Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création de règles de sécurité pour le contrôle du routage
Lorsque vous utilisez plusieurs contrôles de routage en même temps, vous pouvez décider de mettre en place des mesures de protection pour éviter des conséquences imprévues. Par exemple, vous souhaiterez peut-être éviter de désactiver par inadvertance toutes les commandes de routage d'une application, ce qui entraînerait un scénario d'ouverture défaillante. Vous pouvez également implémenter un commutateur marche-arrêt principal pour désactiver un ensemble de commandes de routage, par exemple pour empêcher l'automatisation de rediriger le trafic. Pour établir de telles garanties pour le contrôle du routage dans ARC, vous créez des *règles de sécurité*.
Vous configurez les règles de sécurité pour le contrôle du routage à l'aide d'une combinaison de contrôles de routage, de règles et d'autres options que vous spécifiez. Chaque règle de sécurité est associée à un seul panneau de commande, mais un panneau de commande peut comporter plusieurs règles de sécurité. Lorsque vous créez des règles de sécurité, n'oubliez pas que les noms des règles de sécurité doivent être uniques dans chaque panneau de commande.
**Topics**
+ [Types de règles de sécurité](#routing-control.about-safety-rule)
+ [Création d'une règle de sécurité sur la console](routing-control.create-safety-rule.md)
+ [Modification ou suppression d'une règle de sécurité sur la console](routing-control.edit-delete-safety-rule.md)
+ [Dérogation aux règles de sécurité pour réacheminer le trafic](routing-control.override-safety-rule.md)
## Types de règles de sécurité
Il existe deux types de règles de sécurité, les *règles d'assertion et les* *règles de blocage*, que vous pouvez utiliser pour protéger le basculement de différentes manières.
**Règle d'assertion**
Avec une règle d'assertion, lorsque vous modifiez un ou plusieurs états de contrôle de routage, ARC veille à ce que les critères que vous avez définis lors de la configuration de la règle soient respectés, sinon les états du contrôle de routage ne sont pas modifiés.
Cela peut être utile, par exemple, pour empêcher un scénario d'ouverture défaillante, tel qu'un scénario dans lequel vous empêchez le trafic de se diriger vers une cellule mais pas de démarrer le trafic vers une autre cellule. Pour éviter cela, une règle d'assertion garantit qu'au moins un contrôle de routage dans un ensemble de contrôles de routage d'un panneau de commande existe `On` à un moment donné. Cela garantit que le trafic circule vers au moins une région ou une zone de disponibilité pour une application.
Pour voir un exemple de AWS CLI commande qui crée une règle d'assertion pour appliquer ce critère, voir *Créer des règles de sécurité* dans[Exemples d'utilisation des opérations de l'API de contrôle de routage ARC avec AWS CLI](getting-started-cli-routing.md).
Pour obtenir des informations détaillées sur les propriétés de fonctionnement de l'API des règles d'assertion, consultez [AssertionRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-assertionrule)le Guide de référence de l'API Routing Control pour Amazon Application Recovery Controller.
**Règle de blocage**
Avec une règle de blocage, vous pouvez appliquer une commutation globale activation/désactivation sur un ensemble de contrôles de routage afin que la modification de ces états de contrôle de routage soit imposée en fonction d'un ensemble de critères que vous spécifiez dans la règle. Le critère le plus simple est de savoir si un seul contrôle de routage que vous spécifiez comme commutateur est défini sur `ON` ou`OFF`.
Pour implémenter cela, vous créez un *contrôle de routage par portail*, à utiliser comme commutateur global, et des *contrôles de routage cibles*, pour contrôler le flux de trafic vers différentes régions ou zones de disponibilité. Ensuite, pour empêcher les mises à jour manuelles ou automatisées de l'état des contrôles de routage cibles que vous avez configurés pour la règle de contrôle de routage, vous définissez l'état du contrôle de routage de portail sur. `Off` Pour autoriser les mises à jour, vous devez le définir sur`On`.
Pour voir un exemple de AWS CLI commande qui crée une règle de blocage implémentant ce type de commutateur global, voir *Créer des règles de sécurité* dans[Exemples d'utilisation des opérations de l'API de contrôle de routage ARC avec AWS CLI](getting-started-cli-routing.md).
Pour obtenir des informations détaillées sur les propriétés de fonctionnement de l'API des règles de blocage, consultez [GatingRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-gatingrule)le Guide de référence de l'API Routing Control pour Amazon Application Recovery Controller.
# Création d'une règle de sécurité sur la console
Les étapes décrites dans cette section expliquent comment créer une règle de sécurité sur la console ARC. Les étapes sont similaires, que vous créiez une règle d'assertion ou une règle de blocage. Les différences sont notées dans la procédure.
Pour en savoir plus sur l'utilisation des opérations d'API de restauration et de contrôle du routage avec Amazon Application Recovery Controller (ARC), consultez[Opérations de l'API de contrôle du routage](actions.routing-control.md).
# Pour créer une règle de sécurité
1. Ouvrez la console ARC à l'adresse[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. Choisissez le **contrôle du routage**.
1. Sur la page **de contrôle du routage**, choisissez un panneau de commande.
1. Sur la page des détails du panneau de commande, choisissez **Action**, puis **Ajouter une règle de sécurité**.
1. Choisissez le type de règle à ajouter : règle d'**assertion ou règle** **de blocage**.
1. Choisissez un nom et modifiez éventuellement le délai d'attente.
1. Spécifiez les options de configuration pour la règle de sécurité.
+ Pour une règle d'assertion, spécifiez les contrôles de routage affirmés.
+ Pour une règle de routage, spécifiez le contrôle de routage de portail et les contrôles de routage cible.
Pour les deux règles, spécifiez la configuration des règles en choisissant le type et le seuil, et indiquez si la règle est inversée.
**Note**
Pour en savoir plus sur la spécification d'une règle d'assertion, consultez les informations relatives à son [AssertionRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-assertionrule)fonctionnement dans le Guide de référence de l'API de contrôle de routage pour Amazon Application Recovery Controller. Pour en savoir plus sur la spécification d'une règle de blocage, consultez les informations fournies pour l'[GatingRule](https://docs.aws.amazon.com/recovery-cluster/latest/api/safetyrule.html#safetyrule-model-gatingrule)opération dans le Guide de référence de l'API de contrôle de routage pour Amazon Application Recovery Controller.
1. Choisissez **Créer**.
# Modification ou suppression d'une règle de sécurité sur la console
Les étapes décrites dans cette section expliquent comment modifier ou supprimer une règle de sécurité sur la console ARC. Vous ne pouvez apporter que des modifications limitées à une règle de sécurité, pour changer le nom ou mettre à jour le délai d'attente. Pour apporter d'autres modifications, supprimez et recréez la règle de sécurité.
Pour en savoir plus sur l'utilisation des opérations d'API avec Amazon Application Recovery Controller (ARC), consultez le[Opérations de l'API de contrôle du routage](actions.routing-control.md).
# Pour supprimer une règle de sécurité
1. Ouvrez la console ARC à l'adresse[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. Choisissez le **contrôle du routage**.
1. Sur la page **de contrôle du routage**, choisissez un panneau de commande.
1. Sur la page des détails du panneau de commande, choisissez une règle de sécurité, puis choisissez **Supprimer** ou **Modifier**.
# Dérogation aux règles de sécurité pour réacheminer le trafic
Il existe des scénarios dans lesquels vous souhaiterez peut-être contourner les mesures de contrôle de routage appliquées par les règles de sécurité que vous avez configurées. Par exemple, vous souhaiterez peut-être basculer rapidement pour une reprise après sinistre, et une ou plusieurs règles de sécurité peuvent vous empêcher de manière inattendue de mettre à jour un état de contrôle de routage pour rediriger le trafic. Dans un scénario de « rupture de verre » comme celui-ci, vous pouvez contourner une ou plusieurs règles de sécurité pour modifier un état de contrôle de routage et faire basculer votre application.
Vous pouvez contourner les règles de sécurité lorsque vous mettez à jour un état de contrôle de routage (ou plusieurs états de contrôle de routage) en utilisant la `update-routing-control-states` AWS CLI commande `update-routing-control-state` ou avec le `safety-rules-to-override` paramètre. Spécifiez le paramètre avec l'Amazon Resource Name (ARN) de la règle de sécurité que vous souhaitez remplacer, ou spécifiez une liste séparée par des virgules ARNs pour annuler deux ou plusieurs règles de sécurité.
Lorsqu'une règle de sécurité bloque une mise à jour de l'état du contrôle de routage, le message d'erreur inclut l'ARN de la règle qui a bloqué la mise à jour. Vous pouvez donc prendre note de l'ARN, puis le spécifier dans une commande CLI de l'état de contrôle du routage avec le paramètre de remplacement des règles de sécurité.
**Note**
Comme plusieurs règles de sécurité peuvent être en place pour les contrôles de routage que vous mettez à jour, vous pouvez exécuter la commande CLI pour mettre à jour l'état de votre contrôle de routage en annulant une règle de sécurité, mais obtenir un message d'erreur indiquant qu'une autre règle de sécurité bloque la mise à jour. Continuez à ajouter une règle de sécurité ARNs à la liste des règles à remplacer dans la commande de mise à jour, séparées par des virgules, jusqu'à ce que la commande de mise à jour se termine correctement.
Pour en savoir plus sur l'utilisation de la `SafetyRulesToOverride` propriété avec l'API et SDKs voir [UpdateRoutingControlState](https://docs.aws.amazon.com/routing-control/latest/APIReference/API_UpdateRoutingControlState.html).
Voici deux exemples de commandes CLI permettant de contourner les règles de sécurité afin de mettre à jour les états de contrôle du routage.
**Ignorer une règle de sécurité**
```
aws route53-recovery-cluster --region us-west-2 update-routing-control-state \
--routing-control-arn \
arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567 \
--routing-control-state On \
--safety-rules-to-override arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/safetyrule/yyyyyyy8888888 \
--endpoint-url https://host-dddddd.us-west-2.example.com/v1
```
**Ignorer deux règles de sécurité**
```
aws route53-recovery-cluster --region us-west-2 update-routing-control-state \
--routing-control-arn \
arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/routingcontrol/abcdefg1234567 \
--routing-control-state On \
--safety-rules-to-override "arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/safetyrule/yyyyyyy8888888" \
"arn:aws:route53-recovery-control::111122223333:controlpanel/0123456bbbbbbb0123456bbbbbb0123456/safetyrule/qqqqqqq7777777"
--endpoint-url https://host-dddddd.us-west-2.example.com/v1
```