Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Autorisations de blocage d'exécution
Les sections suivantes fournissent des exemples de politiques IAM qui fournissent les autorisations requises pour des blocs d'exécution spécifiques que vous ajoutez à un plan de changement de région.
**Topics**
+ [Exemple de politique d'exécution par blocs d'EC2 Auto Scaling](security_iam_region_switch_ec2_autoscaling.md)
+ [Exemple de politique d'exécution du dimensionnement des ressources Amazon EKS](security_iam_region_switch_eks.md)
+ [Exemple de politique de mise à l'échelle des blocs d'exécution du service Amazon ECS](security_iam_region_switch_ecs.md)
+ [Exemple de politique de bloc d'exécution des contrôles de routage ARC](security_iam_region_switch_arc_routing.md)
+ [Exemple de politique d'exécution de la base de données globale Aurora](security_iam_region_switch_aurora.md)
+ [Exemple de politique d'exécution par blocs d'Amazon DocumentDB Global Cluster](security_iam_region_switch_documentdb.md)
+ [Exemple de politique relative aux blocs d'exécution Amazon RDS](security_iam_region_switch_rds.md)
+ [Exemple de politique d'exécution des approbations manuelles](security_iam_region_switch_manual_approval.md)
+ [Exemple de politique de bloc d'exécution Lambda pour les actions personnalisées](security_iam_region_switch_lambda.md)
+ [Exemple de politique de bloc d'exécution du bilan de santé Route 53](security_iam_region_switch_route53.md)
+ [Exemple de politique de bloc d'exécution d'un plan de changement de région](security_iam_region_switch_plan_execution.md)
# Exemple de politique d'exécution par blocs d'EC2 Auto Scaling
Voici un exemple de politique à appliquer si vous ajoutez des blocs d'exécution à un plan de changement de région pour les groupes EC2 Auto Scaling.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"autoscaling:UpdateAutoScalingGroup"
],
"Resource": [
"arn:aws:autoscaling:us-east-1:123456789012:autoScalingGroup:123d456e-123e-1111-abcd-EXAMPLE22222:autoScalingGroupName/app-asg-primary",
"arn:aws:autoscaling:us-west-2:123456789012:autoScalingGroup:1234a321-123e-1234-aabb-EXAMPLE33333:autoScalingGroupName/app-asg-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Exemple de politique d'exécution du dimensionnement des ressources Amazon EKS
Voici un exemple de politique à appliquer si vous ajoutez des blocs d'exécution à un plan de changement de région pour le dimensionnement des ressources Amazon EKS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:cluster/app-eks-primary",
"arn:aws:eks:us-west-2:123456789012:cluster/app-eks-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"eks:ListAssociatedAccessPolicies"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:access-entry/app-eks-primary/*",
"arn:aws:eks:us-west-2:123456789012:access-entry/app-eks-secondary/*"
]
}
]
}
```
------
Remarque : Outre cette politique IAM, le rôle d'exécution du plan doit être ajouté aux entrées d'accès du cluster Amazon EKS avec la politique `AmazonArcRegionSwitchScalingPolicy` d'accès. Pour de plus amples informations, veuillez consulter [Configuration des autorisations d'accès à EKS](eks-resource-scaling-block.md#eks-resource-scaling-block-permissions).
# Exemple de politique de mise à l'échelle des blocs d'exécution du service Amazon ECS
Voici un exemple de politique à appliquer si vous ajoutez des blocs d'exécution à un plan de changement de région pour le dimensionnement du service Amazon ECS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeServices",
"ecs:UpdateService"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/app-cluster-primary/app-service",
"arn:aws:ecs:us-west-2:123456789012:service/app-cluster-secondary/app-service"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeClusters"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:cluster/app-cluster-primary",
"arn:aws:ecs:us-west-2:123456789012:cluster/app-cluster-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:ListServices"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Exemple de politique de bloc d'exécution des contrôles de routage ARC
Remarque : Le bloc d'exécution des contrôles de routage Amazon ARC exige que toutes les politiques de contrôle des services (SCPs) appliquées au rôle d'exécution du plan autorisent l'accès aux régions suivantes pour ces services :
+ `route53-recovery-control-config: us-west-2`
+ `route53-recovery-cluster: us-west-2, us-east-1, eu-west-1, ap-southeast-2, ap-northeast-1`
Voici un exemple de politique à appliquer si vous ajoutez des blocs d'exécution à un plan de changement de région pour les contrôles de routage ARC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-control-config:DescribeControlPanel",
"route53-recovery-control-config:DescribeCluster"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/abcd1234abcd1234abcd1234abcd1234",
"arn:aws:route53-recovery-control::123456789012:cluster/4b325d3b-0e28-4dcf-ba4a-EXAMPLE11111"
]
},
{
"Effect": "Allow",
"Action": [
"route53-recovery-cluster:GetRoutingControlState",
"route53-recovery-cluster:UpdateRoutingControlStates"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/abcdef1234567890",
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/1234567890abcdef"
]
}
]
}
```
------
Vous pouvez récupérer l'ID du panneau de commande de routage et l'ID du cluster à l'aide de la CLI. Pour de plus amples informations, veuillez consulter [Configuration des composants de contrôle de routage](getting-started-cli-routing-config.md).
# Exemple de politique d'exécution de la base de données globale Aurora
Voici un exemple de politique à appliquer si vous ajoutez des blocs d'exécution à un plan de changement de région pour les bases de données Aurora.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": [
"arn:aws:rds::123456789012:global-cluster:app-global-db",
"arn:aws:rds:us-east-1:123456789012:cluster:app-db-primary",
"arn:aws:rds:us-west-2:123456789012:cluster:app-db-secondary"
]
}
]
}
```
------
# Exemple de politique d'exécution par blocs d'Amazon DocumentDB Global Cluster
Voici un exemple de politique à appliquer si vous ajoutez des blocs d'exécution à un plan de changement de région pour les clusters globaux Amazon DocumentDB.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters",
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": "*"
}
]
}
```
# Exemple de politique relative aux blocs d'exécution Amazon RDS
Voici un exemple de politique à joindre si vous ajoutez des blocs d'exécution à un plan de changement de région dans le cadre de la promotion de répliques de lecture Amazon RDS ou de la création de répliques entre régions.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:PromoteReadReplica",
"rds:CreateDBInstanceReadReplica",
"rds:ModifyDBInstance"
],
"Resource": "*"
}
]
}
```
# Exemple de politique d'exécution des approbations manuelles
Voici un exemple de politique à appliquer si vous ajoutez des blocs d'exécution à un plan de changement de région pour des approbations manuelles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:ApprovePlanExecutionStep"
],
"Resource": "arn:aws:arc-region-switch::123456789012:plan/sample-plan:0123abc"
}
]
}
```
------
# Exemple de politique de bloc d'exécution Lambda pour les actions personnalisées
Voici un exemple de politique à appliquer si vous ajoutez des blocs d'exécution à un plan de changement de région pour les fonctions Lambda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:app-recovery-primary",
"arn:aws:lambda:us-west-2:123456789012:function:app-recovery-secondary"
]
}
]
}
```
------
# Exemple de politique de bloc d'exécution du bilan de santé Route 53
Voici un exemple de politique à associer si vous ajoutez des blocs d'exécution à un plan de changement de région pour les bilans de santé de Route 53.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:ListResourceRecordSets"
],
"Resource": [
"arn:aws:route53:::hostedzone/Z1234567890ABCDEFGHIJ"
]
}
]
}
```
------
# Exemple de politique de bloc d'exécution d'un plan de changement de région
Voici un exemple de politique à appliquer si vous ajoutez des blocs d'exécution à un plan de changement de région pour exécuter des plans enfants.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:StartPlanExecution",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": [
"arn:aws:arc-region-switch::123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch::123456789012:plan/child-plan-2/fghij2"
]
}
]
}
```
------