Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cambio región en ARC
Puede utilizar el conmutador de región de ARC para organizar tareas de recuperación complejas y a gran escala para los recursos de sus aplicaciones en todas AWS las cuentas, a fin de garantizar la continuidad empresarial y reducir los gastos operativos. El conmutador de región proporciona una solución centralizada y observable que puede realizar manualmente o automatizar mediante activadores de CloudWatch alarmas de Amazon. Si una Región de AWS falla, puede ejecutar los planes que haya creado utilizando el cambio de región para realizar una conmutación por error o cambiar sus recursos a otra región. Esto garantiza que la aplicación pueda seguir funcionando, al ejecutarse en una Región de AWS en buen estado.
El cambio de región se crea en torno al concepto de un *plan*, que usted diseña y configura para sus necesidades de recuperación específicas. Cada plan incluye *flujos de trabajo* que se componen de pasos. Cada paso ejecuta uno o más *bloques de ejecución*, cuyo conmutador de región se ejecuta en paralelo o en secuencia, para completar la recuperación de una aplicación. Cada bloque de ejecución gestiona una tarea diferente, como el cambio de recursos o la administración de la redirección del tráfico de la aplicación. Para obtener aún más flexibilidad, puede crear planes para padres, agregando planes para hijos a un plan para padres general.
El cambio de región incluye lo siguiente:
+ Support for active/passive and active/active settings. Puede realizar la conmutación por error y la conmutación por recuperación si tiene una configuración active/passive multirregional, o cambiar y volver si la aplicación está configurada como en varias regiones. active/active
+ Compatibilidad entre cuentas para los recursos de la aplicación que incluya en la recuperación de la aplicación. También puede compartir los planes de cambio de región entre cuentas.
+ Conmutación o conmutación por error automática, mediante la activación de la ejecución del plan en función de las alarmas de Amazon. CloudWatch También puede optar por ejecutar un plan de cambio de región manualmente.
+ Paneles de control con todas las características que le aportan visibilidad en tiempo real del proceso de recuperación.
+ Un plano de datos en cada uno Región de AWS, para que puedas ejecutar tu plan de cambio de región sin depender de la región que vayas a desactivar.
El cambio de región lo administra totalmente AWS. El uso del cambio de región le permite beneficiarse de la resiliencia de una plataforma de recuperación que se centra en los requisitos específicos de su aplicación, en lugar de crear y mantener scripts y recopilar manualmente los datos sobre las recuperaciones.
# Acerca del cambio de región
Con el cambio de región, puedes organizar los pasos específicos para cambiar el lugar en el Región de AWS que se ejecuta tu aplicación multirregional.
El cambio de región se crea en torno al concepto de un *plan*, que usted diseña y configura para sus necesidades de recuperación específicas. Cada plan incluye *flujos de trabajo* que se componen de pasos. Cada paso ejecuta uno o más *bloques de ejecución*, cuyo conmutador de región se ejecuta en paralelo o en secuencia, para completar la recuperación de una aplicación. Cada bloque de ejecución gestiona una tarea diferente, como el cambio de recursos o la administración de la redirección del tráfico de la aplicación. Para obtener aún más flexibilidad, puede crear planes para padres añadiendo planes para hijos.
Cada vez que crea o actualiza un plan, el cambio de región realiza una evaluación del plan, para garantizar que no haya problemas con los permisos de IAM, las configuraciones de recursos o la capacidad de ejecución. El cambio de región ejecuta estas evaluaciones de forma periódica y genera una advertencia para cualquier problema que encuentre.
El cambio de región también calcula un valor de tiempo de recuperación real para cada ejecución del plan, con el fin de ayudarlo a evaluar si el plan cumple sus objetivos. Puede ver el tiempo de recuperación y otros detalles sobre las ejecuciones del plan en los paneles de cambio de región en la Consola de administración de AWS. Para obtener más información, consulte [Paneles de cambio de región](region-switch.dashboarding-and-reports.md).
Para obtener más información sobre cada una de estas áreas del cambio de región, consulte las siguientes secciones.
## Planes de cambio de región
Un plan de cambio de región es el recurso de nivel superior del cambio de región. Debe adaptar su plan a una aplicación multirregional concreta. Un plan le permite crear *flujos de trabajo* para recuperar sus aplicaciones mediante la ejecución de una serie de *bloques de ejecución* de cambios de región que activan o desactivan la aplicación y sus recursos, incluidos los recursos multicuenta, en la forma Región de AWS que usted especifique.
Un plan se compone de uno o más flujos de trabajo que permiten activar o desactivar uno específico. Región de AWS Puede configurar los bloques de ejecución de un flujo de trabajo para que se ejecuten secuencialmente o puede especificar que algunos de los bloques se ejecuten en paralelo.
En el caso de un plan que se configura para un enfoque active/passive multirregional, se crea un flujo de trabajo que se pueda utilizar para activar cualquiera de las regiones o bien dos flujos de trabajo de activación independientes, uno para cada región. En el caso de un plan que configure para un enfoque activo/activo, debe crear un flujo de trabajo para activar sus regiones y un flujo de trabajo para desactivarlas.
Regiones de AWS son ubicaciones geográficas de todo el mundo donde se AWS agrupan los centros de datos. Cada región se ha diseñado para que se encuentre totalmente aislada de las demás regiones, lo que aporta tolerancia a errores y estabilidad. Al usar el cambio de región, debe tener en cuenta en qué regiones está implementada su aplicación y qué regiones desea utilizar para la recuperación.
El conmutador de región permite la recuperación entre dos Regiones de AWS lugares en los que el servicio esté disponible. Al configurar un plan de cambio de región, debe especificar las regiones en las que está implementada la aplicación y el enfoque de recuperación que desea utilizar: active/passive o activo/activo.
Por ejemplo, puede tener un enfoque active/passive multirregional con us-east-1 como región principal y us-west-2 como región de reserva. Para recuperar su aplicación de un problema operativo que afecte a la aplicación en us-east-1, puede ejecutar su plan de cambio de región para activar us-west-2. Esto haría que la aplicación cambiara de recursos de la región us-east-1 a recursos de la región us-west-2.
Los planes de cambio de región se ejecutan con los permisos asociados al rol de IAM que especifica al crear el plan.
Puede crear varios planes, uno para cada una de sus aplicaciones multirregionales y, a continuación, orquestar la recuperación de todos estos planes en el orden necesario mediante la creación de un *plan principal*. Un plan principal es un plan que utiliza los bloques de ejecución del plan de cambio de región como pasos. La jerarquía de planes está limitada a dos niveles (principal y secundario), pero puede incluir varios planes secundarios bajo el mismo plan principal.
## Flujos de trabajo y bloques de ejecución
Después de crear un plan de cambio de región, debe agregar uno o más flujos de trabajo al plan para definir los pasos que desea que lleve a cabo el plan para la recuperación de la aplicación. Para cada flujo de trabajo, se añaden pasos que contienen bloques de ejecución. Cada bloque de ejecución lleva a cabo una acción de recuperación específica, como ampliar los recursos o actualizar los controles de enrutamiento para redirigir el tráfico. Los pasos organizan estos bloques de ejecución y controlan si se ejecutan en paralelo o en secuencia. Al crear planes principales, también puedes organizar el orden en el que varias aplicaciones se recuperarán en la región que vayas a activar.
Los bloques de ejecución se organizan en pasos dentro de un flujo de trabajo. Cada paso puede contener uno o más bloques de ejecución que se ejecutan en paralelo, y usted organiza los pasos para que se ejecuten secuencialmente en su flujo de trabajo. Además, según el recurso, puede tener la opción de ejecutar un bloque de ejecución con una ejecución ordenada (planificada) o no ordenada (no planificada).
+ Ejecución ordenada: un flujo de trabajo de ejecución planificado. Cuando su entorno se encuentre en buen estado, podrá utilizar el flujo de trabajo ordenado para ejecutar todos los pasos con una ejecución del plan de forma ordenada.
+ Ejecución no ordenada: una ejecución no planificada. El modo de flujo de trabajo no ordenado utiliza solo los pasos y acciones necesarios. Este modo cambia el comportamiento de los bloques de ejecución en un flujo de trabajo u omite bloques de ejecución específicos.
+ Ejecución posterior a la recuperación: flujo de trabajo que se ejecuta después de una recuperación exitosa para prepararse para futuros eventos regionales. Las ejecuciones posteriores a la recuperación pueden crear réplicas de lectura, ejecutar lógica personalizada mediante funciones Lambda, añadir puertas de aprobación manuales e integrar planes secundarios para una orquestación compleja. Estas ejecuciones requieren que ambas regiones estén en buen estado y que se lleven a cabo en la región que anteriormente estaba afectada.
Por último, también puede configurar recursos entre cuentas para un bloque de ejecución. En primer lugar, debe configurar los permisos siguiendo las instrucciones que se indican en [Compatibilidad entre cuentas en el cambio de región](cross-account-resources-rs.md). Una vez configurados los roles de IAM necesarios, puede agregar recursos entre cuentas en los bloques de ejecución de los flujos de trabajo de su plan. Para añadir recursos multicuenta, al añadir un paso, se especifica un rol de IAM de destino que tenga permisos para el recurso de otro. Cuentas de AWS También debe especificar el ID externo que proporcionó en la política de confianza para el rol entre cuentas. Para obtener más detalles sobre la creación de los roles de IAM necesarios, consulte [Permisos de recursos entre cuentas](security_iam_region_switch_cross_account.md).
Para obtener más información sobre los flujos de trabajo, consulte [Creación de flujos de trabajo de planes de cambio de región](working-with-rs-workflows.md). Para obtener detalles sobre cada tipo de bloque de ejecución, incluidos los pasos de configuración, su funcionamiento y qué se evalúa como parte de la evaluación del plan, consulte [Agregación de bloques de ejecución](working-with-rs-execution-blocks.md).
## Evaluación del plan
La evaluación del plan es un proceso automatizado que ejecuta el cambio de región cuando se crea o actualiza un plan y, posteriormente, cada 30 minutos, durante el estado estable. El proceso de evaluación verifica varios aspectos críticos de la configuración del plan y de las configuraciones de recursos. Las evaluaciones incluyen la verificación de los permisos de IAM, las configuraciones de los recursos y la capacidad de ejecución.
Si el cambio de región detecta un problema que podría impedir la correcta ejecución del plan, genera una advertencia de evaluación del plan, que aparecerá resaltada en la página de detalles del plan en la consola. También puedes consumir las advertencias de evaluación del plan con Amazon EventBridge, o puedes ver las advertencias mediante la API de cambio de región. Para obtener más información sobre la API de evaluación de planes, consulte [GetPlanEvaluationStatus](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanEvaluationStatus.html)la *Guía de referencia de la API de cambio de región* para Amazon Application Recovery Controller (ARC).
Puede ver los detalles y las soluciones sugeridas para los problemas que surjan durante la evaluación del plan en la pestaña **Evaluación del plan**, situada en la página de detalles del plan. Le recomendamos que también pruebe la recuperación de las aplicaciones ejecutando su plan de cambio de región y que no se base únicamente en la evaluación del plan de cambio de región, con el fin de comprobar que su plan de recuperación funcionará como espera.
## Informes automáticos de ejecución del plan
Region Switch puede generar automáticamente informes completos en PDF para la ejecución de los planes a fin de ayudarlo a cumplir con los requisitos de cumplimiento normativo. Estos informes proporcionan pruebas de sus pruebas de recuperación ante desastres y de los eventos de recuperación reales, incluidos los plazos de ejecución detallados, las configuraciones de los planes y el estado de los recursos.
Al configurar la generación automática de informes para un plan, Region Switch crea un informe en PDF una vez finalizada la ejecución de cada plan y lo envía a un bucket de Amazon S3 que especifique. Los informes suelen estar disponibles 30 minutos después de finalizar la ejecución. Se aplican costos de almacenamiento de S3.
Cada informe incluye:
+ Resumen ejecutivo con descripción general del servicio y fecha de creación del informe
+ Planifique los detalles de configuración tal como estaban en el momento de la ejecución
+ Cronograma de ejecución detallado con los pasos, los recursos afectados y los estados
+ Planifique las advertencias que estaban presentes cuando se inició la ejecución
+ Estados CloudWatch de alarma e historial de alarmas de Amazon para las alarmas asociadas
+ Para los planes principales, detalles de configuración y ejecución de los planes secundarios
+ Glosario de términos y conceptos
Para habilitar la generación automática de informes, configure un destino de salida de informes al crear o actualizar un plan. También debe asegurarse de que la función de IAM de ejecución de su plan tenga los permisos necesarios para escribir informes en su bucket de Amazon S3 y acceder a los recursos necesarios para generar el contenido del informe. Para obtener más información acerca de los permisos requeridos, consulte [La ejecución automática del plan informa sobre los permisos](security_iam_region_switch_reports.md).
Puede ver el estado de la generación de los informes y descargar los informes completos desde la página de detalles de la ejecución del plan en la consola. Si al generar el informe se producen errores, como permisos insuficientes o buckets de Amazon S3 mal configurados, el conmutador de región proporciona detalles del error para ayudarte a solucionar el problema.
La evaluación del plan valida continuamente la configuración del informe, incluida la verificación de que la función de ejecución cuenta con los permisos de IAM necesarios. Si el cambio de región detecta problemas de configuración que impidan la generación correcta de los informes, genera advertencias que puede ver en la página de detalles del plan.
## Alarmas regionales y tiempo de recuperación real
El cambio de región calcula un valor de *tiempo de recuperación real* para cada ejecución del plan, que puede consultar después de la ejecución del plan. El tiempo de recuperación real se muestra en la página de detalles de ejecución del plan, de modo que puede compararlo con el objetivo de tiempo de recuperación que especificó al crear el plan.
El tiempo de recuperación real se calcula como el tiempo total que tarda en completarse la ejecución de un plan y cualquier tiempo adicional que transcurra antes de que las CloudWatch alarmas de Amazon específicas que configure vuelvan a un estado verde.
Para poder calcular un tiempo de recuperación real preciso para la ejecución del plan, debe configurar CloudWatch las alarmas regionales de Amazon para un plan de cambio de región que proporcionen una señal sobre el estado de su aplicación en cada región. Cuando se ejecuta un plan, el cambio de región utiliza estas alarmas de estado de la aplicación para determinar cuándo la aplicación vuelve a estar en buen estado. A continuación, el conmutador de región calcula el tiempo de recuperación real en función del tiempo que tarda su plan en ejecutarse, sumado al tiempo que tarda la aplicación en volver a funcionar correctamente, en función de las alarmas de estado de la aplicación que configure.
Antes de añadir CloudWatch alarmas a un plan de cambio de región, asegúrese de contar con la política de IAM correcta. Para obtener más información, consulte [CloudWatch alarmas para los permisos de estado de las aplicaciones](security_iam_region_switch_cloudwatch.md).
# Regiones de AWS
El cambio de región está disponible en todas las regiones comerciales Regiones de AWS, así como en las regiones AWS GovCloud (EE. UU.).
Para obtener información detallada sobre la compatibilidad regional y los puntos de conexión de servicio del Controlador de recuperación de aplicaciones de Amazon (ARC), consulte [Puntos de conexión y cuotas del Controlador de recuperación de aplicaciones de Amazon (ARC)](https://docs.aws.amazon.com/general/latest/gr/arc.html) en la *Referencia general de Amazon Web Services*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/r53recovery/latest/dg/aws-regions-rs.html)
# Componentes del cambio de región
A continuación se describen los componentes y conceptos de la característica de cambio de región del Controlador de recuperación de aplicaciones de Amazon (ARC).
**Plan**
Un plan es el proceso de recuperación fundamental de su aplicación. Un plan se crea con la creación de uno o más flujos de trabajo con bloques de ejecución que se ejecutarán en secuencia o en paralelo. A continuación, cuando se produce un deterioro regional, se ejecuta el plan para realizar una recuperación de la aplicación cambiando la aplicación para que se ejecute en una región en buen estado.
**Plan secundario**
Un plan secundario es un plan independiente que se puede ejecutar desde un plan principal para coordinar escenarios más complejos de recuperación de aplicaciones. Puede anidar los planes de cambio de región en un nivel.
**Flujo de trabajo**
Un plan de cambio de región incluye uno o más flujos de trabajo. Un flujo de trabajo se compone de pasos que contienen bloques de ejecución, que usted especifica para que se ejecuten en paralelo o en secuencia, para completar la activación o desactivación de una región como parte de un plan de recuperación. En el caso de un plan que configure con un active/passive enfoque, debe crear un flujo de trabajo que pueda usarse para activar cualquiera de sus regiones o flujos de trabajo de activación independientes, uno para cada región. En el caso de un plan que configure para un active/active enfoque, debe crear un flujo de trabajo para activar sus regiones y un flujo de trabajo para desactivarlas.
**Bloque de ejecución**
Agrega pasos a los flujos de trabajo del plan de cambio de región que contienen un bloque de ejecución. Los bloques de ejecución le permiten especificar la recuperación de varias aplicaciones o recursos en una región de activación. Al añadir un paso a un flujo de trabajo, puede añadirlo en secuencia con otros pasos o en paralelo con uno o varios pasos más.
**Configuraciones ordenadas y no ordenadas**
Puede optar por ejecutar bloques de ejecución específicos con una ejecución ordenada (planificada) o no ordenada (no planificada). Cuando su entorno se encuentre en buen estado, podrá utilizar el flujo de trabajo ordenado para ejecutar todos los pasos con una ejecución del plan de forma ordenada. El modo de flujo de trabajo no ordenado utiliza solo los pasos y acciones necesarios. Cuando ejecuta un plan en modo no ordenado, cambia el comportamiento de los bloques de ejecución en un flujo de trabajo u omite bloques de ejecución específicos, según el tipo de bloque de ejecución.
Los tipos específicos de bloques de ejecución tienen un comportamiento diferente cuando se ejecutan de modo no ordenado. Los detalles sobre estas diferencias se describen en la sección que incluye información sobre cada tipo de bloque de ejecución. Para obtener más información, consulte [Agregación de bloques de ejecución](working-with-rs-execution-blocks.md).
**Configuraciones de Active/active and active/passive**
Existen dos enfoques principales para crear una configuración flexible para una aplicación en varias regiones: active/passive activa/activa. El cambio de región es compatible con la recuperación de aplicaciones con ambos enfoques.
Con una active/passive configuración, se implementan dos réplicas de la aplicación en dos regiones diferentes, y el tráfico de clientes solo se dirige a una región.
Con una active/active configuración, se implementan dos réplicas en dos regiones diferentes, pero ambas réplicas procesan el trabajo o reciben tráfico.
**Ejecución del plan**
Cuando se ejecuta un plan de cambio de región, se implementa la recuperación de una aplicación cuando una región se ve afectada, activando una región en buen estado para la aplicación y el tráfico que recibe. Con una active/active configuración, también se ejecuta un plan para desactivar la región afectada.
**Alarmas de estado de aplicaciones**
Las alarmas de estado de las aplicaciones son CloudWatch alarmas que se especifican en un plan para indicar el estado de la aplicación en cada región. El cambio de región usa alarmas de estado de las aplicaciones para ayudar a determinar el tiempo de recuperación real después de cambiar de región para implementar la recuperación.
**Desencadenadores**
Puede utilizar desencadenadores en el cambio de región para automatizar la recuperación de las aplicaciones. Cuando creas un disparador, especificas una o más CloudWatch alarmas de Amazon y defines qué condiciones de alarma (como «roja» o «verde») deberían iniciar la ejecución del plan. Cuando se cumplen las condiciones especificadas, Region Switch ejecuta automáticamente el plan. Los activadores son distintos de las alarmas de estado de las aplicaciones: inician la ejecución del plan, mientras que las alarmas de estado de las aplicaciones ayudan a Region Switch a calcular el tiempo de recuperación real una vez finalizado el plan.
**Flujo de trabajo tras la recuperación**
Un flujo de trabajo posterior a la recuperación es un flujo de trabajo opcional que se ejecuta después de una recuperación exitosa para prepararse para futuros eventos regionales. Estos flujos de trabajo requieren que ambas regiones estén en buen estado y funcionen en la región que anteriormente estaba afectada. Las ejecuciones posteriores a la recuperación hacen referencia al ID de ejecución de recuperación de la ejecución de recuperación más reciente.
Los flujos de trabajo posteriores a la recuperación admiten los siguientes bloques de ejecución:
+ RDS Create: réplica entre regiones
+ Lambda de acción personalizada
+ Aprobación manual
+ Plan de cambio de región
**Paneles**
El cambio de región incluye paneles de control en los que puede realizar un seguimiento de los detalles sobre las ejecuciones de los planes en tiempo real.
# Planos de datos y control para el cambio de región
A la hora de planificar la conmutación por error y la recuperación ante desastres, tenga en cuenta la resiliencia de los mecanismos de conmutación por error. Le recomendamos que se asegure de que los mecanismos de los que depende durante la conmutación por error tengan una alta disponibilidad, de modo que pueda utilizarlos cuando los necesite en caso de desastre. Por lo general, debe utilizar las funciones del plano de datos para los mecanismos siempre que pueda, a fin de obtener la máxima fiabilidad y tolerancia a errores. Teniendo esto en cuenta, es importante entender cómo se divide la funcionalidad de un servicio entre planos de control y planos de datos, y cuándo se puede confiar en una fiabilidad extrema con el plano de datos de un servicio.
Como ocurre con muchos AWS servicios, la funcionalidad de la capacidad del conmutador regional está respaldada por un plano de control y planos de datos. Si bien ambos tipos están diseñados para ser fiables, un plano de control está optimizado para garantizar la coherencia de los datos, mientras que un plano de datos está optimizado para la disponibilidad. Un plano de datos está diseñado para ser resistente, de modo que puede mantener la disponibilidad incluso durante eventos disruptivos, cuando un plano de control podría no estar disponible.
En general, un *plano de control* permite realizar funciones de administración básicas, como crear, actualizar y eliminar recursos del servicio. Un *plano de datos* proporciona la funcionalidad principal de un servicio. Por ello, le recomendamos que utilice las operaciones del plano de datos cuando la disponibilidad sea importante, por ejemplo, cuando necesite obtener información sobre un plan de cambio de región durante una interrupción.
Para el cambio de región, los planos de control y los planos de datos se dividen de la siguiente manera:
+ El plano de control del conmutador de región está ubicado en la región estadounidense Este (Virginia del Norte) (us-east-1) AWS GovCloud y la región (US-Oeste) us-gov-west (-1) y está diseñado para usarse únicamente para la administración de servicios, es decir, para crear y actualizar planes, no para la recuperación, es decir, para ejecutar planes. *Las operaciones de la API del plano de control de la configuración del cambio de región no cuentan con alta disponibilidad.*
+ El cambio de región tiene planos de datos independientes en cada Región de AWS. Debe utilizar el plano de datos para las acciones de recuperación, es decir, para ejecutar planes de cambio de región. Para obtener una lista de las operaciones del plano de datos, consulte. [Operaciones de la API de cambio de región](actions.region-switch.md) *Estas operaciones del plano de datos del cambio de región cuentan con alta disponibilidad.*
El conmutador de región proporciona una consola independiente en cada una de ellas Región de AWS, que invoca las operaciones de la API del plano de datos para las tareas de recuperación, de modo que puede utilizar la consola de la región que está activando para ejecutar planes de recuperación de aplicaciones. Para obtener más información sobre las consideraciones clave a la hora de preparar y realizar una operación de recuperación con el cambio de región, consulte [Prácticas recomendadas para el cambio de región en ARC](best-practices.region-switch.md).
Para obtener más información sobre los planos de datos, los planos de control y cómo AWS se crean servicios para cumplir los objetivos de alta disponibilidad, consulte el [artículo Static stability using Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) en Amazon Builders' Library.
# Etiquetado para el cambio de región de ARC
Las etiquetas son palabras o frases (metadatos) que se utilizan para identificar y organizar AWS los recursos. Puedes añadir varias etiquetas a cada recurso, y cada etiqueta incluye una clave y un valor que tú definas. Por ejemplo, la clave puede ser el entorno y el valor puede ser la producción. Puede buscar y filtrar sus recursos en función de las etiquetas que añada.
Puede etiquetar el siguiente recurso en el cambio de región de ARC:
+ Planes
El etiquetado en ARC solo está disponible a través de la API, por ejemplo, mediante la AWS CLI.
A continuación se muestran ejemplos de etiquetado en el cambio de región mediante la AWS CLI.
`aws arc-region-switch --region us-east-1 create-plan --plan-name example-plan --tags Region=IAD,Stage=Prod`
Para obtener más información, consulte la *Guía [TagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_TagResource.html)de referencia de la API de cambio de región* para Amazon Application Recovery Controller (ARC).
# Precios del cambio de región en ARC
Se paga un costo mensual fijo por cada plan de cambio de región que configure.
Para obtener información detallada sobre los precios de ARC y ejemplos de precios, consulte [Precios de ARC](https://aws.amazon.com/application-recovery-controller/pricing/).
# Prácticas recomendadas para el cambio de región en ARC
Recomendamos las siguientes prácticas para preparar la recuperación y la conmutación por error con el cambio de región en el Controlador de recuperación de aplicaciones de Amazon (ARC).
**Temas**
+ [Mantenga seguras y siempre accesibles las AWS credenciales diseñadas específicamente y de larga duración](#RSBestPracticeCredentials)
+ [Elija valores TTL más bajos para los registros de DNS involucrados en la conmutación por error](#RSBestPracticeLowerTTL)
+ [Reserva de la capacidad necesaria para aplicaciones críticas](#RSBestPracticeCapacity)
+ [Uso de las operaciones de API del plano de datos extremadamente fiable para enumerar y obtener información sobre los planes de cambio de región](#RSBestPracticeUseDataPlane)
+ [Prueba de la conmutación por error con ARC](#RSBestPracticeTestFailover)
**Mantenga seguras y siempre accesibles las credenciales diseñadas específicamente y de larga duración AWS **
En un escenario de recuperación ante desastres (DR), reduzca al mínimo las dependencias del sistema mediante un enfoque sencillo para acceder a las tareas de recuperación AWS y realizarlas. Cree [credenciales de IAM de larga duración](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html) específicas para las tareas de DR y guárdelas de forma segura en una caja fuerte física en las instalaciones o en un almacén virtual para acceder a ellas cuando sea necesario. Con IAM, puede gestionar de forma centralizada las credenciales de seguridad, como las claves de acceso y los permisos de acceso a AWS los recursos. En el caso de tareas no relacionadas con DR, le recomendamos que siga utilizando el acceso federado mediante los servicios de AWS , como, por ejemplo, [AWS Single Sign-On](https://aws.amazon.com/single-sign-on/).
**Elija valores TTL más bajos para los registros de DNS involucrados en la conmutación por error**
En el caso de los registros de DNS que pueda necesitar cambiar como parte del mecanismo de conmutación por error, especialmente los registros cuyo estado se haya comprobado, se recomienda utilizar valores de TTL más bajos. Configurar un TTL de 60 o 120 segundos es una opción común para esta situación.
La configuración TTL (tiempo de vida) de DNS indica a los solucionadores de DNS cuánto tiempo deben almacenar en caché un registro antes de solicitar uno nuevo. Cuando selecciona un TTL, inicia un compromiso entre latencia y fiabilidad y la capacidad de respuesta a los cambios. Con TTL más cortos en un registro, los solucionadores de DNS detectan las actualizaciones del registro más rápido, ya que deben realizar consultas con más frecuencia.
Para obtener más información, consulte *Elija valores de TTL para los registros de DNS* en [Prácticas recomendadas para registros de DNS de Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-dns.html).
**Reserva de la capacidad necesaria para aplicaciones críticas**
El cambio de región incluye tipos de bloques de ejecución que ayudan a escalar los recursos de computación como parte de la recuperación. Si utiliza estos bloques de ejecución en un plan, el cambio de región no garantiza que se alcance la capacidad de computación deseada. Si tiene una aplicación esencial y necesita garantizar el acceso a la capacidad, le recomendamos que reserve la capacidad.
Existen estrategias que puede seguir para reservar la capacidad de computación en una región secundaria y, al mismo tiempo, limitar los costos. Para obtener más información, consulte [Llama piloto con capacidad reservada: cómo optimizar los costos de recuperación ante desastres mediante reservas de capacidad a demanda](https://aws.amazon.com/blogs/architecture/pilot-light-with-reserved-capacity-how-to-optimize-dr-cost-using-on-demand-capacity-reservations/).
**Uso de las operaciones de API del plano de datos extremadamente fiable para enumerar y obtener información sobre los planes de cambio de región**
Utilice las operaciones de la API del plano de datos para trabajar con su plan de cambio de región y ejecutarlo durante un evento. Para obtener una lista de las operaciones del plano de datos del cambio de región, consulte [Operaciones de la API de cambio de región](actions.region-switch.md).
La consola de cambio de región de cada región utiliza las operaciones del plano de datos para ejecutar los planes de cambio de región. También puede llamar a las operaciones de la API del plano de datos mediante AWS CLI o ejecutando el código que escriba con uno de los. AWS SDKs ARC ofrece una fiabilidad extrema con la API en el plano de datos.
**Prueba de la recuperación de aplicaciones con ARC**
Pruebe la recuperación de aplicaciones periódicamente con un conmutador de región ARC, para activar una pila de aplicaciones secundaria en otra Región de AWS o para cambiar una configuración activa-activa ejecutando un plan de cambio de región para desactivar una de las regiones.
Es importante asegurarse de que los planes de cambio de región que ha agregado estén alineados con los recursos correctos de la pila y de que todo funcione como se espera. Debe probar esto después de configurar el cambio de región para el entorno y seguir realizando pruebas periódicamente para comprobar que los procesos de recuperación funcionan correctamente. Realice estas pruebas con asiduidad, antes de que se produzca una situación de error, con el fin de evitar el tiempo de inactividad para los usuarios.
**Conmutación por error de DNS del conmutador de región ARC frente a recuperación acelerada de Route 53**
La recuperación acelerada proporciona un RTO objetivo de 60 minutos que APIs se utiliza para actualizar los registros de las zonas alojadas públicas que estén habilitadas para esta función. Si necesita mantener el control de su RTO y no esperar a que se complete la recuperación de la APIs necesaria, debe utilizar el control de enrutamiento ARC o el bloque de ejecución de comprobaciones de estado Route 53 del conmutador de región ARC. AWS
# Tutorial: Cree un plan de cambio de active/passive región
Este tutorial le guiará a través de la creación de un plan de cambio de active/passive región para una aplicación que se ejecute en la us-east-1 y se recupere en la us-west-2. El ejemplo incluye instancias de Amazon EC2 para computación, base de datos global de Amazon Aurora para almacenamiento y Amazon Route 53 para DNS.
En este tutorial, completará los siguientes pasos:
+ Creación de un plan de cambio de región
+ Creación de los flujos de trabajo y los bloques de ejecución del plan
+ Cree un bloque de ejecución grupal de Auto Scaling de EC2
+ Creación de dos bloques de ejecución de aprobaciones manuales
+ Creación de dos bloques de ejecución de Lambda de acciones personalizadas
+ Creación de un bloque de ejecución de base de datos global de Amazon Aurora
+ Creación de un bloque de control de enrutamiento de ARC
+ Ejecución de un plan de cambio de región
## Requisitos previos
Antes de comenzar este tutorial, asegúrese de que cuenta con los siguientes requisitos previos en ambas regiones:
+ Roles de IAM con los permisos adecuados
+ Grupos de Auto Scaling de EC2
+ Funciones de Lambda para la página de mantenimiento y la delimitación
+ Base de datos global de Aurora
+ Control de enrutamiento de ARC
## Paso 1: creación de un plan de cambio de región
1. En la consola de la característica de cambio de región, elija **Crear plan de cambio de región**.
1. Proporcione los siguientes detalles:
+ **Región principal**: elija us-east-1
+ **Región en espera**: elija us-west-2
+ **Objetivo de tiempo de recuperación (RTO) deseado** (opcional)
+ **Rol de IAM**: introduzca el rol de IAM de ejecución del plan. Esta función de IAM permite cambiar de región a los AWS servicios de llamadas durante la ejecución.
1. Seleccione **Crear**.
(Opcional) Añada recursos de diferentes AWS cuentas a su plan de cambio de región:
1. Cree el rol entre cuentas:
+ En la cuenta que aloja el recurso, cree un rol de IAM.
+ Agregue permisos para los recursos específicos a los que accederá el plan.
+ Cree una política de confianza que permita al rol de ejecución adoptar el nuevo rol.
+ Introduzca y anote un ID externo que utilizará como secreto compartido.
1. Configure el recurso en el plan:
+ Cuando agregue el recurso al plan, especifique dos campos adicionales:
+ **crossAccountRole**: El ARN del rol que creó en el paso 1
+ **externalId**: el ID externo que introdujo en el paso 1
Ejemplo de configuración para un bloque de ejecución de Auto Scaling de EC2 que accede a los recursos de la cuenta 987654321:
```
{
"executionBlock": "EC2AutoScaling",
"name": "ASG",
"crossAccountRole": "arn:aws:iam::987654321:role/RegionSwitchCrossAccountRole",
"externalId": "unique-external-id-123",
"autoScalingGroupArn": "arn:aws:autoscaling:us-west-2:987654321:autoScalingGroup:*:autoScalingGroupName/CrossAccountASG"
}
```
Permisos necesarios:
+ La función de ejecución debe tener el AssumeRole permiso sts: para la función multicuenta.
+ El rol entre cuentas debe tener permisos únicamente para los recursos específicos a los que se accede.
+ La política de confianza del rol entre cuentas debe incluir lo siguiente:
+ La cuenta del rol de ejecución como entidad de confianza.
+ La condición de ID externo.
+ Para obtener más información sobre la configuración de un rol multicuenta, consulte. [Permisos de recursos entre cuentas](security_iam_region_switch_cross_account.md)
Antes de ejecutar el plan, el cambio de región verificará lo siguiente:
+ El rol de ejecución puede adoptar el rol entre cuentas.
+ El rol entre cuentas tiene los permisos necesarios.
+ El ID externo coincide con la política de confianza.
## Paso 2: creación de los flujos de trabajo y los bloques de ejecución del plan
1. En la página de detalles del plan de cambio de región, elija **Crear flujos de trabajo**.
1. Seleccione **Crear el mismo flujo de trabajo de activación para todas las regiones**.
1. Introduzca una descripción del flujo de trabajo de activación de región (opcional). Esto se utilizará para identificar fácilmente el flujo de trabajo al ejecutar el plan.
1. Elija **Guardar y continuar**.
### Añadir bloque de ejecución de Auto Scaling de EC2
Para obtener más información sobre este bloque de ejecución, consulte[Bloque de ejecución del grupo Amazon EC2 Auto Scaling](ec2-auto-scaling-block.md).
1. Elija **Agregar un paso** y, a continuación, seleccione **Ejecutar en secuencia**.
1. Seleccione el bloque de **ejecución de Auto Scaling de EC2** y, a continuación, **elija Añadir y editar**. Este bloque le permitirá empezar a aumentar la capacidad en la región pasiva.
1. En el panel de la derecha, configure el bloque:
+ **Nombre del paso**: indique “Escalar”
+ **Descripción del paso** (opcional)
+ **ARN del grupo Auto Scaling para us-east-1: El ARN de su ASG en us-east-1**
+ **ARN del grupo Auto Scaling para us-west-2: El ARN de su ASG en us-west-2**
+ **Porcentaje que coincide con la capacidad de la región de origen**: introduzca 100
+ **Enfoque de supervisión de la capacidad**: déjelo como “Más reciente”
+ **Tiempo de espera** (opcional)
Para obtener información sobre los permisos de IAM necesarios para este bloque de ejecución, consulte. [Ejemplo de política de bloques de ejecución de Auto Scaling de EC2](security_iam_region_switch_ec2_autoscaling.md)
1. Elija **Guardar paso.**
### Agregue un bloque de ejecución con aprobación manual
Para obtener más información sobre este bloque de ejecución, consulte[Bloque de ejecución de aprobaciones manuales](manual-approval-block.md).
1. Elija **Agregar paso**.
1. Seleccione el **Bloque de ejecución de aprobación manual** y agréguelo a la ventana de diseño. Este bloque permite la verificación humana antes de continuar.
1. En el panel de la derecha, configure el bloque:
+ **Nombre del paso**: indique “Aprobación manual antes de la configuración”
+ **Descripción del paso** (opcional)
+ **Rol de aprobación de IAM**: el rol que debe adoptar un usuario para aprobar la ejecución
+ **Tiempo de espera** (opcional). Cuando se agota el tiempo de espera, la ejecución se detiene y puede volver a intentarlo, omitirlo o cancelarlo.
Para obtener información sobre los permisos de IAM necesarios para este bloque de ejecución, consulte[Política de ejemplo de bloque de ejecución de aprobaciones manuales](security_iam_region_switch_manual_approval.md).
1. Elija **Guardar paso.**
### Agregar bloque de ejecución de Lambda de acción personalizada para la página de mantenimiento
Para obtener más información sobre este bloque de ejecución, consulte[Bloque de ejecución de Lambda de acciones personalizadas](custom-action-lambda-block.md).
1. Elija **Agregar paso**.
1. Seleccione el **Bloque de ejecución de Lambda de acción personalizada** y, a continuación, elija **Agregar y editar**. Este bloque publica una página de mantenimiento en la región que se está activando.
1. En el panel de la derecha, configure el bloque:
+ **Nombre del paso**: indique “Mostrar página de mantenimiento”
+ **Descripción del paso** (opcional)
+ **ARN de Lambda para activar us-east-1**: el ARN de la página de la función de Lambda de la página de mantenimiento implementada en us-east-1
+ **ARN de Lambda para activar us-west-2**: el ARN de la página de la función de Lambda de la página de mantenimiento implementada en us-west-2
+ **Región para ejecutar la función de Lambda**: elija **Ejecutar en la región de activación**
+ **Tiempo de espera** (opcional)
+ **Intervalo de reintento** (opcional)
Para obtener información sobre los permisos de IAM necesarios para este bloque de ejecución, consulte[Política de ejemplo de bloque de ejecución de Lambda de acciones personalizadas](security_iam_region_switch_lambda.md).
1. Elija **Guardar paso.**
### Añadir bloque de ejecución de Aurora Global Database
Para obtener más información sobre este bloque de ejecución, consulte[Bloque de ejecución de base de datos global de Amazon Aurora](aurora-global-database-block.md).
1. Elija **Agregar paso**.
1. Seleccione el **Bloque de ejecución de base de datos global de Aurora** y, a continuación, elija **Agregar y editar**. Este bloque desencadena una transición de base de datos global de Aurora (sin pérdida de datos). Para obtener más información, consulte [Uso de transición o conmutación por error para base de datos global de Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html) en la *Guía del usuario de Aurora*.
1. En el panel de la derecha, configure el bloque:
+ **Nombre del paso**: introduzca **Transición de Aurora**
+ **Descripción del paso** (opcional)
+ **Identificador de base de datos global de Aurora**: nombre del clúster de Aurora
+ **ARN del clúster utilizado para activar us-east-1**: el ARN del clúster de Aurora en us-east-1
+ **ARN del clúster utilizado para activar us-west-2**: el ARN del clúster de Aurora en us-west-2
+ **Seleccionar la opción para la base de datos Aurora**: elija **Transición**
+ **Tiempo de espera** (opcional)
Para obtener información sobre los permisos de IAM necesarios para este bloque de ejecución, consulte[Política de ejemplo de bloque de ejecución de base de datos global de Aurora](security_iam_region_switch_aurora.md).
1. Elija **Guardar paso.**
### Agregue el bloque de ejecución del control de enrutamiento ARC
Para obtener más información sobre este bloque de ejecución, consulte[Bloque de ejecución del control de enrutamiento de ARC](arc-routing-controls-block.md).
1. Elija **Agregar paso**.
1. Seleccione **Bloque de ejecución del control de enrutamiento de ARC** y, a continuación, elija **Agregar y editar**. Este bloque realiza una conmutación por error de DNS para desplazar el tráfico a la región pasiva.
1. En el panel de la derecha, configure el bloque:
+ **Nombre del paso**: indique **Alternar DNS**
+ **Descripción del paso** (opcional)
+ **Controles de enrutamiento utilizados para activar us-east-1**: elija **Agregar controles de enrutamiento**
+ **Tiempo de espera**: introduzca un valor de tiempo de espera.
1. Elija **Agregar control de enrutamiento**:
+ **ARN de control de enrutamiento**: el ARN del control de enrutamiento que controla us-east-1
+ **Estado de control de enrutamiento**: elija **Activado**
1. Vuelva a elegir **Agregar control de enrutamiento**:
+ **ARN de control de enrutamiento**: el ARN del control de enrutamiento que controla us-west-2
+ **Estado de control de enrutamiento**: elija **Desactivado**
1. Seleccione **Save**.
1. **Controles de enrutamiento utilizados para activar us-west-2**: elija **Agregar controles de enrutamiento**
1. Elija **Agregar control de enrutamiento**:
+ **ARN de control de enrutamiento**: el ARN del control de enrutamiento que controla us-west-2
+ **Estado de control de enrutamiento**: elija **Activado**
1. Vuelva a elegir **Agregar control de enrutamiento**:
+ **ARN de control de enrutamiento**: el ARN del control de enrutamiento que controla us-east-1
+ **Estado de control de enrutamiento**: elija **Desactivado**
1. Seleccione **Save**.
1. Elija **Guardar paso**.
Para obtener información sobre los permisos de IAM necesarios para este bloque de ejecución, consulte[Política de ejemplo de bloque de ejecución de controles de enrutamiento de ARC](security_iam_region_switch_arc_routing.md).
1. Seleccione **Save**.
## Paso 3: ejecución del plan
1. En la página de detalles del plan de cambio de región, en la parte superior derecha, seleccione **Ejecutar**.
1. Escriba los detalles de la ejecución:
+ Seleccione la región que desee activar.
+ Seleccione el modo de ejecución del plan.
+ (Opcional) Vea los pasos de ejecución.
+ Reconozca la ejecución del plan.
1. Elija **Iniciar**.
1. Puede ver los pasos detallados a medida que el plan se ejecuta en la página de detalles de la ejecución. Puede ver cada paso en la ejecución del plan, incluida la hora de inicio, la hora de finalización, el ARN del recurso y los mensajes de registro.
Cuando la región deteriorada se haya recuperado, puede volver a ejecutar el plan (cambiando los parámetros que proporcione) para activar la región original y volver a realizar las operaciones de la aplicación en la región principal original.
# Tutorial: Configurar la generación automática de informes de ejecución del plan
Este tutorial le guía sobre la configuración de la generación automática de informes de ejecución de planes para un plan de cambio de región. Los informes proporcionan una documentación completa en PDF sobre las ejecuciones de los planes con fines de cumplimiento.
En este tutorial, completará los siguientes pasos:
+ Cree un bucket de Amazon S3 para el almacenamiento de informes
+ Habilite la generación automática de informes en un plan de cambio de región
+ Ejecute el plan y descargue el informe
## Requisitos previos
Antes de comenzar este tutorial, compruebe que dispone de lo siguiente:
+ Un plan de cambio de región existente con flujos de trabajo configurados
+ Permisos para crear buckets de Amazon S3
+ La función de IAM de ejecución de su plan está configurada con los permisos necesarios. Para obtener más información, consulte [La ejecución automática del plan informa sobre los permisos](security_iam_region_switch_reports.md).
## Paso 1: Crear un bucket de Amazon S3 para informes
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Elija **Crear bucket**.
1. Proporcione los siguientes detalles:
+ **Nombre del bucket**: introduzca un nombre único, como `my-region-switch-reports`
+ **Bloquear la configuración del acceso público**: mantenga bloqueado todo el acceso público (recomendado)
+ **Control de versiones por bucket**: habilite el control de versiones (opcional pero recomendado)
+ **Cifrado predeterminado: seleccione el cifrado**. Si usa SSM-KMS, planExecutionRole necesita kms: cifrado y kms: GenerateDataKey permisos en la CMK predeterminada del bucket s3
1. Elija **Crear bucket**.
1. Anote el nombre del bucket para usarlo en el siguiente paso.
## Paso 2: habilita la generación automática de informes en tu plan
1. Abra la consola del conmutador de región en[https://console.aws.amazon.com/route53recovery/regionswitch/home](https://console.aws.amazon.com/route53recovery/regionswitch/home).
1. Seleccione el plan para el que desee configurar los informes.
1. Elija **En la barra de navegación, vaya a Acciones y seleccione Editar detalles del plan**.
1. En la sección **Configuración del informe**, proporciona lo siguiente:
+ Seleccione **Habilitar la generación automática de informes**
+ **URI de Amazon S3:** seleccione o introduzca el URI de S3 del bucket que creó en el paso 1
+ **ID de cuenta propietario del bucket:** introduzca el ID de cuenta del propietario del bucket
1. Seleccione **Save**.
1. Espere a que se complete la evaluación del plan. Si hay algún problema de configuración, aparecerán advertencias en la página de detalles del plan.
## Paso 3: Ejecute el plan y descargue el informe
1. En la página de detalles del plan, seleccione **Ejecutar**.
1. Complete la ejecución del plan como de costumbre, seleccionando la región que desee activar y el modo de ejecución.
1. Una vez finalizada la ejecución del plan, navegue a la página de detalles de la ejecución.
1. En la sección del **informe de ejecución del plan**, supervise el estado de generación del informe. La generación del informe normalmente se completa a los 30 minutos de la finalización de la ejecución.
1. Cuando el estado del informe sea **Completado**, seleccione **Descargar el informe de ejecución del plan** para descargar el PDF.
1. Como alternativa, navegue hasta su bucket de Amazon S3 para acceder directamente al informe. Los informes se almacenan con el siguiente patrón de nomenclatura: `ExecutionReport-${planVersion.ownerAccountId}-${planName}-${execution.regionTo}-${event.executionId}-${dateStr}.pdf`
El informe generado incluye:
+ Resumen ejecutivo con descripción general del servicio y fecha de creación del informe
+ Planifique los detalles de configuración tal como estaban en el momento de la ejecución
+ Cronograma de ejecución detallado con los pasos, los recursos afectados y los estados
+ Planifique las advertencias que estaban presentes cuando se inició la ejecución
+ Estados CloudWatch de alarma e historial de alarmas de Amazon para las alarmas asociadas
+ Para los planes principales, detalles de configuración y ejecución de los planes secundarios
+ Glosario de términos y conceptos
## Resolución de problemas
Si se produce un error en la generación del informe, compruebe lo siguiente:
+ **Errores de permisos**: compruebe que la función de ejecución tiene los permisos de IAM correctos. Para obtener más información, consulte [La ejecución automática del plan informa sobre los permisos](security_iam_region_switch_reports.md). Consulte las advertencias de evaluación del plan para ver si hay problemas de permisos específicos.
+ **Acceso al bucket de Amazon S3**: asegúrese de que el bucket de Amazon S3 existe y es accesible desde la región en la que está configurado el plan. Compruebe que las políticas de bucket no bloqueen el acceso desde la función de ejecución.
+ **Cifrado** de buckets: si utilizas claves de KMS administradas por el cliente para el cifrado de bucket, asegúrate de que el rol de ejecución tenga permisos para usar la clave de KMS.
Para obtener ayuda adicional, consulta los mensajes de error detallados en la página de detalles de ejecución o ponte en contacto con AWS Support.
# Tutorial: Ejecute un flujo de trabajo posterior a la recuperación de RDS
Este tutorial le guía sobre la ejecución de un flujo de trabajo posterior a la recuperación tras una conmutación por error de RDS exitosa. Esta ejecución posterior a la recuperación restaura la redundancia al restablecer la replicación entre regiones de la base de datos de RDS, lo que garantiza que la base de datos de RDS esté preparada para futuros eventos regionales.
En este tutorial, completará los siguientes pasos:
+ Compruebe los requisitos previos para la ejecución posterior a la recuperación
+ Cree un flujo de trabajo posterior a la recuperación con el bloque de ejecución Create Cross-Region Replica de RDS
+ Ejecute el flujo de trabajo posterior a la recuperación
## Requisitos previos
Antes de comenzar este tutorial, compruebe que dispone de lo siguiente:
+ Un active/passive plan de cambio de región con un flujo de trabajo de activación que incluye un bloque de ejecución de RDS Promote Read Replica
+ Una ejecución de activación correcta que promovió una réplica de lectura en la otra región
+ Ambas regiones están en buen estado y son accesibles
+ El ID de ejecución de la ejecución de recuperación más reciente
## Paso 1: Crear un flujo de trabajo posterior a la recuperación
1. En la consola de cambio de región, elija el plan, elija **Editar flujos de trabajo**, seleccione **Config**, marque **Incluir el flujo de trabajo posterior a la recuperación en el plan** y guárdelo.
1. En la página Editar flujos de trabajo, selecciona el menú desplegable **Seleccionar un flujo de trabajo para añadir pasos** y selecciona **Después de la recuperación**.
1. Elija **Agregar paso**.
1. Seleccione el **bloque de ejecución de creación de réplicas entre regiones de Amazon RDS**.
1. En el panel de la derecha, configure el bloque:
+ **Nombre del paso**: escriba «Crear réplica de lectura entre regiones»
+ **Descripción del paso** (opcional)
+ **ARN de la instancia de base de datos de RDS para la región principal**: el ARN de la base de datos de la región principal debe ser el mismo que el del paso de promoción, lectura y réplica
+ **ARN de la instancia de base de datos RDS para la región secundaria: el ARN** de la base de datos promocionada, en la secundaria, debe ser el mismo que el del paso de promoción, lectura y réplica
+ **Tiempo de espera** (opcional): introduzca un valor de tiempo de espera, como 90 minutos
Para obtener información sobre los permisos de IAM necesarios para este bloque de ejecución, consulte. [Ejemplo de política de bloques de ejecución de Amazon RDS](security_iam_region_switch_rds.md)
1. Elija **Guardar paso.**
1. Seleccione **Guardar flujo** de trabajo.
## Paso 2: Ejecute el flujo de trabajo posterior a la recuperación
1. En la página de detalles del plan de cambio de región, en la parte superior derecha, selecciona **Ejecutar después** de la recuperación.
1. Escriba los detalles de la ejecución:
+ **ID de ejecución de recuperación**: introduzca el ID de ejecución de la ejecución de recuperación más reciente. Este campo se utiliza para identificar la región que está activa actualmente.
+ **Región en la que se va a ejecutar**: seleccione la región inactiva que no recibe tráfico de aplicaciones. Esta es la región en la que se creará una réplica de lectura.
1. Revise los pasos de ejecución y confirme la ejecución.
1. Seleccione **Iniciar ejecución**.
1. Supervise el progreso de la ejecución en la página de detalles de la ejecución. El bloque de ejecución Create Cross-Region Replica de RDS cambiará el nombre de la instancia principal anterior y creará una nueva réplica de lectura en la región anteriormente dañada.
Una vez que la ejecución posterior a la recuperación se complete correctamente, se restablecerá la replicación entre regiones de su aplicación y estará preparado para futuros eventos regionales. Puede comprobar si la nueva réplica de lectura se creó consultando la consola RDS de la región de destino. Se cambiará el nombre de la antigua primaria y se etiquetará con *renamedByRegionSwitch*.
**importante**
El cambio de región valida que el identificador de ejecución de la recuperación coincida con la última ejecución conocida del plan. Si el identificador de ejecución no es válido o no es el identificador de la última ejecución de recuperación conocida, la ejecución posterior a la recuperación no se ejecutará.
# Operaciones de la API de cambio de región
En la siguiente tabla se enumeran las operaciones de ARC que puede usar para el cambio de región, con enlaces a la documentación pertinente.
| Action | Uso de la consola de ARC | Uso de la API de ARC | API de plano de datos |
| --- | --- | --- | --- |
| Aprobación o denegación de un paso de ejecución del plan | Consulte [Bloque de ejecución de aprobaciones manuales](manual-approval-block.md) | Consulte [ApprovePlanExecutionStep](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ApprovePlanExecutionStep.html). | Sí |
| Cancelación de la ejecución de un plan | Consulte [Creación de un plan de cambio de región](working-with-rs-create-plan.md) | Consulte [CancelPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_CancelPlanExecution.html). | Sí |
| Creación de un plan | Consulte [Creación de un plan de cambio de región](working-with-rs-create-plan.md) | Consulte [CreatePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_CreatePlan.html). | No |
| Eliminación de un plan | Consulte [Trabajo con el cambio de región](working-with-rs.md) | Consulte [DeletePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_DeletePlan.html). | No |
| Obtención de un plan | Consulte [Trabajo con el cambio de región](working-with-rs.md) | Consulte [GetPlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlan.html). | No |
| Obtención del estado de evaluación del plan | Consulte [Evaluación del plan](region-switch-plans.md#region-switch-plans.plan-evaluation) | Consulte [GetPlanEvaluationStatus](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanEvaluationStatus.html). | Sí |
| Obtención de la ejecución de un plan | Consulte [Paneles de cambio de región](region-switch.dashboarding-and-reports.md) | Consulte [GetPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanExecution.html). | Sí |
| Obtención de un plan en la región | Consulte [Trabajo con el cambio de región](working-with-rs.md) | Consulte [GetPlanInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanInRegion.html). | Sí |
| Enumeración de eventos de ejecución del plan | Consulte [Cómo ejecutar un plan de cambio de región para recuperar una aplicación](plan-execution-rs.md) | Consulte [ListPlanExecutionEvents](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlanExecutionEvents.html). | Sí |
| Enumeración de ejecuciones del plan | Consulte [Cómo ejecutar un plan de cambio de región para recuperar una aplicación](plan-execution-rs.md) | Consulte [ListPlanExecutions](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlanExecutions.html). | Sí |
| Enumeración de planes | Consulte [Trabajo con el cambio de región](working-with-rs.md) | Consulte [ListPlans](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlans.html). | No |
| Enumeración de planes en la región | Consulte [Trabajo con el cambio de región](working-with-rs.md) | Consulte [ListPlansInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlansInRegion.html). | Sí |
| Incluya los controles de salud de Route 53 para un plan | Consulte [Bloque de ejecución de la comprobación de estado de Amazon Route 53](route53-health-check-block.md) | Consulte [ListRoute53 HealthChecksForPlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListRoute53HealthChecks.html) | No |
| Incluya los controles de salud de Route 53 para un plan en la región | Consulte [Bloque de ejecución de la comprobación de estado de Amazon Route 53](route53-health-check-block.md) | Consulte [ListRoute53 HealthChecksForPlanInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListRoute53HealthChecksInRegion.html) | Sí |
| Enumerar las etiquetas de un recurso | Consulte [Etiquetado para el cambio de región de ARC](tagging.region-switch.md) | Consulte [ListTagsForResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListTagsForResource.html). | No |
| Iniciación de la ejecución de un plan | Consulte [Cómo ejecutar un plan de cambio de región para recuperar una aplicación](plan-execution-rs.md) | Consulte [StartPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_StartPlanExecution.html). | Sí |
| Etiquetado de un recurso | Consulte [Creación de un plan de cambio de región](working-with-rs-create-plan.md) | Consulte [TagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_TagResource.html). | No |
| Eliminación de etiquetas de un recurso | Consulte [Etiquetado para el cambio de región de ARC](tagging.region-switch.md) | Consulte [UntagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UntagResource.html). | No |
| Actualización de un plan | Consulte [Creación de un plan de cambio de región](working-with-rs-create-plan.md) | Consulte [UpdatePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlan.html). | No |
| Actualización de la ejecución de un plan | Consulte [Creación de un plan de cambio de región](working-with-rs-create-plan.md) | Consulte [UpdatePlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlanExecution.html). | Sí |
| Actualización de un paso de la ejecución de un plan | Consulte [Creación de un plan de cambio de región](working-with-rs-create-plan.md) | Consulte [UpdatePlanExecutionStep](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlanExecutionStep.html). | Sí |
# Trabajo con el cambio de región
En esta sección se proporcionan step-by-step instrucciones para trabajar con los planes de cambio de región, que puede utilizar para recuperar aplicaciones multirregionales. El cambio de región le permite crear planes tanto para los enfoques de recuperación como para active/passive los enfoques active/active de recuperación.
Para crear un plan de recuperación para su aplicación, haga lo siguiente:
1. Cree un plan de cambio de región. Un plan es una estructura con ciertos atributos, como los atributos específicos en los Regiones de AWS que se ejecuta la aplicación. Cada plan incluye uno o más *flujos de trabajo*.
Si lo desea, puede crear varios planes y anidar esos *planes secundarios* en un plan de recuperación general.
1. Cree un flujo de trabajo para el plan. No puede ejecutar un plan sin crear primero un flujo de trabajo.
1. En el flujo de trabajo, añada uno o más pasos que sean cada uno un *bloque de ejecución*.
Por ejemplo, podría añadir un paso para ampliar los grupos de Auto Scaling de EC2 en una región de destino.
1. Después de añadir pasos al flujo de trabajo, es posible que se necesiten pasos adicionales, como configurar las comprobaciones de estado en Amazon Route 53. Cada sección del bloque de ejecución incluye la información de configuración que necesita. Para obtener más información, consulte [Agregación de bloques de ejecución](working-with-rs-execution-blocks.md).
1. Para recuperar la aplicación cuando se esté ejecutando en un entorno con problemas Región de AWS, ejecute el plan.
Puede realizar un seguimiento del progreso de la ejecución de un plan consultando la información en el panel global o en un panel regional.
En las siguientes secciones se proporciona información detallada y los pasos para crear un plan y flujos de trabajo, así como para añadir pasos de bloques de ejecución en los flujos de trabajo.
**Topics**
+ [Creación de un plan](working-with-rs-create-plan.md)
+ [Creación de flujos de trabajo](working-with-rs-workflows.md)
+ [Agregación de bloques de ejecución](working-with-rs-execution-blocks.md)
+ [Creación de planes secundarios](working-with-rs-child-plan.md)
+ [Crear desencadenadores de](working-with-rs-triggers.md)
+ [Ejecutar un plan](plan-execution-rs.md)
Los procedimientos de esta sección ilustran cómo trabajar con planes, flujos de trabajo, bloques de ejecución y desencadenadores mediante la Consola de administración de AWS. Para trabajar en su lugar con las operaciones de la API de cambio de región, consulte [Operaciones de la API de cambio de región](actions.region-switch.md).
# Creación de un plan de cambio de región
Puede crear dos tipos diferentes de planes en Region Switch: un active/active plan o un active/passive plan. Al crear un plan, especifique el tipo que se aplica a la forma en que desea administrar la conmutación por error.
+ Un enfoque *activo/pasivo* implementa dos réplicas de aplicaciones en dos regiones, con el tráfico dirigido únicamente a la región activa. Puede activar la réplica en la región pasiva ejecutando el plan de cambio de región.
+ Un enfoque *activo/activo* implementa dos réplicas de aplicaciones en dos regiones y ambas réplicas procesan el trabajo o reciben tráfico.
# Cómo crear un plan de cambio de región
1. En la consola de cambio de región, selecciona **Crear un plan de cambio de región** con active/passive enfoque.
1. Proporcione los siguientes detalles:
+ **Nombre del plan**: indique un nombre descriptivo para el plan.
+ **Enfoque multirregional**: seleccione **Activo/pasivo** o **Activo/activo**. Este enfoque significa que se implementan dos réplicas de aplicaciones en dos regiones, con el tráfico dirigido únicamente a la región activa. Puede activar la réplica en la región pasiva ejecutando el plan de cambio de región.
+ Elija **Activo/pasivo** si ha implementado dos réplicas de aplicaciones en dos regiones, con el tráfico dirigido únicamente a la región activa. A continuación, puede activar la réplica en la región pasiva ejecutando el plan de cambio de región que especifique *Activo/pasivo*.
+ Elija **Activo/activo** si ha implementado dos réplicas de aplicaciones en dos regiones y ambas réplicas procesan el trabajo o reciben tráfico.
+ **Regiones principales o en espera** o **Regiones**: seleccione las regiones principales o en espera para su aplicación. Para una active/active implementación, seleccione las regiones en las que se implementan las réplicas.
+ **Objetivo de tiempo de recuperación (RTO)**: indique el RTO deseado. El cambio de región lo utiliza para obtener información sobre el tiempo que tarda en ejecutarse el plan de cambio de región en comparación con el RTO deseado.
+ **Rol de IAM**: ofrezca un rol de IAM para que el cambio de región lo utilice al ejecutar el plan. Para obtener más información sobre los permisos, consulte [Administración de identidades y accesos para el cambio de región en ARC](security-iam-region-switch.md).
+ ** CloudWatch Alarma de Amazon**: proporciona una alarma de estado de la aplicación que hayas creado con Amazon CloudWatch para indicar el estado de la aplicación en cada región. La característica de cambio de región usa estas alarmas de estado de las aplicaciones para ayudar a determinar el tiempo de recuperación real después de cambiar de región para implementar la recuperación.
Antes de añadir CloudWatch alarmas a un plan de cambio de región, asegúrate de contar con la política de IAM correcta. Para obtener más información, consulte [CloudWatch alarmas para los permisos de estado de las aplicaciones](security_iam_region_switch_cloudwatch.md).
+ **Generación automática de informes**: si lo desea, active la generación automática de informes para la ejecución del plan. Cuando está activado, el conmutador de región genera un informe completo en PDF una vez finalizada la ejecución de cada plan y lo envía al bucket de Amazon S3 que especifique. Proporcione el URI de Amazon S3 y el ID de cuenta propietario del bucket.
Antes de habilitar la generación automática de informes para los planes, asegúrese de contar con la política de IAM correcta. Para obtener más información sobre la generación de informes y los permisos necesarios, consulte[Informes automáticos de ejecución del plan](region-switch-plans.md#region-switch-plans.plan-execution-reports).
+ **Etiquetas**: si lo desea, agregue una o varias etiquetas a su plan.
# Creación de flujos de trabajo de planes de cambio de región
Tras crear un plan de cambio de región, debe definir y crear flujos de trabajo que especifiquen el proceso de recuperación de su aplicación. Para cada plan, se definen uno o más flujos de trabajo que realicen la recuperación de su aplicación. En cada flujo de trabajo, se agregan pasos que incluyen *bloques de ejecución* que definen cada acción que desea que el cambio de región lleve a cabo para la recuperación de la aplicación.
La cantidad de flujos de trabajo que cree depende del escenario de implementación de la aplicación y de sus preferencias para administrar la recuperación. Por ejemplo:
+ Si su plan de cambio de región es para una active/active application deployment, you also need to create a deactivation workflow. This means that for or active/active implementación, tendrá un mínimo de dos flujos de trabajo: un flujo de trabajo de activación y un flujo de trabajo de desactivación.
+ Si su plan de cambio de región es para el despliegue de una active/passive aplicación, tiene una región principal y una secundaria. Si decide tener flujos de trabajo de activación independientes para cada región, creará dos flujos de trabajo, uno para cada región.
# Cómo crear flujos de trabajo de planes de cambio de región
1. En el plan de cambio de región que ha creado, elija **Crear flujos de trabajo**.
1. Seleccione una de las siguientes opciones de flujo de trabajo:
+ **Crear el mismo flujo de trabajo de activación para todas las regiones**: le permite utilizar el mismo flujo de trabajo de activación en todas las regiones.
+ **Crear flujos de trabajo por separado para cada región**: se crea un flujo de trabajo de activación individual para cada región.
1. Si lo desea, facilite una descripción para cada flujo de trabajo.
1. Defina el flujo de trabajo necesario para recuperar la aplicación. En el flujo de trabajo, se agregan *bloques de ejecución* para definir los pasos que quiere que el cambio de región lleve a cabo para la recuperación. Cada bloque de ejecución define acciones, como el redireccionamiento del tráfico de la aplicación o la recuperación de la base de datos en una región de activación, y es compatible con los recursos en otra Cuenta de AWS. Puede optar por que los bloques de ejecución se ejecuten en paralelo o secuencialmente. Para obtener información detallada sobre los bloques de ejecución específicos que puede agregar a los flujos de trabajo, consulte [Agregación de bloques de ejecución](working-with-rs-execution-blocks.md).
1. Según la opción de flujo de trabajo que haya seleccionado, realice lo siguiente:
+ Si ha seleccionado **Crear el mismo flujo de trabajo de activación para todas las regiones**, se necesitará un flujo de trabajo de activación.
+ Si ha seleccionado **Crear flujos de trabajo por separado para cada región**, se necesitan dos flujos de trabajo de activación.
En el active/active caso de los planes, debe definir tanto un flujo de trabajo de activación como un flujo de trabajo de desactivación.
# Agregación de bloques de ejecución
Agregue pasos a los flujos de trabajo en su plan de cambio de región para realizar los pasos individuales y completar la conmutación por error o la conmutación de su aplicación. Para obtener información detallada sobre la funcionalidad y el comportamiento de cada tipo de bloque de ejecución, consulte las siguientes descripciones.
La característica de cambio de región ejecuta una evaluación del plan inmediatamente después de crearlo o actualizarlo y, a continuación, cada 30 minutos durante el estado estable. La característica de cambio de región almacena información sobre la evaluación del plan en todas las regiones en las que está configurado el plan. Aquí, cada sección del bloque de ejecución incluye información sobre lo que se evalúa cuando el cambio de región ejecuta la evaluación del plan.
El cambio de región incluye tipos de bloques de ejecución que ayudan a escalar los recursos de computación como parte de la recuperación. Si utiliza estos bloques de ejecución en un plan, tenga en cuenta que el cambio de región no garantiza que se alcance la capacidad de computación deseada. Si tiene una aplicación esencial y necesita garantizar el acceso a la capacidad, le recomendamos que reserve la capacidad. Existen estrategias que puede seguir para reservar la capacidad de computación en una región secundaria y, al mismo tiempo, limitar los costos. Para obtener más información, consulte [Llama piloto con capacidad reservada: cómo optimizar los costos de recuperación ante desastres mediante reservas de capacidad a demanda](https://aws.amazon.com/blogs/architecture/pilot-light-with-reserved-capacity-how-to-optimize-dr-cost-using-on-demand-capacity-reservations/).
La característica de cambio de región es compatible con los siguientes bloques de ejecución.
****
| Bloque de ejecución | Función | Configuración no ordenada |
| --- | --- | --- |
| [Bloque de ejecución del plan de cambio de región de ARC](region-switch-plan-block.md) | Orqueste la recuperación de varias aplicaciones en una sola ejecución especificando los planes secundarios de ejecución. | Comience los planes secundarios con sus configuraciones no ordenadas. |
| [Bloque de ejecución del grupo Amazon EC2 Auto Scaling](ec2-auto-scaling-block.md) | Escale los recursos informáticos de EC2 que se encuentran en un grupo de Auto Scaling como parte de la ejecución de su plan. | Especifique el porcentaje mínimo de capacidad de computación que debe coincidir en la región que vaya a activar. |
| [Bloque de ejecución de escalado de recursos de Amazon EKS](eks-resource-scaling-block.md) | Escale los pods de clústeres de Amazon EKS como parte de la ejecución de su plan. | N/A |
| [Bloque de ejecución de escalado de servicios de Amazon ECS](ecs-service-scaling-block.md) | Escale las tareas de servicio de Amazon ECS como parte de la ejecución de su plan. | N/A |
| [Bloque de ejecución del control de enrutamiento de ARC](arc-routing-controls-block.md) | Agregue un paso para cambiar el estado de uno o más controles de enrutamiento de ARC, con el fin de redirigir el tráfico de la aplicación a una Región de AWS objetivo. | N/A |
| [Bloque de ejecución de base de datos global de Amazon Aurora](aurora-global-database-block.md) | Realice un flujo de trabajo de recuperación para una base de datos global de Aurora. | Realice una conmutación por error de base de datos global de Aurora (puede provocar la pérdida de datos). |
| [Bloque de ejecución de Amazon DocumentDB Global Cluster](documentdb-global-cluster-block.md) | Realice un flujo de trabajo de recuperación para un clúster global de Amazon DocumentDB. | Realice una conmutación por error del clúster global de Amazon DocumentDB (puede provocar la pérdida de datos). |
| [Bloque de ejecución de Amazon RDS Promote Read Replica](rds-promote-read-replica-block.md) | Convierta una réplica de lectura de Amazon RDS en una instancia de base de datos independiente. | N/A |
| [Bloque de ejecución de Amazon RDS Create Cross-Region Replica](rds-create-cross-region-replica-block.md) | Cree una réplica de lectura entre regiones para una instancia de base de datos de Amazon RDS como parte de la recuperación posterior. | N/A |
| [Bloque de ejecución de aprobaciones manuales](manual-approval-block.md) | Inserte un paso de aprobación para solicitar la aprobación o cancelación de una ejecución antes de continuar. | N/A |
| [Bloque de ejecución de Lambda de acciones personalizadas](custom-action-lambda-block.md) | Agregue un paso personalizado para ejecutar una función de Lambda, con el fin de habilitar acciones personalizadas. | Omita el paso. |
| [Bloque de ejecución de la comprobación de estado de Amazon Route 53](route53-health-check-block.md) | Especifica las regiones a las que se redirigirá el tráfico de la aplicación durante la conmutación por error. | N/A |
# Bloque de ejecución del plan de cambio de región de ARC
El bloque de ejecución del plan de cambio de región permite orquestar el orden en el que varias aplicaciones se transfieren a la región que desea activar, haciendo referencia a otros planes de cambio de región secundarios. Gracias a esta relación entre elementos principales y secundarios, puede crear procesos de recuperación complejos y coordinados que administren varios recursos y dependencias en toda su infraestructura.
## Configuración
Cuando utiliza el bloque de ejecución del plan de cambio de región, se selecciona un plan de cambio de región específico que desea que se ejecute en el flujo de trabajo del plan que está creando.
**importante**
Antes de configurar el bloque de ejecución, asegúrese de que se aplica la política de IAM correcta. Para obtener más información, consulte [Política de ejemplo de bloque de ejecución de un plan de cambio de región](security_iam_region_switch_plan_execution.md).
Para configurar un bloque de ejecución de un plan de cambio de región, introduzca los siguientes valores:
1. **Nombre del paso: **introduzca un nombre.
1. **Descripción del paso (opcional): **introduzca una descripción del paso.
1. **Plan de cambio de región: **seleccione un plan para ejecutarlo en el flujo de trabajo del plan actual.
A continuación, elija **Guardar paso**.
## Funcionamiento
Utilice el bloque de ejecución del plan de cambio de región para crear flujos de trabajo principales con relaciones. parent/child Tenga en cuenta que este bloque de ejecución no admite niveles adicionales de planes secundarios y limita la cantidad de planes padre-hijo. Los planes para niños deben ser compatibles con las mismas regiones que el plan para padres y deben tener el mismo enfoque de recuperación que el plan para padres (es decir, activo active/active o pasivo).
Este bloque es compatible con los modos de ejecución ordenados y no ordenados. Los planes no ordenados empezarán los planes secundarios con sus configuraciones no ordenadas. Si el bloqueo de cambio de región se ha ejecutado de forma ordenada y, a continuación, ha cambiado al modo de ejecución no ordenado, cualquier plan secundario también pasará al modo de ejecución no ordenado.
## Qué se evalúa como parte de la evaluación del plan
Si comparte un plan entre cuentas y el plan ya no se comparte con la cuenta del plan principal, la evaluación del cambio de región mostrará una advertencia de que el plan no es válido.
# Bloque de ejecución del grupo Amazon EC2 Auto Scaling
El bloque de ejecución grupal de Auto Scaling de EC2 le permite escalar las instancias de EC2 como parte de su proceso de recuperación multirregional. Puede definir un porcentaje de capacidad con respecto a la región de la que se va (origen y destino).
## Configuración
Al configurar el bloque de ejecución del grupo Auto Scaling de EC2, introduce los ARN de Auto Scaling de EC2 para las regiones específicas asociadas a su plan. Debe introducir ARNs Auto Scaling de EC2 en cada región en la que desee que se amplíe durante la ejecución del plan.
**importante**
Antes de configurar el bloque de ejecución, asegúrese de que se aplica la política de IAM correcta. Para obtener más información, consulte [Ejemplo de política de bloques de ejecución de Auto Scaling de EC2](security_iam_region_switch_ec2_autoscaling.md).
Para configurar un bloque de ejecución grupal de Auto Scaling de EC2, introduzca los siguientes valores:
1. **Nombre del paso: **introduzca un nombre.
1. **Descripción del paso (opcional): **introduzca una descripción del paso.
1. **ARN del grupo EC2 Auto Scaling *para* la región**: Introduzca el ARN del grupo EC2 Auto Scaling de cada región de su plan.
1. **Porcentaje que coincide con la capacidad de la región activada:** introduzca el porcentaje deseado del número de instancias en ejecución en el grupo de Auto Scaling que coincida con la región activada.
1. **Enfoque de monitoreo de capacidad:** seleccione uno de los siguientes enfoques para monitorear la capacidad de sus grupos de Auto Scaling de EC2:
+ **Capacidad máxima de funcionamiento muestreada en 24 horas**: elija esta opción para usar el valor de **capacidad deseado** especificado en la configuración de grupo de Auto Scaling de EC2. Esta opción no genera costes adicionales, pero es potencialmente menos precisa que el uso de la otra opción, CloudWatch las métricas.
En la API de cambio de región, esta opción se corresponde con la especificación de `sampledMaxInLast24Hours`.
Para obtener más información, consulte [Establecer límites de escalado para su grupo de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/asg-capacity-limits.html) en la Guía del usuario de Auto Scaling de Amazon EC2.
+ **Capacidad máxima de ejecución muestreada durante 24 horas con CloudWatch**: Elija esta opción para usar las métricas especificadas en Amazon CloudWatch para Auto Scaling de EC2. El uso de esta opción puede ser más preciso, pero conlleva los costes adicionales que conlleva el uso de las métricas. CloudWatch
En la API de cambio de región, esta opción se corresponde con la especificación de `autoscalingMaxInLast24Hours`.
Para usar esta opción, primero debe habilitar las métricas de grupo para sus grupos de Auto Scaling. Para obtener más información, consulte [Habilitar las métricas de grupo de Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-metrics.html#as-enable-group-metrics) en la Guía del usuario de Auto Scaling de Amazon EC2.
1. **Tiempo de espera: **introduzca un valor de tiempo de espera.
A continuación, elija **Guardar paso**.
## Funcionamiento
Tras configurar un bloque de ejecución de Auto Scaling de EC2, el conmutador de región confirma que solo hay un grupo de Auto Scaling de origen y un grupo de Auto Scaling de destino. Si hay varios grupos de Auto Scaling, el bloque de ejecución falla durante la evaluación del plan. La capacidad objetivo se define como el número de instancias que tienen un estado establecido en `InService`. Para obtener más información, consulte Ciclo de vida de las [instancias de Auto Scaling de EC2](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-lifecycle.html).
En función del valor que especifique (al configurar el bloque de ejecución de Auto Scaling) para un porcentaje de coincidencia, el conmutador de región calcula la nueva capacidad deseada para el grupo de Auto Scaling de destino. La nueva capacidad deseada se compara con la capacidad deseada del grupo de Auto Scaling de destino. La fórmula que utiliza el cambio de región para calcular la capacidad deseada es la siguiente: `ceil(percentToMatch * Source Auto Scaling group capacity)`, donde ceil() es una función que redondea al alza cualquier resultado en fracciones. Si la capacidad actual deseada del grupo de Auto Scaling de destino es mayor o igual a la capacidad deseada del nuevo grupo de Auto Scaling que calcula el conmutador de región, el bloque de ejecución continúa. Tenga en cuenta que el cambio de región no reduce la capacidad del grupo de Auto Scaling.
Cuando el conmutador de región ejecuta un bloque de Auto Scaling, el conmutador de región intenta ampliar la capacidad del grupo de Auto Scaling de la región objetivo para que coincida con la capacidad deseada. A continuación, el cambio de región espera hasta que se alcance la capacidad de grupo de Auto Scaling solicitada en el grupo de Auto Scaling de la región objetivo antes de que el cambio de región pase al siguiente paso del plan.
**nota**
Al ejecutar este bloque, se modifican los ajustes de capacidad mínima y deseada de sus grupos de Auto Scaling, lo que puede provocar desviaciones en la configuración si administra estos valores mediante infrastructure-as-code herramientas u otro tipo de automatización. Asegúrese de que sus procesos de administración de la configuración tengan en cuenta estos cambios para evitar retrocesos involuntarios.
Si utiliza un active/active enfoque, el conmutador de región utiliza la otra región configurada como origen. Es decir, si se está desactivando una región, el cambio de región utiliza la otra región activa como origen para igualar el porcentaje que se debe escalar.
Este bloque es compatible con los modos de ejecución ordenados y no ordenados. Puede configurar una ejecución no ordenada especificando el porcentaje mínimo de capacidad de computación que debe coincidir en la región de destino antes de que el cambio de región continúe con el siguiente paso del plan.
## Qué se evalúa como parte de la evaluación del plan
Cuando Region Switch evalúa su plan, Region Switch realiza varias comprobaciones críticas de la configuración y los permisos del bloque de ejecución grupal de Auto Scaling de EC2. La evaluación del cambio de región verifica que los grupos de Auto Scaling estén presentes en ambas regiones, asegura que estén correctamente configurados y sean accesibles, y anota el número de instancias en ejecución en cada región. También confirma que la capacidad máxima del grupo Auto Scaling de la región objetivo es suficiente para gestionar el porcentaje de coincidencia de escala especificado para la capacidad requerida.
El cambio de región también valida que la función de IAM del plan tenga los permisos correctos para Auto Scaling. Para obtener más información sobre los permisos necesarios para los bloques de ejecución del cambio de región, consulte [Ejemplos de políticas basadas en identidades para el cambio de región en ARC](security_iam_id-based-policy-examples-region-switch.md). Si se produce un error en alguna de las comprobaciones, el cambio de región mostrará mensajes de advertencia, que podrá ver en la consola. O bien, puede recibir las advertencias de validación a través de las operaciones de la API EventBridge o mediante ellas.
# Bloque de ejecución de escalado de recursos de Amazon EKS
El bloque de ejecución de escalado de recursos de EKS le permite escalar recursos de EKS como parte de su proceso de recuperación multirregional. Al configurar el bloque de ejecución, se define un porcentaje de la capacidad que se va a escalar en relación con la capacidad de la región que se va a desactivar.
## Configuración de los permisos de entrada de acceso de EKS
Antes de añadir un paso para el escalado de los recursos de EKS, debe proporcionar a Region Switch los permisos necesarios para tomar medidas con los recursos de Kubernetes de sus clústeres de EKS. Para proporcionar acceso al cambio de región, debe crear una entrada de acceso de EKS para el rol de IAM que el cambio de región utiliza para la ejecución del plan, mediante la siguiente política de acceso al cambio de región: `arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy`
### Política de acceso de EKS del cambio de región
La siguiente información proporciona detalles sobre la política de acceso de EKS.
**Nombre**: `AmazonARCRegionSwitchScalingPolicy`
**ARN de política:** `arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy`
| Grupos de API de Kubernetes | Recursos de Kubernetes | Verbos de Kubernetes (permisos) |
| --- | --- | --- |
| \$1 | \$1/scale | get, update |
| \$1 | \$1/status | introducción |
| autoscaling | horizontalpodautoscalers | get, patch |
### Creación de una entrada de acceso de EKS para el cambio de región
El siguiente ejemplo describe cómo crear la entrada de acceso y las asociaciones de políticas de acceso necesarias para que el cambio de región pueda adoptar medidas específicas para sus recursos de Kubernetes. En este ejemplo, los permisos se aplican al espacio de nombres del clúster *my-cluster* de EKS para *my-namespace1* la función de IAM. `arn:aws:iam::555555555555:role/my-role`
Al configurar estos permisos, asegúrese de seguir estos pasos para los dos clústeres de EKS del bloque de ejecución.
**Requisito previo**
Antes de empezar, cambie el modo de autenticación del clúster a `API_AND_CONFIG_MAP` o `API`. Al cambiar el modo de autorización, se agrega la API para las entradas de acceso. Para obtener más información, consulte [Cambiar el modo de autenticación para utilizar entradas de acceso](https://docs.aws.amazon.com/eks/latest/userguide/setting-up-access-entries.html) en la Guía del usuario de Amazon EKS.
**Creación de la entrada de acceso**
El primer paso consiste en crear la entrada de acceso mediante un AWS CLI comando similar al siguiente:
```
aws eks create-access-entry --cluster-name my-cluster --principal-arn
arn:aws:iam::555555555555:user/my-user --type STANDARD
```
Para obtener más información, consulte [Creación de entradas de acceso](https://docs.aws.amazon.com/eks/latest/userguide/creating-access-entries.html) en la Guía del usuario de Amazon EKS.
**Creación de la asociación de la entrada de acceso**
A continuación, cree la asociación a la política de acceso del conmutador regional mediante un AWS CLI comando similar al siguiente:
```
aws eks associate-access-policy --cluster-name my-cluster --principal-arn arn:aws:iam::555555555555:role/my-role \
--access-scope type=namespace,namespaces=my-namespace1 --policy-arn
arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy
```
Para obtener más información, consulte [Asociación de políticas de acceso con entradas de acceso](https://docs.aws.amazon.com/eks/latest/userguide/access-policies.html) en la Guía del usuario de Amazon EKS.
Asegúrese de repetir estos pasos con el segundo clúster de EKS del bloque de ejecución, en la otra región, para garantizar que la característica de cambio de región pueda acceder a ambos clústeres.
## Configuración
**importante**
Antes de añadir un paso de escalado de recursos de EKS, primero asegúrese de haber configurado los permisos correctos. Para obtener más información, consulte [Configuración de los permisos de entrada de acceso de EKS](#eks-resource-scaling-block-permissions). Asegúrese también de que cuenta con la política de IAM correcta. Para obtener más información, consulte [Política de ejemplo de bloque de ejecución de escalado de recursos de Amazon EKS](security_iam_region_switch_eks.md).
Tenga en cuenta que el conmutador de región admite actualmente los siguientes ReplicaSet recursos: apps/v1, Deployment, and apps/v 1.
Para la configuración del bloque de ejecución, introduzca los siguientes valores.
1. **Nombre del paso: **introduzca un nombre.
1. **Descripción del paso (opcional): **introduzca una descripción del paso.
1. **Nombre de la aplicación: **introduzca el nombre de su aplicación de EKS, por ejemplo, *myApplication*.
1. **Tipo de recurso de Kubernetes: **introduzca el tipo de recurso de la aplicación, por ejemplo, *Deployment*.
1. **Recurso por *región*: **para cada región, introduzca la información del clúster de EKS, incluido el ARN del clúster de EKS, el espacio de nombres del recurso, etc.
1. **Porcentaje que coincide con la capacidad de la región activada: ** introduzca el porcentaje deseado de pods en ejecución en la región de origen que coincida con la región activada.
1. **Enfoque de supervisión de la capacidad: **la única opción de supervisión de la capacidad ya está seleccionada, **Capacidad máxima de ejecución muestreada durante 24 horas**.
Este enfoque de supervisión de la capacidad utiliza el valor `ReplicaCount` de las solicitudes de servicio de EKS. Para obtener más información, consulte [Obtenga información sobre el cambio de zona de ARC en Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/zone-shift.html) en la Guía del usuario de Amazon Elastic Kubernetes Service.
1. **Tiempo de espera: **introduzca un valor de tiempo de espera.
A continuación, elija **Guardar paso**.
## Funcionamiento
Durante ejecución de un plan, el cambio de región recupera el número máximo de réplicas muestreado en las últimas 24 horas para el recurso objetivo de la región que se está activando. A continuación, calcula el recuento de réplicas deseado para el recurso de destino mediante la siguiente fórmula: `ceil(percentToMatch * Source replica count)`
Si el recuento de réplicas listas para el destino es inferior al valor deseado, el cambio de región escala el valor de la réplica del recurso de destino a la capacidad deseada. Espera a que las réplicas estén listas y aprovecha el escalador automático de nodos para aumentar la capacidad de los nodos si es necesario.
Si el `hpaName` campo opcional no está vacío, el conmutador de región lo HorizontalPodAutoscaler parchea para evitar cualquier reducción automática de escala durante o después de la ejecución mediante el siguiente parche: `{"spec":{"behavior":{"scaleDown":{"selectPolicy":"Disabled"}}}}`
Asegúrese de configurar cualquier herramienta de corrección de desviaciones, como las GitOps herramientas, para que ignore el campo de réplica de los recursos del parche, así como el campo. HorizontalPodAutoscaler
## Qué se evalúa como parte de la evaluación del plan
Cuando el cambio de región evalúa el plan, realiza varias comprobaciones de los permisos y del bloque de ejecución de EKS configurados. El cambio de región verifica que el rol de IAM del plan tenga los permisos correctos para describir los clústeres de EKS y enumerar las políticas de entrada de acceso asociadas. El cambio de región también valida que el rol de IAM esté asociado a la política de entrada de acceso correcta, de modo que el cambio de región tenga los permisos necesarios para actuar sobre los recursos de Kubernetes. Por último, el cambio de región confirma que existen los clústeres de EKS configurados y los recursos de Kubernetes.
Además, el cambio de región comprueba que ha recopilado y almacenado correctamente los datos de supervisión necesarios (recuento de réplicas de Kubernetes) y registra el número de pods en ejecución necesarios para ejecutar el plan de cambio de región.
# Bloque de ejecución de escalado de servicios de Amazon ECS
El bloque de ejecución de escalado de servicios de ECS le permite escalar su servicio de ECS en una región de destino como parte de su proceso de recuperación multirregional. Puede definir un porcentaje de capacidad en relación con la región desde la que el cambio de región se conmuta por error o se desactiva.
## Configuración
Para configurar el bloque de ejecución de escalado de servicios de ECS, introduzca los siguientes valores.
**importante**
Antes de configurar el bloque de ejecución, asegúrese de que se aplica la política de IAM correcta. Para obtener más información, consulte [Política de ejemplo de bloque de ejecución de escalado de servicios de Amazon ECS](security_iam_region_switch_ecs.md).
1. **Nombre del paso: **introduzca un nombre.
1. **Descripción del paso (opcional): **introduzca una descripción del paso.
1. **Recurso por *región*: **para cada región, introduzca el ARN del clúster de ECS y el ARN del servicio de ECS.
1. **Porcentaje que coincide con el recuento de tareas de la región de origen: **introduzca el porcentaje deseado de tareas en ejecución en la región de origen que coincida con la región activada.
1. **Enfoque de supervisión de capacidad: **seleccione uno de los siguientes enfoques para supervisar la capacidad de Amazon ECS:
+ **Capacidad máxima de ejecución muestreada en 24 horas**: elija esta opción para usar el valor del **recuento de tareas en ejecución** en su servicio de Amazon ECS. Esta opción no genera costes adicionales, pero es potencialmente menos precisa que utilizar la otra opción, las métricas. CloudWatch
En la API de cambio de región, esta opción se corresponde con la especificación de `sampledMaxInLast24Hours`.
Para obtener más información, consulte [Escalado automático de su servicio de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-auto-scaling.html) en la Guía para desarrolladores de Amazon Elastic Container Service.
+ **Capacidad máxima de ejecución muestreada durante 24 horas mediante información sobre contenedores**: elija esta opción para usar las métricas de Información de contenedores de Amazon ECS. El uso de la opción puede ser más preciso, pero conlleva los costos adicionales que supone el uso de las métricas de Información de contenedores.
En la API de cambio de región, esta opción se corresponde con la especificación de `autoscalingMaxInLast24Hours`.
Para utilizar esta opción, primero debe habilitar Información de contenedores. Para obtener más información, consulta [Configurar Container Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS-cluster.html#set-container-insights-ECS-cluster) en la Guía del CloudWatch usuario de Amazon.
1. **Tiempo de espera: **introduzca un valor de tiempo de espera.
A continuación, elija **Guardar paso**.
## Funcionamiento
Tras configurar el bloque de ejecución en su plan, el cambio de región confirma que solo hay un servicio ECS de origen y un servicio de destino. Si hay varios servicios, el cambio de región muestra una advertencia para el bloque de ejecución. El cambio de región almacena estos datos en todas las regiones para las que esté configurado su plan. La capacidad objetivo se define como el recuento deseado establecido en su servicio de ECS.
Como active/passive enfoque, el cambio de región calcula la nueva capacidad deseada para el servicio ECS en la región de destino (de activación). La nueva capacidad deseada se compara con la capacidad deseada del servicio de ECS de destino. La fórmula que utiliza el cambio de región para calcular la capacidad deseada es la siguiente: `ceil(percentToMatch * Source Auto Scaling group capacity)`, donde ceil() es una función que redondea al alza cualquier resultado en fracciones. Si el recuento actual deseado para el servicio de ECS de destino es superior a la nueva capacidad deseada calculada para el servicio de ECS, la ejecución del plan continúa. Tenga en cuenta que el cambio de región no reduce verticalmente la capacidad del servicio de ECS.
Si el servicio de ECS tiene activado el escalado automático de aplicaciones, el cambio de región actualiza la capacidad mínima en el escalado automático de aplicaciones y también actualiza el recuento deseado en el servicio de ECS.
Cuando el cambio de región ejecuta un bloque de servicio de ECS, el cambio de región intenta escalar verticalmente la capacidad de ECS de la región de destino para que coincida con la capacidad deseada. A continuación, el cambio de región espera hasta que se alcance la capacidad de servicio de ECS solicitada en el servicio de ECS de la región objetivo, antes de que el cambio de región continúe con el siguiente paso del plan. Si lo desea, puede configurar el paso para que se complete antes de que se alcance dicha capacidad. Para ello, establezca un límite de tiempo de espera para que el cambio de región espere hasta que se alcance la capacidad.
Si utiliza un active/active enfoque, el conmutador de región utiliza la otra región configurada como origen. Es decir, si se está desactivando una región, el cambio de región utiliza la otra región activa como origen para igualar el porcentaje que se debe escalar.
## Qué se evalúa como parte de la evaluación del plan
Cuando el cambio de región evalúa el plan, realiza varias comprobaciones de la configuración y los permisos del bloque de ejecución del servicio de ECS. El cambio de región verifica que los servicios de ECS estén presentes tanto en la región de origen como en la de destino, y comprueba que la capacidad máxima establecida para el servicio de ECS de la región de destino sea suficiente para gestionar el porcentaje de coincidencia especificado de la capacidad de la región de destino. El cambio de región también valida que el rol de IAM del plan tenga los permisos correctos para el servicio de ECS. Para obtener más información sobre los permisos necesarios para los bloques de ejecución del cambio de región, consulte [Ejemplos de políticas basadas en identidades para el cambio de región en ARC](security_iam_id-based-policy-examples-region-switch.md).
Además, el cambio de región comprueba que `ResourceMonitor` ha recopilado y almacenado correctamente los datos de supervisión necesarios para los servicios de ECS y hace un recuento del número de tareas en ejecución.
Si se produce un error en alguna de las comprobaciones, el cambio de región mostrará mensajes de advertencia, que podrá ver en la consola. O bien, puede recibir las advertencias de validación a través de las operaciones de la API EventBridge o mediante ellas.
# Bloque de ejecución del control de enrutamiento de ARC
Si ha configurado el control de enrutamiento de Amazon Application Recovery Controller (ARC) para su aplicación, puede añadir un paso de control de enrutamiento ARC para redirigir el tráfico de la aplicación. Este paso le permite cambiar el estado de uno o más controles de enrutamiento ARC para redirigir el tráfico de la aplicación a un destino Región de AWS. El control de enrutamiento de ARC redirige el tráfico mediante comprobaciones de estado en Amazon Route 53 que se configuran con los registros de DNS asociados a los controles de enrutamiento.
**importante**
El control de enrutamiento de Amazon Application Recovery Controller (ARC) solo está disponible en la partición AWS comercial.
## Configuración
Para configurar un bloque de ejecución del control de enrutamiento, introduzca los siguientes valores.
**importante**
Antes de configurar el bloque de ejecución, asegúrese de que se aplica la política de IAM correcta. Para obtener más información, consulte [Política de ejemplo de bloque de ejecución de controles de enrutamiento de ARC](security_iam_region_switch_arc_routing.md).
1. **Nombre del paso: **introduzca un nombre.
1. **Descripción del paso (opcional): **introduzca una descripción del paso.
1. **Controles de enrutamiento deseados:** para cada región que desee activar o desactivar, introduzca el ARN del control de enrutamiento y el estado inicial del control de enrutamiento, Activado o Desactivado.
1. **Tiempo de espera: **introduzca un valor de tiempo de espera.
A continuación, elija **Guardar paso**.
El patrón esperado para este bloque de ejecución es especificar los controles de enrutamiento y los estados iniciales que se ajusten a la forma en que ha configurado la aplicación en concreto Regiones de AWS. Por ejemplo, si tiene un plan que le permite activar la región A y la región B para su aplicación, es posible que tenga un control de enrutamiento para la región A en el que se establece el estado en Activado y un control de enrutamiento para la región B en el que se establece el estado en Activado.
A continuación, cuando ejecute el plan y especifique que desea activar la región A, el flujo de trabajo que incluye este bloque de ejecución actualiza el control de enrutamiento especificado a Activado, lo que dirige el tráfico a la región A.
## Funcionamiento
Al configurar un bloque de ejecución del control de enrutamiento ARC, puede redirigir el tráfico de la aplicación a un destino o Región de AWS, si se trata de una active/active aproximación, impedir que el tráfico se dirija a una región que esté desactivando. Si su plan incluye varios flujos de trabajo, asegúrese de proporcionar las mismas entradas para los registros de DNS de todos los bloques de ejecución del control de enrutamiento que utilice.
Este bloque no es compatible con el modo de ejecución no ordenado.
## Qué se evalúa como parte de la evaluación del plan
Cuando la característica de cambio de región evalúa el plan, realiza varias comprobaciones de los permisos y de la configuración del bloque de ejecución de los controles de enrutamiento. El cambio de región verifica que los controles de enrutamiento especificados estén correctamente configurados y sean accesibles.
El cambio de región también valida que el rol de IAM del plan tenga los permisos necesarios para acceder a los estados de control de enrutamiento y actualizarlos. Para obtener más información sobre los permisos necesarios para los bloques de ejecución del cambio de región, consulte [Ejemplos de políticas basadas en identidades para el cambio de región en ARC](security_iam_id-based-policy-examples-region-switch.md).
Los permisos de IAM correctos son esenciales para el correcto funcionamiento del bloque de ejecución del control de enrutamiento. Si se produce un error en alguna de estas validaciones, la característica de cambio de región muestra advertencias sobre la existencia de problemas y proporciona mensajes de error específicos para ayudarle a resolver los problemas de permisos o configuración. Esto garantiza que el plan tenga el acceso necesario para administrar los controles de enrutamiento de ARC e interactuar con ellos cuando se ejecuta este paso durante la ejecución de un plan.
## Comparación de los controles de enrutamiento ARC y los bloques de ejecución de comprobaciones de estado de Route 53
El bloque de ejecución de comprobaciones de estado de Amazon Route 53 en el conmutador de región ofrece una alternativa de menor coste para la gestión del tráfico basada en DNS. Sin embargo, este bloque de ejecución depende del elemento Región de AWS que se esté activando, por lo que la región debe estar disponible. Esto satisface las necesidades de la mayoría de los clientes, ya que están activando una región próspera.
Los controles de enrutamiento ARC proporcionan una administración del tráfico basada en DNS altamente confiable con un SLA de disponibilidad del 100%. Con los controles de enrutamiento, sus equipos de operaciones pueden trasladar el tráfico entre regiones con barandas de seguridad. Los controles de enrutamiento proporcionan una solución de usuario único con un SLA del 100%. Un clúster de control de enrutamiento está distribuido en cinco regiones y puede tolerar que dos regiones estén desconectadas. Si tiene aplicaciones muy críticas, considere la posibilidad de utilizar controles de enrutamiento.
No se requieren controles de enrutamiento para usar el conmutador de región. Puede usar el conmutador de región para administrar el redireccionamiento del tráfico mediante bloques de ejecución de comprobaciones de estado de Route 53 sin controles de enrutamiento.
Los controles de enrutamiento añaden valor con el cambio de región en las siguientes situaciones:
+ Necesita el SLA de disponibilidad del 100% para el propio mecanismo de control de tráfico.
+ Su organización requiere controles operativos manuales con normas de seguridad para las aplicaciones críticas.
+ Quiere defense-in-depth que los equipos de operaciones puedan anular manualmente las rutas de tráfico automatizadas si es necesario.
Los bloques de ejecución de las comprobaciones de estado de Route 53 no dependen del plano de control. Los cambios en los registros de Health Check utilizan el plano de datos, por lo que no requieren que la región de activación procese las actualizaciones de configuración. Los bloques de ejecución de las comprobaciones de estado de Route 53 son suficientes en las siguientes situaciones:
+ Su aplicación puede depender de lo Región de AWS que esté activando.
+ La redirección automática del tráfico como parte del flujo de trabajo de recuperación cumple con sus requisitos.
+ La optimización de los costes es una prioridad. Los bloques de ejecución de chequeos de estado de Route 53 tienen un costo menor que los controles de enrutamiento.
La mayoría de los clientes comienzan con los bloques de ejecución de comprobaciones de estado de Route 53 como mecanismo de enrutamiento de tráfico predeterminado y agregan controles de enrutamiento solo para las aplicaciones más críticas que requieren la mayor confiabilidad del mecanismo de administración del tráfico.
# Bloque de ejecución de base de datos global de Amazon Aurora
El bloque de ejecución de la base de datos global de Amazon Aurora le permite realizar un flujo de trabajo de recuperación de *conmutación por error* o *transición* para una base de datos global.
+ Conmutación por error: utilice este enfoque para recuperarse de una interrupción imprevista. Con este enfoque, realiza una conmutación por error entre regiones a uno de los clústeres de bases de datos secundario en su base de datos global de Aurora. El objetivo de punto de recuperación (RPO) de este enfoque suele ser un valor distinto de cero medido en segundos. La cantidad de pérdida de datos depende del retraso en la replicación de las bases de datos globales de Aurora Regiones de AWS en el momento de la falla. Para obtener más información, consulte [Recuperación de una base de datos global de Amazon Aurora de una interrupción no planificada](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-failover) en la Guía del usuario de Amazon Aurora.
+ Transición: esta operación se denominaba anteriormente *conmutación por error planificada administrada*. Utilice este enfoque para situaciones controladas, como el mantenimiento operativo y otros procedimientos operativos planificados en los que todos los clústeres de Aurora y otros servicios con los que interactúan se encuentren en buen estado. Dado que esta característica sincroniza los clústeres secundarios de base de datos con el principal antes de realizar cualquier otro cambio, el RPO es 0 (sin pérdida de datos). Para obtener más información, consulte [Realización de transiciones para bases de datos globales de Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-disaster-recovery.managed-failover) en la Guía del usuario de Amazon Aurora.
## Configuración
Para configurar un bloque de ejecución de base de datos global de Aurora, introduzca los siguientes valores.
**importante**
Antes de configurar el bloque de ejecución, asegúrese de que se aplica la política de IAM correcta. Para obtener más información, consulte [Política de ejemplo de bloque de ejecución de base de datos global de Aurora](security_iam_region_switch_aurora.md).
1. **Nombre del paso: **introduzca un nombre.
1. **Descripción del paso (opcional): **introduzca una descripción del paso.
1. **Nombre del clúster de la base de datos global de Aurora: **introduzca el identificador de la base de datos global.
1. **ARN del clúster para la *región*: **introduzca el ARN del clúster que se utilizará en cada región del plan.
1. **Especificar la opción para la base de datos Aurora: **elija entre **Transición** o **Conmutación por error (pérdida de datos)**, según lo que desee
1. **Nombre del clúster de base de datos global de Aurora: **
1. **Tiempo de espera: **introduzca un valor de tiempo de espera.
A continuación, elija **Guardar paso**.
## Funcionamiento
Al configurar un bloque de ejecución de base de datos globales de Aurora, puede realizar la conmutación por error o la transición de bases de datos globales como parte de la recuperación de la aplicación. Si utiliza un active/active enfoque, el conmutador de región utiliza la otra región configurada como origen. Es decir, si se está desactivando una región, el cambio de región utiliza la otra región activa como origen para igualar el porcentaje que se debe escalar.
Este bloque es compatible con los modos de ejecución ordenados y no ordenados. Una configuración no ordenada realiza una *conmutación por error* de una base de datos global de Aurora, lo que podría provocar la pérdida de datos.
Para obtener más información sobre la recuperación ante desastres de base de datos global de Aurora, incluidas la conmutación por error y la transición, consulte [Uso de la transición o la conmutación por error en las bases de datos globales de Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html) en la Guía del usuario de Amazon Aurora.
## Qué se evalúa como parte de la evaluación del plan
Cuando la característica de cambio de región evalúa el plan, realiza varias comprobaciones de la configuración y los permisos del bloque de ejecución de Aurora. La característica de cambio de región verifica que lo siguiente sea correcto:
+ Existe el clúster global de Aurora especificado en la configuración.
+ Hay clústeres de base de datos de Aurora tanto en la región de origen como la de destino.
+ Los clústeres de bases de datos de origen y destino están en un estado que permite la transición de base de datos global.
+ Hay instancias de base de datos tanto en los clústeres de origen como de destino.
+ Las versiones del motor de clústeres global para la acción de transición son compatibles. Esto incluye verificar que los clústeres estén en las mismas versiones principal, secundaria y de parche, con algunas excepciones que se indican en la documentación de Aurora.
El cambio de región también valida que el rol de IAM del plan tenga los permisos necesarios para la conmutación por error y la transición de Aurora. Para obtener más información sobre los permisos necesarios para los bloques de ejecución del cambio de región, consulte [Ejemplos de políticas basadas en identidades para el cambio de región en ARC](security_iam_id-based-policy-examples-region-switch.md).
Los permisos de IAM correctos son esenciales para el correcto funcionamiento del bloque de ejecución de Aurora. Si se produce un error en alguna de estas validaciones, la característica de cambio de región muestra advertencias sobre la existencia de problemas y proporciona mensajes de error específicos para ayudarle a resolver los problemas de permisos o configuración. Esto garantiza que su plan tenga el acceso necesario para administrar e interactuar con Aurora cuando se ejecuta este paso durante la ejecución de un plan.
# Bloque de ejecución de Amazon DocumentDB Global Cluster
El bloque de ejecución del clúster global de Amazon DocumentDB le permite realizar un flujo de trabajo de recuperación de *conmutación por error* o *conmutación para* un clúster global.
+ Conmutación por error: utilice este enfoque para recuperarse de una interrupción imprevista. Con este enfoque, realiza una conmutación por error entre regiones a uno de los clústeres secundarios de su clúster global de Amazon DocumentDB. El objetivo de punto de recuperación (RPO) de este enfoque suele ser un valor distinto de cero medido en segundos. La cantidad de datos perdidos depende del retraso en la replicación del clúster global de Amazon DocumentDB Regiones de AWS en el momento del error.
+ Cambio: utilice este enfoque para escenarios controlados, como el mantenimiento operativo y otros procedimientos operativos planificados en los que todos los clústeres de Amazon DocumentDB se encuentran en buen estado. Como esta función sincroniza los clústeres secundarios con los principales antes de realizar cualquier otro cambio, el RPO es 0 (sin pérdida de datos).
## Configuración
Para configurar un bloque de ejecución de Amazon DocumentDB Global Cluster, introduzca los siguientes valores.
**importante**
Antes de configurar el bloque de ejecución, asegúrese de que se aplica la política de IAM correcta. Para obtener más información, consulte [Ejemplo de política de bloques de ejecución de Amazon DocumentDB Global Cluster](security_iam_region_switch_documentdb.md).
1. **Nombre del paso: **introduzca un nombre.
1. **Descripción del paso (opcional): **introduzca una descripción del paso.
1. **Identificador de clúster global de Amazon DocumentDB:** introduzca el identificador del clúster global.
1. **ARN del clúster para la *región*: **introduzca el ARN del clúster que se utilizará en cada región del plan.
1. **Especifique la opción para el clúster de Amazon DocumentDB:** elija entre **conmutación o conmutación** **por error** (pérdida de datos).
1. **Tiempo de espera: **introduzca un valor de tiempo de espera.
A continuación, elija **Guardar paso**.
## Funcionamiento
Al configurar un bloque de ejecución de Amazon DocumentDB Global Cluster, puede realizar la conmutación por error o la conmutación de clústeres globales como parte de la recuperación de la aplicación. Si utiliza un active/active enfoque, el conmutador de región utiliza la otra región configurada como origen. Es decir, si se está desactivando una región, el cambio de región utiliza la otra región activa como origen para igualar el porcentaje que se debe escalar.
Este bloque es compatible con los modos de ejecución ordenados y no ordenados. Una configuración incorrecta produce una conmutación por error del *clúster* global de Amazon DocumentDB, lo que podría provocar la pérdida de datos.
Durante las operaciones de conmutación o conmutación por error, se cambiará el punto final de DNS que utilizan los clientes para escribir. Los clientes son responsables de asegurarse de utilizar el punto final correcto una vez finalizada la operación.
## Qué se evalúa como parte de la evaluación del plan
Cuando el conmutador de región evalúa su plan, el conmutador de región realiza varias comprobaciones de la configuración y los permisos del bloque de ejecución de Amazon DocumentDB. La característica de cambio de región verifica que lo siguiente sea correcto:
+ Existe el clúster global de Amazon DocumentDB especificado en la configuración.
+ Hay clústeres de Amazon DocumentDB tanto en la región de origen como en la de destino.
+ Los clústeres de origen y destino están disponibles.
+ Hay instancias tanto en el clúster de origen como en el de destino.
+ Las versiones del motor de clústeres global son compatibles.
El cambio de región también valida que la función de IAM del plan tenga los permisos necesarios para la conmutación por error y la conmutación de Amazon DocumentDB. Para obtener más información sobre los permisos necesarios para los bloques de ejecución del cambio de región, consulte [Ejemplos de políticas basadas en identidades para el cambio de región en ARC](security_iam_id-based-policy-examples-region-switch.md).
Los permisos de IAM correctos son esenciales para el correcto funcionamiento del bloque de ejecución de Amazon DocumentDB. Si se produce un error en alguna de estas validaciones, la característica de cambio de región muestra advertencias sobre la existencia de problemas y proporciona mensajes de error específicos para ayudarle a resolver los problemas de permisos o configuración. Esto garantiza que su plan tenga el acceso necesario para administrar e interactuar con Amazon DocumentDB durante la ejecución de este paso durante la ejecución del plan.
# Bloque de ejecución de Amazon RDS Promote Read Replica
El bloque de ejecución Amazon RDS Promote Read Replica le permite convertir una réplica de lectura de Amazon RDS en una instancia de base de datos independiente como parte de su proceso de recuperación multirregional. Esto le permite realizar la conmutación por error a una región en buen estado al promover que la réplica de lectura de esa región se convierta en la nueva base de datos principal.
## Configuración
Para configurar un bloque de ejecución de Amazon RDS Promote Read Replica, introduzca los siguientes valores.
**importante**
Antes de configurar el bloque de ejecución, asegúrese de que se aplica la política de IAM correcta. Para obtener más información, consulte [Ejemplo de política de bloques de ejecución de Amazon RDS](security_iam_region_switch_rds.md).
1. **Nombre del paso: **introduzca un nombre.
1. **Descripción del paso (opcional): **introduzca una descripción del paso.
1. **ARN de la instancia de base de datos de RDS para la región**: introduzca el ARN de la instancia de base de datos para la réplica de lectura en cada región del plan.
1. **Tiempo de espera: **introduzca un valor de tiempo de espera.
A continuación, elija **Guardar paso**.
## Funcionamiento
Al configurar un bloque de ejecución de Amazon RDS Promote Read Replica, puede convertir una réplica de lectura en una instancia de base de datos independiente como parte de la recuperación de la aplicación. Cuando ejecute el plan, el conmutador de región promoverá la réplica de lectura en la región que esté activando para convertirla en una instancia de base de datos independiente.
**nota**
Este bloque solo admite active/passive planes
Durante la promoción, el terminal DNS que utilices para conectarte a la base de datos seguirá siendo el mismo. Sin embargo, la instancia promocionada ya no se replicará desde la base de datos principal original. Usted es responsable de garantizar que su aplicación esté configurada para usar el punto final correcto una vez finalizada la operación.
Tras la promoción, la instancia promocionada hereda la siguiente configuración de copia de seguridad de la instancia principal original:
+ Backup retention period (Periodo de retención de copia de seguridad)
+ Ventana de copia de seguridad preferida
## Qué se evalúa como parte de la evaluación del plan
Cuando Region Switch evalúa su plan, Region Switch realiza varias comprobaciones de la configuración y los permisos del bloque de ejecución de Amazon RDS. La característica de cambio de región verifica que lo siguiente sea correcto:
+ Existen las instancias de base de datos de Amazon RDS especificadas en la configuración.
+ Las instancias de bases de datos de las regiones no principales son réplicas de lectura.
+ Las réplicas de lectura están en un estado disponible.
+ Las instancias de la base de datos están configuradas correctamente para la replicación entre regiones.
El cambio de región también valida que la función de IAM del plan tenga los permisos necesarios para la promoción de réplicas de lectura de Amazon RDS. Para obtener más información sobre los permisos necesarios para los bloques de ejecución del cambio de región, consulte [Ejemplos de políticas basadas en identidades para el cambio de región en ARC](security_iam_id-based-policy-examples-region-switch.md).
Los permisos de IAM correctos son esenciales para el correcto funcionamiento del bloque de ejecución de Amazon RDS. Si se produce un error en alguna de estas validaciones, la característica de cambio de región muestra advertencias sobre la existencia de problemas y proporciona mensajes de error específicos para ayudarle a resolver los problemas de permisos o configuración. Esto garantiza que su plan tenga el acceso necesario para gestionar e interactuar con Amazon RDS durante la ejecución de este paso.
# Bloque de ejecución de Amazon RDS Create Cross-Region Replica
El bloque de ejecución Create Cross-Region Replica de Amazon RDS le permite crear una réplica de lectura entre regiones para una instancia de base de datos de Amazon RDS como parte del proceso posterior a la recuperación. Este bloque de ejecución se suele utilizar después de promover una réplica de lectura para restablecer la replicación entre regiones, lo que garantiza que la aplicación esté preparada para futuros eventos regionales.
## Configuración
Para configurar un bloque de ejecución de Amazon RDS Create Cross-Region Replica, introduzca los siguientes valores.
**importante**
Antes de configurar el bloque de ejecución, asegúrese de que se aplica la política de IAM correcta. Para obtener más información, consulte [Ejemplo de política de bloques de ejecución de Amazon RDS](security_iam_region_switch_rds.md).
1. **Nombre del paso: **introduzca un nombre.
1. **Descripción del paso (opcional): **introduzca una descripción del paso.
1. **ARN de la instancia de base de datos de origen para la región:** introduzca el ARN de la instancia de base de datos de origen en cada región del plan. El bloque de ejecución utiliza el identificador de la región que se está activando como base de datos de origen para crear la réplica de lectura entre regiones.
1. **ARN de la instancia de base de datos de réplica:** introduzca el ARN de la instancia que se utilizará en la nueva réplica de lectura.
1. **Tiempo de espera: **introduzca un valor de tiempo de espera.
A continuación, elija **Guardar paso**.
## Funcionamiento
Al configurar un bloque de ejecución Create Cross-Region Replica de Amazon RDS, puede crear una réplica de lectura en la otra región como parte del proceso posterior a la recuperación. Este bloque de ejecución está diseñado para ejecutarse después de una conmutación por error exitosa a fin de restablecer la replicación entre regiones.
Este bloque solo se puede añadir a los planes. active/passive
Durante la ejecución, se cambiará el nombre de la antigua instancia principal y se etiquetará con *renamedByRegionSwitch*. A continuación, se creará una nueva instancia de réplica de lectura con los siguientes ajustes copiados de la instancia principal anterior:
+ Identificador de instancia
+ Grupos de parámetros de base de datos
+ Grupos de subred de base de datos
+ Clave de KMS
+ VPC security groups
+ Grupos de opciones
+ Configuración Multi-AZ
+ ARN secreto de autenticación de dominio
**importante**
La instancia principal cuyo nombre ha cambiado sigue ejecutándose y sigue incurriendo en cargos. El conmutador de región la etiqueta con *renamedByRegionSwitch* para identificarla, pero no la modifica ni elimina de ningún otro modo. Usted es responsable de administrar la instancia renombrada, incluida la decisión de mantenerla en funcionamiento, detenerla o eliminarla en función de sus requisitos operativos y de costos.
**nota**
Este bloque de ejecución está diseñado para los flujos de trabajo posteriores a la recuperación y requiere que la región de origen esté en buen estado y sea accesible. Debe usarse después de una conmutación por error exitosa para restablecer la replicación entre regiones.
## Qué se evalúa como parte de la evaluación del plan
Cuando Region Switch evalúa su plan, Region Switch realiza varias comprobaciones de la configuración y los permisos del bloque de ejecución de Amazon RDS. La característica de cambio de región verifica que lo siguiente sea correcto:
+ Las instancias de base de datos ARNs de la configuración son válidas y tienen el formato correcto.
+ Las instancias de la base de datos de origen existen en sus regiones respectivas.
+ Las instancias de la base de datos de origen están disponibles.
El cambio de región también valida que la función de IAM del plan tenga los permisos necesarios para crear réplicas de lectura de Amazon RDS. Para obtener más información sobre los permisos necesarios para los bloques de ejecución del cambio de región, consulte [Ejemplos de políticas basadas en identidades para el cambio de región en ARC](security_iam_id-based-policy-examples-region-switch.md).
Los permisos de IAM correctos son esenciales para el correcto funcionamiento del bloque de ejecución de Amazon RDS. Si se produce un error en alguna de estas validaciones, la característica de cambio de región muestra advertencias sobre la existencia de problemas y proporciona mensajes de error específicos para ayudarle a resolver los problemas de permisos o configuración. Esto garantiza que su plan tenga el acceso necesario para gestionar e interactuar con Amazon RDS durante la ejecución de este paso.
# Bloque de ejecución de aprobaciones manuales
El bloque de ejecución de la aprobación manual permite insertar un paso de aprobación que se asocia a un rol de IAM. Los usuarios con acceso al rol pueden aprobar o rechazar la ejecución de un paso, pausar el paso hasta que se conceda la aprobación o, posiblemente, impedir que el plan avance.
Para garantizar que se requiera la aprobación manual durante la ejecución del plan, debe introducir un paso de aprobación manual en una ubicación específica del flujo de trabajo y, a continuación, configurar el rol de IAM para especificar quién puede aprobar el paso.
## Configuración
Para configurar un bloque de ejecución de aprobación manual, introduzca los siguientes valores.
**importante**
Antes de configurar el bloque de ejecución, asegúrese de que se aplica la política de IAM correcta. Para obtener más información, consulte [Política de ejemplo de bloque de ejecución de aprobaciones manuales](security_iam_region_switch_manual_approval.md).
1. **Nombre del paso: **introduzca un nombre.
1. **Descripción del paso (opcional): **introduzca una descripción del paso.
1. **Rol de aprobación de IAM: **introduzca el ARN de un rol de IAM que tenga permiso para aprobar manualmente la ejecución y continuar con el plan de cambio de región. El rol de IAM debe estar dentro de la cuenta propietaria del plan.
1. **Tiempo de espera: **introduzca un valor de tiempo de espera.
A continuación, elija **Guardar paso**.
## Funcionamiento
Al configurar un bloque de ejecución de la aprobación manual, puede solicitar una aprobación como parte de la recuperación de la aplicación. En el caso de un bloque de ejecución manual, la característica de cambio de región hace lo siguiente:
+ Cuando el cambio de región ejecuta un bloque de ejecución manual, detiene la ejecución y establece el estado de ejecución del plan en pendiente de aprobación.
+ Cualquier persona que tenga acceso al rol definido en el bloque de ejecución puede aprobar o rechazar la ejecución del paso.
+ Si se aprueba la ejecución del paso, el cambio de región continúa con la ejecución del plan. Si se rechaza, el cambio de región cancela la ejecución del plan.
Este bloque no es compatible con el modo de ejecución no ordenado.
## Qué se evalúa como parte de la evaluación del plan
El cambio de región no realiza ninguna evaluación de los bloques de ejecución de la aprobación manual.
# Bloque de ejecución de Lambda de acciones personalizadas
El bloque de ejecución de Lambda de acciones personalizadas permite agregar un paso personalizado a un plan mediante una función de Lambda.
## Configuración
Para configurar un bloque de ejecución de Lambda, introduzca los siguientes valores.
**importante**
Antes de configurar el bloque de ejecución, asegúrese de que se aplica la política de IAM correcta. Para obtener más información, consulte [Política de ejemplo de bloque de ejecución de Lambda de acciones personalizadas](security_iam_region_switch_lambda.md).
1. **Nombre del paso: **introduzca un nombre.
1. **Descripción del paso (opcional): **introduzca una descripción del paso.
1. **ARN de la función de Lambda que se invocará al activar o desactivar la *Región***: especifique el ARN de la función de Lambda que se va a ejecutar para este paso.
1. **Región para ejecutar la función de Lambda:** en el menú desplegable, elija la región en la que quiera ejecutar las funciones de Lambda.
1. **Tiempo de espera: **introduzca un valor de tiempo de espera.
1. **Intervalo de reintento: **introduzca un intervalo de reintento para volver a ejecutar la función de Lambda si no tiene éxito dentro de este intervalo.
A continuación, elija **Guardar paso**.
## Funcionamiento
+ Al crear un bloque de ejecución de Lambda de acciones personalizadas, debe especificar dos funciones de Lambda para que el paso se ejecute, una en cada una de las regiones del plan.
+ Puede configurar la región en la que desea que se ejecute Lambda, por ejemplo, en la región de activación o en la región de desactivación. Sin embargo, si ejecuta en la región de desactivación, establece una dependencia de esa región. No le recomendamos que establezca una dependencia de la región que se está desactivando.
Este bloque es compatible con los modos de ejecución ordenados y no ordenados. En el modo de ejecución no ordenado, el cambio de región omite el paso del bloque de ejecución de Lambda.
## Qué se evalúa como parte de la evaluación del plan
Cuando la característica de cambio de región evalúa el plan, realiza varias comprobaciones de la configuración y los permisos del bloque de ejecución de Lambda. La característica de cambio de región verifica que lo siguiente sea correcto:
+ Existen las funciones de Lambda especificadas en la configuración.
+ La configuración de simultaneidad de las funciones de Lambda no está limitada, incluida la verificación de lo siguiente:
+ La simultaneidad no está establecida en 0.
+ Hay al menos una ejecución simultánea disponible o existe esa simultaneidad sin reservas.
El cambio de región realiza un simulacro de la función de Lambda para validar los parámetros y permisos especificados, sin ejecutar la lógica de la función real. Se incurre en los costes estándar de Lambda cuando se realiza un simulacro.
El cambio de región también valida que el rol de IAM del plan tenga los permisos necesarios para la ejecución de Lambda. Para obtener más información sobre los permisos necesarios para los bloques de ejecución del cambio de región, consulte [Ejemplos de políticas basadas en identidades para el cambio de región en ARC](security_iam_id-based-policy-examples-region-switch.md).
Los permisos de IAM correctos son esenciales para el correcto funcionamiento del bloque de ejecución de Lambda. Si se produce un error en alguna de estas validaciones, la característica de cambio de región muestra advertencias sobre la existencia de problemas y proporciona mensajes de error específicos para ayudarle a resolver los problemas de permisos o configuración. Esto garantiza que su plan tenga el acceso necesario para administrar Lambda e interactuar con ello cuando se ejecuta este paso durante la ejecución de un plan.
# Bloque de ejecución de la comprobación de estado de Amazon Route 53
El bloque de ejecución de comprobaciones de estado de Amazon Route 53 le permite especificar las regiones a las que se redirigirá el tráfico de su aplicación durante la conmutación por error. El bloque de ejecución crea comprobaciones de estado de Amazon Route 53, que luego se adjuntan a los registros DNS de Route 53 de su cuenta. Cuando ejecuta su plan de cambio de región, el estado de las comprobaciones de estado de Route 53 se actualiza y el tráfico se redirige en función de su configuración de DNS.
**importante**
La zona alojada de Route 53 debe estar en la misma partición que el plan de cambio de región.
## Configuración
Para configurar un bloque de ejecución de las comprobaciones de estado de Route 53, introduzca los siguientes valores.
**importante**
Antes de configurar el bloque de ejecución, asegúrese de que se aplica la política de IAM correcta. Para obtener más información, consulte [Política de ejemplo de bloque de ejecución de comprobación de estado de Route 53](security_iam_region_switch_route53.md).
1. **Nombre del paso: **introduzca un nombre.
1. **Descripción del paso (opcional): **introduzca una descripción del paso.
1. **ID de zona alojada: **el ID de la zona alojada del dominio y los registros de DNS en Route 53.
1. **Nombre del registro: **introduzca el nombre del registro (nombre de dominio) de los registros que utilice, junto con las comprobaciones de estado asociadas, para redirigir el tráfico hacia su aplicación. La característica de cambio de región buscará los conjuntos de registros de Route 53 para el nombre del registro e intentará asignar cada conjunto de registros a una región, basándose en el nombre de la región incluido en el **valor** o **identificador del conjunto** de registros.
1. **Identificadores de conjuntos de registros (opcional): **tiene la opción de proporcionar manualmente los identificadores de conjuntos de registros si el cambio de región no puede asignar automáticamente los conjuntos de registros a las regiones a partir del nombre de registro proporcionado en el paso 4 después de haber creado el plan. Si la evaluación del plan devuelve una advertencia que indica que se necesita más información, actualice su plan con identificadores de conjuntos de registros incluyendo lo siguiente para cada región:
+ **Identificador del conjunto de registros: **introduzca el **Identificador del conjunto** o el **Valor/ruta de destino del tráfico** para el conjunto de registros.
+ **Región: ** introduzca la región asociada al conjunto de registros que contiene la información del identificador del conjunto de registros.
1. Elija **Guardar paso.**
1. Configure las comprobaciones de estado de Route 53.
El cambio de región proporciona un identificador de comprobación de estado, para cada región, para cada nombre de registro dentro de una zona alojada definida en el bloque de ejecución. Asegúrese de configurar las comprobaciones de estado de los conjuntos de registros correspondientes de su cuenta en Route 53 para que el cambio de región pueda redirigir correctamente el tráfico de su aplicación durante la ejecución del plan. En la pestaña **Comprobaciones de estado** de la página de detalles del plan, puede ver las comprobaciones de estado de todos los bloques de ejecución y regiones.
## Funcionamiento
Debe añadir un paso de comprobación de estado al flujo de trabajo del cambio de región para poder redirigir el tráfico a una región secundaria (en el caso de active/passive las configuraciones) o alejarlo de una región desactivada (en el caso de active/active las configuraciones). Si agrega varios flujos de trabajo al plan, proporcione los mismos valores de configuración para todos los bloques de ejecución de comprobación de estado que usen los mismos registros de DNS.
En función de la información que proporcione al configurar el bloque de ejecución, la característica de cambio de región intenta determinar el conjunto de registros correcto para cada región de su plan. Por lo general, el ID de la zona alojada y el nombre del registro son información suficiente para determinar los conjuntos de registros y las regiones asociadas. De lo contrario, cuando la característica de cambio de región ejecute la evaluación automática del plan después de crear el plan, aparecerá una advertencia para informarle de que se necesita más información.
La característica de cambio de región envía comprobaciones de estado para cada bloque de ejecución de las comprobaciones de estado de Route 53. En el caso de los planes que utilizan un enfoque de active/passive recuperación, la comprobación de estado de la región principal comienza en buen estado y la comprobación de estado de la región en espera se establece inicialmente en mal estado. En el caso de los planes que utilizan el enfoque de active/active recuperación, los controles de salud de todas las regiones comienzan en estado saludable.
Para que el cambio de región ejecute correctamente este bloque de ejecución para su plan, debe agregar las comprobaciones de estado a sus registros de DNS.
En el caso de un active/active plan, el paso de ejecución funciona de la siguiente manera:
+ Cuando se ejecuta un flujo de trabajo desactivado para una región, la comprobación de estado se establece en mal estado y el tráfico deja de dirigirse a esa región.
+ Cuando se ejecuta un flujo de trabajo activado para una región, la comprobación de estado se establece en buen estado y el tráfico se dirige a esa región.
En el caso de un active/passive plan, el paso de ejecución funciona de la siguiente manera:
+ Cuando se ejecuta un flujo de trabajo activado para una región, la comprobación de estado para esa región se establece en buen estado y el tráfico se dirige a la región. Al mismo tiempo, la comprobación de estado de la otra región del plan se establece en mal estado y el tráfico deja de dirigirse a esa región.
## Qué se evalúa como parte de la evaluación del plan
Cuando el cambio de región evalúa el plan, realiza varias comprobaciones de la configuración y los permisos del bloque de ejecución de comprobación de estado de Route 53. El cambio de región verifica que las comprobaciones de estado estén asociadas a los registros de DNS especificados en la configuración del bloque de ejecución. Es decir, el cambio de región verifica que los registros de DNS de una Región de AWS específica estén configurados para utilizar las comprobaciones de estado de esa región.
## Comparación de los controles de enrutamiento ARC y los bloques de ejecución de comprobaciones de estado de Route 53
El bloque de ejecución de comprobaciones de estado de Amazon Route 53 en el conmutador de región ofrece una alternativa de menor coste para la gestión del tráfico basada en DNS. Sin embargo, este bloque de ejecución depende del elemento Región de AWS que se esté activando, por lo que la región debe estar disponible. Esto satisface las necesidades de la mayoría de los clientes, ya que están activando una región próspera.
Los controles de enrutamiento ARC proporcionan una administración del tráfico basada en DNS altamente confiable con un SLA de disponibilidad del 100%. Con los controles de enrutamiento, sus equipos de operaciones pueden trasladar el tráfico entre regiones con barandas de seguridad. Los controles de enrutamiento proporcionan una solución de usuario único con un SLA del 100%. Un clúster de control de enrutamiento está distribuido en cinco regiones y puede tolerar que dos regiones estén desconectadas. Si tiene aplicaciones muy críticas, considere la posibilidad de utilizar controles de enrutamiento.
No se requieren controles de enrutamiento para usar el conmutador de región. Puede usar el conmutador de región para administrar el redireccionamiento del tráfico mediante bloques de ejecución de comprobaciones de estado de Route 53 sin controles de enrutamiento.
Los controles de enrutamiento añaden valor con el cambio de región en las siguientes situaciones:
+ Necesita el SLA de disponibilidad del 100% para el propio mecanismo de control de tráfico.
+ Su organización requiere controles operativos manuales con normas de seguridad para las aplicaciones críticas.
+ Quiere defense-in-depth que los equipos de operaciones puedan anular manualmente las rutas de tráfico automatizadas si es necesario.
Los bloques de ejecución de las comprobaciones de estado de Route 53 no dependen del plano de control. Los cambios en los registros de Health Check utilizan el plano de datos, por lo que no requieren que la región de activación procese las actualizaciones de configuración. Los bloques de ejecución de las comprobaciones de estado de Route 53 son suficientes en las siguientes situaciones:
+ Su aplicación puede depender de lo Región de AWS que esté activando.
+ La redirección automática del tráfico como parte del flujo de trabajo de recuperación cumple con sus requisitos.
+ La optimización de los costes es una prioridad. Los bloques de ejecución de chequeos de estado de Route 53 tienen un costo menor que los controles de enrutamiento.
La mayoría de los clientes comienzan con los bloques de ejecución de comprobaciones de estado de Route 53 como mecanismo de enrutamiento de tráfico predeterminado y agregan controles de enrutamiento solo para las aplicaciones más críticas que requieren la mayor confiabilidad del mecanismo de administración del tráfico.
# Creación de planes secundarios
Para admitir escenarios de recuperación más complejos, puede crear planes secundarios agregándolos con bloques de ejecución de planes de cambio de región. La jerarquía se limita a dos niveles, pero uno principal puede incluir varios planes secundarios.
**importante**
Antes de crear un plan secundario, asegúrese de que se aplica la política de IAM correcta. Para obtener más información, consulte [Política de ejemplo de bloque de ejecución de un plan de cambio de región](security_iam_region_switch_plan_execution.md).
Para garantizar la compatibilidad, los planes secundarios deben ser compatibles con todas las regiones con las que sea compatible el plan principal. Además, el enfoque de recuperación, active/active o activo/pasivo, debe ser el mismo para los planes padre e hijo.
Tenga en cuenta las siguientes maneras en que un plan secundario responde a los cambios que realice en un plan principal y a los escenarios de plan principal.
+ Un bloque de ejecución principal se marca como completado cuando se han completado todos los planes secundarios y los demás bloques de ejecución incluidos en él.
+ Si algún paso falla en algún plan secundario, el bloque de ejecución del plan de cambio de región fallará en el plan principal.
+ Las acciones de control que se inician en el plan principal durante el paso de cambio de región, como una pausa, un cambio ordenado o no ordenado, o una cancelación, se intentan automáticamente en el plan secundario, independientemente del paso actual del plan secundario.
+ Las operaciones de omisión tienen un comportamiento especial: se omite el plan principal, pero el plan secundario seguirá ejecutándose.
+ Si un plan secundario ya se está ejecutando en un bloque de cambio de región, para determinar si sigue ejecutándose, el cambio de región evalúa la compatibilidad del plan secundario con el plan principal. Si la configuración del plan secundario coincide con los requisitos del plan principal, el cambio de región trata el plan secundario como si lo hubiera iniciado el plan principal.
+ El paso del plan principal fallará si el plan secundario se ejecuta con parámetros de configuración incompatibles, como los siguientes:
+ El plan secundario funciona en una región diferente
+ El plan secundario ejecuta una operación de desactivación cuando el cambio de región espera que ejecute una operación de activación
+ Si el plan secundario se completa correctamente durante un período en el que el plan principal está en pausa, el plan principal tendrá éxito cuando se reanude el plan principal.
# Creación de un desencadenador para un plan de cambio de región
Si desea automatizar la recuperación de su aplicación en el cambio de región, puede crear uno o más desencadenadores para su plan de cambio de región. Los activadores comienzan a ejecutar automáticamente un plan de cambio de región, en función de las condiciones de CloudWatch alarma que elijas.
# Cómo crear un desencadenador para un plan de cambio de región
1. Después de crear un plan, en la página de **Detalles del plan**, seleccione la pestaña **Desencadenadores**.
1. Seleccione **Administrar desencadenadores**.
1. Seleccione los flujos de trabajo para los que desee automatizar la ejecución y, a continuación, elija **Agregar desencadenador**.
1. Proporcione una descripción del desencadenador.
1. Selecciona una CloudWatch alarma y, a continuación, selecciona hasta 10 CloudWatch alarmas para crear las condiciones para que se active.
Si selecciona más de una condición, se deben cumplir todas las condiciones antes de que comience la ejecución automática del plan.
El activador inicia la ejecución del plan cuando una CloudWatch alarma pasa a cumplir las condiciones del activador. Cuando se añade el activador al plan, si las condiciones ya se cumplen, el plan no se ejecuta, lo que evita que se produzcan conmutaciones por error no deseadas.
# Cómo ejecutar un plan de cambio de región para recuperar una aplicación
Para recuperar una aplicación cuando una Región de AWS está dañada, ejecute un plan de cambio de región en Amazon Application Recovery Controller (ARC).
+ Si su aplicación se despliega siguiendo un active/active enfoque, los flujos de trabajo de su plan desactivan la región afectada para que la otra región activa se escale adecuadamente y comience a recibir todo el tráfico de su aplicación.
+ Si su aplicación se implementa con un active/passive enfoque, los flujos de trabajo de su plan desactivan la región afectada y activan la región en espera, aumentando sus recursos allí, si es necesario, y redirigiendo el tráfico de la aplicación a la región en espera.
Para realizar la recuperación de la aplicación de forma manual, ejecute su plan de cambio de región de la siguiente manera.
Otra opción es activar una ejecución automáticamente con CloudWatch las alarmas de Amazon específicas que especifiques para iniciar la ejecución de un plan. Puede especificar los desencadenadores para la ejecución del plan al crear o actualizar un plan. Para obtener más información, consulte [Creación de un desencadenador para un plan de cambio de región](working-with-rs-triggers.md).
# Cómo ejecutar un plan de cambio de región
1. En el Consola de administración de AWS, navegue hasta la Región de AWS que desee activar para su aplicación.
1. En la consola del Controlador de recuperación de aplicaciones de Amazon (ARC), elija **Cambio de región** y, a continuación, seleccione el plan que desee ejecutar.
1. Elija **Ejecutar plan**.
1. Si el plan incluye pasos de aprobación manual, apruebe cada paso cuando se le pida.
Mientras se ejecuta un plan, puede realizar un seguimiento de su progreso en la página de detalles de la ejecución, que se abre cuando decide ejecutar un plan.
También puede ver información sobre la recuperación de aplicaciones en curso en los paneles de cambio de región. En la consola de la característica de cambio de región, en el panel de navegación de la izquierda, en **Cambio de región**, elija una de las siguientes opciones:
+ **Panel global**
+ **Ejecuciones en *nombre de la región***
Tenga en cuenta que, si hay deficiencias en una región, es posible que el panel global no muestre todos los datos de su plan. Por este motivo, le recomendamos que utilice únicamente el panel de ejecuciones regionales durante los eventos operativos. El panel de ejecuciones regionales es más resiliente porque utiliza el plano de datos del cambio de región local.
Cuando se complete la ejecución del plan, podrá ver la información sobre la ejecución del plan y otros planes que haya ejecutado el cambio de región en la página de **Detalles del plan**, en la pestaña **Historial de ejecución del plan**.
# Paneles de cambio de región
La característica de cambio de región incluye un panel global que puede usar para observar el estado de los planes de cambio de región en su organización y sus regiones. Esta característica también tiene un panel de ejecuciones regionales que muestra solo las ejecuciones del plan en la región en la que ha iniciado sesión actualmente en la Consola de administración de AWS.
Tenga en cuenta que, si hay deficiencias en una región, es posible que el panel global no muestre todos los datos de su plan. Por este motivo, le recomendamos que utilice únicamente el panel de ejecuciones regionales durante los eventos operativos. El panel de ejecuciones regionales es más resiliente porque utiliza el plano de datos del cambio de región local.
# Cómo abrir el panel global de cambio de región
1. Abra la consola de ARC en [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. En **Cambio de región**, seleccione **Panel global**.
# Cómo abrir el panel regional de cambio de región
1. Abra la consola de ARC en [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. En **Cambio de región**, seleccione **Panel regional**.
# Compatibilidad entre cuentas en el cambio de región
En la característica de cambio de región, puede agregar recursos de otras cuentas a sus planes. También puede compartir un plan de cambio de región con otras cuentas. Para obtener más información, consulte las siguientes secciones.
## Recursos entre cuentas
La característica de cambio de región permite alojar los recursos en una cuenta independiente de la cuenta que contiene el plan de cambio de región. Cuando el cambio de región ejecuta un plan, asume el rol executionRole. Si el plan utiliza recursos de una cuenta diferente a la cuenta que aloja el plan, el conmutador de región utiliza el ExecutionRole para asumir el acceso crossAccountRole a esos recursos.
Cada recurso del plan de cambio de región tiene dos campos opcionales: crossAccountRole un ID externo.
+ crossAccountRole: Esta función permite el acceso a los recursos de una cuenta diferente de la cuenta que aloja el plan de cambio de región. El rol solo necesita permisos para actuar sobre los recursos de su cuenta; no necesita permisos para actuar sobre los recursos de la cuenta que aloja el plan de cambio de región.
+ ExternalId: Este es el ID externo de STS de la política de confianza de la cuenta que contiene el recurso que requiere una acción. Es una cadena alfanumérica que es el secreto compartido entre las dos cuentas.
## Cómo compartir planes de cambio de región
El conmutador de región se integra con AWS Resource Access Manager (AWS RAM) para que puedas compartir planes entre ellos Cuentas de AWS. Cuando comparte un plan, las cuentas que especifique pueden ver los detalles del plan, ejecutarlo y ver las ejecuciones del plan, lo que proporciona más control y flexibilidad para las capacidades de recuperación de los distintos equipos.
Para empezar a compartir entre cuentas en el cambio de región, debe crear un recurso compartido en AWS RAM. El recurso compartido especifica los participantes que están autorizados a compartir el plan que pertenece a su cuenta. Los participantes pueden ver y ejecutar el plan compartido a través de la consola, la CLI o AWS SDKs.
Importante: Cuenta de AWS Debe ser propietario de los planes que desee compartir. No puede compartir un plan que se haya compartido con usted. Para compartir un plan con su organización o una unidad organizativa en AWS Organizations, debe habilitar el uso compartido con organizaciones.
Para obtener más información al respecto AWS RAM, consulte[Compatibilidad para compartir planes entre cuentas para el cambio de región de ARC](resource-sharing.region-switch.md).
# Compatibilidad para compartir planes entre cuentas para el cambio de región de ARC
Amazon Application Recovery Controller (ARC) se integra AWS Resource Access Manager para permitir el uso compartido de recursos. AWS RAM es un servicio que le permite compartir recursos con otros Cuentas de AWS o a través de ellos AWS Organizations. Para el cambio de región de ARC, puede compartir el plan de cambio de región. (Para usar los recursos de otra cuenta de su plan, se utiliza un rol crossAccount. Para obtener más información, consulte [Recursos entre cuentas](cross-account-resources-rs.md#cross-account-resources-rs-in-plan).)
Con AWS RAM, puede compartir los recursos de su propiedad mediante la creación de un *recurso compartido*. Un uso compartido de recursos especifica los recursos que compartir y los consumidores *con quienes compartirlos*. Los participantes pueden incluir:
+ Cuentas de AWS Específico dentro o fuera de la organización del propietario en AWS Organizations
+ Una unidad organizativa dentro de su organización en AWS Organizations
+ Toda su organización en AWS Organizations
Para obtener más información al respecto AWS RAM, consulte la *[Guía AWS RAM del usuario](https://docs.aws.amazon.com/ram/latest/userguide/)*.
Si se utiliza AWS Resource Access Manager para compartir planes entre cuentas de ARC, puede utilizar un plan con varios planes diferentes Cuentas de AWS. Si opta por compartir un plan, otro plan Cuentas de AWS que especifique puede ejecutar el plan para recuperar la aplicación.
AWS RAM es un servicio que ayuda a AWS los clientes a compartir recursos de forma segura entre sí Cuentas de AWS. Con AWS RAMél, puede compartir recursos dentro de una organización o unidades organizativas (OUs) mediante funciones y usuarios de IAM. AWS Organizations AWS RAM es una forma centralizada y controlada de compartir un plan.
Al compartir un plan, puede reducir la cantidad total de planes que necesita su organización. Con un plan compartido, puede asignar el costo total de ejecución del plan a diferentes equipos para aumentar al máximo los beneficios de ARC con un costo menor. Compartir planes entre cuentas también puede facilitar el proceso de incorporación de varias aplicaciones a ARC, especialmente si tiene una gran cantidad de aplicaciones distribuidas en varias cuentas y equipos de operaciones.
Para empezar a compartir entre cuentas en ARC, debe crear un *recurso compartido* en AWS RAM. El recurso compartido especifica los *participantes* que están autorizados a compartir el plan que pertenece a su cuenta.
En este tema se explica cómo compartir los recursos que le pertenecen y cómo utilizar los recursos que se comparten con usted.
**Topics**
+ [Requisitos previos para compartir planes](#sharing-prereqs-rs)
+ [Cómo compartir un plan](#sharing-share-rs)
+ [Cómo dejar de compartir un plan compartido](#sharing-unshare-rs)
+ [Identificación de un plan compartido](#sharing-identify-rs)
+ [Responsabilidades y permisos de planes compartidos](#sharing-perms-rs)
+ [Costos de facturación](#sharing-billing-rs)
+ [Cuotas](#sharing-quotas-rs)
## Requisitos previos para compartir planes
+ Para compartir un plan, debes tenerlo en tu Cuenta de AWS. Esto significa que el recurso debe asignarse o suministrarse en su cuenta. No puede compartir un plan que se haya compartido con usted.
+ Para compartir un plan con su organización o con una unidad organizativa de AWS Organizations, debe habilitar el uso compartido con AWS Organizations. Para obtener más información, consulte [Habilitar el uso compartido con AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) en la *Guía del usuario de AWS RAM *.
## Cómo compartir un plan
Cuando comparte un plan, los participantes que especifique para compartir el plan pueden verlo y, si concede permisos adicionales, ejecutarlo.
Para compartir un plan, debe añadirlo a un recurso compartido. Un uso compartido de recursos es un recurso de AWS RAM que le permite compartir los recursos a través de Cuentas de AWS. Un uso compartido de recursos especifica los recursos que compartir y los participantes con los que compartirlos. Para compartir un plan, puede crear un nuevo recurso compartido o agregar el recurso a un recurso compartido existente. Para crear un nuevo recurso compartido, puedes usar la [AWS RAM consola](https://console.aws.amazon.com/ram) o usar las operaciones de la AWS RAM API con la tecla AWS Command Line Interface o AWS SDKs.
Si formas parte de una organización AWS Organizations y está activado el uso compartido dentro de tu organización, los participantes de tu organización tienen acceso automático al plan compartido. De lo contrario, los participantes reciben una invitación para unirse al recurso compartido y se les concede acceso al plan compartido después de aceptar la invitación.
Puedes compartir un plan de tu propiedad mediante la AWS RAM consola o mediante las operaciones de la AWS RAM API con AWS CLI o SDKs.
**Para compartir un plan de tu propiedad mediante la AWS RAM consola**
Consulte [Creación de un uso compartido de recursos](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) en la *Guía del usuario de AWS RAM *.
**Para compartir un plan de tu propiedad mediante el AWS CLI**
Utilice el comando [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html).
**Concesión de permisos para compartir planes**
Para compartir planes entre cuentas, se requieren los siguientes permisos adicionales para la entidad principal de IAM que comparte el plan mediante AWS RAM:
```
# read and execute plan permissions
"arc-region-switch:GetPlan",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:StartPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:UpdatePlanExecutionStep"
```
El propietario que comparte el plan debe tener los siguientes permisos. Si intentas compartir un plan AWS RAM sin tener estos permisos, se mostrará un error.
```
"arc-region-switch:PutResourcePolicy" # Permission only apis
"arc-region-switch:DeleteResourcePolicy" # Permission only apis
"arc-region-switch:GetResourcePolicy" # Permission only apis
```
Para obtener más información sobre la forma en que se AWS Resource Access Manager usa IAM, consulte [Cómo se AWS Resource Access Manager usa IAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-policies.html) en la Guía del *AWS RAM usuario*.
## Cómo dejar de compartir un plan compartido
Al dejar de compartir un plan, se aplica lo siguiente a los participantes y propietarios:
+ Los participantes ya no pueden ver ni ejecutar el plan no compartido.
Para dejar de compartir un plan compartido de su propiedad, debe eliminarlo del recurso compartido. Para ello, puede utilizar la AWS RAM consola o utilizar las operaciones de la AWS RAM API con la AWS CLI tecla o. SDKs
**Para dejar de compartir un plan compartido de tu propiedad mediante la consola AWS RAM**
Consulte [Actualización de un recurso compartido](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update) en la *Guía del usuario de AWS RAM *.
**Para dejar de compartir un plan compartido de tu propiedad mediante el AWS CLI**
Utilice el comando [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).
## Identificación de un plan compartido
Los propietarios y los participantes pueden identificar planes compartidos viendo la información en AWS RAM. También puede obtener información sobre recursos compartidos a través de la consola de ARC y la AWS CLI.
En general, para obtener más información sobre los recursos que has compartido o que se han compartido contigo, consulta la información en la Guía del AWS Resource Access Manager usuario:
+ Como propietario, puede ver todos los recursos que comparte con otros usuarios mediante AWS RAM. Para obtener más información, [consulte Visualización de los recursos compartidos en AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-view-sr.html).
+ Como participante, puede ver todos los recursos que se han compartido con usted utilizando AWS RAM. Para obtener más información, [consulte Visualización de los recursos compartidos en AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-view-sr.html).
Como propietario, puede determinar si está compartiendo un plan consultando la información de las operaciones de la API ARC Consola de administración de AWS o utilizándolas AWS Command Line Interface con ellas.
**Cómo identificar si un clúster de su propiedad se comparte mediante la consola**
En la Consola de administración de AWS página de detalles de un plan, consulta el **estado del plan compartido**.
Como participante, cuando un plan se comparte con usted, por lo general, debe aceptarlo para poder acceder al mismo.
## Responsabilidades y permisos de planes compartidos
### Permisos de los propietarios
Los participantes pueden ver o ejecutar el plan (si tienen los permisos correctos).
### Permisos para los participantes
Cuando compartes un plan que te pertenece con otras personas Cuentas de AWS, los participantes pueden verlo o ejecutarlo (si tienen los permisos correctos).
Cuando compartes un plan mediante el uso AWS RAM, el participante tiene, de forma predeterminada, permisos de solo lectura. Para ver una lista de permisos de solo lectura para el cambio de región, consulte [Permisos de solo lectura](security_iam_region_switch_read_only.md). Los participantes necesitan permisos adicionales para ejecutar un plan de cambio de región. Los participantes que tengan que ejecutar planes necesitan permisos adicionales. Tenga en cuenta que no puede conceder permiso a un AWS RAM participante para las siguientes operaciones:
+ ` ApprovePlanExecutionStep`
+ ` UpdatePlan`
## Costos de facturación
Al propietario de un plan en ARC se le facturan los costos asociados al plan. La creación de recursos alojados en un plan no conlleva costos adicionales para los propietarios ni para los participantes.
Para obtener información detallada sobre precios y ejemplos, consulte los [precios de Amazon Application Recovery Controller (ARC)](https://aws.amazon.com/application-recovery-controller/pricing/).
## Cuotas
Todos los recursos creados en un plan compartido se incluyen en las cuotas del propietario del plan.
Para obtener una lista de las cuotas de planes de cambio de región, consulte [Cuotas para el cambio de región](quotas.region-switch.md).
# Administración de identidades y accesos para el cambio de región en ARC
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién puede *autenticarse* (ha iniciado sesión) y quien está *autorizado* (tiene permisos) para utilizar recursos de ARC. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
**Topics**
+ [Cómo funciona el cambio de región con IAM](security_iam_service-with-iam-region-switch.md)
+ [Ejemplos de políticas basadas en identidades](security_iam_id-based-policy-examples-region-switch.md)
# Cómo funciona el cambio de región de ARC con IAM
Antes de utilizar IAM para administrar el acceso a ARC, conozca qué características de IAM se pueden utilizar con ARC.
Antes de utilizar IAM para administrar el acceso a la característica de cambio de región en el Controlador de recuperación de aplicaciones de Amazon (ARC), conozca qué características de IAM se pueden utilizar con el cambio de región.
**Características de IAM que puede utilizar con el cambio de región en el Controlador de recuperación de aplicaciones de Amazon (ARC)**
| Característica de IAM | Compatibilidad con el cambio de región |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-region-switch-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-region-switch-resource-based-policies) | Sí |
| [Acciones de políticas](#security_iam_service-with-iam-region-switch-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-region-switch-id-based-policies-resources) | Sí |
| [Claves de condición de política](#security_iam_service-with-iam-region-switch-id-based-policies-conditionkeys) | Sí |
| [ACLs](#security_iam_service-with-iam-region-switch-acls) | Sí |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-region-switch-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-region-switch-roles-tempcreds) | Sí |
| [Permisos de entidades principales](#security_iam_service-with-iam-region-switch-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-region-switch-roles-service) | No |
| [Roles vinculados al servicio](#security_iam_service-with-iam-region-switch-roles-service-linked) | No |
Para obtener una visión general y de alto nivel del funcionamiento de AWS los servicios con la mayoría de las funciones de IAM, consulte [AWS los servicios que funcionan con IAM en la Guía del usuario de *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Políticas basadas en identidades de cambio de región
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
Para ver ejemplos de políticas basadas en identidades de ARC, consulte [Ejemplos de políticas basadas en identidades del Controlador de recuperación de aplicaciones (ARC) de Amazon](security_iam_id-based-policy-examples.md).
## Políticas basadas en recursos dentro del cambio de región
**Compatibilidad con las políticas basadas en recursos:** sí
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico.
## Acciones de políticas para el cambio de región
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de políticas en ARC para el cambio de región utilizan los siguientes prefijos antes de la acción:
```
arc-region-switch
```
Para especificar varias acciones en una única instrucción, sepárelas con comas. Por ejemplo, haga lo siguiente:
```
"Action": [
"arc-region-switch:action1",
"arc-region-switch:action2"
]
```
Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción:
```
"Action": "arc-region-switch:Describe*"
```
Para ver ejemplos de políticas basadas en identidades de ARC para el cambio de región, consulte [Ejemplos de políticas basadas en identidades para el cambio de región en ARC](security_iam_id-based-policy-examples-region-switch.md).
## Recursos de políticas para el cambio de región
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver ejemplos de políticas basadas en identidades de ARC para el cambio de región, consulte [Ejemplos de políticas basadas en identidades para el cambio de región en ARC](security_iam_id-based-policy-examples-region-switch.md).
## Claves de condición de políticas para el cambio de región
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver ejemplos de políticas basadas en identidades de ARC para el cambio de región, consulte [Ejemplos de políticas basadas en identidades para el cambio de región en ARC](security_iam_id-based-policy-examples-region-switch.md).
## Listas de control de acceso (ACLs) en el conmutador de región
**Soporta ACLs:** Sí
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## Control de acceso basado en atributos (ABAC) con cambio de región
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del director coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Uso de credenciales temporales con el cambio de región
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Permisos de entidades principales entre servicios para el cambio de región
**Admite sesiones de acceso directo (FAS):** sí
Cuando utilizas una entidad de IAM (usuario o rol) para realizar acciones en ella AWS, se te considera principal. Las políticas conceden permisos a una entidad principal. Cuando utiliza algunos servicios, es posible que realice una acción que desencadene otra acción en un servicio diferente. En este caso, debe tener permisos para realizar ambas acciones.
## Roles de servicio para el cambio de región
**Compatible con roles de servicio:** No
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
## Roles vinculados al servicio para el cambio de región
**Compatibilidad con roles vinculados al servicio:** no
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.
# Ejemplos de políticas basadas en identidades para el cambio de región en ARC
De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar recursos de ARC. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por ARC, incluido el ARNs formato de cada uno de los tipos de recursos, consulte [Acciones, recursos y claves de condición de Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) en la *Referencia de autorización de servicios*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [Política de confianza del rol de ejecución del plan](security_iam_region_switch_trust_policy.md)
+ [Permisos para el acceso completo](security_iam_region_switch_full_access.md)
+ [Permisos de solo lectura](security_iam_region_switch_read_only.md)
+ [Permisos de bloque de ejecución](security_iam_region_switch_execution_blocks.md)
+ [CloudWatch alarmas para los permisos de estado de las aplicaciones](security_iam_region_switch_cloudwatch.md)
+ [La ejecución automática del plan informa sobre los permisos](security_iam_region_switch_reports.md)
+ [Permisos de recursos entre cuentas](security_iam_region_switch_cross_account.md)
+ [Realización de permisos de rol de ejecución de planes](security_iam_region_switch_complete_policy.md)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder a los recursos de ARC de la cuenta o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos**: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
# Política de confianza del rol de ejecución del plan
Esta es la política de confianza necesaria para el rol de ejecución del plan, de modo que ARC pueda ejecutar un plan de cambio de región.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "arc-region-switch.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Permisos para el acceso completo
La siguiente política de IAM otorga acceso total a todos los conmutadores de región: APIs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "arc-region-switch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:CreatePlan",
"arc-region-switch:UpdatePlan",
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:DeletePlan",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:ApprovePlanExecutionStep",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:StartPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource",
"arc-region-switch:TagResource",
"arc-region-switch:UntagResource",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:UpdatePlanExecutionStep"
],
"Resource": "*"
}
]
}
```
------
# Permisos de solo lectura
La siguiente política de IAM concede permisos de acceso de solo lectura para el cambio de región:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
# Permisos de bloque de ejecución
En las siguientes secciones se proporcionan ejemplos de políticas de IAM que proporcionan los permisos necesarios para bloques de ejecución específicos que se agregan a un plan de cambio de región.
**Topics**
+ [Ejemplo de política de bloques de ejecución de Auto Scaling de EC2](security_iam_region_switch_ec2_autoscaling.md)
+ [Política de ejemplo de bloque de ejecución de escalado de recursos de Amazon EKS](security_iam_region_switch_eks.md)
+ [Política de ejemplo de bloque de ejecución de escalado de servicios de Amazon ECS](security_iam_region_switch_ecs.md)
+ [Política de ejemplo de bloque de ejecución de controles de enrutamiento de ARC](security_iam_region_switch_arc_routing.md)
+ [Política de ejemplo de bloque de ejecución de base de datos global de Aurora](security_iam_region_switch_aurora.md)
+ [Ejemplo de política de bloques de ejecución de Amazon DocumentDB Global Cluster](security_iam_region_switch_documentdb.md)
+ [Ejemplo de política de bloques de ejecución de Amazon RDS](security_iam_region_switch_rds.md)
+ [Política de ejemplo de bloque de ejecución de aprobaciones manuales](security_iam_region_switch_manual_approval.md)
+ [Política de ejemplo de bloque de ejecución de Lambda de acciones personalizadas](security_iam_region_switch_lambda.md)
+ [Política de ejemplo de bloque de ejecución de comprobación de estado de Route 53](security_iam_region_switch_route53.md)
+ [Política de ejemplo de bloque de ejecución de un plan de cambio de región](security_iam_region_switch_plan_execution.md)
# Ejemplo de política de bloques de ejecución de Auto Scaling de EC2
El siguiente es un ejemplo de política para adjuntar si agrega bloques de ejecución a un plan de cambio de región para grupos de Auto Scaling de EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"autoscaling:UpdateAutoScalingGroup"
],
"Resource": [
"arn:aws:autoscaling:us-east-1:123456789012:autoScalingGroup:123d456e-123e-1111-abcd-EXAMPLE22222:autoScalingGroupName/app-asg-primary",
"arn:aws:autoscaling:us-west-2:123456789012:autoScalingGroup:1234a321-123e-1234-aabb-EXAMPLE33333:autoScalingGroupName/app-asg-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Política de ejemplo de bloque de ejecución de escalado de recursos de Amazon EKS
A continuación se muestra una política de ejemplo para asociar si agrega bloques de ejecución a un plan de cambio de región para el escalado de recursos de Amazon EKS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:cluster/app-eks-primary",
"arn:aws:eks:us-west-2:123456789012:cluster/app-eks-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"eks:ListAssociatedAccessPolicies"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:access-entry/app-eks-primary/*",
"arn:aws:eks:us-west-2:123456789012:access-entry/app-eks-secondary/*"
]
}
]
}
```
------
Nota: Además de esta política de IAM, el rol de ejecución del plan debe agregarse a las entradas de acceso del clúster de Amazon EKS con la política de acceso de `AmazonArcRegionSwitchScalingPolicy`. Para obtener más información, consulte [Configuración de los permisos de entrada de acceso de EKS](eks-resource-scaling-block.md#eks-resource-scaling-block-permissions).
# Política de ejemplo de bloque de ejecución de escalado de servicios de Amazon ECS
A continuación se muestra una política de ejemplo para asociar si agrega bloques de ejecución a un plan de cambio de región para el escalado de servicios de Amazon ECS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeServices",
"ecs:UpdateService"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/app-cluster-primary/app-service",
"arn:aws:ecs:us-west-2:123456789012:service/app-cluster-secondary/app-service"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeClusters"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:cluster/app-cluster-primary",
"arn:aws:ecs:us-west-2:123456789012:cluster/app-cluster-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:ListServices"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Política de ejemplo de bloque de ejecución de controles de enrutamiento de ARC
Nota: El bloque de ejecución de los controles de enrutamiento de Amazon ARC requiere que cualquier política de control de servicios (SCPs) aplicada a la función de ejecución del plan permita el acceso a las siguientes regiones para estos servicios:
+ `route53-recovery-control-config: us-west-2`
+ `route53-recovery-cluster: us-west-2, us-east-1, eu-west-1, ap-southeast-2, ap-northeast-1`
A continuación se muestra una política de ejemplo para asociar si agrega bloques de ejecución a un plan de cambio de región para los controles de enrutado de ARC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-control-config:DescribeControlPanel",
"route53-recovery-control-config:DescribeCluster"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/abcd1234abcd1234abcd1234abcd1234",
"arn:aws:route53-recovery-control::123456789012:cluster/4b325d3b-0e28-4dcf-ba4a-EXAMPLE11111"
]
},
{
"Effect": "Allow",
"Action": [
"route53-recovery-cluster:GetRoutingControlState",
"route53-recovery-cluster:UpdateRoutingControlStates"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/abcdef1234567890",
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/1234567890abcdef"
]
}
]
}
```
------
Puede recuperar el ID del panel de control de enrutamiento y el ID del clúster mediante la CLI. Para obtener más información, consulte [Configuración de los componentes de control de enrutamiento](getting-started-cli-routing-config.md).
# Política de ejemplo de bloque de ejecución de base de datos global de Aurora
A continuación se muestra una política de ejemplo para asociar si agrega bloques de ejecución a un plan de cambio de región para bases de datos Aurora.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": [
"arn:aws:rds::123456789012:global-cluster:app-global-db",
"arn:aws:rds:us-east-1:123456789012:cluster:app-db-primary",
"arn:aws:rds:us-west-2:123456789012:cluster:app-db-secondary"
]
}
]
}
```
------
# Ejemplo de política de bloques de ejecución de Amazon DocumentDB Global Cluster
El siguiente es un ejemplo de política para adjuntar si añade bloques de ejecución a un plan de cambio de región para los clústeres globales de Amazon DocumentDB.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters",
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": "*"
}
]
}
```
# Ejemplo de política de bloques de ejecución de Amazon RDS
El siguiente es un ejemplo de política para adjuntar si añade bloques de ejecución a un plan de cambio de región para la promoción de réplicas de lectura de Amazon RDS o la creación de réplicas entre regiones.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:PromoteReadReplica",
"rds:CreateDBInstanceReadReplica",
"rds:ModifyDBInstance"
],
"Resource": "*"
}
]
}
```
# Política de ejemplo de bloque de ejecución de aprobaciones manuales
A continuación se muestra una política de ejemplo para asociar si agrega bloques de ejecución a un plan de cambio de región para aprobaciones manuales.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:ApprovePlanExecutionStep"
],
"Resource": "arn:aws:arc-region-switch::123456789012:plan/sample-plan:0123abc"
}
]
}
```
------
# Política de ejemplo de bloque de ejecución de Lambda de acciones personalizadas
A continuación se muestra una política de ejemplo para asociar si agrega bloques de ejecución a un plan de cambio de región para funciones de Lambda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:app-recovery-primary",
"arn:aws:lambda:us-west-2:123456789012:function:app-recovery-secondary"
]
}
]
}
```
------
# Política de ejemplo de bloque de ejecución de comprobación de estado de Route 53
A continuación se muestra una política de ejemplo para asociar si agrega bloques de ejecución a un plan de cambio de región para comprobaciones de estado de Route 53.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:ListResourceRecordSets"
],
"Resource": [
"arn:aws:route53:::hostedzone/Z1234567890ABCDEFGHIJ"
]
}
]
}
```
------
# Política de ejemplo de bloque de ejecución de un plan de cambio de región
A continuación se muestra una política de ejemplo para asociar si agrega bloques de ejecución a un plan de cambio de región para ejecutar planes secundarios.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:StartPlanExecution",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": [
"arn:aws:arc-region-switch::123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch::123456789012:plan/child-plan-2/fghij2"
]
}
]
}
```
------
# CloudWatch alarmas para los permisos de estado de las aplicaciones
El siguiente es un ejemplo de política para adjuntar a CloudWatch las alarmas de acceso relacionadas con el estado de las aplicaciones, que se utilizan para ayudar a determinar el tiempo de recuperación real.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary",
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
]
}
]
}
```
------
# La ejecución automática del plan informa sobre los permisos
El siguiente es un ejemplo de política para adjuntar si configura la generación automática de informes para un plan de cambio de región. Esta política incluye permisos para redactar informes en Amazon S3, acceder a los datos de CloudWatch alarmas y recuperar la información de los planes secundarios para los planes de padres.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your-bucket-name/*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeAlarmHistory"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary"
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
],
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutionEvents"
],
"Resource": [
"arn:aws:arc-region-switch:us-east-1:123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch:us-west-2:123456789012:plan/child-plan-2/fghij2"
],
}
]
}
```
Nota: Si configura una AWS KMS clave gestionada por el cliente para el cifrado de buckets de Amazon S3, también debe añadir `kms:GenerateDataKey` `kms:Encrypt` permisos para la clave.
# Permisos de recursos entre cuentas
Si los recursos están en cuentas diferentes, necesitará un rol multicuenta. A continuación se muestra un ejemplo de política de confianza para un rol multicuenta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
Y el siguiente es el permiso para que el rol de ejecución del plan asuma este rol multicuenta:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::987654321098:role/RegionSwitchCrossAccountRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
# Realización de permisos de rol de ejecución de planes
Crear una política integral que incluya permisos para todos los bloques de ejecución requeriría una política bastante grande. En la práctica, solo debe incluir los permisos para los bloques de ejecución que utilice en sus planes específicos.
A continuación se muestra una política de ejemplo que puede utilizar como punto de partida para una política de roles de ejecución de planes. Asegúrese de agregar las políticas adicionales necesarias para los bloques de ejecución específicos que incluya en su plan. Incluya únicamente los permisos necesarios para los bloques de ejecución específicos que utilice en su plan, siguiendo el principio del privilegio mínimo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:SimulatePrincipalPolicy",
"Resource": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": "*"
}
]
}
```
------
# Registro y supervisión del cambio de región en ARC
Puede usar Amazon y Amazon CloudWatch EventBridge para monitorear el cambio de región en Amazon Application Recovery Controller (ARC), para recibir alertas, analizar patrones y ayudar a solucionar problemas. AWS CloudTrail
**Topics**
+ [Registrar las llamadas a la API de cambio de región mediante AWS CloudTrail](cloudtrail-region-switch.md)
+ [Uso del conmutador de región en ARC con Amazon EventBridge](eventbridge-region-switch.md)
# Registrar las llamadas a la API de cambio de región mediante AWS CloudTrail
El conmutador regional Amazon Application Recovery Controller (ARC) está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en ARC. CloudTrail captura todas las llamadas a la API de ARC como eventos. Las llamadas capturadas incluyen las llamadas desde la consola de ARC y las llamadas desde el código a las operaciones de la API de ARC.
Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos de ARC. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el **historial de eventos**.
Con la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a ARC, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales.
Para obtener más información CloudTrail, consulte la [Guía AWS CloudTrail del usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Información sobre ARC en CloudTrail
CloudTrail está habilitada en tu cuenta Cuenta de AWS al crear la cuenta. Cuando se produce una actividad en ARC, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el **historial de eventos**. Puede ver, buscar y descargar eventos recientes en su Cuenta de AWS. Para obtener más información, consulte [Trabajar con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para tener un registro continuo de tus eventos Cuenta de AWS, incluidos los eventos de ARC, crea una ruta. Un *rastro* permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las Regiones de AWS. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para más información, consulte los siguientes temas:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servicios e integraciones compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Todas las acciones de ARC se registran CloudTrail y se documentan en el ENLACE DE REFERENCIA DE LA API, por determinar. Por ejemplo, las llamadas a `TBD` y `TBD` las acciones generan entradas en los archivos de CloudTrail registro. `TBD`
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con credenciales de usuario root o AWS Identity and Access Management (IAM).
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro AWS servicio.
Para obtener más información, consulte el [elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Visualización de eventos de cambio de región en el historial de eventos
CloudTrail le permite ver los eventos recientes en el **historial de eventos**. La mayoría de los eventos relacionados con las solicitudes de la API de cambio de región están en la región en la que trabaja con un plan de cambio de región, por ejemplo, cuando crea un plan o ejecuta un plan. Sin embargo, algunas acciones de cambio de región que se ejecutan en la consola de ARC se realizan mediante operaciones de API del plan de control, en lugar de operaciones del plano de datos. Para las operaciones del plano de control, se consultan los eventos en Este de EE. UU. (Norte de Virginia). Para obtener información sobre qué llamadas a la API son operaciones del plano de control, consulte [Operaciones de la API de cambio de región](actions.region-switch.md).
## Descripción de las entradas del archivo de registro de ARC
Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico.
En el siguiente ejemplo, se muestra una entrada de CloudTrail registro que demuestra la `StartPlanExecution` acción del cambio de región.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2025-07-06T17:38:05Z"
}
}
},
"eventTime": "2025-07-06T18:08:03Z",
"eventSource": "arc-region-switch.amazonaws.com",
"eventName": "StartPlanExecution",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": {
"planArn": "arn:aws:arc-region-switch::555555555555:plan/CloudTrailIntegTestPlan:bbbbb",
"targetRegion": "us-east-1",
"action": "activate" }
"responseElements": {
"executionId": "us-east-1/dddddddEXAMPLE",
"plan": "arn:aws:arc-region-switch::555555555555:plan/CloudTrailIntegTestPlan:bbbbb",
"planVersion": "1",
"activateRegion": "us-east-1" },
"requestID": "fd42dcf7-6446-41e9-b408-d096example",
"eventID": "4b5c42df-1174-46c8-be99-d67aexample",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.arc.amazon.aws"
}
```
# Uso del conmutador de región en ARC con Amazon EventBridge
Con Amazon EventBridge, puede configurar reglas basadas en eventos que supervisen los recursos del conmutador de región en Amazon Application Recovery Controller (ARC) y, a continuación, iniciar acciones específicas que utilicen otros AWS servicios. Por ejemplo, puede establecer una regla para el envío de notificaciones por correo electrónico marcando un tema de Amazon SNS cada vez que se complete la ejecución de un plan de cambio de región.
Puedes crear reglas en Amazon EventBridge para actuar en los siguientes eventos de cambio de región ARC:
+ *Ejecución del plan de cambio de región.* El evento especifica que se ha ejecutado un plan de cambio de región.
+ *Evaluación del plan de cambio de región.* El evento especifica que se ha completado la evaluación del plan de cambio de región.
Para capturar eventos de ARC específicos que le interesen, defina patrones específicos de eventos que EventBridge pueda utilizar para detectarlos. Los patrones de eventos de tienen la misma estructura que los eventos con los que coinciden. El patrón cita los campos para los que se desea encontrar coincidencias y proporciona los valores que está buscando.
Los eventos se emiten en la medida de lo posible. En circunstancias operativas normales, se envían desde ARC a prácticamente EventBridge en tiempo real. Sin embargo, pueden surgir situaciones que retrasen o impidan la entrega de un evento.
Para obtener información sobre cómo funcionan EventBridge las reglas con los patrones de eventos, consulte [Eventos y patrones de eventos en EventBridge](https://docs.aws.amazon.com//eventbridge/latest/userguide/eventbridge-and-event-patterns.html).
## Supervise un recurso de cambio de región con EventBridge
Con él EventBridge, puede crear reglas que definan las acciones que se deben tomar cuando ARC emita eventos para los recursos del cambio de región.
Para escribir o copiar y pegar un patrón de eventos en la EventBridge consola, en la consola, seleccione la opción **Introducir mi propia** opción. Para ayudarle a determinar patrones de eventos que podrían ser útiles, este tema incluye [patrones de cambio de región de ejemplo](#arc-eventbridge-examples-region-switch).
**Para crear una regla para un evento de recurso, realice lo siguiente:**
1. Abre la EventBridge consola de Amazon en [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Región de AWS Para crear la regla, elige la región en la que creaste el plan para el que deseas monitorear los eventos.
1. Seleccione **Creación de regla**.
1. Ingrese un **Name (Nombre)** para la regla y opcionalmente, una descripción.
1. Para **Bus de eventos**, deje el valor predeterminado, **predeterminado**.
1. Elija **Siguiente**.
1. En el paso **Crear un patrón de eventos**, en **Origen del evento**, deje el valor predeterminado, **Eventos de AWS **.
1. En **Ejemplo de evento**, elija **Introducir el mío**.
1. Para **Ejemplos de eventos**, escriba o copie y pegue un patrón de eventos. Consulte la siguiente sección para ver ejemplos.
## Ejemplo de patrones de cambio de región
Los patrones de eventos de tienen la misma estructura que los eventos con los que coinciden. El patrón cita los campos para los que se desea encontrar coincidencias y proporciona los valores que está buscando.
Puede copiar y pegar los patrones de eventos de esta sección EventBridge para crear reglas que pueda usar para monitorear las acciones y los recursos de ARC.
Los siguientes patrones de eventos proporcionan ejemplos que puede utilizar EventBridge para la función de cambio de región de ARC.
+ *Seleccione todos los eventos de la opción Cambiar región por PlanExecution*.
```
{
"source": [ "aws.arc-region-switch" ],
"detail-type": [ "ARC Region switch Plan Execution" ]
}
```
+ *Selecciona todos los eventos de la opción Cambiar región por PlanEvaluation*.
```
{
"source": [ "aws.arc-region-switch" ],
"detail-type": [ "ARC Region Switch Plan Evaluation" ]
}
```
El siguiente es un ejemplo de un evento de ARC para la *ejecución de un plan de cambio de región*:
```
{
"version": "0",
"id": "1111111-bbbb-aaaa-cccc-dddddEXAMPLE", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/aaaaaExample"], # planArn
"detail": {
"version": "0.0.1",
"eventType": "ExecutionStarted",
"executionId": "bbbbbbEXAMPLE",
"executionAction": "activating/deactivating {region}",
"idempotencyKey": "1111111-2222-3333-4444-5555555555", # As there is a possibility of dual logging
}
}
```
El siguiente es un ejemplo de un evento ARC para la *ejecución en el nivel de pasos de un plan de cambio de región*:
```
{
"version": "0",
"id": "1111111-bbbb-aaaa-cccc-dddddEXAMPLE", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/aaaaaExample"], # planArn
"detail": {
"version": "0.0.1",
"eventType": "StepStarted",
"executionId": "bbbbbbEXAMPLE",
"executionAction": "activating/deactivating {region}",
"idempotencyKey": "1111111-2222-3333-4444-5555555555", # As there is a possibility of dual logging
"stepDetails" : {
"stepName": "Routing control step",
"resource": ["arn:aws:route53-recovery-control::111122223333:controlpanel/abcdefghiEXAMPLE/routingcontrol/jklmnopqrsEXAMPLE"]
}
}
}
```
El siguiente es un ejemplo de un evento ARC para una *advertencia de evaluación de un plan de cambio de región*.
Para la evaluación de un plan de cambio de región, se emite un evento cuando se devuelve una advertencia. Si la advertencia no se borra, solo se emite un evento para la advertencia una vez cada 24 horas. Cuando se borra el evento, no se emitirán más eventos para esa advertencia.
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/a2b89be4821bfd1d"],
"detail": {
"version": "0.0.1",
"idempotencyKey": "1111111-2222-3333-4444-5555555555",
"metadata": {
"evaluationTime" : "timestamp",
"warning" : "There is a plan evaluation warning for arn:aws:arc-region-switch::111122223333:plan/a2b89be4821bfd1d. Navigate to the Region switch console to resolve."
}
}
}
```
## Especifique un grupo de CloudWatch registros para usarlo como destino
Al crear una EventBridge regla, debe especificar el destino al que se envían los eventos que coinciden con la regla. Para obtener una lista de los objetivos disponibles EventBridge, consulte [Objetivos disponibles en la EventBridge consola](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html#eb-console-targets). Uno de los destinos que puedes añadir a una EventBridge regla es un grupo de CloudWatch registros de Amazon. En esta sección se describen los requisitos para añadir grupos de CloudWatch registros como objetivos y se proporciona un procedimiento para añadir un grupo de registros al crear una regla.
Para agregar un grupo de CloudWatch registros como destino, puede realizar una de las siguientes acciones:
+ Crear un nuevo grupo de registro
+ Seleccionar un grupo de registro existente
Si especifica un nuevo grupo de registros mediante la consola al crear una regla, crea EventBridge automáticamente el grupo de registros. Asegúrese de que el grupo de registros que utilice como destino para la EventBridge regla comience por`/aws/events`. Si desea elegir un grupo de registro existente, tenga en cuenta que solo los grupos de registro que comiencen por `/aws/events` aparecen como opciones en el menú desplegable. Para obtener más información, consulta [Crear un nuevo grupo de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group) en la *Guía del CloudWatch usuario de Amazon*.
Si crea o usa un grupo de CloudWatch registros para usarlo como destino mediante CloudWatch operaciones fuera de la consola, asegúrese de configurar los permisos correctamente. Si usa la consola para agregar un grupo de registros a una EventBridge regla, la política basada en recursos del grupo de registros se actualiza automáticamente. Sin embargo, si usa el SDK AWS Command Line Interface o un AWS SDK para especificar un grupo de registros, debe actualizar la política basada en recursos para el grupo de registros. El siguiente ejemplo de política ilustra los permisos que debe definir en una política basada en recursos para el grupo de registro:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com",
"delivery.logs.amazonaws.com"
]
},
"Resource": "arn:aws:logs:us-east-1:222222222222:log-group:/aws/events/*:*",
"Sid": "TrustEventsToStoreLogEvent"
}
]
}
```
------
No puede configurar una política basada en recursos para un grupo de registro mediante la consola. Para añadir los permisos necesarios a una política basada en recursos, utilice la operación de API. CloudWatch [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) A continuación, puede utilizar el comando [describe-resource-policies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/logs/describe-resource-policies.html)CLI para comprobar que la política se ha aplicado correctamente.
**Para crear una regla para un evento de recurso y especificar un objetivo de grupo de CloudWatch registros**
1. Abre la EventBridge consola de Amazon en [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Elige en Región de AWS qué quieres crear la regla.
1. Elija **Crear regla** y, a continuación, introduzca cualquier información sobre esa regla, como el patrón del evento o los detalles de la programación.
Para obtener más información sobre la creación de EventBridge reglas de preparación, consulte [Supervisar un recurso de verificación de disponibilidad con EventBridge](eventbridge-readiness.md#RCEventBridgeCreateRule).
1. En la página **Seleccione el destino**, elija **CloudWatch**como objetivo.
1. Elija un grupo de CloudWatch registros en el menú desplegable.
# Cuotas para el cambio de región
El cambio de región en el Controlador de recuperación de aplicaciones de Amazon (ARC) está sujeto a las siguientes cuotas.
| Entidad | Cuota |
| --- | --- |
| Número de planes por cuenta | 10 Puede [solicitar un aumento de cuota](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas). |
| Número de bloques de ejecución por plan | 100 |
| Número de bloques de ejecución del plan de cambio de región por plan | 25 |
| Número de bloques de ejecución en paralelo por paso | 20 |
| Número de CloudWatch alarmas por condición de activación | 10 |