Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispiele für identitätsbasierte Richtlinien für den Regionenwechsel in ARC
Standardmäßig sind Benutzer und Rollen nicht berechtigt, ARC-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von ARC definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) in der *Service Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [Vertrauensrichtlinie für die Rolle „Planausführung“](security_iam_region_switch_trust_policy.md)
+ [Vollständige Zugriffsberechtigungen](security_iam_region_switch_full_access.md)
+ [Nur-Lese-Berechtigungen](security_iam_region_switch_read_only.md)
+ [Berechtigungen für Ausführungsblöcke](security_iam_region_switch_execution_blocks.md)
+ [CloudWatch Alarme für Statusberechtigungen von Anwendungen](security_iam_region_switch_cloudwatch.md)
+ [Bei der automatischen Ausführung von Plänen werden Genehmigungen gemeldet](security_iam_region_switch_reports.md)
+ [Kontoübergreifende Ressourcenberechtigungen](security_iam_region_switch_cross_account.md)
+ [Vollständige Berechtigungen für die Rolle „Planausführung“](security_iam_region_switch_complete_policy.md)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand ARC-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
# Vertrauensrichtlinie für die Rolle „Planausführung“
Dies ist die Vertrauensrichtlinie, die für die Ausführungsrolle des Plans erforderlich ist, sodass ARC einen Regionenwechselplan ausführen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "arc-region-switch.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Vollständige Zugriffsberechtigungen
Die folgende IAM-Richtlinie gewährt vollen Zugriff für alle Regions-Switches APIs:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "arc-region-switch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:CreatePlan",
"arc-region-switch:UpdatePlan",
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:DeletePlan",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:ApprovePlanExecutionStep",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:StartPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource",
"arc-region-switch:TagResource",
"arc-region-switch:UntagResource",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:UpdatePlanExecutionStep"
],
"Resource": "*"
}
]
}
```
------
# Nur-Lese-Berechtigungen
Die folgende IAM-Richtlinie gewährt Nur-Lese-Zugriffsberechtigungen für den Regions-Switch:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
# Berechtigungen für Ausführungsblöcke
Die folgenden Abschnitte enthalten Beispiele für IAM-Richtlinien, die die erforderlichen Berechtigungen für bestimmte Ausführungsblöcke bereitstellen, die Sie einem Regions-Switch-Plan hinzufügen.
**Topics**
+ [Beispielrichtlinie für den EC2 Auto Scaling Scaling-Ausführungsblock](security_iam_region_switch_ec2_autoscaling.md)
+ [Beispielrichtlinie für Amazon EKS-Ressourcenskalierungsblöcke](security_iam_region_switch_eks.md)
+ [Beispielrichtlinie für Amazon ECS-Service Scaling Execution Block](security_iam_region_switch_ecs.md)
+ [Beispielrichtlinie für Ausführungsblöcke zur Steuerung von ARC-Routing-Steuerungen](security_iam_region_switch_arc_routing.md)
+ [Beispielrichtlinie für Ausführungsblöcke in Aurora Global Database](security_iam_region_switch_aurora.md)
+ [Beispielrichtlinie für Amazon DocumentDB Global Cluster-Ausführungsblöcke](security_iam_region_switch_documentdb.md)
+ [Beispielrichtlinie für Amazon RDS-Ausführungsblöcke](security_iam_region_switch_rds.md)
+ [Musterrichtlinie für die Blockierung manueller Genehmigungen](security_iam_region_switch_manual_approval.md)
+ [Beispielrichtlinie für Lambda-Ausführungsblöcke mit benutzerdefinierter Aktion](security_iam_region_switch_lambda.md)
+ [Beispielrichtlinie für die Blockierung der Ausführung von Route 53-Integritätsprüfungen](security_iam_region_switch_route53.md)
+ [Beispiel für eine Richtlinie zur Ausführung eines Regions-Switch-Plans](security_iam_region_switch_plan_execution.md)
# Beispielrichtlinie für den EC2 Auto Scaling Scaling-Ausführungsblock
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan für EC2 Auto Scaling Scaling-Gruppen Ausführungsblöcke hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"autoscaling:UpdateAutoScalingGroup"
],
"Resource": [
"arn:aws:autoscaling:us-east-1:123456789012:autoScalingGroup:123d456e-123e-1111-abcd-EXAMPLE22222:autoScalingGroupName/app-asg-primary",
"arn:aws:autoscaling:us-west-2:123456789012:autoScalingGroup:1234a321-123e-1234-aabb-EXAMPLE33333:autoScalingGroupName/app-asg-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Beispielrichtlinie für Amazon EKS-Ressourcenskalierungsblöcke
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan für die Amazon EKS-Ressourcenskalierung Ausführungsblöcke hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:cluster/app-eks-primary",
"arn:aws:eks:us-west-2:123456789012:cluster/app-eks-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"eks:ListAssociatedAccessPolicies"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:access-entry/app-eks-primary/*",
"arn:aws:eks:us-west-2:123456789012:access-entry/app-eks-secondary/*"
]
}
]
}
```
------
Hinweis: Zusätzlich zu dieser IAM-Richtlinie muss die Planausführungsrolle mit der Zugriffsrichtlinie zu den Zugriffseinträgen des Amazon EKS-Clusters hinzugefügt werden. `AmazonArcRegionSwitchScalingPolicy` Weitere Informationen finden Sie unter [Konfigurieren Sie die EKS-Zugriffsberechtigungen](eks-resource-scaling-block.md#eks-resource-scaling-block-permissions).
# Beispielrichtlinie für Amazon ECS-Service Scaling Execution Block
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan Ausführungsblöcke für die Amazon ECS-Serviceskalierung hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeServices",
"ecs:UpdateService"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/app-cluster-primary/app-service",
"arn:aws:ecs:us-west-2:123456789012:service/app-cluster-secondary/app-service"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeClusters"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:cluster/app-cluster-primary",
"arn:aws:ecs:us-west-2:123456789012:cluster/app-cluster-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:ListServices"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Beispielrichtlinie für Ausführungsblöcke zur Steuerung von ARC-Routing-Steuerungen
Hinweis: Der Ausführungsblock Amazon ARC Routing Controls erfordert, dass alle Service Control-Richtlinien (SCPs), die auf die Ausführungsrolle des Plans angewendet werden, den Zugriff auf die folgenden Regionen für diese Services ermöglichen:
+ `route53-recovery-control-config: us-west-2`
+ `route53-recovery-cluster: us-west-2, us-east-1, eu-west-1, ap-southeast-2, ap-northeast-1`
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan für ARC-Routingkontrollen Ausführungsblöcke hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-control-config:DescribeControlPanel",
"route53-recovery-control-config:DescribeCluster"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/abcd1234abcd1234abcd1234abcd1234",
"arn:aws:route53-recovery-control::123456789012:cluster/4b325d3b-0e28-4dcf-ba4a-EXAMPLE11111"
]
},
{
"Effect": "Allow",
"Action": [
"route53-recovery-cluster:GetRoutingControlState",
"route53-recovery-cluster:UpdateRoutingControlStates"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/abcdef1234567890",
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/1234567890abcdef"
]
}
]
}
```
------
Sie können die Routing Control Panel-ID und die Cluster-ID mithilfe der CLI abrufen. Weitere Informationen finden Sie unter [Richten Sie Komponenten zur Routing-Steuerung ein](getting-started-cli-routing-config.md).
# Beispielrichtlinie für Ausführungsblöcke in Aurora Global Database
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan für Aurora-Datenbanken Ausführungsblöcke hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": [
"arn:aws:rds::123456789012:global-cluster:app-global-db",
"arn:aws:rds:us-east-1:123456789012:cluster:app-db-primary",
"arn:aws:rds:us-west-2:123456789012:cluster:app-db-secondary"
]
}
]
}
```
------
# Beispielrichtlinie für Amazon DocumentDB Global Cluster-Ausführungsblöcke
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan für globale Amazon DocumentDB-Cluster Ausführungsblöcke hinzufügen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters",
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": "*"
}
]
}
```
# Beispielrichtlinie für Amazon RDS-Ausführungsblöcke
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie Ausführungsblöcke zu einem Regionswechselplan für Amazon RDS-Read Replica-Promotion oder regionsübergreifende Replikaterstellung hinzufügen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:PromoteReadReplica",
"rds:CreateDBInstanceReadReplica",
"rds:ModifyDBInstance"
],
"Resource": "*"
}
]
}
```
# Musterrichtlinie für die Blockierung manueller Genehmigungen
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die angehängt werden kann, wenn Sie einem Plan für den Regionswechsel Ausführungsblöcke für manuelle Genehmigungen hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:ApprovePlanExecutionStep"
],
"Resource": "arn:aws:arc-region-switch::123456789012:plan/sample-plan:0123abc"
}
]
}
```
------
# Beispielrichtlinie für Lambda-Ausführungsblöcke mit benutzerdefinierter Aktion
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regions-Switch-Plan für Lambda-Funktionen Ausführungsblöcke hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:app-recovery-primary",
"arn:aws:lambda:us-west-2:123456789012:function:app-recovery-secondary"
]
}
]
}
```
------
# Beispielrichtlinie für die Blockierung der Ausführung von Route 53-Integritätsprüfungen
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Regionenwechselplan für Route 53-Zustandsprüfungen Ausführungsblöcke hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:ListResourceRecordSets"
],
"Resource": [
"arn:aws:route53:::hostedzone/Z1234567890ABCDEFGHIJ"
]
}
]
}
```
------
# Beispiel für eine Richtlinie zur Ausführung eines Regions-Switch-Plans
Im Folgenden finden Sie eine Beispielrichtlinie, die angehängt werden kann, wenn Sie einem Plan für den Regionalwechsel Ausführungsblöcke hinzufügen, um untergeordnete Pläne auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:StartPlanExecution",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": [
"arn:aws:arc-region-switch::123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch::123456789012:plan/child-plan-2/fghij2"
]
}
]
}
```
------
# CloudWatch Alarme für Statusberechtigungen von Anwendungen
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die an CloudWatch Zugriffsalarme für den Anwendungsstatus angehängt werden kann, anhand derer die tatsächliche Wiederherstellungszeit ermittelt werden kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary",
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
]
}
]
}
```
------
# Bei der automatischen Ausführung von Plänen werden Genehmigungen gemeldet
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die angehängt werden kann, wenn Sie die automatische Berichtsgenerierung für einen Regionswechselplan konfigurieren. Diese Richtlinie umfasst Berechtigungen zum Schreiben von Berichten an Amazon S3, zum Zugriff auf CloudWatch Alarmdaten und zum Abrufen von Informationen über Kinderpläne für Eltern.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your-bucket-name/*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeAlarmHistory"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary"
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
],
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutionEvents"
],
"Resource": [
"arn:aws:arc-region-switch:us-east-1:123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch:us-west-2:123456789012:plan/child-plan-2/fghij2"
],
}
]
}
```
Hinweis: Wenn Sie einen vom Kunden verwalteten AWS KMS Schlüssel für die Amazon S3 S3-Bucket-Verschlüsselung konfigurieren, müssen Sie `kms:GenerateDataKey` auch `kms:Encrypt` Berechtigungen für den Schlüssel hinzufügen.
# Kontoübergreifende Ressourcenberechtigungen
Wenn sich Ressourcen in unterschiedlichen Konten befinden, benötigen Sie eine kontenübergreifende Rolle. Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie für eine kontoübergreifende Rolle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
Und im Folgenden finden Sie die Erlaubnis für die Rolle „Planausführung“, diese kontenübergreifende Rolle zu übernehmen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::987654321098:role/RegionSwitchCrossAccountRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
# Vollständige Berechtigungen für die Rolle „Planausführung“
Für die Erstellung einer umfassenden Richtlinie, die Berechtigungen für alle Ausführungsblöcke umfasst, wäre eine ziemlich umfangreiche Richtlinie erforderlich. In der Praxis sollten Sie nur Berechtigungen für die Ausführungsblöcke angeben, die Sie in Ihren spezifischen Plänen verwenden.
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Sie als Ausgangspunkt für eine Rollenrichtlinie zur Planausführung verwenden können. Stellen Sie sicher, dass Sie zusätzliche Richtlinien hinzufügen, die für bestimmte Ausführungsblöcke erforderlich sind, die Sie in Ihren Plan aufnehmen. Geben Sie nur die Berechtigungen an, die für die spezifischen Ausführungsblöcke erforderlich sind, die Sie in Ihrem Plan verwenden, um dem Prinzip der geringsten Rechte zu folgen
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:SimulatePrincipalPolicy",
"Resource": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": "*"
}
]
}
```
------