerung
<a name="routing-control.about-how-to"></a>

Um den Status einer Routingsteuerung zu aktualisieren, sodass Sie den Verkehr umleiten können, müssen Sie eine Verbindung zu einem Ihrer Cluster-Endpunkte in ARC herstellen. Wenn der Endpunkt, zu dem Sie eine Verbindung herstellen möchten, nicht verfügbar ist, versuchen Sie, den Status mit einem anderen Cluster-Endpunkt zu ändern. Bei der Änderung des Status der Routingsteuerung sollten Sie darauf vorbereitet sein, jeden Endpunkt abwechselnd zu testen, da die Cluster-Endpunkte für regelmäßige Wartungs- und Aktualisierungsarbeiten zyklisch den Status „Verfügbar“ und „Nicht verfügbar“ durchlaufen.

Wenn Sie Routingkontrollen erstellen, konfigurieren Sie Ihre DNS-Einträge so, dass Zustandsprüfungen der Routingsteuerung den Route 53-DNS-Namen zugeordnet werden, vor denen jedes Anwendungsreplikat steht. Um beispielsweise Datenverkehrs-Failover zwischen zwei Load Balancern, einem in jeder von zwei Regionen, zu kontrollieren, erstellen Sie zwei Zustandsprüfungen für die Routingsteuerung und verknüpfen sie mit zwei DNS-Einträgen, z. B. Alias-Datensätzen mit Failover-Routing-Richtlinien, mit den Domainnamen der jeweiligen Load Balancer.

Sie können auch komplexere Verkehrs-Failover-Szenarien einrichten, indem Sie die ARC-Routingsteuerung zusammen mit Route 53-Zustandsprüfungen und DNS-Datensätzen verwenden und DNS-Datensätze mit gewichteten Routing-Richtlinien verwenden. Ein detailliertes Beispiel finden Sie im Abschnitt zum Failover von Benutzerdatenverkehr im folgenden AWS Blogbeitrag: [Hochbelastbare Anwendungen mit Amazon Application Recovery Controller (ARC) erstellen, Teil 2: Multi-Region-Stack](https://aws.amazon.com/blogs/networking-and-content-delivery/building-highly-resilient-applications-using-amazon-route-53-application-recovery-controller-part-2-multi-region-stack/)

Wenn Sie einen Failover für ein System starten, das die Routing-Steuerung AWS-Region verwendet, kann es sein, dass der Datenverkehr aufgrund der mit dem Verkehrsfluss verbundenen Schritte nicht sofort aus der Region abwandert. Je nach Verhalten des Clients und der Wiederverwendung von Verbindungen kann es auch eine kurze Zeit dauern, bis bestehende, in Bearbeitung befindliche Verbindungen in der Region abgeschlossen sind. Abhängig von Ihren DNS-Einstellungen und anderen Faktoren können bestehende Verbindungen in nur wenigen Minuten abgeschlossen werden oder länger dauern. Weitere Informationen finden Sie unter [Sicherstellen, dass Verkehrsverlagerungen schnell abgeschlossen](route53-arc-best-practices.zonal-shifts.md#arc-zonal-shift.existing-connections) werden.

## Vorteile der Routingsteuerung
<a name="routing-control.about-benefits"></a>

Eine Routingsteuerung in ARC bietet mehrere Vorteile gegenüber der Umleitung von Datenverkehr mit herkömmlichen Zustandsprüfungen. Beispiel:
+ Eine Routingsteuerung bietet Ihnen die Möglichkeit, ein Failover für einen gesamten Anwendungsstapel durchzuführen. Dies steht im Gegensatz zu einem Failover einzelner Komponenten eines Stacks, wie es Amazon EC2 EC2-Instances auf der Grundlage von Zustandsprüfungen auf Ressourcenebene der Fall ist.
+ Eine Routing-Steuerung bietet Ihnen eine sichere, einfache manuelle Überschreibung, mit der Sie den Datenverkehr für Wartungsarbeiten oder für die Wiederherstellung nach Ausfällen verwenden können, wenn interne Monitore kein Problem erkennen. 
+ Sie können eine Routingsteuerung zusammen mit Sicherheitsregeln verwenden, um häufige Nebenwirkungen zu vermeiden, die bei einer vollautomatischen Automatisierung auf der Grundlage von Integritätsprüfungen auftreten können, z. B. ein Failover auf eine Standby-Infrastruktur, die nicht auf einen Failover vorbereitet ist.

Hier ist ein Beispiel für die Integration von Routingkontrollen in Ihre Failover-Strategie, um die Widerstandsfähigkeit und Verfügbarkeit Ihrer Anwendungen in zu verbessern. AWS

Sie können hochverfügbare AWS Anwendungen unterstützen, AWS indem Sie mehrere (in der Regel drei) redundante Replikate in verschiedenen Regionen ausführen. Anschließend können Sie Amazon Route 53 Routing Control verwenden, um den Verkehr an das entsprechende Replikat weiterzuleiten. 

Sie können beispielsweise ein Anwendungsreplikat so einrichten, dass es aktiv ist und den Anwendungsdatenverkehr bedient, während es sich bei einem anderen um ein Standby-Replikat handelt. Wenn Ihr aktives Replikat ausfällt, können Sie den Benutzerverkehr dorthin umleiten, um die Verfügbarkeit Ihrer Anwendung wiederherzustellen. Sie sollten anhand der Informationen aus Ihren Überwachungs- und Integritätsprüfungssystemen entscheiden, ob Sie ein Failaway oder ein Replikat verwenden möchten. 

Wenn Sie schnellere Wiederherstellungen ermöglichen möchten, ist eine Active-Active-Implementierung eine weitere Option, die Sie für Ihre Architektur wählen können. Bei diesem Ansatz sind Ihre Replikate gleichzeitig aktiv. Das bedeutet, dass Sie sich nach Ausfällen erholen können, indem Sie Benutzer von einem beeinträchtigten Anwendungsreplikat wegbewegen, indem Sie den Datenverkehr einfach auf ein anderes aktives Replikat umleiten.

# AWS Regionale Verfügbarkeit für die Routing-Steuerung
<a name="introduction-regions-routing"></a>

Detaillierte Informationen zu regionalen Support- und Service-Endpunkten für Amazon Application Recovery Controller (ARC) finden Sie unter [Amazon Application Recovery Controller (ARC) -Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/r53arc.html) in der *Amazon Web Services General* Reference.

**Anmerkung**  
Die Routing-Steuerung in Amazon Application Recovery Controller (ARC) ist eine globale Funktion. In den regionalen AWS CLI ARC-Befehlen müssen Sie jedoch die Region USA West (Oregon`--region us-west-2`) angeben (geben Sie den Parameter an). Das heißt, wenn Sie Ressourcen wie Cluster, Bedienfelder oder Routingsteuerungen erstellen.

Bei einer ARC-Routingsteuerung handelt es sich um einen on/off Switch, der den Status einer ARC-Zustandsprüfung ändert. Diese kann dann einem DNS-Eintrag zugeordnet werden, der den Datenverkehr beispielsweise von einem primären Replikat zu einem Standby-Bereitstellungsreplikat umleitet.

Wenn eine Anwendung ausfällt oder ein Latenzproblem auftritt, können Sie den Status der Routing-Steuerung aktualisieren, um den Datenverkehr beispielsweise von Ihrem primären Replikat auf ein Standby-Replikat zu verlagern. Durch die Verwendung der äußerst zuverlässigen ARC-Datenebenen-API-Operationen zur Durchführung von Routingsteuerungsabfragen und Statusaktualisierungen der Routingsteuerung können Sie sich beim Failover in Notfallwiederherstellungsszenarien auf ARC verlassen. Weitere Informationen finden Sie unter [Status der Routingsteuerung mithilfe der ARC-API abrufen und aktualisieren (empfohlen)](routing-control.update.api.md).

ARC verwaltet die Routing-Kontrollstatus in einem *Cluster*, der aus fünf redundanten regionalen Endpunkten besteht. ARC verbreitet Statusänderungen der Routing-Steuerung im gesamten Cluster, der sich in einer Amazon EC2 EC2-Flotte befindet, um ein Quorum für fünf Regionen zu erreichen. AWS Wenn Sie nach der Propagierung ARC mithilfe der API und der äußerst zuverlässigen Datenebene nach einem Status der Routing-Kontrolle abfragen, wird die Konsensansicht zurückgegeben. 

Sie können mit jedem der fünf Cluster-Endpunkte interagieren, um den Status einer Routing-Steuerung zu aktualisieren, z. B. von. `Off` `On` Anschließend verteilt ARC das Update auf die fünf Regionen des Clusters. 

Die Datenkonsistenz zwischen allen fünf Cluster-Endpunkten wird im Durchschnitt innerhalb von 5 Sekunden und nach maximal 15 Sekunden erreicht.

ARC bietet mit seiner Datenebene extreme Zuverlässigkeit, sodass Sie für Ihre Anwendung manuell ein zellenübergreifendes Failover durchführen können. ARC stellt sicher, dass Sie jederzeit auf mindestens drei der fünf Cluster-Endpunkte zugreifen können, um Statusänderungen der Routing-Steuerung vorzunehmen. Beachten Sie, dass es sich bei jedem ARC-Cluster um einen Single-Tenant-Cluster handelt, um sicherzustellen, dass Sie nicht von „störenden Nachbarn“ betroffen sind, die Ihre Zugriffsmuster verlangsamen könnten.

Wenn Sie Änderungen an den Status der Routing-Steuerung vornehmen, verlassen Sie sich auf die folgenden drei Kriterien, bei denen es sehr unwahrscheinlich ist, dass sie fehlschlagen:
+ Mindestens drei Ihrer fünf Endpunkte sind verfügbar und nehmen am Quorum teil.
+ Sie verfügen über funktionierende IAM-Anmeldeinformationen und können sich an einem funktionierenden regionalen Cluster-Endpunkt authentifizieren.
+ Die Route 53-Datenebene ist fehlerfrei (diese Datenebene wurde so konzipiert, dass sie eine SLA mit 100-prozentiger Verfügbarkeit erfüllt).

# Komponenten zur Routing-Steuerung
<a name="introduction-components-routing"></a>

Das folgende Diagramm zeigt ein Beispiel für Komponenten, die die Routing-Steuerungsfunktion in ARC unterstützen. Mit den hier abgebildeten Routing-Steuerelementen (gruppiert in einem Control Panel) können Sie den Verkehr zu zwei Availability Zones in jeder der beiden Regionen verwalten. Wenn Sie den Status der Routing-Kontrolle aktualisieren, ändert ARC die Zustandsprüfungen in Amazon Route 53, wodurch der DNS-Verkehr zu verschiedenen Zellen umgeleitet wird. Sicherheitsregeln, die Sie für Routingkontrollen konfigurieren, tragen dazu bei, Fail-Open-Szenarien und andere unbeabsichtigte Folgen zu vermeiden.

![\[Komponenten, die die Routingsteuerung in ARC unterstützen\]](http://docs.aws.amazon.com/de_de/r53recovery/latest/dg/images/GS_RecoveryControlDiagram.png)


Im Folgenden sind die Komponenten der Routing-Steuerungsfunktion in ARC aufgeführt.

**Cluster**  
Ein Cluster besteht aus fünf redundanten regionalen Endpunkten, für die Sie API-Aufrufe initiieren, um den Status der Routing-Steuerung zu aktualisieren oder abzurufen. Ein Cluster umfasst ein Standard-Control Panel, und Sie können mehrere Control Panels und Routing-Steuerelemente auf einem Cluster hosten.

**Routing-Steuerelemente**  
Eine Routingsteuerung ist ein einfacher on/off Switch, der auf einem Cluster gehostet wird und mit dem Sie das Routing des Client-Datenverkehrs in und aus Zellen steuern. Wenn Sie eine Routingsteuerung erstellen, fügen Sie in Route 53 eine ARC-Integritätsprüfung hinzu. Auf diese Weise können Sie den Datenverkehr umleiten (mithilfe der Integritätsprüfungen, die mit DNS-Einträgen für Ihre Anwendungen konfiguriert sind), wenn Sie den Status der Routingsteuerung in ARC aktualisieren. 

**Zustandsprüfung der Routingsteuerung**  
Die Routingkontrollen sind in Route 53 in die Integritätsprüfungen integriert. Die Integritätsprüfungen sind mit DNS-Einträgen verknüpft, die für jedes Anwendungsreplikat verwendet werden, z. B. Failover-Datensätze. Wenn Sie den Status der Routingsteuerung ändern, aktualisiert ARC die entsprechenden Integritätsprüfungen, die den Datenverkehr umleiten, z. B. um ein Failover auf Ihr Standby-Replikat durchzuführen. 

**Steuerpult**  
Ein Bedienfeld gruppiert eine Reihe verwandter Routing-Steuerelemente. Sie können einem Control Panel mehrere Routing-Steuerelemente zuordnen und anschließend Sicherheitsregeln für das Control Panel erstellen, um sicherzustellen, dass die von Ihnen vorgenommenen Aktualisierungen der Verkehrsumleitung sicher sind. Sie können beispielsweise eine Routingsteuerung für jeden Ihrer Load Balancer in jeder Availability Zone konfigurieren und sie dann im selben Control Panel gruppieren. Anschließend können Sie eine Sicherheitsregel (eine „Assertion-Regel“) hinzufügen, die sicherstellt, dass mindestens eine Zone (dargestellt durch eine Routing-Steuerung) gleichzeitig aktiv ist, um unbeabsichtigte „Fail-Open“ -Szenarien zu vermeiden.

**Standard-Systemsteuerung**  
Wenn Sie einen Cluster erstellen, erstellt ARC ein Standard-Control-Panel. Standardmäßig werden alle Routing-Steuerelemente, die Sie auf dem Cluster erstellen, dem Standard-Control-Panel hinzugefügt. Sie können auch Ihre eigenen Bedienfelder erstellen, um verwandte Routing-Steuerelemente zu gruppieren.

**Sicherheitsregel**  
Sicherheitsregeln sind Regeln, die Sie zur Routing-Steuerung hinzufügen, um sicherzustellen, dass Wiederherstellungsaktionen die Verfügbarkeit Ihrer Anwendung nicht versehentlich beeinträchtigen. Sie können beispielsweise eine Sicherheitsregel erstellen, die eine Routingsteuerung erstellt, die als allgemeiner Ein-/Ausschalter fungiert, sodass Sie eine Reihe anderer Routingsteuerungen aktivieren oder deaktivieren können. 

****Endpunkt (Cluster-Endpunkt)****  
Jeder Cluster in ARC hat fünf regionale Endpunkte, die Sie zum Einstellen und Abrufen von Routingsteuerungsstatus verwenden können. Bei Ihrem Verfahren für den Zugriff auf die Endgeräte sollte davon ausgegangen werden, dass ARC die Endpunkte zur Wartung regelmäßig hoch- und herunterfährt. Sie sollten also jeden Endpunkt nacheinander testen, bis Sie eine Verbindung zu einem herstellen. Sie greifen auf die Endgeräte zu, um den aktuellen Status der Routing-Steuerung (Ein oder Aus) abzurufen und Failover für Ihre Anwendungen auszulösen, indem Sie den Status der Routing-Steuerung ändern.

# Daten- und Steuerungsebenen für die Routing-Steuerung
<a name="data-and-control-planes"></a>

Denken Sie bei der Planung von Failover und Disaster Recovery darüber nach, wie robust Ihre Failover-Mechanismen sind. Es wird empfohlen, sicherzustellen, dass die Mechanismen, auf die Sie beim Failover angewiesen sind, hochverfügbar sind, sodass Sie sie bei Bedarf in einem Notfallszenario verwenden können. In der Regel sollten Sie, wann immer möglich, Datenebenenfunktionen für Ihre Mechanismen verwenden, um die größtmögliche Zuverlässigkeit und Fehlertoleranz zu gewährleisten. Vor diesem Hintergrund ist es wichtig zu verstehen, wie die Funktionalität eines Dienstes zwischen Steuerungsebenen und Datenebenen aufgeteilt ist und wann Sie sich darauf verlassen können, dass die Datenebene eines Dienstes extrem zuverlässig ist.

Wie bei den meisten AWS Diensten wird die Funktionalität für die Routing-Steuerung durch Steuerungsebenen und Datenebenen unterstützt. Beide sind zwar auf Zuverlässigkeit ausgelegt, eine Steuerungsebene ist jedoch für die Datenkonsistenz optimiert, während eine Datenebene für die Verfügbarkeit optimiert ist. Eine Datenebene ist auf Ausfallsicherheit ausgelegt, sodass sie die Verfügbarkeit auch bei Störungen aufrechterhalten kann, wenn eine Kontrollebene möglicherweise nicht verfügbar ist.

Im Allgemeinen ermöglicht Ihnen eine *Kontrollebene* grundlegende Verwaltungsfunktionen wie das Erstellen, Aktualisieren und Löschen von Ressourcen im Service. Eine *Datenebene* stellt die Kernfunktionalität eines Dienstes bereit. Aus diesem Grund empfehlen wir, Datenebenenoperationen zu verwenden, wenn Verfügbarkeit wichtig ist, z. B. wenn Sie den Datenverkehr während eines Ausfalls auf ein Standby-Replikat umleiten müssen.

Bei der Routingsteuerung sind die Steuerungsebenen und Datenebenen wie folgt aufgeteilt:
+ Die Steuerungsebenen-API für die Routingsteuerung ist die [Recovery Control Configuration API](https://docs.aws.amazon.com/recovery-cluster/latest/api/what-is-recovery-control.html), die in der Region USA West (Oregon) (us-west-2) unterstützt wird. Sie verwenden diese API-Operationen oder die, AWS-Managementkonsole um Cluster, Control Panels und Routing-Steuerelemente zu erstellen oder zu löschen, um sich auf ein Disaster Recovery-Ereignis vorzubereiten, bei dem Sie möglicherweise den Datenverkehr für Ihre Anwendung umleiten müssen. *Die Steuerungsebene für die Konfiguration der Routing-Steuerung ist nicht hochverfügbar.*
+ Die Datenebene der Routing-Steuerung ist ein dedizierter Cluster, der sich über fünf geografisch isolierte Regionen erstreckt AWS . Jeder Kunde erstellt mithilfe der Routing-Steuerebene einen oder mehrere Cluster. Der Cluster hostet Bedienfelder und Routingsteuerungen. Anschließend verwenden Sie die [Routing Control (Recovery Cluster) API](https://docs.aws.amazon.com/routing-control/latest/APIReference/Welcome.html), um den Status der Routingsteuerung abzurufen, aufzulisten und zu aktualisieren, wenn Sie den Datenverkehr für Ihre Anwendung umleiten möchten. *Die Datenebene der Routing-Steuerung IST hochverfügbar.*

Da die Datenebene der Routingsteuerung hochverfügbar ist, empfehlen wir Ihnen, die für API-Aufrufe zu verwenden, AWS Command Line Interface um mit den Status der Routingsteuerung zu arbeiten, wenn Sie zur Wiederherstellung nach einem Ereignis ein Failover durchführen möchten. Weitere Informationen zu den wichtigsten Überlegungen bei der Vorbereitung und beim Abschluss eines Wiederherstellungsvorgangs mit Routingsteuerung finden Sie unter[Bewährte Methoden für die Routingsteuerung in ARC](route53-arc-best-practices.regional.md).

Weitere Informationen zu Datenebenen, Kontrollebenen und dazu, wie Services AWS entwickelt werden, um Hochverfügbarkeitsziele zu erreichen, finden Sie im [paper Statische Stabilität mithilfe von Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) in der Amazon Builders' Library.

# Tagging für die Routing-Steuerung in Amazon Application Recovery Controller (ARC)
<a name="introduction-tagging-routing-control"></a>

Tags sind Wörter oder Ausdrücke (Metadaten), die Sie verwenden, um Ihre AWS Ressourcen zu identifizieren und zu organisieren. Sie können jeder Ressource mehrere Tags hinzufügen, und jedes Tag enthält einen Schlüssel und einen Wert, den Sie definieren. Der Schlüssel könnte beispielsweise „Umgebung“ und der Wert „Produktion“ lauten. Sie können Ihre Ressourcen anhand der von Ihnen hinzugefügten Tags suchen und filtern.

Sie können die folgenden Ressourcen in der Routingsteuerung in ARC taggen:
+ Cluster
+ Bedienfelder
+ Sicherheitsregeln

Tagging in ARC ist nur über die API verfügbar, z. B. mit der AWS CLI. 

Im Folgenden finden Sie Beispiele für das Tagging in der Routing-Steuerung mithilfe von. AWS CLI

`aws route53-recovery-control-config --region us-west-2 create-cluster --cluster-name example1-cluster --tags Region=PDX,Stage=Prod`

`aws route53-recovery-control-config --region us-west-2 create-control-panel --control-panel-name example1-control-panel --cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh --tags Region=PDX,Stage=Prod`

Weitere Informationen finden Sie [TagResource](https://docs.aws.amazon.com/recovery-cluster/latest/api/tags-resourcearn.html)im *Referenzhandbuch zur Recovery Control Configuration API* für Amazon Application Recovery Controller (ARC).

# Preise für die Routing-Steuerung in ARC
<a name="introduction-pricing-routing-control"></a>

Für die Routingsteuerung in ARC zahlen Sie pro Stunde pro Cluster, den Sie erstellen. Jeder Cluster kann mehrere Routing-Steuerelemente hosten, mit denen Sie Anwendungsfailover auslösen können.

Um die Kosten im Griff zu behalten und die Effizienz zu verbessern, können Sie die kontenübergreifende Nutzung für einen Cluster einrichten, um einen Cluster mit mehreren AWS Konten gemeinsam zu nutzen. Weitere Informationen finden Sie unter [Support von Cros-Accounts für Cluster in ARC](routing-control.failover-different-accounts.md).

Detaillierte Preisinformationen für ARC und Preisbeispiele finden Sie unter [ARC-Preise](https://aws.amazon.com/application-recovery-controller/pricing/).

# Erste Schritte mit der Wiederherstellung mehrerer Regionen in Amazon Application Recovery Controller (ARC)
<a name="getting-started"></a>

Um ein Failover Ihrer Anwendungen mithilfe der Routing-Steuerung in Amazon Application Recovery Controller (ARC) durchzuführen, benötigen Sie AWS Anwendungen, die sich in mehreren befinden AWS-Regionen. Stellen Sie zunächst sicher, dass Ihre Anwendungen in isolierten Replikaten in jeder Region eingerichtet sind, sodass Sie während eines Ereignisses ein Failover von einer zur anderen durchführen können. Anschließend können Sie Routingkontrollen einrichten, um den Anwendungsdatenverkehr so umzuleiten, dass ein Failover von einer primären Anwendung zu einer sekundären Anwendung erfolgt, sodass die Kontinuität für Ihre Benutzer gewahrt bleibt.

**Anmerkung**  
Wenn Sie eine Anwendung haben, die in Availability Zones isoliert ist, sollten Sie die Verwendung von Zonal Shift oder Zonal Autoshift für die Failover-Wiederherstellung in Betracht ziehen. Es ist keine Einrichtung erforderlich, um Zonal Shift oder Zonal Autoshift zu verwenden, um Anwendungen nach Beeinträchtigungen in der Availability Zone zuverlässig wiederherzustellen. Weitere Informationen finden Sie unter [Verwenden Sie Zonal Shift und Zonal Autoshift, um Anwendungen in ARC wiederherzustellen](multi-az.md).

Damit Sie ARC-Routing-Steuerung verwenden können, um Anwendungen während eines Ereignisses wiederherzustellen, empfehlen wir, dass Sie mindestens zwei Anwendungen einrichten, die Kopien voneinander sind. Jedes Replikat oder jede *Zelle* steht für ein. AWS-Region Nachdem Sie Ihre Anwendungsressourcen so eingerichtet haben, dass sie den Regionen entsprechen, stellen Sie sicher, dass Ihre Anwendung für eine erfolgreiche Wiederherstellung eingerichtet ist, indem Sie die folgenden Schritte ausführen.

Tipp: Um die Einrichtung zu vereinfachen, stellen CloudFormation wir HashiCorp Terraform-Vorlagen zur Verfügung, mit denen eine Anwendung mit redundanten Replikaten erstellt wird, die unabhängig voneinander ausfallen. Weitere Informationen und das Herunterladen der Vorlagen finden Sie unter. [Eine Beispiel-App einrichten](#getting-started-example)

Um sich auf die Verwendung von Routing Control vorzubereiten, stellen Sie sicher, dass Ihre Anwendung so eingerichtet ist, dass sie robust ist. Gehen Sie dazu wie folgt vor:

1. Erstellen Sie unabhängige Kopien Ihres Anwendungsstapels (Netzwerk- und Rechenebene), bei denen es sich in jeder Region um Kopien voneinander handelt, sodass Sie bei einem Ereignis einen Failover des Datenverkehrs von einer zur anderen durchführen können. Stellen Sie sicher, dass Ihr Anwendungscode keine regionsübergreifenden Abhängigkeiten enthält, die dazu führen könnten, dass sich der Ausfall eines Replikats auf das andere auswirkt. Damit ein Failover zwischen beiden erfolgreich ist AWS-Regionen, sollten sich Ihre Stack-Grenzen innerhalb einer Region befinden. 

1. Duplizieren Sie alle erforderlichen Stateful-Daten für Ihre Anwendung auf allen Replikaten. Sie können AWS Datenbankdienste verwenden, um Ihre Daten zu replizieren. 

## Beginnen Sie mit der Routingsteuerung für Datenverkehrs-Failover
<a name="getting-started-routing-controls"></a>

Die Routing-Steuerung in Amazon Application Recovery Controller (ARC) ermöglicht es Ihnen, ein Failover für Ihren Datenverkehr auszulösen, sodass ein Failover zwischen redundanten Anwendungskopien oder Replikaten erfolgt, die separat ausgeführt werden. AWS-Regionen Das Failover wird mit DNS unter Verwendung der Amazon Route 53-Datenebene durchgeführt.

Nachdem Sie Ihre Replikate in jeder Region eingerichtet haben, wie im nächsten Abschnitt beschrieben, können Sie jedes Replikat einer Routing-Steuerung zuordnen. Zunächst ordnen Sie die Routingkontrollen den Top-Level-Domainnamen Ihrer Replikate in jeder Region zu. Anschließend fügen Sie der Routingsteuerung eine Zustandsprüfung für die Routingsteuerung hinzu, sodass der Verkehrsfluss ein- und ausgeschaltet werden kann. Auf diese Weise können Sie das Routing des Datenverkehrs zwischen Replikaten Ihrer Anwendung steuern. 

Sie können den Status der Routing-Steuerung im AWS-Managementkonsole Failover-Verkehr aktualisieren. Wir empfehlen jedoch, stattdessen ARC-Aktionen zu verwenden, indem Sie die API verwenden oder AWS CLI, um sie zu ändern. API-Aktionen hängen nicht von der Konsole ab und sind daher robuster.

Um beispielsweise ein Failover zwischen Regionen, von us-west-1 bis us-east-1, durchzuführen, können Sie die `update-routing-control-state` API-Aktion verwenden, um den Status von `us-west-1` to und to festzulegen. `Off` `us-east-1` `On`

Bevor Sie Routingsteuerungskomponenten zum Einrichten des Failovers für Ihre Anwendung erstellen, stellen Sie sicher, dass Ihre Anwendung in regionalen Replikaten isoliert ist, sodass Sie ein Failover von einem zum anderen durchführen können. In den nächsten Abschnitten erfahren Sie mehr darüber und erfahren Sie, wie Sie eine neue Anwendung isolieren oder einen Beispielstapel erstellen können.

## Eine Beispiel-App einrichten
<a name="getting-started-example"></a>

Damit Sie besser verstehen, wie die Routing-Steuerung funktioniert, stellen wir eine Beispielanwendung mit dem Namen zur Verfügung`TicTacToe`. In diesem Beispiel werden CloudFormation Vorlagen verwendet, um den Vorgang zu vereinfachen, sowie eine herunterladbare CloudFormation Vorlage, sodass Sie sich schnell selbst mit der Einrichtung und Verwendung von ARC vertraut machen können.

Nachdem Sie die Beispiel-App bereitgestellt haben, können Sie die Vorlagen verwenden, um ARC-Komponenten zu erstellen. Anschließend können Sie die Verwendung von Routing-Steuerelementen zur Verwaltung des Datenverkehrs zur App ausprobieren. Sie können die Vorlage und den Prozess an Ihr eigenes Szenario und Ihre eigenen Anwendungen anpassen.

Informationen zu den ersten Schritten mit einer Beispielanwendung und CloudFormation Vorlagen finden Sie in den README-Anweisungen im [ GitHubARC-Repo](https://github.com/aws-samples/r53-arc-iad). Sie können mehr über die Verwendung von CloudFormation Vorlagen erfahren, indem Sie die [CloudFormation Konzepte](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) im AWS CloudFormation Benutzerhandbuch lesen.

# Bewährte Methoden für die Routingsteuerung in ARC
<a name="route53-arc-best-practices.regional"></a>

Wir empfehlen die folgenden bewährten Methoden für die Wiederherstellung und Failover-Vorbereitung für die Routingsteuerung in ARC.

**Topics**
+ [Bewahren Sie speziell entwickelte, AWS langlebige Anmeldeinformationen sicher und stets zugänglich auf](#RCBestPracticeCredentials)
+ [Wählen Sie niedrigere TTL-Werte für DNS-Einträge, die am Failover beteiligt sind](#RCBestPracticeLowerTTL)
+ [Begrenzen Sie die Zeit, in der Clients mit Ihren Endpunkten verbunden bleiben](#RCBestPracticeCurrentConnections)
+ [Setzen Sie ein Lesezeichen für Ihre fünf regionalen Cluster-Endpunkte und die Routing-Steuerung oder programmieren Sie sie fest ARNs](#RCBestPracticeBookmarkEndpoints)
+ [Wählen Sie nach dem Zufallsprinzip einen Ihrer Endpunkte aus, um den Status Ihrer Routing-Steuerung zu aktualisieren](#RCBestPracticeRandomEndpoint)
+ [Verwenden Sie die extrem zuverlässige Datenebene-API, um die Status der Routing-Steuerung aufzulisten und zu aktualisieren, nicht die Konsole](#RCBestPracticeUseDataPlane)

**Bewahren Sie speziell entwickelte, langlebige AWS Anmeldedaten sicher und jederzeit zugänglich auf**  
Halten Sie in einem Notfallwiederherstellungsszenario (DR) die Systemabhängigkeiten auf ein Minimum, indem Sie einen einfachen Ansatz für den Zugriff auf AWS und die Ausführung von Wiederherstellungsaufgaben verwenden. Erstellen Sie [langlebige IAM-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html) speziell für DR-Aufgaben und bewahren Sie die Anmeldeinformationen sicher in einem lokalen physischen Safe oder einem virtuellen Tresor auf, damit Sie bei Bedarf darauf zugreifen können. Mit IAM können Sie Sicherheitsanmeldedaten wie Zugriffsschlüssel und Berechtigungen für den Zugriff auf Ressourcen zentral verwalten. AWS [Für Aufgaben, bei denen es sich nicht um DR-Aufgaben handelt, empfehlen wir, weiterhin Verbundzugriff zu verwenden und AWS Dienste wie AWS Single Sign-On zu nutzen.](https://aws.amazon.com/single-sign-on/)  
Um Failover-Aufgaben in ARC mit der Datenebene-API des Wiederherstellungsclusters auszuführen, können Sie Ihrem Benutzer eine ARC-IAM-Richtlinie hinzufügen. Weitere Informationen hierzu finden Sie unter [Beispiele für identitätsbasierte Richtlinien in Amazon Application Recovery Controller (ARC)](security_iam_id-based-policy-examples.md).

**Wählen Sie niedrigere TTL-Werte für DNS-Einträge, die am Failover beteiligt sind**  
Für DNS-Einträge, die Sie möglicherweise im Rahmen Ihres Failover-Mechanismus ändern müssen, insbesondere für Datensätze, die einer Integritätsprüfung unterzogen wurden, ist die Verwendung niedrigerer TTL-Werte angemessen. Das Festlegen einer TTL von 60 oder 120 Sekunden ist eine übliche Wahl für dieses Szenario.  
Die DNS-TTL-Einstellung (Time to Live) teilt DNS-Resolvern mit, wie lange ein Datensatz zwischengespeichert werden muss, bevor ein neuer angefordert wird. Wenn Sie sich für eine TTL entscheiden, gehen Sie einen Kompromiss zwischen Latenz und Zuverlässigkeit sowie der Reaktionsfähigkeit auf Änderungen ein. Bei einer kürzeren TTL für einen Datensatz bemerken DNS-Resolver Aktualisierungen des Eintrags schneller, da die TTL angibt, dass sie häufiger Abfragen durchführen müssen.  
Weitere Informationen finden Sie unter *Auswählen von TTL-Werten für DNS-Einträge* in [Best Practices für Amazon Route 53 DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-dns.html). 

**Beschränken Sie die Zeit, in der Clients mit Ihren Endpunkten verbunden bleiben**  
Wenn Sie Routing-Steuerelemente verwenden, um von einem AWS-Region zum anderen zu wechseln, ist der Mechanismus, den Amazon Application Recovery Controller (ARC) verwendet, um Ihren Anwendungsdatenverkehr zu verlagern, ein DNS-Update. Dieses Update bewirkt, dass alle neuen Verbindungen vom beeinträchtigten Standort weggeleitet werden.  
Clients mit bereits bestehenden offenen Verbindungen können jedoch weiterhin Anfragen an den beeinträchtigten Standort stellen, bis die Clients wieder eine Verbindung herstellen. Um eine schnelle Wiederherstellung zu gewährleisten, empfehlen wir, die Dauer zu begrenzen, für die Clients mit Ihren Endpunkten verbunden bleiben.   
Wenn Sie einen Application Load Balancer verwenden, können Sie mit dieser `keepalive` Option konfigurieren, wie lange Verbindungen bestehen bleiben. Weitere Informationen finden Sie unter Dauer der [Keepalive-Dauer des HTTP-Clients](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#http-client-keep-alive-duration) im Application Load Balancer Balancer-Benutzerhandbuch.  
Standardmäßig legen Application Load Balancer den Wert für die Keepalive-Dauer des HTTP-Clients auf 3600 Sekunden oder 1 Stunde fest. Wir empfehlen Ihnen, den Wert zu senken, um Ihrem Ziel für die Wiederherstellungszeit für Ihre Anwendung zu entsprechen, z. B. 300 Sekunden. Wenn Sie die Dauer einer HTTP-Client-Keepalive-Dauer wählen, sollten Sie berücksichtigen, dass dieser Wert einen Kompromiss darstellt zwischen einer häufigeren Wiederherstellung der Verbindung im Allgemeinen, was sich auf die Latenz auswirken kann, und einer schnelleren Verlagerung aller Clients aus einer beeinträchtigten AZ oder Region.

**Fügen Sie Ihren fünf regionalen Cluster-Endpunkten und der Routing-Steuerung ein Lesezeichen hinzu oder schreiben Sie sie fest ARNs**  
Wir empfehlen, dass Sie eine lokale Kopie Ihrer regionalen ARC-Cluster-Endpunkte in Form von Lesezeichen oder als Automatisierungscode speichern, den Sie verwenden, um Ihre Endpunkte erneut zu testen. Während eines Fehlers können Sie möglicherweise nicht auf einige API-Operationen zugreifen, einschließlich ARC-API-Operationen, die nicht auf dem extrem zuverlässigen Datenebenen-Cluster gehostet werden. Mithilfe der [DescribeCluster](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster-clusterarn.html)API-Operation können Sie die Endpunkte für Ihre ARC-Cluster auflisten. 

**Wählen Sie nach dem Zufallsprinzip einen Ihrer Endpunkte aus, um den Status Ihrer Routing-Steuerung zu aktualisieren**  
Die Routing-Kontrollen bieten fünf regionale Endpunkte, um selbst bei Ausfällen eine hohe Verfügbarkeit zu gewährleisten. Um ihre volle Resilienz zu erreichen, ist es wichtig, über eine Wiederholungslogik zu verfügen, die bei Bedarf alle fünf Endpunkte verwenden kann. Informationen zur Verwendung von Codebeispielen mit dem AWS SDK, einschließlich Beispielen zum Testen von Cluster-Endpunkten, finden Sie unter. [Codebeispiele für Application Recovery Controller mit AWS SDKs](service_code_examples.md)

**Verwenden Sie die extrem zuverlässige Datenebene-API, um die Status der Routing-Steuerung aufzulisten und zu aktualisieren, nicht die Konsole**  
Mithilfe der ARC-Datenebene-API können Sie Ihre Routing-Steuerelemente und den Status des [ListRoutingControls](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_ListRoutingControls.html)Vorgangs anzeigen und den Status der Routing-Steuerung aktualisieren, um den Datenverkehr umzuleiten, damit der Failover mit dem [UpdateRoutingControlState](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_UpdateRoutingControlState.html)Vorgang abgeschlossen werden kann. Sie können den AWS CLI [(wie in diesen Beispielen)](getting-started-cli-routing.control-state.md) oder Code verwenden, den Sie mit einem der AWS SDKs folgenden Codes schreiben. ARC bietet extreme Zuverlässigkeit mit der API in der Datenebene für den Failover-Verkehr. Wir empfehlen, die API zu verwenden, anstatt den Status der Routing-Steuerung in der zu ändern AWS-Managementkonsole.  
Stellen Sie eine Connect zu einem Ihrer regionalen Cluster-Endpunkte her, damit ARC die Datenebene-API verwenden kann. Wenn der Endpunkt nicht verfügbar ist, versuchen Sie, eine Verbindung zu einem anderen Cluster-Endpunkt herzustellen.  
Wenn eine Sicherheitsregel eine Statusaktualisierung der Routingsteuerung blockiert, können Sie sie umgehen, um die Aktualisierung durchzuführen und den Datenverkehr zu überweisen. Weitere Informationen finden Sie unter [Sicherheitsregeln außer Kraft setzen, um den Verkehr umzuleiten](routing-control.override-safety-rule.md).

**Testen Sie das Failover mit ARC**  
Testen Sie das Failover regelmäßig mit ARC-Routing-Steuerung, um ein Failover von Ihrem primären Anwendungsstapel zu einem sekundären Anwendungsstapel durchzuführen. Es ist wichtig, sicherzustellen, dass die ARC-Strukturen, die Sie hinzugefügt haben, auf die richtigen Ressourcen in Ihrem Stack abgestimmt sind und dass alles so funktioniert, wie Sie es erwarten. Sie sollten dies testen, nachdem Sie ARC für Ihre Umgebung eingerichtet haben, und die Tests regelmäßig fortsetzen, damit Ihre Failover-Umgebung vorbereitet ist, bevor es zu einer Ausfallsituation kommt, in der Ihr sekundäres System schnell betriebsbereit sein muss, um Ausfallzeiten für Ihre Benutzer zu vermeiden.

# API-Operationen zur Routingsteuerung
<a name="actions.routing-control"></a>

Dieser Abschnitt enthält Tabellen mit Listen von API-Vorgängen, die Sie für die Einrichtung und Verwendung der Routing-Steuerung in Amazon Application Recovery Controller (ARC) verwenden können, mit Links zu relevanter Dokumentation.

Beispiele für die Verwendung gängiger API-Operationen zur Konfiguration der Routing-Steuerung mit dem AWS Command Line Interface finden Sie unter[Beispiele für die Verwendung von API-Operationen zur ARC-Routingsteuerung mit dem AWS CLI](getting-started-cli-routing.md).

In der folgenden Tabelle sind die ARC-API-Operationen aufgeführt, die Sie für die Konfiguration der Routing-Steuerung verwenden können, sowie Links zur entsprechenden Dokumentation.


| Action | Verwenden der ARC-Konsole | Verwendung der ARC-API | 
| --- | --- | --- | 
| Erstellen eines Clusters | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [CreateCluster](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster.html) | 
| Beschreiben eines Clusters | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [DescribeCluster](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster-clusterarn.html) | 
| Einen Cluster löschen | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [DeleteCluster](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster-clusterarn.html) | 
| Listet Cluster für ein Konto auf | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [ListClusters](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster.html) | 
| Erstellen Sie eine Routing-Steuerung | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [CreateRoutingControl](https://docs.aws.amazon.com/recovery-cluster/latest/api/routingcontrol.html) | 
| Beschreiben Sie eine Routing-Steuerung | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [DescribeRoutingControl](https://docs.aws.amazon.com/recovery-cluster/latest/api/routingcontrol-routingcontrolarn.html) | 
| Aktualisieren Sie eine Routing-Steuerung | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [UpdateRoutingControl](https://docs.aws.amazon.com/recovery-cluster/latest/api/routingcontrol.html) | 
| Löschen Sie eine Routing-Steuerung | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [DeleteRoutingControl](https://docs.aws.amazon.com/recovery-cluster/latest/api/routingcontrol-routingcontrolarn.html) | 
| Routing-Steuerelemente auflisten | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [ListRoutingControls](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanel-controlpanelarn-routingcontrols.html) | 
| Erstellen Sie ein Control Panel | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [CreateControlPanel](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanel.html) | 
| Beschreiben Sie ein Bedienfeld | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [DescribeControlPanel](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanel-controlpanelarn.html) | 
| Aktualisieren Sie ein Control Panel | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [UpdateControlPanel](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanel.html) | 
| Löschen Sie ein Control Panel | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [DeleteControlPanel](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanel-controlpanelarn.html) | 
| Kontrollfelder auflisten | Siehe [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md) | Siehe [ListControlPanels](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanels.html) | 
| Erstellen Sie eine Sicherheitsregel | Siehe [Sicherheitsregeln für die Routingsteuerung erstellen](routing-control.safety-rules.md) | Siehe [CreateSafetyRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html) | 
| Beschreiben Sie eine Sicherheitsregel | Siehe [Sicherheitsregeln für die Routingsteuerung erstellen](routing-control.safety-rules.md) | Siehe [DescribeSafetyRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule-safetyrulearn.html) | 
| Aktualisieren Sie eine Sicherheitsregel | Siehe [Sicherheitsregeln für die Routingsteuerung erstellen](routing-control.safety-rules.md) | Siehe [UpdateSafetyRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html) | 
| Löschen Sie eine Sicherheitsregel | Siehe [Sicherheitsregeln für die Routingsteuerung erstellen](routing-control.safety-rules.md) | Siehe [DeleteSafetyRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule-safetyrulearn.html) | 
| Sicherheitsregeln auflisten | Siehe [Sicherheitsregeln für die Routingsteuerung erstellen](routing-control.safety-rules.md) | Siehe [ListSafetyRules](https://docs.aws.amazon.com/recovery-cluster/latest/api/controlpanel-controlpanelarn-safetyrules.html) | 
| Führen Sie die zugehörigen Route 53-Zustandsprüfungen auf | Siehe [Erstellen einer Zustandsprüfung für die Routingsteuerung in ARC](routing-control.create-health-check.md) | Siehe [ListAssociatedRoute53 HealthChecks](https://docs.aws.amazon.com/recovery-cluster/latest/api/routingcontrol-routingcontrolarn-associatedroute53healthchecks.html) | 
| Führen Sie die AWS RAM Ressourcenrichtlinien für die gemeinsame Nutzung von Clustern auf | Siehe [Support von Cros-Accounts für Cluster in ARC](routing-control.failover-different-accounts.md) | Siehe [GetResourcePolicy](https://docs.aws.amazon.com/recovery-cluster/latest/api/resourcepolicy-resourcearn.html) | 

In der folgenden Tabelle sind allgemeine ARC-API-Operationen aufgeführt, die Sie für die Verwaltung des Datenverkehrs-Failovers mit der Routing Control Data Plane verwenden können, sowie Links zur entsprechenden Dokumentation.


| Action | Verwenden der ARC-Konsole | Verwendung der ARC-API | 
| --- | --- | --- | 
| Rufen Sie einen Status der Routing-Steuerung ab | Siehe [Status der Routingsteuerung abrufen und aktualisieren in AWS-Managementkonsole](routing-control.update.console.md) | Siehe [GetRoutingControlState](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_GetRoutingControlState.html) | 
| Routing-Steuerelemente auflisten | – | Siehe [ListRoutingControls](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_ListRoutingControls.html) | 
| Aktualisieren Sie den Status einer Routingsteuerung | Siehe [Status der Routingsteuerung abrufen und aktualisieren in AWS-Managementkonsole](routing-control.update.console.md) | Siehe [UpdateRoutingControlState](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_UpdateRoutingControlState.html) | 
| Aktualisieren Sie mehrere Routingsteuerungsstatus | Siehe [Status der Routingsteuerung abrufen und aktualisieren in AWS-Managementkonsole](routing-control.update.console.md) | Siehe [UpdateRoutingControlStates](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_UpdateRoutingControlStates.html) | 

# Verwenden Sie diesen Dienst mit einem AWS SDK
<a name="sdk-general-information-section"></a>

AWS Software Development Kits (SDKs) sind für viele beliebte Programmiersprachen verfügbar. Jedes SDK bietet eine API, Codebeispiele und Dokumentation, die es Entwicklern erleichtern, Anwendungen in ihrer bevorzugten Sprache zu erstellen.


| SDK-Dokumentation | Codebeispiele | 
| --- | --- | 
| [AWS SDK für C\$1\$1](https://docs.aws.amazon.com/sdk-for-cpp) | [AWS SDK für C\$1\$1 Codebeispiele](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp) | 
| [AWS CLI](https://docs.aws.amazon.com/cli) | [AWS CLI Code-Beispiele](https://docs.aws.amazon.com/code-library/latest/ug/cli_2_code_examples.html) | 
| [AWS SDK für Go](https://docs.aws.amazon.com/sdk-for-go) | [AWS SDK für Go Code-Beispiele](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/gov2) | 
| [AWS SDK für Java](https://docs.aws.amazon.com/sdk-for-java) | [AWS SDK für Java Code-Beispiele](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2) | 
| [AWS SDK für JavaScript](https://docs.aws.amazon.com/sdk-for-javascript) | [AWS SDK für JavaScript Code-Beispiele](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3) | 
| [AWS SDK für Kotlin](https://docs.aws.amazon.com/sdk-for-kotlin) | [AWS SDK für Kotlin Code-Beispiele](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/kotlin) | 
| [AWS SDK für .NET](https://docs.aws.amazon.com/sdk-for-net) | [AWS SDK für .NET Code-Beispiele](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3) | 
| [AWS SDK für PHP](https://docs.aws.amazon.com/sdk-for-php) | [AWS SDK für PHP Code-Beispiele](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php) | 
| [AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell) | [AWS -Tools für PowerShell Code-Beispiele](https://docs.aws.amazon.com/code-library/latest/ug/powershell_5_code_examples.html) | 
| [AWS SDK für Python (Boto3)](https://docs.aws.amazon.com/pythonsdk) | [AWS SDK für Python (Boto3) Code-Beispiele](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python) | 
| [AWS SDK für Ruby](https://docs.aws.amazon.com/sdk-for-ruby) | [AWS SDK für Ruby Code-Beispiele](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby) | 
| [AWS SDK für Rust](https://docs.aws.amazon.com/sdk-for-rust) | [AWS SDK für Rust Code-Beispiele](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/rustv1) | 
| [AWS SDK für SAP ABAP](https://docs.aws.amazon.com/sdk-for-sapabap) | [AWS SDK für SAP ABAP Code-Beispiele](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/sap-abap) | 
| [AWS SDK für Swift](https://docs.aws.amazon.com/sdk-for-swift) | [AWS SDK für Swift Code-Beispiele](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/swift) | 

Weitere Beispiele speziell für diesen Service finden Sie unter [Codebeispiele für Application Recovery Controller mit AWS SDKs](service_code_examples.md).

**Beispiel für die Verfügbarkeit**  
Sie können nicht finden, was Sie brauchen? Fordern Sie ein Codebeispiel an, indem Sie unten den Link **Feedback geben** auswählen.

# Beispiele für die Verwendung von API-Operationen zur ARC-Routingsteuerung mit dem AWS CLI
<a name="getting-started-cli-routing"></a>

In diesem Abschnitt werden einfache Anwendungsbeispiele für die Arbeit mit der Routing-Steuerung vorgestellt, wobei die Funktion AWS Command Line Interface zur Verwendung der Routing-Steuerung in Amazon Application Recovery Controller (ARC) mithilfe von API-Vorgängen verwendet wird. Die Beispiele sollen Ihnen helfen, ein grundlegendes Verständnis für die Arbeit mit der Routingsteuerung mithilfe der CLI zu entwickeln.

Mit der Routing-Steuerung in Amazon Application Recovery Controller (ARC) können Sie Datenverkehrs-Failover zwischen redundanten Anwendungskopien oder Replikaten auslösen, die in separaten AWS-Regionen oder Availability Zones ausgeführt werden.

Sie organisieren Routing-Steuerelemente in Gruppen, die als Control Panels bezeichnet werden und auf einem Cluster bereitgestellt werden. Ein ARC-Cluster ist ein regionaler Satz von Endpunkten, der global bereitgestellt wird. Cluster-Endpunkte bieten eine hochverfügbare API, mit der Sie Routing-Kontrollstatus festlegen und abrufen können. Weitere Informationen zu den Komponenten der Routingsteuerungsfunktion finden Sie unter[Komponenten zur Routing-Steuerung](introduction-components-routing.md).

**Anmerkung**  
ARC ist ein globaler Dienst, der mehrere AWS-Regionen Endpunkte unterstützt. In den meisten ARC-CLI-Befehlen müssen Sie jedoch die Region USA West (Oregon) angeben, `--region us-west-2` d. h. den Parameter angeben. Verwenden Sie den `region` Parameter beispielsweise, wenn Sie Wiederherstellungsgruppen, Bedienfelder und Cluster erstellen.   
Wenn Sie einen Cluster erstellen, stellt ARC Ihnen eine Reihe von regionalen Endpunkten zur Verfügung. Um den Status der Routingsteuerung abzurufen oder zu aktualisieren, müssen Sie den regionalen Endpunkt (die AWS-Region und die Endpunkt-URL) in Ihrem CLI-Befehl angeben.

Weitere Informationen zur Verwendung von finden Sie in der AWS CLI Befehlsreferenz. AWS CLI Eine Liste der API-Aktionen zur Routingsteuerung finden Sie unter [API-Operationen zur Routingsteuerung](actions.routing-control.md) und[API-Operationen zur Routingsteuerung](actions.routing-control.md).

Wir beginnen mit der Erstellung der Komponenten, die Sie für die Verwaltung des Failovers mithilfe von Routingkontrollen benötigen, und beginnen mit der Erstellung eines Clusters.

# Richten Sie Komponenten zur Routing-Steuerung ein
<a name="getting-started-cli-routing-config"></a>

Unser erster Schritt besteht darin, einen Cluster zu erstellen. Ein ARC-Cluster besteht aus fünf Endpunkten, jeweils einer von fünf verschiedenen AWS-Regionen. Die ARC-Infrastruktur unterstützt die Koordination dieser Endpunkte, sodass sie eine hohe Verfügbarkeit und sequentielle Konsistenz der Failover-Operationen gewährleisten. 

## 1. Erstellen eines Clusters
<a name="getting-started-cli-routing.cluster"></a>

1a. Erstellen Sie einen Cluster. Das `network-type` ist optional und kann entweder oder sein. `IPV4` `DUALSTACK` Der Standardwert ist `IPV4`.

```
aws route53-recovery-control-config create-cluster --cluster-name test --network-type DUALSTACK
```

```
"Cluster": {
    "ClusterArn": "arn:aws:route53-recovery-control::123456789123:cluster/12341234-1234-1234-1234-123412341234",
    "Name": "test",
    "Status": "PENDING",
    "Owner": "123456789123",
    "NetworkType": "DUALSTACK"
}
```

Wenn Sie eine ARC-Ressource zum ersten Mal erstellen, hat sie den Status `PENDING` Während der Clustererstellung. Sie können den Fortschritt überprüfen, indem Sie anrufen`describe-cluster`. 

1b. Beschreiben Sie einen Cluster.

```
aws route53-recovery-control-config --region us-west-2 \
				describe-cluster --cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh
```

```
"Cluster": {
    "ClusterArn": "arn:aws:route53-recovery-control::123456789123:cluster/12341234-1234-1234-1234-123412341234",
    "Name": "test",
    "Status": "DEPLOYED",
    "Owner": "123456789123",
    "NetworkType": "DUALSTACK"
}
```

Wenn der Status DEPLOYED lautet, hat ARC den Cluster mit den Endpunkten, mit denen Sie interagieren können, erfolgreich erstellt. Sie können alle Ihre Cluster auflisten, indem Sie anrufen`list-clusters`.

1c. Listen Sie Ihre Cluster auf.

```
aws route53-recovery-control-config --region us-west-2 list-clusters
```

```
"Cluster": {
    "ClusterArn": "arn:aws:route53-recovery-control::123456789123:cluster/12341234-1234-1234-1234-123412341234",
    "Name": "test",
    "Status": "DEPLOYED",
    "Owner": "123456789123",
    "NetworkType": "DUALSTACK"
}
```

1d. Aktualisieren Sie den Netzwerktyp für Ihre Cluster. Die Optionen lauten `IPV4` oder `DUALSTACK`.

```
aws route53-recovery-control-config update-cluster \
--cluster-arn arn:aws:route53-recovery-control::123456789123:cluster/12341234-1234-1234-1234-123412341234 \
--network-type DUALSTACK
```

```
"Cluster": {
    "ClusterArn": "arn:aws:route53-recovery-control::123456789123:cluster/12341234-1234-1234-1234-123412341234",
    "Name": "test",
    "Status": "PENDING",
    "Owner": "123456789123",
   "NetworkType": "DUALSTACK"
}
```

## 2. Erstellen Sie ein Control Panel
<a name="getting-started-cli-routing.panel"></a>

Ein Bedienfeld ist eine logische Gruppierung zur Organisation Ihrer ARC-Routing-Steuerelemente. Wenn Sie einen Cluster erstellen, stellt ARC automatisch ein Control Panel für Sie bereit. `DefaultControlPanel` Sie können dieses Bedienfeld sofort verwenden.

Ein Control Panel kann nur in einem Cluster existieren. Wenn Sie ein Control Panel in einen anderen Cluster verschieben möchten, müssen Sie es löschen und dann im zweiten Cluster erstellen. Sie können alle Control Panels in Ihrem Konto einsehen, indem Sie anrufen`list-control-panels`. Um nur die Bedienfelder in einem bestimmten Cluster zu sehen, fügen Sie das `--cluster-arn` Feld hinzu.

2a. Kontrollfelder auflisten.

```
aws route53-recovery-control-config --region us-west-2 \
				list-control-panels --cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/eba23304-1a51-4674-ae32-b4cf06070bdd
```

```
{
    "ControlPanels": [
        {
            "ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/1234567dddddd1234567dddddd1234567",
            "ClusterArn": "arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh",
            "DefaultControlPanel": true,
            "Name": "DefaultControlPanel",
            "RoutingControlCount": 0,
            "Status": "DEPLOYED"
        }
    ]
}
```

Erstellen Sie optional Ihr eigenes Control Panel, indem Sie anrufen`create-control-panel`.

2b. Erstellen Sie ein Control Panel.

```
aws route53-recovery-control-config --region us-west-2 create-control-panel \
        --control-panel-name NewControlPanel2 \
        --cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh
```

```
{
    "ControlPanel": {
        "ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
        "ClusterArn": "arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh",
        "DefaultControlPanel": false,
        "Name": "NewControlPanel2",
        "RoutingControlCount": 0,
        "Status": "PENDING"
    }
}
```

Wenn Sie eine ARC-Ressource zum ersten Mal erstellen, hat sie den `PENDING` Status „Wird gerade erstellt“. Sie können den Fortschritt überprüfen, indem Sie anrufen`describe-control-panel`.

2c. Beschreiben Sie ein Bedienfeld.

```
aws route53-recovery-control-config --region us-west-2 describe-control-panel \
				--control-panel-arn arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456
```

```
{
    "ControlPanel": {
        "ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
        "ClusterArn": "arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh",
        "DefaultControlPanel": true,
        "Name": "DefaultControlPanel",
        "RoutingControlCount": 0,
        "Status": "DEPLOYED"
    }
}
```

## 3. Erstellen Sie eine Routing-Steuerung
<a name="getting-started-cli-routing.control"></a>

Nachdem Sie den Cluster eingerichtet und sich die Bedienfelder angesehen haben, können Sie mit der Erstellung von Routing-Steuerelementen beginnen. Wenn Sie eine Routing-Steuerung erstellen, müssen Sie mindestens den Amazon-Ressourcennamen (ARN) des Clusters angeben, in dem sich die Routing-Steuerung befinden soll. Sie können auch den ARN eines Control Panels für die Routing-Steuerung angeben. Sie müssen auch den Cluster angeben, in dem sich das Control Panel befindet. 

Wenn Sie kein Kontrollfeld angeben, wird Ihre Routing-Steuerung dem automatisch erstellten Bedienfeld hinzugefügt`DefaultControlPanel`.

Erstellen Sie eine Routing-Steuerung, indem Sie anrufen`create-routing-control`.

3a. Erstellen Sie eine Routing-Steuerung.

```
aws route53-recovery-control-config --region us-west-2 create-routing-control \
				--routing-control-name NewRc1 \
				--cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh
```

```
{
    "RoutingControl": {
        "ControlPanelArn": " arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
        "Name": "NewRc1",
        "RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567",
        "Status": "PENDING"
    }
}
```

Routing-Steuerelemente folgen demselben Erstellungsmuster wie andere ARC-Ressourcen, sodass Sie ihren Fortschritt verfolgen können, indem Sie eine Beschreibungsoperation aufrufen. 

3b. Beschreiben Sie die Routing-Steuerung.

```
aws route53-recovery-control-config --region us-west-2 describe-routing-control \
			    --routing-control-arn arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567
```

```
{
    "RoutingControl": {
        "ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
        "Name": "NewRc1",
        "RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567",
        "Status": "DEPLOYED"
    }
}
```

Sie können die Routing-Steuerelemente in einem Bedienfeld auflisten, indem Sie anrufen`list-routing-controls`. Das Control Panel ARN ist erforderlich.

3c. Listet die Routing-Steuerelemente auf.

```
aws route53-recovery-control-config --region us-west-2 list-routing-controls \
        --control-panel-arn arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456
```

```
{
    "RoutingControls": [
        {
            "ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
            "Name": "Rc1",
            "RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567",
            "Status": "DEPLOYED"
        },
        {
            "ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
            "Name": "Rc2",
            "RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/hijklmnop987654321",
            "Status": "DEPLOYED"
        }
    ]
}
```

Im folgenden Beispiel, in dem wir mit Routingsteuerungsstatus arbeiten, gehen wir davon aus, dass Sie über die beiden in diesem Abschnitt aufgeführten Routingsteuerungen (Rc1 und Rc2) verfügen. In diesem Beispiel stellt jede Routingsteuerung eine Availability Zone dar, in der Ihre Anwendung bereitgestellt wird. 

## 4. Erstellen Sie Sicherheitsregeln
<a name="getting-started-cli-routing.safety"></a>

Wenn Sie mit mehreren Routingsteuerungen gleichzeitig arbeiten, entscheiden Sie sich möglicherweise dafür, dass bei deren Aktivierung und Deaktivierung einige Sicherheitsvorkehrungen getroffen werden, um unbeabsichtigte Folgen zu vermeiden, wie z. B. das Ausschalten beider Routingsteuerungen und das Stoppen des gesamten Datenverkehrs. Um diese Schutzmaßnahmen zu erstellen, erstellen Sie Sicherheitsregeln für die Routingsteuerung.

Es gibt zwei Arten von Sicherheitsregeln: Assertion-Regeln und Gating-Regeln. Weitere Informationen zu Sicherheitsregeln finden Sie unter. [Sicherheitsregeln für die Routingsteuerung erstellen](routing-control.safety-rules.md)

Der folgende Aufruf bietet ein Beispiel für die Erstellung einer Assertion-Regel, die sicherstellt, dass zu einem bestimmten Zeitpunkt mindestens eine von zwei Routing-Steuerelementen `On` auf gesetzt ist. Um die Regel zu erstellen, führen Sie sie `create-safety-rule` mit dem `assertion-rule` Parameter aus.

Ausführliche Informationen zum API-Betrieb für Assertionsregeln finden Sie [AssertionRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-assertionrule)im Routing Control API-Referenzhandbuch für Amazon Application Recovery Controller.

4a. Erstellen Sie eine Assertion-Regel.

```
aws route53-recovery-control-config --region us-west-2 create-safety-rule \
        --assertion-rule '{"Name": "TestAssertionRule", 
        "ControlPanelArn": "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx", 
        "WaitPeriodMs": 5000, 
        "AssertedControls":
        ["arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/def123def123def" 
        "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/ghi456ghi456ghi"], 
        "RuleConfig": {"Threshold": 1, "Type": "ATLEAST", "Inverted": false}}'
```

```
{
    "Rule": {
        "ASSERTION": {
            "Arn": "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/safetyrule/333333444444",
            "AssertedControls": [
                "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/def123def123def" 
                "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/ghi456ghi456ghi"],
            "ControlPanelArn": "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx",
            "Name": "TestAssertionRule",
            "RuleConfig": {
                "Inverted": false,
                "Threshold": 1,
                "Type": "ATLEAST"
            },
            "Status": "PENDING",
            "WaitPeriodMs": 5000
        }
    }
}
```

Der folgende Aufruf enthält ein Beispiel für die Erstellung einer Gating-Regel, die einen allgemeinen „Ein/Aus“ - oder „Gating“ -Schalter für eine Reihe von Ziel-Routing-Steuerelementen in einem Bedienfeld bereitstellt. Auf diese Weise können Sie die Aktualisierung der Ziel-Routing-Steuerelemente verbieten, sodass beispielsweise die Automatisierung keine unautorisierten Aktualisierungen vornehmen kann. In diesem Beispiel ist der Gating-Switch eine durch den `GatingControls` Parameter angegebene Routing-Steuerung, und die beiden Routing-Steuerelemente, die gesteuert oder „Gated“ werden, werden durch den `TargetControls` Parameter spezifiziert.

**Anmerkung**  
Bevor Sie die Gating-Regel erstellen, müssen Sie die Gate-Routing-Steuerung, die keine DNS-Failover-Datensätze enthält, und die Ziel-Routing-Steuerelemente, die Sie mit DNS-Failover-Datensätzen konfigurieren, erstellen.

Um die Regel zu erstellen, führen `create-safety-rule` Sie sie mit dem Parameter aus. `gating-rule`

Ausführliche Informationen zum API-Betrieb für Assertionsregeln finden Sie [GatingRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-gatingrule)im Routing Control API-Referenzhandbuch für Amazon Application Recovery Controller.

4b. Erstellen Sie eine Gating-Regel.

```
aws route53-recovery-control-config --region us-west-2 create-safety-rule \
        --gating-rule '{"Name": "TestGatingRule", 
        "ControlPanelArn": "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx", 
        "WaitPeriodMs": 5000, 
        "GatingControls": ["arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/def123def123def"] 
        "TargetControls": ["arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/ghi456ghi456ghi", 
        "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/lmn789lmn789lmn"], 
        "RuleConfig": {"Threshold": 0, "Type": "OR", "Inverted": false}}'
```

```
{
    "Rule": {
        "GATING": {
            "Arn": "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/safetyrule/444444444444",
            "GatingControls": [
                "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/def123def123def"
            ],
            "TargetControls": [
                "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/ghi456ghi456ghi" 
                "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx/routingcontrol/lmn789lmn789lmn"
            ],
            "ControlPanelArn": "arn:aws:route53-recovery-control::888888888888:controlpanel/zzz123yyy456xxx789zzz123yyy456xxx",
            "Name": "TestGatingRule",
            "RuleConfig": {
                "Inverted": false,
                "Threshold": 0,
                "Type": "OR"
            },
            "Status": "PENDING",
            "WaitPeriodMs": 5000
        }
    }
}
```

Wie bei anderen Ressourcen zur Routingsteuerung können Sie Sicherheitsregeln beschreiben, auflisten oder löschen, nachdem sie auf die Datenebene übertragen wurden.

Nachdem Sie eine oder mehrere Sicherheitsregeln eingerichtet haben, können Sie weiterhin mit dem Cluster interagieren, um den Status für die Routingsteuerung festzulegen oder abzurufen. Wenn ein `set-routing-control-state` Vorgang gegen eine von Ihnen erstellte Regel verstößt, erhalten Sie eine Ausnahme, die der folgenden ähnelt:

`Cannot modify control state for [0123456bbbbbbb0123456bbbbbb01234560123 abcdefg1234567] due to failed rule evaluation 0123456bbbbbbb0123456bbbbbb0123456333333444444`

Die erste Kennung ist der Control-Panel-ARN, der mit dem Routing Control ARN verkettet ist. Die zweite Kennung ist der ARN des Bedienfelds, der mit der Sicherheitsregel ARN verkettet ist.

## 5. Erstellen von Zustandsprüfungen
<a name="getting-started-cli-routing.healthcheck"></a>

Um Routingkontrollen für den Failover des Datenverkehrs zu verwenden, erstellen Sie Zustandsprüfungen in Amazon Route 53 und verknüpfen die Zustandsprüfungen dann mit Ihren DNS-Einträgen. Für ein Failover des Datenverkehrs legt eine ARC-Routing-Steuerung fest, dass die Zustandsprüfung fehlschlägt, sodass Route 53 den Verkehr umleitet. (Die Integritätsprüfung bestätigt nicht den Zustand Ihrer Anwendung; sie wird lediglich als Methode zur Umleitung des Datenverkehrs verwendet.)

Nehmen wir als Beispiel an, Sie haben zwei Zellen (Regionen oder Availability Zones). Sie konfigurieren eine Zelle als primäre Zelle für Ihre Anwendung und die andere als sekundäre Zelle, auf die ein Failover ausgeführt werden soll. 

Um Integritätsprüfungen für Failover einzurichten, können Sie beispielsweise wie folgt vorgehen:

1. Verwenden Sie die ARC-CLI, um eine Routing-Steuerung für jede Zelle zu erstellen.

1. Verwenden Sie die Route 53-CLI, um eine ARC-Zustandsprüfung in Route 53 für jede Routingsteuerung zu erstellen.

1. Verwenden Sie die Route 53-CLI, um zwei Failover-DNS-Einträge in Route 53 zu erstellen und jedem eine Integritätsprüfung zuzuordnen.

5a. Erstellen Sie eine Routingsteuerung für jede Zelle.

```
aws route53-recovery-control-config --region us-west-2 create-routing-control \
        --routing-control-name RoutingControlCell1 \
        --cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh
```

```
aws route53-recovery-control-config --region us-west-2 create-routing-control \
        --routing-control-name RoutingControlCell2 \
        --cluster-arn arn:aws:route53-recovery-control::111122223333:cluster/5678abcd-abcd-5678-abcd-5678abcdefgh
```

5b. Erstellen Sie eine Zustandsprüfung für jede Routingsteuerung.

**Anmerkung**  
Sie erstellen ARC-Zustandsprüfungen mithilfe der Amazon Route 53-CLI.

```
aws route53 create-health-check --caller-reference RoutingControlCell1 \
        --health-check-config \
        Type=RECOVERY_CONTROL,RoutingControlArn=arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567
```

```
{
    "Location": "https://route53.amazonaws.com/2015-01-01/healthcheck/11111aaaa-bbbb-cccc-dddd-ffffff22222",
    "HealthCheck": {
        "Id": "xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
        "CallerReference": "RoutingControlCell1",
        "HealthCheckConfig": {
            "Type": "RECOVERY_CONTROL",
            "Inverted": false,
            "Disabled": false,
            "RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567"
        },
        "HealthCheckVersion": 1
    }
}
```

```
aws route53 create-health-check --caller-reference RoutingControlCell2 \
				--health-check-config \
				Type=RECOVERY_CONTROL,RoutingControlArn=arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567
```

```
{
    "Location": "https://route53.amazonaws.com/2015-01-01/healthcheck/11111aaaa-bbbb-cccc-dddd-ffffff22222",
    "HealthCheck": {
        "Id": "xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
        "CallerReference": "RoutingControlCell2",
        "HealthCheckConfig": {
            "Type": "RECOVERY_CONTROL",
            "Inverted": false,
            "Disabled": false,
            "RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567"
        },
        "HealthCheckVersion": 1
    }
}
```

5c. Erstellen Sie zwei Failover-DNS-Einträge und ordnen Sie jedem eine Integritätsprüfung zu.

Sie erstellen Failover-DNS-Einträge in Route 53 mithilfe der Route 53-CLI. Um die Datensätze zu erstellen, folgen Sie den Anweisungen in der Amazon Route AWS CLI 53-Befehlsreferenz für den [change-resource-record-sets](https://docs.aws.amazon.com/cli/latest/reference/route53/change-resource-record-sets.html)Befehl. Geben Sie in den Datensätzen den DNS-Wert für jede Zelle zusammen mit dem entsprechenden `HealthCheckID` Wert an, den Route 53 für die Zustandsprüfung erstellt hat (siehe 6b).

Für die primäre Zelle:

```
{
    "Name": "myapp.yourdomain.com",
    "Type": "CNAME",
    "SetIdentifier": "primary",
    "Failover": "PRIMARY",
    "TTL": 0,
    "ResourceRecords": [
        {
            "Value": "cell1.yourdomain.com"
        }
    ],
    "HealthCheckId": "xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}
```

Für die sekundäre Zelle:

```
{
    "Name": "myapp.yourdomain.com",
    "Type": "CNAME",
    "SetIdentifier": "secondary",
    "Failover": "SECONDARY",
    "TTL": 0,
    "ResourceRecords": [
        {
            "Value": "cell2.yourdomain.com"
        }
    ],
    "HealthCheckId": "yyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy"
}
```

Um nun ein Failover von Ihrer primären Zelle zu Ihrer sekundären Zelle durchzuführen, können Sie dem CLI-Beispiel in Schritt 4b folgen, um den Status von `RoutingControlCell1` to `OFF` und `RoutingControlCell2` to zu aktualisieren`ON`.

# Auflisten und Aktualisieren von Routingsteuerungen und Status mit dem AWS CLI
<a name="getting-started-cli-routing.control-state"></a>

Nachdem Sie Ihre Amazon Application Recovery Controller (ARC) -Ressourcen wie Cluster, Routing-Steuerelemente und Control Panels erstellt haben, können Sie mit dem Cluster interagieren, um die Routing-Kontrollstatus für Failover aufzulisten und zu aktualisieren.

Für jeden Cluster, den Sie erstellen, stellt ARC Ihnen eine Reihe von Cluster-Endpunkten zur Verfügung, jeweils einen von fünf. AWS-Regionen Sie müssen einen dieser regionalen Endpunkte (den AWS-Region und die Endpunkt-URL) angeben, wenn Sie den Cluster aufrufen, um den Status der Routing-Steuerung abzurufen oder auf oder zu `On` setzen. `Off` Wenn Sie zum Abrufen oder Aktualisieren von Routingsteuerungsstatus zusätzlich zum regionalen Endpunkt auch den regionalen Endpunkt verwenden, müssen Sie, wie in den Beispielen in diesem Abschnitt gezeigt, auch den regionalen Endpunkt angeben. AWS CLI`--region`

Sie können jeden der regionalen Cluster-Endpunkte verwenden. Wir empfehlen, dass Ihre Systeme abwechselnd die regionalen Endpunkte verwenden und bereit sein, es mit jedem der verfügbaren Endpunkte erneut zu versuchen. Codebeispiele, die veranschaulichen, wie Cluster-Endpunkte nacheinander getestet werden, finden Sie unter. [Aktionen für die Verwendung von Application Recovery Controller AWS SDKs](service_code_examples_actions.md)

Weitere Informationen zur Verwendung von finden Sie in der AWS CLI Befehlsreferenz. AWS CLI Eine Liste der API-Aktionen zur Routingsteuerung und Links zu weiteren Informationen finden Sie unter[API-Operationen zur Routingsteuerung](actions.routing-control.md).

**Wichtig**  
Sie können zwar einen Status der Routing-Steuerung auf der Amazon Route 53-Konsole [aktualisieren, wir empfehlen jedoch, den Status der Routing-Steuerung](routing-control.update.api.md) mithilfe des AWS CLI oder eines AWS SDK zu aktualisieren. ARC bietet mit der ARC-Routing-Steuerungsdatenebene extreme Zuverlässigkeit für die Umleitung von Datenverkehr und Failover zwischen Zellen. Weitere Empfehlungen zur Verwendung von ARC für Failover finden Sie unter. [Bewährte Methoden für die Routingsteuerung in ARC](route53-arc-best-practices.regional.md)

Wenn Sie eine Routingsteuerung erstellen, wird der Status auf `Off` gesetzt. Das bedeutet, dass der Verkehr nicht an die Zielzelle für diese Routingsteuerung weitergeleitet wird. Sie können den Status der Routingsteuerung überprüfen, indem Sie den Befehl `get-routing-control-state` ausführen.

Um die Region und den Endpunkt zu ermitteln, die angegeben werden sollen, führen Sie den `describe-clusters` Befehl zum Anzeigen von aus`ClusterEndpoints`. Jeder `ClusterEndpoint` enthält eine Region und einen entsprechenden Endpunkt, mit denen Sie den Status der Routing-Steuerung abrufen oder aktualisieren können. *[DescribeCluster](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster-clusterarn.html)ist ein API-Vorgang zur Konfiguration der Wiederherstellungssteuerung. Wir empfehlen, dass Sie eine lokale Kopie Ihrer regionalen ARC-Cluster-Endpunkte in Form von Lesezeichen oder fest codiertem Automatisierungscode aufbewahren, den Sie verwenden, um Ihre Endpunkte erneut zu testen.*

## 1. Routing-Steuerelemente auflisten
<a name="getting-started-cli-routing.view-rc"></a>

Sie können Ihre Routingsteuerungen und den Status der Routing-Steuerung mithilfe der äußerst zuverlässigen ARC-Datenebenen-Endpunkte anzeigen.

1. Listet die Routing-Steuerelemente für ein bestimmtes Bedienfeld auf. Wenn Sie kein Bedienfeld angeben, werden alle Routing-Steuerelemente im Cluster `list-routing-controls` zurückgegeben.

```
aws route53-recovery-cluster list-routing-controls --control-panel-arn \
        arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456 \ 
        --region us-west-2 \
        --endpoint-url https://host-dddddd.us-west-2.example.com/v1
```

```
{
    "RoutingControls": [{
        "ControlPanelArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
        "ControlPanelName": "ExampleControlPanel",
        "RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567",
        "RoutingControlName": "RCOne",
        "RoutingControlState": "On"
    },
    {
        "ControlPanelArn": "arn:aws:route53-recovery-control::023759465626:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
        "ControlPanelName": "ExampleControlPanel",
        "RoutingControlArn": "arn:aws:route53-recovery-control::023759465626:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/zzzzxxxxyyyy123456",
        "RoutingControlName": "RCTwo",
        "RoutingControlState": "Off"
    }
]
```

## 2. Ruft Routing-Steuerelemente ab
<a name="getting-started-cli-routing.get-rc"></a>

2. Rufen Sie einen Status für die Routingsteuerung ab.

```
aws route53-recovery-cluster get-routing-control-state --routing-control-arn \
        arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567 \
        --region us-west-2 \
        --endpoint-url https://host-dddddd.us-west-2.example.com/v1
```

```
{"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567",
    "RoutingControlName": "RCOne",
    "RoutingControlState": "On"
}
```

## 2. Routing-Steuerelemente aktualisieren
<a name="getting-started-cli-routing.update-rc"></a>

Um den Verkehr an den Zielendpunkt weiterzuleiten, der von der Routingsteuerung gesteuert wird, aktualisieren Sie den Status der Routingsteuerung auf`On`. Aktualisieren Sie den Status der Routingsteuerung, indem Sie den Befehl ausführen`update-routing-control-state`. (Wenn die Anfrage erfolgreich ist, ist die Antwort leer.)

2a. Aktualisieren Sie einen Status der Routingsteuerung.

```
aws route53-recovery-cluster update-routing-control-state \
        --routing-control-arn \
        arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567 \
        --routing-control-state On \
        --region us-west-2 \
        --endpoint-url https://host-dddddd.us-west-2.example.com/v1
```

```
{}
```

Sie können mehrere Routingkontrollen gleichzeitig mit einem API-Aufruf aktualisieren:`update-routing-control-states`. (Wenn die Anfrage erfolgreich ist, ist die Antwort leer.)

2b. Aktualisieren Sie mehrere Status der Routingsteuerung gleichzeitig (Batch-Updates).

```
aws route53-recovery-cluster update-routing-control-states \
        --update-routing-control-state-entries \
        '[{"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567",
        "RoutingControlState": "Off"}, \
        {"RoutingControlArn": "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/hijklmnop987654321",
        "RoutingControlState": "On"}]' \
        --region us-west-2 \
        --endpoint-url https://host-dddddd.us-west-2.example.com/v1
```

```
{}
```

# Arbeiten mit Routingsteuerungskomponenten in ARC
<a name="routing-control.working-with"></a>

**Topics**
+ [Routing-Steuerungskomponenten in ARC erstellen](routing-control.create.md)
+ [Status der Routing-Steuerung in ARC anzeigen und aktualisieren](routing-control.update.md)
+ [Sicherheitsregeln für die Routingsteuerung erstellen](routing-control.safety-rules.md)
+ [Support von Cros-Accounts für Cluster in ARC](routing-control.failover-different-accounts.md)

# Routing-Steuerungskomponenten in ARC erstellen
<a name="routing-control.create"></a>

In diesem Abschnitt wird erklärt, wie Sie einen Cluster, Routing-Kontrollen, Integritätsprüfungen und Kontrollfelder für die Arbeit mit der Routing-Steuerung in Amazon Application Recovery Controller (ARC) erstellen.

Erstellen Sie zunächst einen Cluster, um Ihre Routing-Kontrollen und die Kontrollfelder, mit denen Sie sie gruppieren, zu hosten. Erstellen Sie anschließend Routingkontrollen und Integritätsprüfungen, sodass Sie den Datenverkehr für ein Failover von einer Zelle zur anderen umleiten können, sodass der Datenverkehr beispielsweise zu Ihrem Backup-Replikat geleitet wird.

Beachten Sie, dass Ihnen für jeden Cluster, den Sie erstellen, stundenweise berechnet wird. In der Regel benötigen Sie nur einen Cluster, um die Routing-Steuerelemente und Bedienfelder für die Verwaltung der Wiederherstellungssteuerung für eine Anwendung zu hosten. Darüber hinaus können Sie die gemeinsame Nutzung von Ressourcen einrichten AWS Resource Access Manager, sodass ein Cluster Routingsteuerungen und andere ARC-Ressourcen hosten kann, die mehreren gehören AWS-Konten. Um mehr über die gemeinsame Nutzung von Ressourcen in ARC zu erfahren,[Support von Cros-Accounts für Cluster in ARC](routing-control.failover-different-accounts.md). Preisinformationen finden Sie unter Preise für [Amazon Application Recovery Controller (ARC)](https://aws.amazon.com/application-recovery-controller/pricing/).

Um Routingkontrollen für den Failover des Datenverkehrs zu verwenden, erstellen Sie Zustandsprüfungen für die Routing-Kontrolle, die Sie mit Amazon Route 53-DNS-Einträgen für Ressourcen in Ihrer Anwendung verknüpfen. Nehmen wir als Beispiel an, Sie haben zwei Zellen, eine, die Sie als primäre Zelle für Ihre Anwendung konfiguriert haben, und die andere, die Sie als sekundäre Zelle konfiguriert haben, auf die ein Failover ausgeführt werden soll. 

Gehen Sie wie folgt vor, um Integritätsprüfungen für den Failover einzurichten:

1. Erstellen Sie eine Routingsteuerung für jede Zelle.

1. Erstellen Sie eine Zustandsprüfung für jede Routingsteuerung.

1. Erstellen Sie zwei DNS-Einträge, z. B. zwei DNS-Failover-Einträge, und ordnen Sie jedem Eintrag eine Integritätsprüfung zu.

Ein anderes Szenario, in dem Sie eine Routingsteuerung erstellen könnten, ist die Erstellung einer Sicherheitsregel, bei der es sich um eine Gating-Regel handelt. In diesem Fall ordnen Sie der Routingsteuerung keine Integritätsprüfungen und DNS-Einträge zu, da Sie sie als *Gating-Routing-Steuerung* verwenden werden. Weitere Informationen finden Sie unter [Sicherheitsregeln für die Routingsteuerung erstellen](routing-control.safety-rules.md).

In diesen Abschnitten werden die Schritte zum Erstellen der Komponenten für die Routingsteuerung auf der ARC-Konsole beschrieben. Weitere Informationen zur Verwendung von API-Operationen zur Konfiguration der Wiederherstellungssteuerung mit ARC finden Sie unter[API-Operationen zur Routingsteuerung](actions.routing-control.md).

# Einen Cluster in ARC erstellen
<a name="routing-control.create-cluster"></a>

Sie müssen einen Cluster erstellen, um Routing-Steuerelemente und Bedienfelder in ARC zu hosten.

Ein *Cluster* besteht aus einer Reihe redundanter regionaler Endpunkte, an denen Sie API-Aufrufe ausführen können, um eine oder mehrere Routing-Steuerelemente zu aktualisieren oder deren Status abzurufen. Ein einzelner Cluster kann eine Reihe von Routing-Steuerelementen hosten. 

**Wichtig**  
Beachten Sie, dass Ihnen für jeden Cluster, den Sie erstellen, stundenweise berechnet wird. Ein Cluster kann eine Reihe von Routingsteuerungen und Bedienfeldern für die Verwaltung der Wiederherstellungssteuerung hosten, was in der Regel für eine Anwendung ausreicht.

# So erstellen Sie einen Cluster


1. Öffnen Sie die ARC-Konsole unter[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard). 

1. Klicken Sie auf **Cluster**.

1. Wählen Sie **Create** und geben Sie dann einen Namen für Ihren Cluster ein.

1. Wählen Sie **Cluster erstellen**.

# Eine Routing-Steuerung in ARC erstellen
<a name="routing-control.create-control"></a>

Erstellen Sie eine Routingsteuerung für jede Zelle, zu der Sie den Verkehr weiterleiten möchten. Wenn Sie beispielsweise eine Anwendung mit Ressourcen haben, die Sie aus Gründen der Wiederherstellbarkeit isoliert haben, könnten Sie für jede Anwendung eine Zelle und verschachtelte Zellen für jede AWS-Region Availability Zone innerhalb jeder Region haben. In diesem Szenario würden Sie für jede Zelle und jede verschachtelte Zelle eine Routingsteuerung erstellen.

Beachten Sie beim Erstellen von Routingsteuerungen, dass die Namen der Routingsteuerungen in jedem Bedienfeld eindeutig sein müssen.

Nachdem Sie Routingsteuerungen für die Umleitung von Datenverkehr erstellt haben, verknüpfen Sie jedes Steuerelement mit einer Zustandsprüfung, mit der Sie den Datenverkehr auf der Grundlage der DNS-Einträge, die Sie den einzelnen Zellen zugeordnet haben, an Zellen weiterleiten können. Wenn Sie eine Gating-Regel als Sicherheitsregel einrichten und eine Gating-Routing-Steuerung erstellen, fügen Sie der Routingsteuerung keine Integritätsprüfung hinzu.

# Um eine Routing-Steuerung zu erstellen


1. Öffnen Sie die ARC-Konsole unter[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard). 

1. Wählen Sie **Routing-Steuerung**.

1. Wählen Sie auf der Seite „**Routing-Steuerung**“ die Option „**Erstellen**“ und wählen Sie dann eine **Routing-Steuerung** aus.

1. Geben Sie einen Namen für Ihre Routing-Steuerung ein, wählen Sie den Cluster aus, zu dem die Steuerung hinzugefügt werden soll, und wählen Sie, ob Sie sie zu einem vorhandenen Control Panel hinzufügen möchten, einschließlich der Verwendung des Standard-Control-Panels. Oder erstellen Sie ein neues Control Panel.

1. Wenn Sie ein neues Control Panel erstellen möchten, wählen Sie einen Cluster aus, auf dem das Control Panel erstellt werden soll, und geben Sie dann einen Namen für das Panel ein.

1. Wählen Sie „**Routing-Steuerung erstellen**“.

1. Folgen Sie den Schritten, um die Routing-Steuerung zu benennen und zu erstellen.

# Erstellen einer Zustandsprüfung für die Routingsteuerung in ARC
<a name="routing-control.create-health-check"></a>

Sie ordnen jeder Routingsteuerung, die Sie für die Umleitung von Verkehr verwenden möchten, eine Zustandsprüfung der Routingsteuerung zu. Anschließend konfigurieren Sie jede Zustandsprüfung mit einem Amazon Route 53-DNS-Eintrag, z. B. einem Failover-DNS-Eintrag. Anschließend können Sie den Datenverkehr in Amazon Application Recovery Controller (ARC) umleiten, indem Sie einfach den Status der zugehörigen Routing-Steuerung aktualisieren, um sie auf `On` oder `Off` zu setzen.

**Anmerkung**  
Sie können eine bestehende Zustandsprüfung der Routing-Kontrolle nicht bearbeiten, um sie einer anderen Routing-Kontrolle zuzuordnen.

# Um eine Zustandsprüfung für die Routingsteuerung zu erstellen


1. Öffnen Sie die ARC-Konsole unter[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard). 

1. Wählen Sie **Routing-Steuerung**.

1. Wählen Sie auf der Seite **Routing-Steuerung** eine Routing-Steuerung aus.

1. Wählen Sie auf der Detailseite der **Routingsteuerung** die Option **Integritätsprüfung erstellen** aus.

1. Geben Sie einen Namen für die Integritätsprüfung ein und wählen Sie dann **Erstellen** aus.

Als Nächstes erstellen Sie Route 53-DNS-Einträge und verknüpfen die einzelnen Einträge mit Ihren Zustandsprüfungen für die Routingsteuerung. Nehmen wir beispielsweise an, dass Sie zwei DNS-Failover-Datensätze verwenden möchten, um Ihre Integritätsprüfungen für die Routingsteuerung zuzuordnen. Damit ARC den Datenverkehr mithilfe von Routingsteuerungen korrekt überführen kann, erstellen Sie zunächst die beiden Failover-Datensätze in Route 53: einen primären und einen sekundären. Weitere Informationen zur Konfiguration von DNS-Failover-Einträgen finden Sie unter [Konzepte zur Integritätsprüfung](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/route-53-concepts.html#route-53-concepts-health-checking).

Wenn Sie den primären Failover-Datensatz erstellen, sollten die Werte etwa den folgenden entsprechen:

```
			Name: myapp.yourdomain.com
			Type: CNAME
			Set Identifier: Primary
			Failover: Primary
			TTL: 0
			Resource Records:
			Value: cell1.yourdomain.com
			Health Check ID: xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
```

Die Werte des sekundären Failover-Datensatzes sollten etwa den folgenden entsprechen:

```
			Name: myapp.yourdomain.com
			Type: CNAME
			Set Identifier: Secondary
			Failover: Secondary
			TTL: 0
			Resource Records:
			Value: cell2.yourdomain.com
			Health Check ID: xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
```

Nehmen wir nun an, Sie möchten den Verkehr umleiten, weil ein Fehler aufgetreten ist. Dazu aktualisieren Sie die zugehörigen Routingsteuerungsstatus, um den Status der primären Routingsteuerung auf `OFF` und den Status der sekundären Routingsteuerung auf zu `ON` ändern. Wenn Sie dies tun, verhindern die zugehörigen Integritätsprüfungen, dass der Datenverkehr an das primäre Replikat weitergeleitet wird, und leiten ihn stattdessen an das sekundäre Replikat weiter. Weitere Informationen zum Failover von Datenverkehr mithilfe von Routingsteuerungen finden Sie unter. [Status der Routingsteuerung mithilfe der ARC-API abrufen und aktualisieren (empfohlen)](routing-control.update.api.md)

Beispiele für AWS CLI Befehle zum Erstellen von Routingsteuerungen und den zugehörigen Zustandsprüfungen mithilfe von ARC-API-Vorgängen finden Sie unter[Beispiele für die Verwendung von API-Operationen zur ARC-Routingsteuerung mit dem AWS CLI](getting-started-cli-routing.md).

# Ein Control Panel in ARC erstellen
<a name="routing-control.create-control-panel"></a>

In einem Control Panel in Amazon Application Recovery Controller (ARC) können Sie verwandte Routing-Steuerelemente gruppieren. Ein Control Panel kann Routing-Steuerelemente enthalten, die je nach Umfang Ihres Failovers einen Microservice innerhalb einer Anwendung, eine gesamte Anwendung selbst oder eine Gruppe von Anwendungen darstellen. Ein Vorteil der Gruppierung von Routing-Steuerelementen in einem Control Panel besteht darin, dass Sie Sicherheitsregeln mit einem Control Panel verwenden können, um Änderungen der Verkehrsführung zu schützen. 

Wenn Sie einen Cluster erstellen, erstellt ARC ein Standard-Control-Panel. Sie können das Standard-Bedienfeld für Ihre Routing-Steuerelemente verwenden, oder Sie können ein oder mehrere Bedienfelder erstellen, um Ihre Routing-Steuerelemente zu gruppieren. Beachten Sie, dass für Namen von Bedienfeldern nur ASCII-Zeichen unterstützt werden.

Die Schritte zum Erstellen eines Bedienfelds auf der ARC-Konsole sind in diesem Abschnitt enthalten. Informationen zur Verwendung von API-Operationen zur Konfiguration der Wiederherstellungssteuerung mit ARC finden Sie unter[API-Operationen zur Routingsteuerung](actions.routing-control.md).

# Um ein Control Panel zu erstellen


1. Öffnen Sie die ARC-Konsole unter[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard). 

1. Wählen Sie **Routing-Steuerung**.

1. Wählen Sie auf der Seite **zur Routingsteuerung** die Option **Erstellen** und dann ein **Steuerungsfeld** aus. 

1. Wählen Sie einen Cluster aus, auf dem das Control Panel erstellt werden soll, und geben Sie dann einen Namen für das Panel ein.

1. Wählen Sie **Control Panel erstellen**.

# Status der Routing-Steuerung in ARC anzeigen und aktualisieren
<a name="routing-control.update"></a>

In diesem Abschnitt wird beschrieben, wie Sie den Status der Routing-Kontrolle in Amazon Application Recovery Controller (ARC) anzeigen und aktualisieren. Routing-Steuerelemente sind einfache Ein- und Ausschalter, die den Datenfluss zu den Zellen in Ihrer Wiederherstellungsgruppe steuern. Zellen sind in der Regel AWS-Regionen oder manchmal Availability Zones, zu denen auch Ihre Ressourcen gehören. Wenn ein Routingsteuerungsstatus lautet`On`, fließt der Verkehr zu der Zelle, die von dieser Routingsteuerung gesteuert wird. 

Sie gruppieren Routingsteuerungen in Bedienfeldern, bei denen es sich um logische Failover-Gruppierungen handelt. Wenn Sie beispielsweise ein Control Panel auf der Konsole öffnen, können Sie alle Routing-Steuerelemente für eine Gruppierung gleichzeitig anzeigen, um zu sehen, wohin der Verkehr fließt.

Sie können den Status einer Routing-Steuerung auf der ARC-Konsole oder mithilfe der ARC-API aktualisieren. Wir empfehlen, den Status der Routing-Steuerung mithilfe der API zu aktualisieren. Erstens bietet ARC mit der API in der Datenebene extreme Zuverlässigkeit für die Durchführung dieser Aktionen. Das ist wichtig, wenn Sie diese Status ändern, da bei Änderungen des Routing-Status ein Failover zwischen den einzelnen Zellen erfolgt, indem der Anwendungsdatenverkehr umgeleitet wird. Darüber hinaus können Sie mithilfe der API versuchen, bei Bedarf abwechselnd eine Verbindung zu verschiedenen Cluster-Endpunkten herzustellen, falls ein Cluster-Endpunkt, zu dem Sie eine Verbindung herstellen möchten, nicht verfügbar ist.

Sie können einen Status der Routingsteuerung aktualisieren, oder Sie können mehrere Status der Routingsteuerung gleichzeitig aktualisieren. Möglicherweise möchten Sie einen Routingsteuerungsstatus auf festlegen, um zu verhindern, dass Datenverkehr `Off` zu einer Zelle fließt, z. B. zu einer Availability Zone, in der bei einer Anwendung eine erhöhte Latenz auftritt. Gleichzeitig möchten Sie möglicherweise einen anderen Status der Routingsteuerung so einrichten, dass der Verkehr `On` zu einer anderen Zelle oder Availability Zone fließt. In diesem Szenario können Sie beide Routingsteuerungsstatus gleichzeitig aktualisieren, sodass der Verkehr weiterhin fließt.

**Topics**
+ [Status der Routingsteuerung mithilfe der ARC-API abrufen und aktualisieren (empfohlen)](routing-control.update.api.md)
+ [Status der Routingsteuerung abrufen und aktualisieren in AWS-Managementkonsole](routing-control.update.console.md)

# Status der Routingsteuerung mithilfe der ARC-API abrufen und aktualisieren (empfohlen)
<a name="routing-control.update.api"></a>

Wir empfehlen Ihnen, API-Operationen von Amazon Application Recovery Controller (ARC) zu verwenden, um den Status der Routing-Steuerung abzurufen oder zu aktualisieren, indem Sie einen AWS CLI Befehl oder Code verwenden, den Sie für die Verwendung von ARC-API-Operationen mit einem der entwickelt haben AWS SDKs. Wir empfehlen, API-Operationen mit der CLI oder im Code zu verwenden, um mit Routingsteuerungszuständen zu arbeiten, anstatt die zu verwenden AWS-Managementkonsole.

ARC bietet extreme Zuverlässigkeit beim Failover zwischen Zellen (AWS-Regionen), indem die Routingsteuerungsstatus mithilfe der API aktualisiert werden, da die Routingsteuerungen in einem hochverfügbaren Cluster gespeichert werden. ARC stellt sicher, dass Sie immer auf mindestens drei der fünf regionalen Cluster-Endpunkte zugreifen können, um den Status der Routing-Steuerung zu ändern. Um mithilfe der API einen Status der Routingsteuerung abzurufen oder zu ändern, stellen Sie eine Verbindung zu einem Ihrer regionalen Cluster-Endpunkte her. Wenn der Endpunkt nicht verfügbar ist, können Sie versuchen, eine Verbindung zu einem anderen Ihrer Cluster-Endpunkte herzustellen.

Sie können die Liste der regionalen Cluster-Endpunkte für Ihren Cluster in der Route 53-Konsole oder mithilfe einer API-Aktion anzeigen. [DescribeCluster](https://docs.aws.amazon.com/recovery-cluster/latest/api/cluster-clusterarn.html) Bei Ihrem Prozess zum Abrufen und Ändern des Status der Routingsteuerung sollten Sie jeden Endpunkt je nach Bedarf abwechselnd überprüfen, da die Cluster-Endpunkte für regelmäßige Wartungs- und Aktualisierungszwecke zwischen den Status „Verfügbar“ und „Nicht verfügbar“ wechseln. 

Wir bieten detaillierte Informationen und Codebeispiele für die Verwendung von ARC-API-Operationen zum Abrufen und Aktualisieren von Routingsteuerungsstatus und für die Arbeit mit regionalen Cluster-Endpunkten. Weitere Informationen finden Sie hier:
+ Codebeispiele, in denen erklärt wird, wie Sie zwischen regionalen Cluster-Endpunkten rotieren, um den Status der Routing-Steuerung abzurufen und festzulegen, finden Sie unter. [Aktionen für die Verwendung von Application Recovery Controller AWS SDKs](service_code_examples_actions.md) 
+ Informationen zur Verwendung von AWS CLI zum Abrufen und Aktualisieren von Routingsteuerungsstatus finden Sie unter[Auflisten und Aktualisieren von Routingsteuerungen und Status mit dem AWS CLI](getting-started-cli-routing.control-state.md).

# Status der Routingsteuerung abrufen und aktualisieren in AWS-Managementkonsole
<a name="routing-control.update.console"></a>

Sie können den Status der Routingsteuerung in der abrufen und aktualisieren AWS-Managementkonsole. Beachten Sie jedoch, dass Sie in der Konsole keine verschiedenen regionalen Cluster-Endpunkte auswählen können. Das heißt, es gibt keinen Prozess für die Auswahl und Rotation von Cluster-Endpunkten in der Konsole, wie Sie es mit der Amazon Application Recovery Controller (ARC) -API tun können. Darüber hinaus ist die Konsole nicht hochverfügbar, während die ARC-Datenebene extrem zuverlässig ist. Aus diesen Gründen empfehlen wir, die ARC-API zu verwenden, um den Status der Routing-Steuerung für den Produktionsbetrieb abzurufen und zu aktualisieren.

Weitere Empfehlungen zur Verwendung von ARC für Failover finden Sie unter[Bewährte Methoden für die Routingsteuerung in ARC](route53-arc-best-practices.regional.md).

Gehen Sie wie in den folgenden Verfahren beschrieben vor, um die Routing-Steuerelemente in der Konsole anzuzeigen und zu aktualisieren.

# Um den Status der Routingsteuerung abzurufen


1. Öffnen Sie die ARC-Konsole unter[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard). 

1. Wählen Sie **Routing-Steuerung**.

1. Wählen Sie aus der Liste ein Bedienfeld aus und sehen Sie sich die Routing-Steuerelemente an.

# Um einen oder mehrere Status der Routing-Steuerung zu aktualisieren


1. Öffnen Sie die Amazon Route 53-Konsole zu [https://console.aws.amazon.com/route53/Hause](https://console.aws.amazon.com/route53/home). 

1. Wählen Sie unter **Application Recovery Controller** die Option **Routing Control** aus.

1. Wählen Sie **Aktion** und dann **Datenverkehrs-Routing ändern** aus.

1. Aktualisieren Sie den Status einer oder mehrerer Routing-Steuerelemente auf „" `Off` oder `On` "“, je nachdem, wohin der Datenverkehr für Ihre Anwendung fließen soll oder nicht mehr fließen soll.

1. Geben Sie `confirm` in das Textfeld ein.

1. Wählen Sie **Datenverkehrs-Routing aktualisieren** aus.

# Sicherheitsregeln für die Routingsteuerung erstellen
<a name="routing-control.safety-rules"></a>

Wenn Sie mit mehreren Routing-Kontrollen gleichzeitig arbeiten, entscheiden Sie sich möglicherweise dafür, Sicherheitsvorkehrungen zu treffen, um unbeabsichtigte Folgen zu vermeiden. Sie möchten beispielsweise verhindern, dass versehentlich alle Routingsteuerungen für eine Anwendung ausgeschaltet werden, was zu einem Fail-Open-Szenario führen würde. Oder Sie möchten vielleicht einen Master-Ein-/Ausschalter implementieren, um eine Reihe von Routingsteuerungen zu deaktivieren, vielleicht um zu verhindern, dass die Automatisierung den Datenverkehr umleitet. *Um solche Sicherheitsvorkehrungen für die Routing-Steuerung in ARC einzurichten, erstellen Sie Sicherheitsregeln.* 

Sie konfigurieren Sicherheitsregeln für die Routingsteuerung mit einer Kombination aus Routingsteuerungen, Regeln und anderen Optionen, die Sie angeben. Jede Sicherheitsregel ist einem einzelnen Bedienfeld zugeordnet, aber ein Bedienfeld kann mehr als eine Sicherheitsregel haben. Denken Sie beim Erstellen von Sicherheitsregeln daran, dass die Namen der Sicherheitsregeln in jedem Bedienfeld eindeutig sein müssen.

**Topics**
+ [Arten von Sicherheitsregeln](#routing-control.about-safety-rule)
+ [Eine Sicherheitsregel auf der Konsole erstellen](routing-control.create-safety-rule.md)
+ [Eine Sicherheitsregel auf der Konsole bearbeiten oder löschen](routing-control.edit-delete-safety-rule.md)
+ [Sicherheitsregeln außer Kraft setzen, um den Verkehr umzuleiten](routing-control.override-safety-rule.md)

## Arten von Sicherheitsregeln
<a name="routing-control.about-safety-rule"></a>

Es gibt zwei Arten von Sicherheitsregeln: *Assertion-Regeln* und *Gating-Regeln*, mit denen Sie Failover auf unterschiedliche Weise schützen können.

**Assertion-Regel**  
Wenn Sie bei einer Assertionsregel einen oder mehrere Status der Routingsteuerung ändern, erzwingt ARC, dass die Kriterien, die Sie bei der Konfiguration der Regel festgelegt haben, erfüllt sind, andernfalls werden die Status der Routing-Steuerung nicht geändert.   
Ein Beispiel dafür, wann dies nützlich ist, ist die Verhinderung eines Fail-Open-Szenarios, z. B. eines Szenarios, in dem Sie verhindern, dass der Verkehr zu einer Zelle fließt, aber nicht den Verkehr zu einer anderen Zelle weiterleiten. Um dies zu vermeiden, stellt eine Assertion-Regel sicher, dass mindestens eine Routing-Steuerung in einer Gruppe von Routing-Steuerelementen in einem Control Panel zu einem bestimmten `On` Zeitpunkt aktiviert ist. Dadurch wird sichergestellt, dass der Datenverkehr für eine Anwendung in mindestens eine Region oder Availability Zone fließt.   
Ein Beispiel für einen AWS CLI Befehl, der eine Assertion-Regel erstellt, um diese Kriterien durchzusetzen, finden Sie unter *Sicherheitsregeln erstellen* in[Beispiele für die Verwendung von API-Operationen zur ARC-Routingsteuerung mit dem AWS CLI](getting-started-cli-routing.md).   
Ausführliche Informationen zu den Eigenschaften des API-Vorgangs für Assertionsregeln finden Sie [AssertionRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-assertionrule)im Routing Control API-Referenzhandbuch für Amazon Application Recovery Controller.

**Gating-Regel**  
Mit einer Torregel können Sie einen allgemeinen Ein-/Ausschalter für eine Reihe von Routingsteuerungen erzwingen, sodass anhand einer Reihe von Kriterien, die Sie in der Regel angeben, durchgesetzt wird, ob diese Routingsteuerungsstatus geändert werden können. Das einfachste Kriterium ist, ob ein einzelnes Routing-Steuerelement, das Sie als Switch angeben, auf oder eingestellt ist. `ON` `OFF`   
Um dies zu implementieren, erstellen Sie eine *Gate-Routing-Steuerung*, die als Gesamtswitch verwendet wird, und *Ziel-Routing-Steuerelemente*, um den Verkehrsfluss in verschiedene Regionen oder Availability Zones zu steuern. Um dann manuelle oder automatische Statusaktualisierungen der Ziel-Routing-Steuerelemente zu verhindern, die Sie für die Gating-Regel konfiguriert haben, setzen Sie den Status der Gate-Routing-Steuerung auf. `Off` Um Aktualisierungen zuzulassen, setzen Sie ihn auf. `On`   
Einen AWS CLI Beispielbefehl, mit dem eine Torregel erstellt wird, die diese Art von allgemeinem Switch implementiert, finden Sie unter *Sicherheitsregeln erstellen* in[Beispiele für die Verwendung von API-Operationen zur ARC-Routingsteuerung mit dem AWS CLI](getting-started-cli-routing.md).   
Ausführliche Informationen zu den Eigenschaften der Gating Rule API-Operationen finden Sie [GatingRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-gatingrule)im Routing Control API Reference Guide für Amazon Application Recovery Controller.

# Eine Sicherheitsregel auf der Konsole erstellen
<a name="routing-control.create-safety-rule"></a>

In den Schritten in diesem Abschnitt wird erklärt, wie Sie eine Sicherheitsregel auf der ARC-Konsole erstellen. Die Schritte sind ähnlich, unabhängig davon, ob Sie eine Assertion-Regel oder eine Gating-Regel erstellen. Die Unterschiede werden im Verfahren vermerkt.

Weitere Informationen zur Verwendung von API-Vorgängen für Wiederherstellung und Routingsteuerung mit Amazon Application Recovery Controller (ARC) finden Sie unter[API-Operationen zur Routingsteuerung](actions.routing-control.md).

# Um eine Sicherheitsregel zu erstellen


1. Öffnen Sie die ARC-Konsole unter[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard). 

1. Wählen Sie **Routing-Steuerung**.

1. Wählen Sie auf der Seite **zur Routing-Steuerung** ein Bedienfeld aus.

1. Wählen Sie auf der Detailseite des Bedienfelds **Aktion** und dann **Sicherheitsregel hinzufügen** aus.

1. Wählen Sie einen Regeltyp aus, der hinzugefügt werden soll: **Assertion-Regel** oder **Gating-Regel**.

1. Wählen Sie einen Namen und ändern Sie optional die Wartezeit.

1. Geben Sie die Konfigurationsoptionen für die Sicherheitsregel an.
   + Geben Sie für eine Assertion-Regel die bestätigten Routing-Kontrollen an.
   + Geben Sie für eine Gating-Regel die Gating-Routing-Steuerung und die Ziel-Routing-Steuerung an.

   Geben Sie für beide Regeln die Regelkonfiguration an, indem Sie den Typ und den Schwellenwert auswählen und angeben, ob die Regel invertiert ist.
**Anmerkung**  
Weitere Informationen zur Angabe einer Assertion-Regel finden Sie in den Informationen zur [AssertionRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-assertionrule)Bedienung im Routing Control API-Referenzhandbuch für Amazon Application Recovery Controller. Weitere Informationen zur Angabe einer Gating-Regel finden Sie in den Informationen für den [GatingRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-gatingrule)Vorgang im Routing Control API-Referenzhandbuch für Amazon Application Recovery Controller.

1. Wählen Sie **Erstellen** aus.

# Eine Sicherheitsregel auf der Konsole bearbeiten oder löschen
<a name="routing-control.edit-delete-safety-rule"></a>

In den Schritten in diesem Abschnitt wird erklärt, wie Sie eine Sicherheitsregel auf der ARC-Konsole bearbeiten oder löschen. Sie können nur begrenzte Änderungen an einer Sicherheitsregel vornehmen, um den Namen zu ändern oder die Wartezeit zu aktualisieren. Um weitere Änderungen vorzunehmen, löschen Sie die Sicherheitsregel und erstellen Sie sie neu.

Weitere Informationen zur Verwendung von API-Vorgängen mit Amazon Application Recovery Controller (ARC) finden Sie unter[API-Operationen zur Routingsteuerung](actions.routing-control.md).

# Um eine Sicherheitsregel zu löschen


1. Öffnen Sie die ARC-Konsole unter[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard). 

1. Wählen Sie **Routing-Steuerung**.

1. Wählen Sie auf der Seite **zur Routing-Steuerung** ein Bedienfeld aus.

1. Wählen Sie auf der Detailseite des Bedienfelds eine Sicherheitsregel aus und klicken Sie dann auf **Löschen** oder **Bearbeiten**.

# Sicherheitsregeln außer Kraft setzen, um den Verkehr umzuleiten
<a name="routing-control.override-safety-rule"></a>

Es gibt Szenarien, in denen Sie die Sicherheitsvorkehrungen für die Routingsteuerung umgehen möchten, die mit den von Ihnen konfigurierten Sicherheitsregeln durchgesetzt werden. Möglicherweise möchten Sie für die Notfallwiederherstellung schnell ein Failover durchführen und eine oder mehrere Sicherheitsregeln verhindern möglicherweise unerwartet, dass Sie den Status der Routingsteuerung aktualisieren, um den Verkehr umzuleiten. In einem Szenario wie diesem, bei dem das Glas kaputt geht, können Sie eine oder mehrere Sicherheitsregeln außer Kraft setzen, um den Status der Routingsteuerung zu ändern und ein Failover für Ihre Anwendung durchzuführen.

Sie können Sicherheitsregeln umgehen, wenn Sie einen Status der Routingsteuerung (oder mehrere Status der Routingsteuerung) aktualisieren, indem Sie den `update-routing-control-states` AWS CLI Befehl `update-routing-control-state` oder mit dem `safety-rules-to-override` Parameter verwenden. Geben Sie den Parameter mit dem Amazon-Ressourcennamen (ARN) der Sicherheitsregel an, die Sie überschreiben möchten, oder geben Sie eine durch Kommas getrennte Liste an, ARNs um zwei oder mehr Sicherheitsregeln zu überschreiben.

Wenn eine Sicherheitsregel eine Statusaktualisierung der Routingsteuerung blockiert, enthält die Fehlermeldung den ARN der Regel, die das Update blockiert hat. Sie können sich also den ARN notieren und ihn dann in einem CLI-Befehl für den Routing Control State mit dem Parameter Safety Rule Override angeben.

**Anmerkung**  
Da für die Routingkontrollen, die Sie aktualisieren, möglicherweise mehr als eine Sicherheitsregel vorhanden ist, könnten Sie den CLI-Befehl ausführen, um Ihren Routingsteuerungsstatus mit einer Sicherheitsregelüberschreibung zu aktualisieren, aber die Fehlermeldung erhalten, dass eine andere Sicherheitsregel das Update blockiert. Fügen Sie der Liste der Regeln ARNs , die im Aktualisierungsbefehl außer Kraft gesetzt werden sollen, weiterhin Sicherheitsregeln (getrennt durch Kommas) hinzu, bis der Aktualisierungsbefehl erfolgreich abgeschlossen wurde.

Weitere Informationen zur Verwendung der `SafetyRulesToOverride` Eigenschaft mit der API und finden Sie SDKs unter [UpdateRoutingControlState](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_UpdateRoutingControlState.html).

Im Folgenden finden Sie zwei Beispiele für CLI-Befehle zum Überschreiben von Sicherheitsregeln, um den Status der Routing-Steuerung zu aktualisieren.

**Eine Sicherheitsregel außer Kraft setzen**  

```
aws route53-recovery-cluster --region us-west-2 update-routing-control-state \
				--routing-control-arn \
				arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567 \
				--routing-control-state On \
				--safety-rules-to-override arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/safetyrule/yyyyyyy8888888 \
				--endpoint-url https://host-dddddd.us-west-2.example.com/v1
```

**Zwei Sicherheitsregeln außer Kraft setzen**  

```
aws route53-recovery-cluster --region us-west-2 update-routing-control-state \
				--routing-control-arn \
				arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567 \
				--routing-control-state On \
				--safety-rules-to-override "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/safetyrule/yyyyyyy8888888" \
				"arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/safetyrule/qqqqqqq7777777"
				--endpoint-url https://host-dddddd.us-west-2.example.com/v1
```

# Support von Cros-Accounts für Cluster in ARC
<a name="routing-control.failover-different-accounts"></a>

Amazon Application Recovery Controller (ARC) lässt sich integrieren AWS Resource Access Manager , um die gemeinsame Nutzung von Ressourcen zu ermöglichen. AWS RAM ist ein Service, der es Ihnen ermöglicht, Ressourcen mit anderen AWS-Konten oder über andere zu teilen AWS Organizations. Für die ARC-Routing-Steuerung können Sie die Clusterressource gemeinsam nutzen.

Mit können Sie Ressourcen AWS RAM, die Ihnen gehören, gemeinsam nutzen, indem Sie eine *gemeinsame* Nutzung erstellen. Eine Ressourcenfreigabe gibt die Ressourcen an, die gemeinsam genutzt werden sollen, und die *Teilnehmer*, mit denen sie geteilt werden sollen. Zu den Teilnehmern können gehören:
+  AWS-Konten Spezifisch innerhalb oder außerhalb der Organisation des Eigentümers in AWS Organizations
+ Eine Organisationseinheit innerhalb ihrer Organisation in AWS Organizations
+ Ihre gesamte Organisation ist in AWS Organizations

Weitere Informationen zu AWS RAM finden Sie im *[AWS RAM Benutzerhandbuch](https://docs.aws.amazon.com/ram/latest/userguide/)*.

Durch AWS Resource Access Manager die gemeinsame Nutzung von Cluster-Ressourcen für mehrere Konten in ARC können Sie in einem Cluster Control Panels und Routing-Steuerelemente hosten, die mehreren verschiedenen Benutzern gehören AWS-Konten. Wenn Sie sich dafür entscheiden, einen Cluster gemeinsam zu nutzen, können andere AWS-Konten , von Ihnen angegebene Cluster als Host für ihre eigenen Control Panels und Routing-Steuerelemente verwenden, was mehr Kontrolle und Flexibilität bei den Routing-Funktionen zwischen verschiedenen Teams ermöglicht.

AWS RAM ist ein Service, der AWS Kunden dabei unterstützt, Ressourcen auf sichere Weise gemeinsam zu nutzen AWS-Konten. Mit AWS RAM können Sie Ressourcen innerhalb einer Organisation oder von Organisationseinheiten (OUs) gemeinsam nutzen AWS Organizations, indem Sie IAM-Rollen und -Benutzer verwenden. AWS RAM ist eine zentralisierte und kontrollierte Methode zur gemeinsamen Nutzung eines Clusters. 

Wenn Sie einen Cluster gemeinsam nutzen, können Sie die Gesamtzahl der Cluster reduzieren, die Ihre Organisation benötigt. Mit einem gemeinsam genutzten Cluster können Sie die Gesamtkosten für den Betrieb des Clusters auf verschiedene Teams verteilen, um die Vorteile von ARC bei geringeren Kosten zu maximieren. (Das Erstellen von Ressourcen, die in einem Cluster gehostet werden, ist weder für den Eigentümer noch für die Teilnehmer mit zusätzlichen Kosten verbunden.) Die gemeinsame Nutzung von Clustern für mehrere Konten kann auch das Onboarding mehrerer Anwendungen in ARC vereinfachen, insbesondere wenn Sie über eine große Anzahl von Anwendungen verfügen, die auf mehrere Konten und Betriebsteams verteilt sind.

Um mit der kontenübergreifenden gemeinsamen Nutzung in ARC zu beginnen, erstellen Sie eine *gemeinsame Nutzung von Ressourcen* in. AWS RAM Die Ressourcenfreigabe gibt *Teilnehmer* an, die berechtigt sind, den Cluster, der Ihrem Konto gehört, gemeinsam zu nutzen. Anschließend können die Teilnehmer Ressourcen wie Bedienfelder und Routingsteuerungen im Cluster erstellen, indem sie das AWS-Managementkonsole oder verwenden, indem sie ARC-API-Operationen mithilfe von AWS Command Line Interface oder ausführen AWS SDKs.

In diesem Thema wird erklärt, wie Sie Ressourcen teilen, deren Eigentümer Sie sind, und wie Sie Ressourcen verwenden, die mit Ihnen gemeinsam genutzt werden.

**Topics**
+ [Voraussetzungen für die gemeinsame Nutzung von Clustern](#sharing-prereqs)
+ [Einen Cluster gemeinsam nutzen](#sharing-share)
+ [Die gemeinsame Nutzung eines gemeinsam genutzten Clusters aufheben](#sharing-unshare)
+ [Identifizieren eines gemeinsam genutzten Clusters](#sharing-identify)
+ [Verantwortlichkeiten und Berechtigungen für gemeinsam genutzte Cluster](#sharing-perms)
+ [Kosten für die Abrechnung](#sharing-billing)
+ [Kontingente](#sharing-quotas)

## Voraussetzungen für die gemeinsame Nutzung von Clustern
<a name="sharing-prereqs"></a>
+ Um einen Cluster gemeinsam zu nutzen, müssen Sie ihn in Ihrem besitzen AWS-Konto. Das bedeutet, dass die Ressource Ihrem Konto zugewiesen oder bereitgestellt werden muss. Sie können einen Cluster, der mit Ihnen geteilt wurde, nicht gemeinsam nutzen.
+ Um einen Cluster mit Ihrer Organisation oder einer Organisationseinheit gemeinsam zu nutzen AWS Organizations, müssen Sie das Teilen mit aktivieren AWS Organizations. Weitere Informationen finden Sie unter [ Freigabe für AWS Organizations aktivieren](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) im *AWS RAM -Benutzerhandbuch*.
+ AWS RAM Ressourcenfreigaben für globale Ressourcen wie Cluster müssen in der Region USA Ost (Nord-Virginia) (us-east-1) erstellt werden.

## Einen Cluster gemeinsam nutzen
<a name="sharing-share"></a>

Wenn Sie einen Cluster gemeinsam nutzen, dessen Eigentümer Sie sind, können die Teilnehmer, die Sie für die gemeinsame Nutzung des Clusters angeben, ihre eigenen ARC-Ressourcen im Cluster erstellen und hosten.

Um einen Cluster gemeinsam zu nutzen, müssen Sie ihn zu einer Ressourcenfreigabe hinzufügen. Eine Ressourcenfreigabe ist eine AWS RAM -Ressource, mit der Sie Ihre Ressourcen in mehreren AWS-Konten gemeinsam nutzen können. Eine Ressourcenfreigabe gibt die Ressourcen an, die gemeinsam genutzt werden sollen, und die Teilnehmer, mit denen sie geteilt werden. Um einen Cluster gemeinsam zu nutzen, können Sie eine neue Ressourcenfreigabe erstellen oder die Ressource zu einer vorhandenen Ressourcenfreigabe hinzufügen. Um eine neue Ressourcenfreigabe zu erstellen, können Sie die [AWS RAM Konsole](https://console.aws.amazon.com/ram) verwenden oder AWS RAM API-Operationen mit dem AWS Command Line Interface oder verwenden AWS SDKs.

Wenn Sie Teil einer Organisation in Ihrer Organisation sind AWS Organizations und die gemeinsame Nutzung innerhalb Ihrer Organisation aktiviert ist, erhalten Teilnehmer in Ihrer Organisation automatisch Zugriff auf den gemeinsam genutzten Cluster. Andernfalls erhalten die Teilnehmer eine Einladung, dem Resource Share beizutreten, und erhalten nach Annahme der Einladung Zugriff auf den gemeinsamen Cluster.

Sie können einen Cluster, der Ihnen gehört, mithilfe der AWS RAM Konsole oder mithilfe von AWS RAM API-Operationen mit AWS CLI oder gemeinsam nutzen SDKs.

**Um einen Cluster, den Sie besitzen, mithilfe der AWS RAM Konsole gemeinsam zu nutzen**  
Weitere Informationen finden Sie unter [Erstellen einer Ressourcenfreigabe](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) im *AWS RAM Benutzerhandbuch*.

**Um einen Cluster, den Sie besitzen, gemeinsam zu nutzen, verwenden Sie den AWS CLI**  
Verwenden Sie den Befehl [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html).

**Erteilen von Berechtigungen zur gemeinsamen Nutzung von Clustern**

Für die gemeinsame Nutzung von Clustern über mehrere Konten sind Berechtigungen für den IAM-Prinzipal erforderlich, über AWS RAM den der Cluster gemeinsam genutzt wird.

Wir empfehlen, die `AmazonRoute53RecoveryControlConfigFullAccess` verwaltete IAM-Richtlinie zu verwenden, um sicherzustellen, dass Ihre IAM-Prinzipale über die erforderlichen Berechtigungen für die gemeinsame Nutzung und Nutzung gemeinsam genutzter Cluster verfügen.

Für die gemeinsame Nutzung eines Clusters mithilfe einer benutzerdefinierten IAM-Richtlinie sind `route53-recovery-control-config:PutResourcePolicy``route53-recovery-control-config:GetResourcePolicy`, und `route53-recovery-control-config:DeleteResourcePolicy` Berechtigungen für diesen Cluster erforderlich. `PutResourcePolicy`und `DeleteResourcePolicy` sind IAM-Aktionen, für die nur Berechtigungen erforderlich sind. Der Versuch, einen Cluster gemeinsam zu nutzen, AWS RAM ohne über diese Berechtigungen zu verfügen, führt zu einem Fehler.

Weitere Informationen zur AWS Resource Access Manager Verwendung von IAM finden Sie unter [Wie AWS Resource Access Manager verwendet IAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-policies.html) im *AWS RAM Benutzerhandbuch*.

## Die gemeinsame Nutzung eines gemeinsam genutzten Clusters aufheben
<a name="sharing-unshare"></a>

Wenn Sie die gemeinsame Nutzung eines Clusters aufheben, gilt für Teilnehmer und Eigentümer Folgendes:
+ Aktuelle Teilnehmerressourcen sind weiterhin im nicht gemeinsam genutzten Cluster vorhanden.
+ Die Teilnehmer können weiterhin den Status der Routingsteuerung im nicht gemeinsam genutzten Cluster aktualisieren, um das Routing für den Anwendungsfailover zu verwalten.
+ Die Teilnehmer können im nicht gemeinsam genutzten Cluster keine neuen Ressourcen mehr erstellen.
+ Wenn die Teilnehmer immer noch über Ressourcen in einem nicht gemeinsam genutzten Cluster verfügen, kann der Besitzer den gemeinsam genutzten Cluster nicht löschen.

Um die gemeinsame Nutzung eines Clusters, dessen Eigentümer Sie sind, rückgängig zu machen, entfernen Sie ihn aus der Ressourcenfreigabe. Sie können dies mithilfe der AWS RAM Konsole oder mithilfe von AWS RAM API-Operationen mit dem AWS CLI oder SDKs tun.

**So heben Sie mithilfe der Konsole die gemeinsame Nutzung eines gemeinsam genutzten Clusters auf, dessen Eigentümer Sie sind AWS RAM**  
Siehe [Aktualisieren einer Ressourcenfreigabe](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update) im *AWS RAM -Benutzerhandbuch*.

**Um die gemeinsame Nutzung eines gemeinsam genutzten Clusters, dessen Eigentümer Sie sind, rückgängig zu machen, verwenden Sie AWS CLI**  
Verwenden Sie den Befehl [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).

## Identifizieren eines gemeinsam genutzten Clusters
<a name="sharing-identify"></a>

Eigentümer und Teilnehmer können gemeinsam genutzte Cluster anhand der Informationen unter identifizieren AWS RAM. Sie können auch Informationen über gemeinsam genutzte Ressourcen mithilfe der ARC-Konsole und abrufen AWS CLI.

Im Allgemeinen finden Sie weitere Informationen zu den Ressourcen, die Sie geteilt haben oder die mit Ihnen geteilt wurden, den Informationen im AWS Resource Access Manager Benutzerhandbuch:
+ Als Besitzer können Sie alle Ressourcen, die Sie mit anderen teilen, mithilfe von anzeigen AWS RAM. Weitere Informationen finden Sie unter [Ihre geteilten Ressourcen anzeigen in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-view-sr.html).
+ Als Teilnehmer können Sie sich alle Ressourcen ansehen, die mit Ihnen geteilt wurden, indem Sie AWS RAM. Weitere Informationen finden Sie unter [Ihre geteilten Ressourcen anzeigen in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-view-sr.html).

Als Besitzer können Sie feststellen, ob Sie einen Cluster gemeinsam nutzen, indem Sie die Informationen in den AWS-Managementkonsole oder mithilfe der API-Operationen AWS Command Line Interface mit ARC anzeigen.

**Mithilfe der Konsole können Sie feststellen, ob ein Cluster, den Sie besitzen, gemeinsam genutzt wird**  
Sehen Sie AWS-Managementkonsole sich auf der Detailseite für einen Cluster den **Status der Clusterfreigabe** an.

**Um festzustellen, ob ein Cluster, den Sie besitzen, gemeinsam genutzt wird, verwenden Sie den AWS CLI**  
Verwenden Sie den Befehl [ get-resource-policy](https://docs.aws.amazon.com/recovery-cluster/latest/api/resourcepolicy-resourcearn.html.html). Wenn es eine Ressourcenrichtlinie für einen Cluster gibt, gibt der Befehl Informationen über die Richtlinie zurück.

Wenn ein Cluster mit Ihnen gemeinsam genutzt wird, müssen Sie als Teilnehmer die gemeinsame Nutzung in der Regel akzeptieren. Darüber hinaus enthält das Feld **Besitzer** für den Cluster das Konto des Clusterbesitzers.

## Verantwortlichkeiten und Berechtigungen für gemeinsam genutzte Cluster
<a name="sharing-perms"></a>

### Berechtigungen für Besitzer
<a name="perms-owner"></a>

Wenn Sie einen Cluster, dessen Eigentümer Sie sind AWS-Konten, mit anderen teilen, können Teilnehmer, die den Cluster verwenden dürfen, Kontrollfelder, Routing-Steuerelemente und andere Ressourcen im Cluster einrichten. 

Als Clusterbesitzer sind Sie für das Erstellen, Verwalten und Löschen von Clustern verantwortlich. Von Teilnehmern erstellte Ressourcen wie Routingkontrollen und Sicherheitsregeln können Sie nicht ändern oder löschen. Sie können beispielsweise eine von einem Teilnehmer erstellte Routingsteuerung nicht aktualisieren, um den Status der Routingsteuerung zu ändern.

Sie können jedoch die Details für Routingkontrollen anzeigen, die von Teilnehmern eines Clusters erstellt wurden, dessen Eigentümer Sie sind. Sie können beispielsweise den Status der Routingsteuerung anzeigen, indem Sie mit dem AWS Command Line Interface oder eine [ARC-Routingsteuerungs-API-Operation](actions.routing-control.md) aufrufen AWS SDKs.

Wenn Sie Ressourcen ändern müssen, die von Teilnehmern erstellt wurden, können diese in IAM eine Rolle mit Zugriffsberechtigungen für die Ressourcen einrichten und Ihr Konto zu der Rolle hinzufügen.

### Berechtigungen für Teilnehmer
<a name="perms-consumer"></a>

Im Allgemeinen können die Teilnehmer Kontrollfelder, Routingkontrollen, Sicherheitsregeln und Integritätsprüfungen erstellen und verwenden, die sie in einem Cluster erstellen, der für sie gemeinsam genutzt wird. Sie können Clusterressourcen im gemeinsam genutzten Cluster nur anzeigen, ändern oder löschen, wenn sie Eigentümer der Ressourcen sind. Beispielsweise können Teilnehmer Sicherheitsregeln für von ihnen erstellte Bedienfelder erstellen und löschen.

Für Teilnehmer gelten die folgenden Einschränkungen:
+ Teilnehmer können Kontrollfelder, die von anderen Konten mithilfe eines gemeinsam genutzten Clusters erstellt wurden, nicht anzeigen, ändern oder löschen.
+ Teilnehmer können Routingsteuerungen, einschließlich der Status der Routingsteuerung, für Ressourcen, die in einem gemeinsam genutzten Cluster von anderen Konten erstellt wurden, nicht anzeigen, erstellen oder ändern.
+ Teilnehmer können keine Sicherheitsregeln erstellen, ändern oder einsehen, die von anderen Konten in einem gemeinsam genutzten Cluster erstellt wurden.
+ Teilnehmer können in einem gemeinsam genutzten Cluster keine Ressourcen über das Standard-Kontrollpanel hinzufügen, da es dem Clusterbesitzer gehört.

Wie bereits erwähnt, können die Teilnehmer im Standard-Control-Panel für einen gemeinsam genutzten Cluster keine Routing-Steuerelemente erstellen, da der Clusterbesitzer Eigentümer des Standard-Control-Panels ist. Der Clusterbesitzer kann jedoch eine kontoübergreifende IAM-Rolle erstellen, die Zugriff auf das Standard-Control-Panel für den Cluster gewährt. Anschließend kann der Besitzer einem Teilnehmer die Berechtigungen zur Übernahme der Rolle gewähren, sodass der Teilnehmer auf das Standard-Kontrollpanel zugreifen und es so verwenden kann, wie es der Besitzer in den Berechtigungen der Rolle festgelegt hat.

## Kosten für die Abrechnung
<a name="sharing-billing"></a>

Dem Besitzer eines Clusters in ARC werden die mit dem Cluster verbundenen Kosten in Rechnung gestellt. Für Clusterbesitzer oder Teilnehmer fallen keine zusätzlichen Kosten für die Erstellung von Ressourcen an, die in einem Cluster gehostet werden.

Detaillierte Preisinformationen und Beispiele finden Sie unter [Amazon Application Recovery Controller (ARC) — Preise](https://aws.amazon.com/application-recovery-controller/pricing/).

## Kontingente
<a name="sharing-quotas"></a>

Alle in einem gemeinsam genutzten Cluster erstellten Ressourcen — einschließlich Ressourcen, die von allen Teilnehmern mit Zugriff auf den gemeinsamen Cluster erstellt wurden — werden auf die für den Cluster geltenden Kontingente und andere Ressourcen, wie z. B. Routing-Kontrollen, angerechnet. Wenn Konten, die die Clusterressource gemeinsam nutzen, ein höheres Kontingent als das Kontingent des Clusterbesitzers haben, haben die Kontingente des Clusterbesitzers Vorrang vor den Kontingenten für die Konten, die gemeinsam genutzt werden.

 Um besser zu verstehen, wie das funktioniert, sehen Sie sich die folgenden Beispiele an. Um zu veranschaulichen, wie Kontingente bei der gemeinsamen Nutzung von Ressourcen funktionieren, nehmen wir für diese Beispiele an, dass der Clusterbesitzer Eigentümer ist und ein Konto, mit dem der Cluster geteilt wurde, Teilnehmer ist.

**Kontingent in den Bedienfeldern**  
Kontingente werden für die Gesamtzahl der Control Panels des Besitzers pro Cluster durchgesetzt.  
Nehmen wir zum Beispiel an, der Besitzer hat ein Kontingent von 50 für die Anzahl der Control Panels pro Cluster und hat 13 Control Panels im Cluster. Nehmen wir nun an, dass der Teilnehmer die Quote auf 150 gesetzt hat. In diesem Szenario kann der Teilnehmer nur bis zu 37 Control Panels (d. h. 50-13) im gemeinsam genutzten Cluster erstellen.  
Wenn andere Konten, die den Cluster gemeinsam nutzen, ebenfalls Control Panels erstellen, werden diese ebenfalls alle auf das Cluster-Gesamtkontingent von 50 Control Panels angerechnet.

**Kontingente zur Routing-Kontrolle**  
Routingkontrollen haben mehrere Kontingente: ein Kontingent pro Control Panel, ein Kontingent pro Cluster und ein Kontingent pro Sicherheitsregel. Die Quoten der Eigentümer haben bei all diesen Kontingenten Vorrang.  
Nehmen wir zum Beispiel an, der Besitzer hat ein Kontingent von 300 für die Anzahl der Routingkontrollen pro Cluster und verfügt bereits über 300 Routingkontrollen im Cluster. Nehmen wir nun an, der Teilnehmer hat dieses Kontingent auf 500 festgelegt. In diesem Szenario kann der Teilnehmer keine neuen Routing-Steuerelemente im gemeinsam genutzten Cluster erstellen.

**Sicherheitsregeln, Kontingente.**  
Kontingente werden gemäß den Sicherheitsregeln des Besitzers pro Kontingent im Kontrollpanel durchgesetzt.  
Nehmen wir zum Beispiel an, der Eigentümer hat eine Quote von 20 für die Anzahl der Sicherheitsregeln pro Kontrollpanel und der Teilnehmer hat diese Quote auf 80 festgelegt. Da in diesem Szenario die Untergrenze des Besitzers Vorrang hat, kann der Teilnehmer nur bis zu 20 Sicherheitsregeln in einem Control Panel im gemeinsam genutzten Cluster erstellen. 

Eine Liste der Kontingente für die Routingsteuerung finden Sie unter[Kontingente für die Routing-Steuerung](routing-control.quotas.md).

# Protokollierung und Überwachung für die Routing-Steuerung in Amazon Application Recovery Controller (ARC)
<a name="monitoring-routing"></a>

Sie können AWS CloudTrail die Routing-Steuerung in Amazon Application Recovery Controller (ARC) zur Überwachung von Mustern verwenden und bei der Behebung von Problemen helfen.

**Topics**
+ [Protokollieren von ARC-API-Aufrufen mit AWS CloudTrail](cloudtrail-routing.md)

# Protokollieren von ARC-API-Aufrufen mit AWS CloudTrail
<a name="cloudtrail-routing"></a>

Amazon Application Recovery Controller (ARC) ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in ARC ausgeführt wurden. CloudTrail erfasst alle API-Aufrufe für ARC als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der ARC-Konsole und Codeaufrufen für die ARC-API-Operationen. 

Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für ARC. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen.

Anhand der von CloudTrail gesammelten Informationen können Sie die Anfrage an ARC, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.

Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).

## ARC-Informationen in CloudTrail
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn in ARC eine Aktivität stattfindet, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail **Ereignishistorie in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem anzeigen, suchen und herunterladen AWS-Konto. Weitere Informationen finden Sie unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).

Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem System AWS-Konto, einschließlich der Ereignisse für ARC, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

Alle ARC-Aktionen werden im [Recovery Readiness API-Referenzhandbuch für Amazon Application Recovery Controller, im Recovery](https://docs.aws.amazon.com/recovery-readiness/latest/api/) [Control Configuration API-Referenzhandbuch für Amazon Application Recovery Controller](https://docs.aws.amazon.com/recovery-cluster/latest/api/) und im [Routing Control API-Referenzhandbuch für Amazon Application Recovery Controller](https://docs.aws.amazon.com/routing-control/latest/APIReference/) protokolliert und dokumentiert. CloudTrail Beispielsweise generieren Aufrufe von `UpdateRoutingControlState` und `CreateRecoveryGroup` Aktionen Einträge in den CloudTrail Protokolldateien. `CreateCluster`

Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.

Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## ARC-Ereignisse im Ereignisverlauf anzeigen
<a name="amazon-arc-events-in-cloudtrail-event-history"></a>

CloudTrail ermöglicht es Ihnen, aktuelle Ereignisse im **Event-Verlauf einzusehen**. Um Ereignisse für ARC-API-Anfragen anzuzeigen, müssen Sie in der Regionsauswahl oben in der Konsole die Option **USA West (Oregon)** auswählen. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).

## Grundlegendes zu ARC-Protokolldateieinträgen
<a name="understanding-service-name-entries"></a>

Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden. 

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `CreateCluster` Aktion zur Konfiguration der Routingsteuerung demonstriert.

```
{
  "eventVersion": "1.08",
   "userIdentity": {
     "type": "IAMUser",
     "principalId": "A1B2C3D4E5F6G7EXAMPLE",
     "arn": "arn:aws:iam::111122223333:user/smithj",
     "accountId": "111122223333",
     "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
     "sessionContext": {
          "sessionIssuer": {
              "type": "Role",
              "principalId": "A1B2C3D4E5F6G7EXAMPLE",
              "arn": "arn:aws:iam::111122223333:role/smithj",
              "accountId": "111122223333",
              "userName": "smithj"
          },
          "webIdFederationData": {},
          "attributes": {
              "mfaAuthenticated": "false",
              "creationDate": "2021-06-30T04:44:41Z"
          }
      }
  },
  "eventTime": "2021-06-30T04:45:46Z",
  "eventSource": "route53-recovery-control-config.amazonaws.com",
  "eventName": "CreateCluster",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "192.0.2.50",
  "userAgent": "aws-cli/2.0.0 Python/3.8.2 Darwin/19.6.0 botocore/2.0.0dev7",
  "requestParameters": {
      "ClientToken": "12345abcdef-1234-5678-abcd-12345abcdef",
      "ClusterName": "XYZCluster"
  },
  "responseElements": {
      "Cluster": {
          "Arn": "arn:aws:route53-recovery-control::012345678901:cluster/abc123456-aa11-bb22-cc33-abc123456",
          "ClusterArn": "arn:aws:route53-recovery-control::012345678901:cluster/abc123456-aa11-bb22-cc33-abc123456",
          "Name": "XYZCluster",
          "Status": "PENDING"
      }
  },
  "requestID": "6090509a-5a97-4be6-8e6a-7d73example",
  "eventID": "9cab44ef-0777-41e6-838f-f249example",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "eventCategory": "Management",
  "recipientAccountId": "111122223333"
}
```

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `UpdateRoutingControlState` Aktion für die Routingsteuerung demonstriert.

```
{
  "eventVersion": "1.08",
   "userIdentity": {
     "type": "AssumedRole",
     "principalId": "A1B2C3D4E5F6G7EXAMPLE",
     "arn": "arn:aws:sts::111122223333:assumed-role/admin/smithj",
     "accountId": "111122223333",
     "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
     "sessionContext": {
          "sessionIssuer": {
              "type": "Role",
              "principalId": "A1B2C3D4E5F6G7EXAMPLE",
              "arn": "arn:aws:iam::111122223333:role/admin",
              "accountId": "111122223333",
              "userName": "admin"
          },
          "webIdFederationData": {},
          "attributes": {
              "mfaAuthenticated": "false",
              "creationDate": "2021-06-30T04:44:41Z"
          }
      }
  },
  "eventTime": "2021-06-30T04:45:46Z",
  "eventSource": "route53-recovery-control-config.amazonaws.com",
  "eventName": "UpdateRoutingControl",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "192.0.2.50",
  "userAgent": "aws-cli/2.0.0 Python/3.8.2 Darwin/19.6.0 botocore/2.0.0dev7",
  "requestParameters": {
      "RoutingControlName": "XYZRoutingControl3",
      "RoutingControlArn": "arn:aws:route53-recovery-control::012345678:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567"
  },
  "responseElements": {
      "RoutingControl": {
          "ControlPanelArn": "arn:aws:route53-recovery-control::012345678:controlpanel/0123456bbbbbbb0123456bbbbbb0123456",
          "Name": "XYZRoutingControl3",
          "Status": "DEPLOYED",
          "RoutingControlArn": "arn:aws:route53-recovery-control::012345678:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567"
      }
  },
  "requestID": "6090509a-5a97-4be6-8e6a-7d73example",
  "eventID": "9cab44ef-0777-41e6-838f-f249example",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "eventCategory": "Management",
  "recipientAccountId": "111122223333"
}
```

# Identity and Access Management für die Routingsteuerung in
<a name="security-iam-routing"></a>

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um ARC-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

**Topics**
+ [Wie funktioniert die Routing-Steuerung mit IAM](security_iam_service-with-iam-routing.md)
+ [Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples-routing.md)
+ [AWS verwaltete Richtlinien](security-iam-awsmanpol-routing.md)

# So funktioniert die Routing-Steuerung in Amazon Application Recovery Controller (ARC) mit IAM
<a name="security_iam_service-with-iam-routing"></a>

Bevor Sie IAM verwenden, um den Zugriff auf die Routing-Steuerung in Amazon Application Recovery Controller (ARC) zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen für die Routing-Steuerung verfügbar sind.


**IAM-Funktionen, die Sie mit der Routing-Steuerung in Amazon Application Recovery Controller (ARC) verwenden können**  

| IAM-Feature | Unterstützung für die Routing-Steuerung | 
| --- | --- | 
|  [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-routing-id-based-policies)  |   Ja  | 
|  [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-routing-resource-based-policies)  |   Nein   | 
|  [Richtlinienaktionen](#security_iam_service-with-iam-routing-id-based-policies-actions)  |   Ja  | 
|  [Richtlinienressourcen](#security_iam_service-with-iam-routing-id-based-policies-resources)  |   Ja  | 
|  [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-routing-id-based-policies-conditionkeys)  |   Ja  | 
|  [ACLs](#security_iam_service-with-iam-routing-acls)  |   Nein   | 
|  [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-routing-tags)  |   Teilweise  | 
|  [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-routing-roles-tempcreds)  |   Ja  | 
|  [Prinzipalberechtigungen](#security_iam_service-with-iam-routing-principal-permissions)  |   Ja  | 
|  [Servicerollen](#security_iam_service-with-iam-routing-roles-service)  |   Nein   | 
|  [Serviceverknüpfte Rollen](#security_iam_service-with-iam-routing-roles-service-linked)  |   Nein   | 

Einen allgemeinen Überblick darüber, wie AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

## Identitätsbasierte Richtlinien für ARC
<a name="security_iam_service-with-iam-routing-id-based-policies"></a>

**Unterstützt Richtlinien auf Identitätsbasis:** Ja

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

Beispiele für identitätsbasierte ARC-Richtlinien zur Routingsteuerung finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für die Routingsteuerung in ARC](security_iam_id-based-policy-examples-routing.md)

## Ressourcenbasierte Richtlinien innerhalb der Routingsteuerung
<a name="security_iam_service-with-iam-routing-resource-based-policies"></a>

**Unterstützt ressourcenbasierte Richtlinien:** Nein 

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-Rollen-Vertrauensrichtlinien und Amazon-S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern.

## Richtlinienaktionen für die Routingsteuerung
<a name="security_iam_service-with-iam-routing-id-based-policies-actions"></a>

**Unterstützt Richtlinienaktionen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.

Eine Liste der ARC-Aktionen für die Routing-Steuerung finden Sie unter [Von Amazon Route 53 Recovery Controls](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycontrols-actions-as-permissions) [definierte Aktionen und durch Amazon Route 53 Recovery Cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycluster-actions-as-permissions) definierte Aktionen in der *Service Authorization Reference*.

Bei Richtlinienaktionen in ARC zur Routing-Steuerung werden je nach der API, mit der Sie arbeiten, die folgenden Präfixe vor der Aktion verwendet:

```
route53-recovery-control-config
route53-recovery-cluster
```

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: Sie können z. B. Folgendes tun:

```
"Action": [
      "route53-recovery-control-config:action1",
      "route53-recovery-control-config:action2"
         ]
```

Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:

```
"Action": "route53-recovery-control-config:Describe*"
```

Beispiele für identitätsbasierte ARC-Richtlinien für die Routingsteuerung finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für die Routingsteuerung in ARC](security_iam_id-based-policy-examples-routing.md)

## Richtlinienressourcen für ARC
<a name="security_iam_service-with-iam-routing-id-based-policies-resources"></a>

**Unterstützt Richtlinienressourcen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

In der *Service Authorization Reference* finden Sie die folgenden Informationen zu ARC:

Eine Liste der Ressourcentypen und ihrer Aktionen sowie der Aktionen ARNs, die Sie mit dem ARN jeder Ressource angeben können, finden Sie in den folgenden Themen in der *Service Authorization Reference*:
+ [Von Amazon Route 53 Recovery Controls definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycontrols-actions-as-permissions)
+ [Von Amazon Route 53 Recovery Cluster definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycluster-actions-as-permissions).

Beispiele für identitätsbasierte ARC-Richtlinien zur Routing-Steuerung finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für die Routingsteuerung in ARC](security_iam_id-based-policy-examples-routing.md)

## Bedingungsschlüssel für Richtlinien für ARC
<a name="security_iam_service-with-iam-routing-id-based-policies-conditionkeys"></a>

**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

Eine Liste der ARC-Bedingungsschlüssel für die Routingsteuerung finden Sie unter den folgenden Themen in der *Service Authorization Reference:*
+ [Zustandstasten für Amazon Route 53 Recovery Controls](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycontrols-policy-keys)
+ [Bedingungsschlüssel für Amazon Route 53 Recovery Cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycluster-policy-keys)

Informationen zu den Aktionen und Ressourcen, die Sie mit einem Bedingungsschlüssel verwenden können, finden Sie in den folgenden Themen in der *Service Authorization Reference*:
+ Eine Liste der Ressourcentypen und ihrer Eigenschaften ARNs finden Sie unter [Von Amazon Route 53 Recovery Controls](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycontrols-actions-as-permissions) [definierte Aktionen und von Amazon Route 53 Recovery Cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycluster-actions-as-permissions) definierte Aktionen.
+ Eine Liste der Aktionen, die Sie mit dem ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Route 53 Recovery Controls](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycontrols-resources-for-iam-policies) [definierte Ressourcen und Von Amazon Route 53 Recovery Cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoverycluster-resources-for-iam-policies) definierte Ressourcen.

Beispiele für identitätsbasierte ARC-Richtlinien zur Routing-Steuerung finden Sie unter [Beispiele für identitätsbasierte Richtlinien für die Routingsteuerung in ARC](security_iam_id-based-policy-examples-routing.md)

## Zugriffskontrolllisten (ACLs) in ARC
<a name="security_iam_service-with-iam-routing-acls"></a>

**Unterstützt ACLs:** Nein 

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

## Attributbasierte Zugriffskontrolle (ABAC) mit ARC
<a name="security_iam_service-with-iam-routing-tags"></a>

**Unterstützt ABAC (Tags in Richtlinien):** Teilweise

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.

Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.

Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.

*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.

Die ARC-Routingsteuerung umfasst die folgende Unterstützung für ABAC: 
+ Recovery Control Config unterstützt ABAC. 
+ Recovery Cluster unterstützt ABAC nicht. 

## Verwenden temporärer Anmeldeinformationen mit ARC
<a name="security_iam_service-with-iam-routing-roles-tempcreds"></a>

**Unterstützt temporäre Anmeldeinformationen:** Ja

Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.

## Serviceübergreifende Prinzipalberechtigungen für ARC
<a name="security_iam_service-with-iam-routing-principal-permissions"></a>

**Unterstützt Forward Access Sessions (FAS):** Ja

Wenn Sie eine IAM-Entität (Benutzer oder Rolle) verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Richtlinien erteilen einem Prinzipal-Berechtigungen. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service auslösen. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen.

Informationen darüber, ob für eine Aktion zusätzliche abhängige Aktionen in einer Richtlinie erforderlich sind, finden Sie unter den folgenden Themen in der *Service Authorization Reference:*
+ [Amazon Route 53-Wiederherstellungscluster](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53recoverycluster.html)
+ [Amazon Route 53-Wiederherstellungskontrollen](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)

## Servicerollen für ARC
<a name="security_iam_service-with-iam-routing-roles-service"></a>

**Unterstützt Servicerollen:** Nein 

 Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*. 

## Dienstbezogene Rollen für ARC
<a name="security_iam_service-with-iam-routing-roles-service-linked"></a>

**Unterstützt dienstbezogene Rollen:** 

Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einem AWS Dienst verknüpft ist. Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Mit Diensten verknüpfte Rollen werden in Ihrem AWS Konto angezeigt und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten. 

Die Routingsteuerung verwendet keine dienstbezogenen Rollen. 

# Beispiele für identitätsbasierte Richtlinien für die Routingsteuerung in ARC
<a name="security_iam_id-based-policy-examples-routing"></a>

Standardmäßig sind Benutzer und Rollen nicht berechtigt, ARC-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.

Einzelheiten zu den von ARC definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) in der *Service Authorization Reference*.

**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [Beispiel: Zugriff auf die ARC-Konsole zur Routing-Steuerung](#security_iam_id-based-policy-examples-console-routing)
+ [Beispiele: ARC-API-Aktionen für die Konfiguration der Routing-Steuerung](#security_iam_id-based-policy-examples-api-routing)

## Best Practices für Richtlinien
<a name="security_iam_service-with-iam-policy-best-practices-zonal"></a>

Identitätsbasierte Richtlinien legen fest, ob jemand ARC-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Beispiel: Zugriff auf die ARC-Konsole zur Routing-Steuerung
<a name="security_iam_id-based-policy-examples-console-routing"></a>

Um auf die Amazon Application Recovery Controller (ARC) -Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den ARC-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.

Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.

Um sicherzustellen, dass Benutzer und Rollen die ARC-Konsole weiterhin verwenden können, wenn Sie nur den Zugriff auf bestimmte API-Operationen zulassen, fügen Sie den Entitäten außerdem eine `ReadOnly` AWS verwaltete Richtlinie für ARC hinzu. Weitere Informationen finden Sie auf der [Seite mit verwalteten ARC-Richtlinien](security-iam-awsmanpol.md) oder unter [Hinzufügen von Benutzerberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.

Um Benutzern vollen Zugriff auf die Funktionen der ARC-Routing-Steuerung über die Konsole zu gewähren, fügen Sie dem Benutzer eine Richtlinie wie die folgende hinzu, um dem Benutzer alle Rechte zur Konfiguration der ARC-Routing-Steuerungsressourcen und -vorgänge zu gewähren:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [		
                   "route53-recovery-cluster:GetRoutingControlState",
                   "route53-recovery-cluster:UpdateRoutingControlState",
                   "route53-recovery-cluster:UpdateRoutingControlStates",
                   "route53-recovery-control-config:CreateCluster",
                   "route53-recovery-control-config:CreateControlPanel",
                   "route53-recovery-control-config:CreateRoutingControl",
                   "route53-recovery-control-config:CreateSafetyRule",
                   "route53-recovery-control-config:DeleteCluster",
                   "route53-recovery-control-config:DeleteControlPanel",
                   "route53-recovery-control-config:DeleteRoutingControl",
                   "route53-recovery-control-config:DeleteSafetyRule",
                   "route53-recovery-control-config:DescribeCluster",
                   "route53-recovery-control-config:DescribeControlPanel",
                   "route53-recovery-control-config:DescribeSafetyRule",
                   "route53-recovery-control-config:DescribeRoutingControl",
                   "route53-recovery-control-config:ListAssociatedRoute53HealthChecks",
                   "route53-recovery-control-config:ListClusters",
                   "route53-recovery-control-config:ListControlPanels",
                   "route53-recovery-control-config:ListRoutingControls",
                   "route53-recovery-control-config:ListSafetyRules",
                   "route53-recovery-control-config:UpdateControlPanel",
                   "route53-recovery-control-config:UpdateRoutingControl",
                   "route53-recovery-control-config:UpdateSafetyRule"
             ],
            "Resource": "*"
        },
                {
            "Effect": "Allow",
            "Action": [
                   "route53:GetHealthCheck",
                   "route53:CreateHealthCheck",
                   "route53:DeleteHealthCheck",
                   "route53:ChangeTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Beispiele: ARC-API-Aktionen für die Konfiguration der Routing-Steuerung
<a name="security_iam_id-based-policy-examples-api-routing"></a>

Um sicherzustellen, dass ein Benutzer ARC-API-Aktionen verwenden kann, um mit der ARC-Routing-Steuerungskonfiguration zu arbeiten, fügen Sie eine Richtlinie hinzu, die den API-Vorgängen entspricht, mit denen der Benutzer arbeiten muss, wie unten beschrieben.

Um mit API-Operationen für die Konfiguration der Wiederherstellungssteuerung zu arbeiten, fügen Sie dem Benutzer eine Richtlinie wie die folgende hinzu:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [		
                   "route53-recovery-control-config:CreateCluster",
                   "route53-recovery-control-config:CreateControlPanel",
                   "route53-recovery-control-config:CreateRoutingControl",
                   "route53-recovery-control-config:CreateSafetyRule",
                   "route53-recovery-control-config:DeleteCluster",
                   "route53-recovery-control-config:DeleteControlPanel",
                   "route53-recovery-control-config:DeleteRoutingControl",
                   "route53-recovery-control-config:DeleteSafetyRule",
                   "route53-recovery-control-config:DescribeCluster",
                   "route53-recovery-control-config:DescribeControlPanel",
                   "route53-recovery-control-config:DescribeSafetyRule",
                   "route53-recovery-control-config:DescribeRoutingControl",
                   "route53-recovery-control-config:GetResourcePolicy",
                   "route53-recovery-control-config:ListAssociatedRoute53HealthChecks",
                   "route53-recovery-control-config:ListClusters",
                   "route53-recovery-control-config:ListControlPanels",
                   "route53-recovery-control-config:ListRoutingControls",
                   "route53-recovery-control-config:ListSafetyRules",
                   "route53-recovery-control-config:ListTagsForResource",
                   "route53-recovery-control-config:UpdateControlPanel",
                   "route53-recovery-control-config:UpdateRoutingControl",
                   "route53-recovery-control-config:UpdateSafetyRule",
                   "route53-recovery-control-config:TagResource",
                   "route53-recovery-control-config:UntagResource"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Um Aufgaben in der ARC-Routing-Steuerung mit der Datenebenen-API für den Wiederherstellungscluster auszuführen, z. B. die Aktualisierung der Routingsteuerungsstatus für einen Failover während eines Notfalls, können Sie Ihrem IAM-Benutzer eine ARC-IAM-Richtlinie wie die folgende hinzufügen.

Der `AllowSafetyRuleOverride` boolesche Wert erteilt die Erlaubnis, Sicherheitsregeln außer Kraft zu setzen, die Sie als Schutzmaßnahmen für Routingkontrollen konfiguriert haben. Diese Berechtigung kann in „Breakglass“ -Szenarien erforderlich sein, um die Sicherheitsvorkehrungen bei Katastrophen oder anderen dringenden Failover-Szenarien zu umgehen. Beispielsweise muss ein Operator für die Notfallwiederherstellung möglicherweise schnell einen Failover durchführen und eine oder mehrere Sicherheitsregeln verhindern möglicherweise unerwartet, dass eine Statusaktualisierung der Routing-Steuerung erforderlich ist, um den Verkehr umzuleiten. Mit dieser Berechtigung kann der Operator Sicherheitsregeln angeben, die bei API-Aufrufen zur Aktualisierung des Status der Routingsteuerung außer Kraft gesetzt werden. Weitere Informationen finden Sie unter [Sicherheitsregeln außer Kraft setzen, um den Verkehr umzuleiten](routing-control.override-safety-rule.md).

Wenn Sie einem Operator die Verwendung der Datenebene-API für den Wiederherstellungscluster gestatten, aber *verhindern* möchten, dass Sicherheitsregeln außer Kraft gesetzt werden, können Sie eine Richtlinie wie die folgende mit einem `AllowSafetyRuleOverrides` booleschen Wert an anhängen. `false` Damit der Operator Sicherheitsregeln außer Kraft setzen kann, setzen Sie den `AllowSafetyRuleOverrides` booleschen Wert auf. `true`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53-recovery-cluster:GetRoutingControlState",
                "route53-recovery-cluster:ListRoutingControls"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "route53-recovery-cluster:UpdateRoutingControlStates",
                "route53-recovery-cluster:UpdateRoutingControlState"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "route53-recovery-cluster:AllowSafetyRulesOverrides": "false"
                }
            }
        }
    ]
}
```

------

# AWS verwaltete Richtlinien für die Routingsteuerung in Amazon Application Recovery Controller (ARC)
<a name="security-iam-awsmanpol-routing"></a>

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

## AWS verwaltete Richtlinie: AmazonRoute 53 RecoveryControlConfigFullAccess
<a name="security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigFullAccess"></a>

Sie können `AmazonRoute53RecoveryControlConfigFullAccess` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt vollen Zugriff auf Aktionen für die Arbeit mit der Wiederherstellungssteuerungskonfiguration in ARC. Hängen Sie sie IAM-Benutzern und anderen Principals zu, die vollen Zugriff auf die Konfigurationsaktionen für die Wiederherstellungssteuerung benötigen.

Sie können nach eigenem Ermessen Zugriff auf zusätzliche Amazon Route 53-Aktionen hinzufügen, damit Benutzer Zustandsprüfungen für Routingkontrollen erstellen können. Sie könnten beispielsweise die Erlaubnis für eine oder mehrere der folgenden Aktionen gewähren: `route53:GetHealthCheck``route53:CreateHealthCheck`,`route53:DeleteHealthCheck`, und`route53:ChangeTagsForResource`.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonRoute53 RecoveryControlConfigFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigFullAccess.html) in der *Referenz für AWS verwaltete Richtlinien*.

## AWS verwaltete Richtlinie: AmazonRoute 53 RecoveryControlConfigReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigReadOnlyAccess"></a>

Sie können `AmazonRoute53RecoveryControlConfigReadOnlyAccess` an Ihre IAM-Entitäten anhängen. Es ist nützlich für Benutzer, die Routingsteuerungs- und Sicherheitsregelkonfigurationen einsehen müssen. Diese Richtlinie gewährt nur Lesezugriff auf Aktionen für die Arbeit mit der Wiederherstellungssteuerungskonfiguration in ARC. Diese Benutzer können keine Ressourcen für die Wiederherstellungssteuerung erstellen, aktualisieren oder löschen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonRoute53 RecoveryControlConfigReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigReadOnlyAccess.html) in der *Referenz für AWS verwaltete Richtlinien*.

## AWS verwaltete Richtlinie: AmazonRoute 53 RecoveryClusterFullAccess
<a name="security-iam-awsmanpol-AmazonRoute53RecoveryClusterFullAccess"></a>

Sie können `AmazonRoute53RecoveryClusterFullAccess` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt vollen Zugriff auf Aktionen für die Arbeit mit der Cluster-Datenebene in ARC. Ordnen Sie sie IAM-Benutzern und anderen Principals zu, die vollen Zugriff auf die Aktualisierung und das Abrufen von Routing-Kontrollstatus benötigen.

Die Berechtigungen für diese Richtlinie finden Sie unter [AmazonRoute53 RecoveryClusterFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryClusterFullAccess.html) in der Referenz zu *AWS verwalteten* Richtlinien.

## AWS verwaltete Richtlinie: AmazonRoute 53 RecoveryClusterReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonRoute53RecoveryClusterReadOnlyAccess"></a>

Sie können `AmazonRoute53RecoveryClusterReadOnlyAccess` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt schreibgeschützten Zugriff auf die Cluster-Datenebene in ARC. Diese Benutzer können den Status der Routing-Steuerung abrufen, sie jedoch nicht aktualisieren.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonRoute53 RecoveryClusterReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryClusterReadOnlyAccess.html) in der *Referenz für AWS verwaltete Richtlinien*.

## AWS verwaltete Richtlinie: AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy
<a name="security-iam-awsmanpol-AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy"></a>

Sie können `AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt Berechtigungen für die Ausführung und Evaluierung von ARC-Region-Switch-Plänen. Ordnen Sie sie den IAM-Rollen zu, die für die Ausführung des Regions-Switch-Plans verwendet werden.

**Details zu Berechtigungen**

Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `arc-region-switch:GetPlan`— Ermöglicht Prinzipalen das Abrufen von Konfigurationsdetails für einen Regional-Switch-Plan.
+ `arc-region-switch:GetPlanExecution`— Ermöglicht Prinzipalen das Abrufen von Informationen zur Ausführung eines bestimmten Regions-Switch-Plans.
+ `arc-region-switch:ListPlanExecutions`— Ermöglicht Prinzipalen, alle Ausführungen von Regions-Switch-Plänen aufzulisten.
+ `iam:SimulatePrincipalPolicy`— Ermöglicht Prinzipalen, zu simulieren und auszuwerten, welche Aktionen eine IAM-Rolle ausführen kann. Diese Berechtigung ist nur auf IAM-Rollen beschränkt und wird bei der Planevaluierung verwendet, um zu überprüfen, ob die erforderlichen Berechtigungen vorhanden sind, bevor ein Regionenwechselplan ausgeführt wird.
+ `cloudwatch:DescribeAlarms`— Ermöglicht Prinzipalen das Abrufen von Informationen zu CloudWatch Amazon-Alarmen.
+ `cloudwatch:DescribeAlarmHistory`— Ermöglicht es Prinzipalen, historische Statusänderungen für CloudWatch Amazon-Alarme abzurufen.
+ `cloudwatch:GetMetricStatistics`— Ermöglicht Prinzipalen das Abrufen statistischer Daten für CloudWatch Amazon-Metriken.

Weitere Einzelheiten zu dieser Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy.html) im *AWS Referenzhandbuch für verwaltete Richtlinien*.

## Aktualisierungen für AWS verwaltete Richtlinien zur Routing-Steuerung
<a name="security-iam-awsmanpol-routing-updates"></a>

Einzelheiten zu den Aktualisierungen der AWS verwalteten Richtlinien für die Routingsteuerung in ARC seit Beginn der Erfassung dieser Änderungen durch diesen Dienst finden Sie unter[Aktualisierungen der AWS verwalteten Richtlinien für Amazon Application Recovery Controller (ARC)](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates). Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS-Feed auf der [Seite ARC-Dokumentenverlauf](doc-history.md).

# Kontingente für die Routing-Steuerung
<a name="routing-control.quotas"></a>

Die Routing-Steuerung in Amazon Application Recovery Controller (ARC) unterliegt den folgenden Kontingenten (früher als Limits bezeichnet).


| Entität | Kontingent | 
| --- | --- | 
|  Anzahl Cluster pro Konto  |  2  | 
|  Anzahl der Control Panels pro Cluster  |  50  | 
|  Anzahl der Routing-Steuerelemente pro Bedienfeld  | 100 | 
|  Gesamtzahl der Routing-Steuerelemente (in allen Bedienfeldern) pro Cluster  | 300 | 
|  Anzahl der Sicherheitsregeln pro Bedienfeld  |  20  | 
|  Anzahl der Routing-Kontrollen pro [UpdateRoutingControlStates](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_UpdateRoutingControlStates.html)Betriebsaufruf  |  10  | 
|  Anzahl mutierender API-Aufrufe an einen Cluster-Endpunkt pro Sekunde  |  3  |