View a markdown version of this page

IAM y permisos para el cambio de zona - Controlador de recuperación de aplicaciones (ARC) de Amazon

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

IAM y permisos para el cambio de zona

En esta sección se proporciona información adicional sobre cómo funcionan los permisos para la función de cambio zonal de Amazon Application Recovery Controller (ARC), especialmente si trabaja con la función de otro AWS servicio, como Elastic Load Balancing. Para obtener información sobre cómo funcionan las características de ARC con IAM y los permisos en general, consulte el tema relacionado con información general, Administración de identidades y accesos para el cambio de zona en ARC.

El cambio de zona admite los equilibradores de carga de aplicación, los equilibradores de carga de red, los grupos de Amazon EC2 Auto Scaling y Amazon EKS. Puede utilizar claves de condición de IAM para aplicar una política de permisos de IAM a estos recursos. A continuación, se muestra un ejemplo de política que utiliza una clave de condición con varios recursos de distintos tipos:

{
    "Condition": {
        "StringLike": {
            "arc-zonal-shift:ResourceIdentifier": [
                "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/*",
                "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/*",
                "arn:aws:eks:us-east-1:123456789012:cluster/*"
            ]
        }
    },
    "Action": [
        "arc-zonal-shift:StartZonalShift"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

Para obtener más información, consulte Recursos admitidos.

Además de los permisos descritos en el tema relacionado con información general de IAM, lo siguiente se aplica al cambio de zona para IAM y los permisos:

  • Asegúrese de tener los permisos necesarios para trabajar con cambio de zona en ARC. Para obtener más información, consulte el acceso a la consola de cambios de zona y el acceso a las operaciones de cambios de zona.

  • No necesita agregar permisos adicionales de Elastic Load Balancing con IAM para trabajar con cambios de zona para los recursos del equilibrador de carga administrado en su cuenta en ARC.

  • Una política AWS administrada que proporciona acceso total a Elastic Load Balancing incluye permisos para trabajar con turnos zonales. Si utilizas políticas AWS gestionadas para el acceso a Elastic Load Balancing, no necesitas permisos adicionales en IAM para el cambio zonal para iniciar los turnos zonales para los balanceadores de carga o trabajar con ellos en la consola de Elastic Load Balancing. Para obtener más información, consulte Políticas administradas por AWS para Elastic Load Balancing.