Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Zonal shift in ARC
*Lo* spostamento di zona di Amazon Application Recovery Controller (ARC) consente di spostare il traffico di una risorsa supportata da una zona di disponibilità (AZ) compromessa Regione AWS a uno integro AZs nella stessa regione. Lo spostamento del traffico delle risorse da una zona di disponibilità ridotta riduce la durata e la gravità dell'impatto causato da interruzioni di corrente o da problemi hardware o software in una zona di zona e aiuta a mitigare i problemi e ripristinare rapidamente l'applicazione. È possibile scegliere di spostare il traffico, per esempio, perché una cattiva implementazione causa problemi di latenza o perché la zona di disponibilità è compromessa.
È necessario attivare le risorse per utilizzare Zonal Shift. Per ulteriori informazioni, vedi [Risorse supportate](arc-zonal-shift.resource-types.md).
Prima di iniziare uno spostamento zonale, è necessario pre-scalare l’applicazione e assicurarsi di disporre di una capacità sufficiente per spostare il traffico lontano da una zona di disponibilità. Dopo la prescalabilità, puoi scegliere la zona di disponibilità da cui allontanarti e la risorsa verso cui spostare il traffico, quindi avviare lo spostamento zonale. Puoi annullare il turno in qualsiasi momento per far sì che il traffico inizi a tornare alla zona di disponibilità originale. Per ulteriori informazioni, consulta [Best practice per spostamenti zonali in ARC](route53-arc-best-practices.zonal-shifts.md)
Tutti gli spostamenti zonali sono mitigazioni temporanee. Quando si avvia uno spostamento zonale, si imposta una scadenza iniziale, da un minuto a tre giorni (72 ore), che è possibile estendere, se è necessario continuare lo spostamento del traffico.
In scenari specifici, lo spostamento zonale non allontana il traffico dalla AZ. Per ulteriori informazioni, consulta [Risorse supportate](arc-zonal-shift.resource-types.md).
# Come funziona uno spostamento zonale
Quando si avvia uno spostamento zonale per una risorsa supportata, il traffico relativo alla risorsa viene allontanato dalla zona di disponibilità (AZ) specificata. Le risorse supportate da ARC forniscono integrazioni che contrassegnano la zona Z specificata come non integra, il che si traduce in uno spostamento del traffico dalla zona AZ compromessa.
**Il traffico inizia a cambiare: quando inizi uno spostamento** di zona in ARC, potresti non vedere immediatamente il traffico uscire dalla zona di disponibilità. Il completamento delle connessioni esistenti e in corso nella Zona di Disponibilità può richiedere poco tempo, a seconda del comportamento del client e del riutilizzo della connessione. Le impostazioni DNS e altri fattori, tra cui le connessioni esistenti, possono essere completate in pochi minuti, ma potrebbero richiedere più tempo. Per ulteriori informazioni, consulta [Garantire che i cambiamenti di traffico finiscano rapidamente.](route53-arc-best-practices.zonal-shifts.md#arc-zonal-shift.existing-connections)
**Termina lo spostamento del traffico**: quando scade un cambio di zona o lo annulli, ARC interviene per interrompere lo spostamento del traffico e inverte la procedura di avvio di un cambio di traffico. Ora, l'AZ recuperata viene riconosciuta come disponibile per la risorsa e il traffico riprende a fluire verso la AZ.
È necessario impostare tutti i turni zonali in modo che scadano all'inizio dei turni. Inizialmente puoi impostare la scadenza di un turno zonale dopo un massimo di tre giorni (72 ore). Tuttavia, puoi aggiornare un turno zonale per impostare una nuova scadenza in qualsiasi momento. Puoi anche annullare uno spostamento zonale prima della scadenza, se sei pronto a ripristinare il traffico verso la zona di disponibilità.
**Quando il traffico non si sposta**: in scenari specifici, uno spostamento zonale non sposta il traffico dalla zona di disponibilità. Ad esempio, supponiamo di iniziare uno spostamento zonale per un sistema di bilanciamento del carico quando i gruppi target del sistema di bilanciamento del carico AZs non dispongono di istanze o se tutte le istanze non sono integre. In questo scenario, il load balancer si trova in uno stato di fail-open e l'avvio di uno spostamento di zona non comporta lo spostamento del traffico.
Prima di iniziare un cambiamento di zona per una risorsa, assicurati che siano soddisfatte tutte le condizioni per un cambiamento zonale efficace. AWS le risorse gestiscono i turni zonali in modo diverso. Per ulteriori informazioni sul supporto dei turni zonali, vedere. [Risorse supportate](arc-zonal-shift.resource-types.md)
# Regione AWS disponibilità per lo spostamento zonale
Per informazioni dettagliate sul supporto regionale e sugli endpoint di servizio per Amazon Application Recovery Controller (ARC), consulta gli [endpoint e le quote di Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/general/latest/gr/r53arc.html) nel riferimento generale di *Amazon Web Services*.
Lo spostamento zonale e lo spostamento automatico di zona sono attualmente disponibili nelle versioni elencate qui. Regioni AWS Lo spostamento di zona e lo spostamento automatico di zona sono disponibili anche nelle regioni della Cina, ovvero la regione Cina (Pechino) e la regione Cina (Ningxia). Le risorse che utilizzano Amazon Application Recovery Controller (ARC) possono avere ulteriori considerazioni. Per ulteriori informazioni, vedi [Risorse supportate](arc-zonal-shift.resource-types.md).
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/r53recovery/latest/dg/introduction-regions-zonal.html)
# Zonal shift components
Il diagramma seguente illustra un esempio di spostamento zonale che sposta il traffico lontano da una zona di disponibilità in un. Regione AWS I controlli incorporati nello spostamento zonale impediscono di iniziare un altro turno zonale per una risorsa quando ha già un turno attivo.
![\[Diagramma di un cambiamento zonale con tre zone di disponibilità\]](http://docs.aws.amazon.com/it_it/r53recovery/latest/dg/images/ZonalShiftDiagramRev2023.png)
Di seguito sono riportati i componenti della funzionalità di spostamento zonale in ARC.
**Spostamento zonale**
Si avvia uno spostamento di zona per una risorsa gestita nel proprio AWS account per spostare temporaneamente il traffico da una zona di disponibilità in una Regione AWS zona a uno AZs attivo nella regione, per ripristinare rapidamente un problema in una zona. Per ulteriori informazioni sulle risorse supportate per lo spostamento zonale, fare riferimento a. [Risorse supportate](arc-zonal-shift.resource-types.md)
**Controlli di sicurezza integrati**
I controlli integrati in ARC impediscono che si verifichi più di uno spostamento di traffico per una risorsa alla volta. In altre parole, è possibile spostare attivamente il traffico lontano da una zona di disponibilità solo con un cambio di zona, un esercizio o uno spostamento automatico della risorsa su iniziativa del cliente. Ad esempio, se si avvia uno spostamento di zona per una risorsa quando è attualmente spostata via con lo spostamento automatico, il cambiamento di zona ha la precedenza. [Per ulteriori informazioni, consulta e Risultati per le prove pratiche. [Zonal autoshift in ARC](arc-zonal-autoshift.md)](arc-zonal-autoshift.how-it-works.precedence.md#ZAShiftPrecedence)
**Identificatore di risorsa**
L'identificatore di una risorsa da includere in uno spostamento zonale. L'identificatore è l'Amazon Resource Name (ARN) della risorsa.
Per un cambio di zona, puoi scegliere le risorse del tuo account solo per un AWS servizio supportato da ARC. Per ulteriori informazioni sulle risorse supportate per lo spostamento zonale, fare riferimento a. [Risorse supportate](arc-zonal-shift.resource-types.md)
**Risorsa gestita**
Alcune AWS risorse devono attivare manualmente lo spostamento di zona, mentre altre vengono abilitate automaticamente. Per ulteriori informazioni sulle risorse supportate per lo spostamento zonale, fare riferimento a. [Risorse supportate](arc-zonal-shift.resource-types.md)
**Nome risorsa**
Il nome di una risorsa in ARC che è possibile specificare per uno spostamento di zona.
**Stato (stato del turno zonale)**
Uno status per un cambiamento zonale. Lo `Status` per uno spostamento zonale può avere uno dei seguenti valori:
+ **ATTIVO**: Lo spostamento zonale viene avviato e attivo.
+ **SCADUTO**: Lo spostamento zonale è scaduto (il tempo di scadenza è stato superato).
+ **ANNULLATO: Il turno zonale è stato annullato.**
**Stato applicato**
Lo stato applicato indica se per una risorsa è in corso un cambiamento. Lo spostamento con lo stato `APPLIED` determina la zona di disponibilità in cui il traffico dell'applicazione è stato spostato verso una risorsa e quando termina tale turno.
**Tipo di turno**
Definisce il tipo di spostamento zonale. `shiftType`Possono avere i seguenti valori:
+ **ZONAL\$1SHIFT**
+ **ZONAL\$1AUTOSHIFT**
+ **ESERCITAZIONE\$1CORRI**
+ **FIS EXPERIMENT**
**Ora di scadenza (ora di scadenza)**
L'ora di scadenza (ora di scadenza) di un cambiamento di zona. Gli spostamenti zonali sono temporanei. Per un turno zonale, puoi inizialmente impostare un turno zonale in modo che rimanga attivo per un massimo di tre giorni (72 ore).
Quando si avvia uno spostamento zonale, si specifica per quanto tempo si desidera che rimanga attivo, che ARC converte in un'ora di scadenza (ora di scadenza). Puoi annullare uno spostamento zonale, ad esempio, se sei pronto a ripristinare il traffico verso la zona di disponibilità. Oppure puoi estendere un cambiamento zonale avviato dal cliente aggiornandolo per specificare un altro periodo di scadenza.
È possibile annullare le esercitazioni a turni zonali che fanno parte del cambio automatico zonale.
# Piani di dati e controllo per lo spostamento zonale
Quando pianifichi il failover e il disaster recovery, considera la resilienza dei tuoi meccanismi di failover. Ti consigliamo di assicurarti che i meccanismi da cui dipendi durante il failover siano altamente disponibili, in modo da poterli utilizzare quando ne hai bisogno in uno scenario di emergenza. In genere, è consigliabile utilizzare le funzioni del piano dati per i meccanismi ogni volta che è possibile, per la massima affidabilità e tolleranza ai guasti. In quest'ottica, è importante capire in che modo la funzionalità di un servizio è suddivisa tra piani di controllo e piani dati e quando è possibile contare su un'aspettativa di estrema affidabilità con il piano dati di un servizio.
Come per la maggior parte dei AWS servizi, la funzionalità per la funzionalità di spostamento zonale è supportata dai piani di controllo e dai piani dati. Sebbene entrambi siano progettati per essere affidabili, un piano di controllo è ottimizzato per la coerenza dei dati, mentre un piano dati è ottimizzato per la disponibilità. Un piano dati è progettato per la resilienza in modo da poter mantenere la disponibilità anche durante eventi di interruzione, quando un piano di controllo potrebbe non essere disponibile.
In generale, un *piano di controllo* consente di eseguire funzioni di gestione di base, come creare, aggiornare ed eliminare risorse nel servizio. Un *piano dati* fornisce le funzionalità principali di un servizio.
Per ulteriori informazioni sui piani dati, sui piani di controllo e su come AWS crea servizi per soddisfare gli obiettivi di alta disponibilità, consulta il [paper Static stability using Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) in Amazon Builders' Library.
# Prezzi per il cambio di zona in ARC
Per quanto riguarda lo spostamento di zona, puoi avviare uno spostamento di zona per le risorse supportate, per ripristinare l'applicazione da un problema in una zona di disponibilità. Non sono previsti costi aggiuntivi per l'utilizzo dello spostamento zonale.
Per informazioni dettagliate sui prezzi di ARC ed esempi di prezzi, consulta [ARC Pricing](https://aws.amazon.com/application-recovery-controller/pricing/).
# Best practice per spostamenti zonali in ARC
Consigliamo le seguenti best practice per l'utilizzo dei turni zonali per il ripristino Multi-AZ in ARC.
**Argomenti**
+ [Pianificazione e pre-scalabilità della capacità](#ZSBestPracticeCapacityPrescaling)
+ [Limita il tempo in cui i clienti rimangono connessi ai tuoi endpoint](#arc-zonal-shift.existing-connections)
+ [Prova in anticipo l'inizio dei turni zonali](#ZSBestPracticeTestShifting)
+ [Assicurati che tutte le zone di disponibilità siano funzionanti e che assorbano traffico](#ZSBestPracticeEnsureHealthyAZs)
+ [Utilizza le operazioni dell'API Data Plane per il disaster recovery](#ZSBestPracticeUseDataPlane)
+ [Sposta il traffico con uno spostamento di zona solo temporaneamente](#ZSBestPracticeMoveTrafficTemp)
**Pianificazione e pre-scalabilità della capacità**
Assicurati di aver pianificato e predimensionato o di poter scalare automaticamente una capacità sufficiente per far fronte al carico aggiuntivo imposto alle zone di disponibilità quando inizi un turno di zona. In un'architettura orientata al ripristino, in genere si consiglia di predimensionare la capacità di elaborazione in modo da includere un margine di crescita sufficiente per soddisfare i picchi di traffico quando una delle tre repliche (in genere) è offline.
Quando si avvia uno spostamento di zona per una risorsa supportata e il traffico viene spostato da una zona a zona, la capacità utilizzata dall'applicazione per le richieste di assistenza viene rimossa. È necessario assicurarsi di aver pianificato uno spostamento del traffico lontano da una zona di zona e di poter continuare a soddisfare le richieste nelle restanti aree. AZs
**Limita il tempo in cui i client rimangono connessi ai tuoi endpoint**
Quando Amazon Application Recovery Controller (ARC) allontana il traffico da un problema, ad esempio utilizzando lo spostamento zonale o lo spostamento automatico di zona, il meccanismo utilizzato da ARC per spostare il traffico dell'applicazione è un aggiornamento DNS. Un aggiornamento DNS fa sì che tutte le nuove connessioni vengano indirizzate lontano dalla posizione compromessa.
Tuttavia, i client con connessioni aperte preesistenti potrebbero continuare a effettuare richieste nei confronti della posizione compromessa fino alla riconnessione dei client. Per garantire un ripristino rapido, ti consigliamo di limitare il periodo di tempo in cui i client rimangono connessi ai tuoi endpoint.
**Prova in anticipo l'inizio dei turni zonali**
Prova regolarmente a spostare il traffico lontano dalle zone di disponibilità per la tua applicazione avviando i turni zonali. Pianifica ed esegui turni zonali iniziali, preferibilmente in ambienti di test e produzione, come parte dei regolari test di failover per il ripristino delle applicazioni in caso di emergenza. I test regolari sono fondamentali per garantire che siate pronti e abbiate la sicurezza necessaria per mitigare i problemi quando si verifica un evento operativo.
**Assicurati che tutte le zone di disponibilità siano integre e che assorbano traffico**
I turni zonali funzionano contrassegnando una risorsa, ovvero una replica dell'applicazione, come non integra in una zona di disponibilità. Ciò significa che è fondamentale garantire che le risorse delle applicazioni siano generalmente integre e che assorbano attivamente il traffico nelle zone di disponibilità di una regione. Ti consigliamo di disporre di dashboard per tenere traccia di ciò, tra cui, ad esempio, le metriche Elastic Load Balancing per destinazioni non integre e BytesProcessed per Availability Zone.
Prendi in considerazione la possibilità di monitorare lo stato delle tue risorse da una seconda regione adiacente. I vantaggi di questo approccio sono che può essere più rappresentativo dell'esperienza degli utenti finali e riduce anche il rischio che sia l'applicazione che il monitoraggio vengano colpiti dallo stesso problema contemporaneamente.
**Utilizza le operazioni API del piano dati per il disaster recovery**
Per avviare un cambiamento di zona quando è necessario ripristinare un'applicazione rapidamente e con poche dipendenze, consigliamo di utilizzare l'API AWS Command Line Interface or con azioni di spostamento zonale, con credenziali prememorizzate, se possibile. Puoi anche avviare turni zonali in, per facilità d'uso. Console di gestione AWS Ma quando un ripristino rapido e affidabile è fondamentale, le operazioni sul piano dati sono una scelta migliore. Per ulteriori informazioni, consulta la [Zonal Shift API Reference Guide](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html).
**Sposta il traffico con uno spostamento di zona solo temporaneamente**
Uno spostamento zonale allontana temporaneamente il traffico da una zona di disponibilità, per mitigare un danno. È necessario ripristinare la risorsa per l'applicazione in servizio non appena si interviene per correggere un problema. Ciò garantisce che l'intera applicazione venga ripristinata allo stato originale, completamente ridondante e resiliente.
# Operazioni dell'API Zonal Shift
La tabella seguente elenca le operazioni dell'API ARC che è possibile utilizzare utilizzando lo spostamento zonale, che allontana il traffico da una zona di disponibilità per applicazioni Multi-AZ. La tabella include anche collegamenti alla documentazione pertinente.
Per esempi di come utilizzare le operazioni comuni dell'API Zonal Shift con, vedi. AWS Command Line Interface[Esempi di utilizzo di AWS CLI with zonal shift](getting-started-cli-zonalshift.md)
| Azione | Utilizzo della console ARC | Utilizzando l'API ARC |
| --- | --- | --- |
| Avviare uno spostamento zonale | Consulta [Starting a zonal shift](arc-zonal-shift.start-cancel.md#arc-zonal-shift.start). | Consulta la sezione [StartZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartZonalShift.html) |
| Aggiornare uno spostamento zonale | Consulta [Updating or canceling a zonal shift](arc-zonal-shift.start-cancel.md#arc-zonal-shift.update-cancel). | Consulta la sezione [UpdateZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalShift.html) |
| Elenca i turni zonali | Consulta [Zonal shift in ARC](arc-zonal-shift.md). | Consulta la sezione [ListZonalShifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListZonalShifts.html) |
| Elenca le risorse gestite | Consulta [Risorse supportate](arc-zonal-shift.resource-types.md). | Consulta la sezione [ListManagedResources](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListManagedResources.html) |
| Ottieni risorse gestite | Consulta [Risorse supportate](arc-zonal-shift.resource-types.md). | Consulta la sezione [GetManagedResource](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_GetManagedResource.html) |
| Annullare uno spostamento zonale | Consulta [Updating or canceling a zonal shift](arc-zonal-shift.start-cancel.md#arc-zonal-shift.update-cancel). | Consulta la sezione [CancelZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelZonalShift.html) |
# Esempi di utilizzo di AWS CLI with zonal shift
Questa sezione fornisce esempi applicativi di utilizzo dello zonal shift, dell'utilizzo della AWS Command Line Interface funzionalità zonal shift in Amazon Application Recovery Controller (ARC) utilizzando le operazioni API. Gli esempi hanno lo scopo di aiutarti a sviluppare una comprensione di base su come lavorare con il cambiamento zonale utilizzando la CLI.
Lo spostamento zonale in ARC consente di spostare temporaneamente il traffico per le risorse supportate lontano da una zona di disponibilità in modo che l'applicazione possa continuare a funzionare normalmente con altre zone di disponibilità contemporaneamente. Regione AWS
Tutti i turni zonali sono temporanei e devono essere impostati inizialmente per scadere entro tre giorni. Tuttavia, puoi aggiornare un turno zonale in un secondo momento per impostare una nuova scadenza.
Per ulteriori informazioni sull'utilizzo di AWS CLI, vedere [AWS CLI Command Reference.](https://docs.aws.amazon.com/cli/latest/reference/arc-zonal-shift/index.html) Per un elenco delle azioni dell'API Zonal Shift e i collegamenti a ulteriori informazioni, vedere[Operazioni dell'API Zonal Shift](actions.zonalshift.md).
## Inizia lo spostamento zonale
È possibile avviare uno spostamento di zona con la CLI utilizzando `start-zonal-shift` il comando.
```
aws arc-zonal-shift start-zonal-shift \
--resource-identifier arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05 \
--away-from use1-az1 \
--expires-in 10m \
--comment "Shifting traffic away from use1-az1"
```
```
{
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
## Ottieni risorse gestite
È possibile ottenere informazioni su una risorsa gestita con la CLI utilizzando il `get-managed-resource` comando.
```
aws arc-zonal-shift get-managed-resource \
--resource-identifier arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05
```
```
{
"appliedWeights": {
"use1-az1": 0.0,
"use1-az2": 1.0,
"use1-az6": 1.0
},
"arn": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"autoshifts": [],
"name": "Testing",
"zonalAutoshiftStatus": "DISABLED",
"zonalShifts": [
{
"appliedStatus": "APPLIED",
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
"shiftType": "MANUAL"
}
]
}
```
## Elenca le risorse gestite
Puoi elencare le risorse gestite nel tuo account con la CLI utilizzando il `list-managed-resources` comando.
```
aws arc-zonal-shift list-managed-resources
```
```
{
"items": [
{
"appliedWeights": {
"use1-az1": 0.0,
"use1-az2": 1.0,
"use1-az6": 1.0
},
"arn": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"autoshifts": [],
"availabilityZones": [
"use1-az1",
"use1-az2",
"use1-az6"
],
"name": "Testing",
"practiceRunStatus": "DISABLED",
"zonalAutoshiftStatus": "DISABLED",
"zonalShifts": [
{
"appliedStatus": "APPLIED",
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
]
}
]
}
```
## Elenca i turni zonali
Puoi elencare i cambiamenti zonali nel tuo account con la CLI usando il comando. `list-zonal-shifts`
```
aws arc-zonal-shift list-zonal-shifts
```
```
{
"items": [
{
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
]
}
```
## Aggiorna lo spostamento zonale
È possibile aggiornare uno spostamento zonale con la CLI utilizzando `update-zonal-shift` il comando.
```
aws arc-zonal-shift update-zonal-shift \
--zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38 \
--expires-in 1h \
--comment "Still shifting traffic away from use1-az1"
```
```
{
"awayFrom": "use1-az1",
"comment": "Still shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
## Annulla lo spostamento zonale
È possibile annullare uno spostamento zonale con la CLI utilizzando `cancel-zonal-shift` il comando.
```
aws arc-zonal-shift cancel-zonal-shift \
--zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38
```
```
{
"awayFrom": "use1-az1",
"comment": "Still shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "CANCELED",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
# Risorse supportate
Amazon Application Recovery Controller (ARC) attualmente supporta l'attivazione delle seguenti risorse per lo spostamento zonale e lo spostamento automatico di zona:
+ [Gruppi Amazon EC2 Auto Scaling](arc-zonal-shift.resource-types.ec2-auto-scaling-groups.md)
+ [Amazon Elastic Kubernetes Service](arc-zonal-shift.resource-types.eks.md)
+ [Application Load Balancer](arc-zonal-shift.resource-types.app-load-balancers.md)con bilanciamento del carico tra zone abilitato o disabilitato
+ [Network Load Balancers](arc-zonal-shift.resource-types.network-load-balancers.md)con il bilanciamento del carico tra zone abilitato o disabilitato
Per i requisiti specifici per Network Load Balancer e Application Load Balancer, consulta gli argomenti aggiuntivi di questa sezione.
Esamina le seguenti condizioni per lavorare con i turni zonali, lo spostamento automatico di zona e le risorse in ARC:
+ Una risorsa deve essere attiva e dotata di tutte le risorse necessarie per spostarne il traffico. Prima di iniziare uno spostamento di zona per una risorsa, assicurati che si tratti di una risorsa gestita in ARC. Ad esempio, visualizza l'elenco delle risorse gestite in o utilizza l'`get-managed-resource`operazione con l'identificatore della risorsa. Console di gestione AWS
+ Per iniziare un turno di zona con una risorsa, questa deve essere distribuita nella zona di disponibilità e nel luogo in Regione AWS cui si inizia il turno. Assicurati di avviare uno spostamento di zona nella stessa regione in cui si trova la zona di residenza da cui desideri allontanarti e che anche la risorsa per cui stai trasferendo il traffico si trovi nella stessa zona e regione.
+ Assicurati di disporre delle autorizzazioni IAM corrette per utilizzare lo spostamento zonale con una risorsa. Per ulteriori informazioni, consulta [IAM e autorizzazioni per lo spostamento zonale](security_iam_service-with-iam-zonal-shift.md).
+ Quando un Network Load Balancer o un Application Load Balancer si trova in uno stato di fail-open, uno spostamento di zona non avrà alcun effetto. Si tratta di un comportamento previsto, in quanto lo spostamento zonale non può forzare una AZ a non funzionare correttamente e quindi spostare il traffico verso l'altra AZs in una regione quando un sistema di bilanciamento del carico non riesce ad aprire. *Per ulteriori informazioni, consulta [Utilizzo del failover DNS di Route 53 per il sistema di bilanciamento del carico](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/load-balancer-target-groups.html#r53-dns-failover) nella Guida dell'*utente di Network Load Balancers e Utilizzo* del [failover DNS di Route 53 per il bilanciamento del carico nella Guida utente di Application Load Balancers](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-target-groups.html#r53-dns-failover).*
+ Se più sistemi di bilanciamento del carico inoltrano il traffico verso le stesse destinazioni, uno spostamento zonale su un sistema di bilanciamento del carico abilitato tra zone riduce la capacità target per tutti i sistemi di bilanciamento del carico, anche se il traffico non viene spostato da uno spostamento di zona.
# Gruppi Amazon EC2 Auto Scaling
Un gruppo Amazon EC2 Auto Scaling contiene una raccolta di istanze Amazon EC2 che vengono trattate come un raggruppamento logico ai fini del ridimensionamento e della gestione automatici. I gruppi con scalabilità automatica consentono inoltre di utilizzare caratteristiche di Dimensionamento automatico Amazon EC2, quali le sostituzioni dei controlli di integrità e le policy di dimensionamento. Il mantenimento del numero di istanze in un gruppo con scalabilità automatica e la scalabilità automatica sono entrambe funzionalità di base del servizio Dimensionamento automatico Amazon EC2.
## Utilizzo dello spostamento zonale per i gruppi di Auto Scaling
Per abilitare lo spostamento zonale, utilizzate uno dei seguenti metodi.
------
#### [ Console ]
**Per abilitare lo spostamento zonale su un nuovo gruppo (console)**
1. Segui le istruzioni riportate in [Creare un gruppo di Auto Scaling utilizzando un modello di avvio](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template) e completa ogni passaggio della procedura, fino al passaggio 10.
1. Nella pagina **Integra con altri servizi**, per lo **spostamento zonale ARC, seleziona la casella di controllo per abilitare lo spostamento zonale**.
1. Per il **comportamento del controllo sanitario**, scegli Ignora non salutare o Sostituisci non salutare. Se impostato su`replace-unhealthy`, le istanze non integre verranno sostituite nella Zona di disponibilità con lo spostamento zonale attivo. Se impostato su`ignore-unhealthy`, le istanze non integre non verranno sostituite nella Zona di disponibilità con lo spostamento zonale attivo.
1. Continua con i passaggi descritti in [Creare un gruppo di Auto Scaling utilizzando un modello di avvio](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template).
------
#### [ AWS CLI ]
**Per abilitare lo spostamento zonale su un nuovo gruppo ()AWS CLI**
Aggiungi il parametro `--availability-zone-impairment-policy` al comando [create-auto-scaling-group](https://docs.aws.amazon.com/cli/latest/reference/autoscaling/create-auto-scaling-group.html).
Il `--availability-zone-impairment-policy` parametro ha due opzioni:
+ **ZonalShiftEnabled**— Se impostato su`true`, Auto Scaling registra il gruppo Auto Scaling con lo spostamento zonale ARC ed è possibile [avviare, aggiornare o annullare uno](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.start-cancel.html) spostamento zonale sulla console ARC. Se impostato su`false`, Auto Scaling annulla la registrazione del gruppo Auto Scaling dallo spostamento zonale ARC. È necessario che lo spostamento zonale sia già abilitato per impostarlo su. `false`
+ **ImpairedZoneHealthCheckBehavior**— Se impostato su`replace-unhealthy`, le istanze non integre verranno sostituite nella zona di disponibilità con lo spostamento zonale attivo. Se impostato su`ignore-unhealthy`, le istanze non integre non verranno sostituite nella Zona di disponibilità con lo spostamento zonale attivo.
L'esempio seguente abilita lo spostamento zonale su un nuovo gruppo Auto Scaling denominato. `my-asg`
```
aws autoscaling create-auto-scaling-group \
--launch-template LaunchTemplateName=my-launch-template,Version='1' \
--auto-scaling-group-name my-asg \
--min-size 1 \
--max-size 10 \
--desired-capacity 5 \
--availability-zones us-east-1a us-east-1b us-east-1c \
--availability-zone-impairment-policy '{
"ZonalShiftEnabled": true,
"ImpairedZoneHealthCheckBehavior": IgnoreUnhealthy
}'
```
------
------
#### [ Console ]
**Per abilitare lo spostamento zonale su un gruppo esistente (console)**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)e scegli **Auto Scaling** Groups dal pannello di navigazione.
1. Nella barra di navigazione nella parte superiore dello schermo, scegli il gruppo Auto Scaling in Regione AWS cui hai creato il tuo gruppo Auto Scaling.
1. Seleziona la casella di controllo accanto al gruppo Auto Scaling.
Si aprirà un riquadro diviso nella parte inferiore della pagina.
1. **Nella scheda **Integrazioni**, in **ARC zonal shift**, scegli Modifica.**
1. Seleziona la casella di controllo per abilitare lo spostamento zonale.
1. Per il **comportamento del controllo sanitario**, scegli **Ignora non salutare** o **Sostituisci non** salutare.
+ Se il comportamento del controllo sanitario è impostato in modo da ignorare le istanze non integre, le istanze non integre *non* vengono sostituite nella zona di disponibilità con lo spostamento zonale attivo.
+ Se il comportamento del controllo dello stato è impostato per sostituire le istanze non integre, le istanze non integre vengono sostituite nella zona di disponibilità con lo spostamento zonale attivo.
1. Scegliere **Aggiorna**.
------
#### [ AWS CLI ]
**Per abilitare lo spostamento zonale su un gruppo esistente ()AWS CLI**
Aggiungi il parametro `--availability-zone-impairment-policy` al comando [update-auto-scaling-group](https://docs.aws.amazon.com/cli/latest/reference/autoscaling/update-auto-scaling-group.html).
Il `--availability-zone-impairment-policy` parametro ha due opzioni:
+ **ZonalShiftEnabled**— Se impostato su`TRUE`, Auto Scaling registra il gruppo Auto Scaling con lo spostamento zonale ARC ed è possibile [avviare, aggiornare o annullare uno](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.start-cancel.html) spostamento zonale sulla console ARC. Se impostato su`FALSE`, Auto Scaling annulla la registrazione del gruppo Auto Scaling dallo spostamento zonale ARC. È necessario che lo spostamento zonale sia già abilitato per impostarlo su. `FALSE`
+ **ImpairedZoneHealthCheckBehavior**— Se impostato su`replace-unhealthy`, le istanze non integre verranno sostituite nella zona di disponibilità con lo spostamento zonale attivo. Se impostato su`ignore-unhealthy`, le istanze non integre non verranno sostituite nella Zona di disponibilità con lo spostamento zonale attivo.
L'esempio seguente abilita lo spostamento zonale sul gruppo Auto Scaling specificato.
```
aws autoscaling update-auto-scaling-group --auto-scaling-group-name my-asg \
--availability-zone-impairment-policy '{
"ZonalShiftEnabled": true,
"ImpairedZoneHealthCheckBehavior": IgnoreUnhealthy
}'
```
------
Per iniziare uno spostamento zonale, vedere. [Avvio, aggiornamento o annullamento di un turno zonale](arc-zonal-shift.start-cancel.md)
## Come funziona lo spostamento zonale per i gruppi di Auto Scaling
Supponiamo di avere un gruppo Auto Scaling con le seguenti zone di disponibilità:
+ `us-east-1a`
+ `us-east-1b`
+ `us-east-1c`
Notate dei guasti `us-east-1a` e iniziate un cambiamento di zona. I seguenti comportamenti si verificano quando viene avviato un cambiamento di zona in. `us-east-1a`
+ **Scalabilità orizzontale: Auto Scaling lancia tutte le nuove richieste di capacità nelle zone `us-east-1b` di disponibilità integre** (e). `us-east-1c`
+ **Scaling dinamico**: Auto Scaling impedisce alle politiche di scalabilità di ridurre la capacità desiderata. Auto Scaling non impedisce alle politiche di scalabilità di aumentare la capacità desiderata.
+ **Aggiornamento dell'istanza**: l'Auto Scaling estende il timeout per qualsiasi processo di aggiornamento dell'istanza ritardato durante uno spostamento di zona attivo.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/r53recovery/latest/dg/arc-zonal-shift.resource-types.ec2-auto-scaling-groups.html)
## Le migliori pratiche per l'utilizzo dello spostamento zonale
Per mantenere un'elevata disponibilità delle applicazioni quando si utilizza lo spostamento zonale, si consigliano le seguenti best practice.
+ Monitora EventBridge le notifiche per determinare quando si verifica un evento di riduzione della zona di disponibilità in corso. Per ulteriori informazioni, consulta [Automating Amazon EC2](https://docs.aws.amazon.com//autoscaling/ec2/userguide/automating-ec2-auto-scaling-with-eventbridge.html) Auto Scaling with. EventBridge
+ Utilizza politiche di scalabilità con soglie appropriate per assicurarti di avere una capacità sufficiente a tollerare la perdita di una zona di disponibilità.
+ Imposta una politica di manutenzione delle istanze con una percentuale minima di integrità di 100. Con questa impostazione, Auto Scaling attende che una nuova istanza sia pronta per l'uso prima di terminare un'istanza non integra.
Per i clienti prescalati, consigliamo inoltre quanto segue:
+ Seleziona **Ignore unhealthy** come comportamento di controllo dello stato di salute per la zona di disponibilità ridotta perché non è necessario sostituire l'istanza non integra durante l'evento di compromissione.
+ Usa lo spostamento automatico zonale in ARC per i tuoi gruppi di Auto Scaling. La funzionalità di trasferimento automatico zonale Amazon Application Recovery Controller (ARC) consente di spostare il traffico di una risorsa lontano AWS da una zona di disponibilità quando rileva una compromissione in una zona di disponibilità. AWS Per ulteriori informazioni, consulta [Zonal autoshift in ARC](arc-zonal-autoshift.md).
Ai clienti con sistemi di bilanciamento del carico disattivati tra zone diverse, consigliamo inoltre:
+ Utilizza **balanced solo per la distribuzione** delle zone di disponibilità.
+ Se utilizzi lo spostamento zonale sia sul gruppo Auto Scaling che sui sistemi di bilanciamento del carico, assicurati di annullare prima lo spostamento zonale sul gruppo Auto Scaling. Quindi, attendi che la capacità sia bilanciata in tutte le zone di disponibilità prima di annullare lo spostamento zonale sul sistema di bilanciamento del carico.
+ A causa della possibilità di uno squilibrio della capacità quando si abilita lo spostamento zonale e si utilizza un sistema di bilanciamento del carico disattivato tra zone, Auto Scaling dispone di una convalida aggiuntiva. Se stai seguendo le migliori pratiche, puoi riconoscere questa possibilità selezionando la casella di controllo in Console di gestione AWS o utilizzando il flag in, o. `skip-zonal-shift-validation` `CreateAutoScalingGroup` `UpdateAutoScalingGroup` `AttachTrafficSources`
# Amazon Elastic Kubernetes Service
Amazon EKS offre funzionalità che consentono di rendere le applicazioni più resilienti a eventi come il deterioramento dello stato di salute o il danneggiamento di una zona di disponibilità. Quando esegui i carichi di lavoro in un cluster Amazon EKS, puoi migliorare ulteriormente la tolleranza agli errori e il ripristino delle applicazioni dell'ambiente applicativo utilizzando lo spostamento zonale o lo spostamento automatico di zona.
## Utilizzo dello spostamento zonale con Amazon Elastic Kubernetes Service
Per abilitare lo spostamento zonale, utilizza uno dei seguenti metodi. Per ulteriori informazioni, consulta [Informazioni sullo spostamento di zona ARC nella Guida](https://docs.aws.amazon.com//eks/latest/userguide/zone-shift-enable.html#zone-shift-enable-steps) per l'utente di *Amazon Elastic Kubernetes Service*.
------
#### [ Console ]
**Per abilitare lo spostamento zonale su un nuovo cluster Amazon EKS (console)**
1. Trova il nome e la regione del cluster Amazon EKS che desideri registrare con ARC.
1. Apri la console Amazon EKS a [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Selezionare il cluster.
1. Nella pagina delle **Informazioni sul cluster**, seleziona la scheda **Panoramica**.
1. **In **Zonal** shift, scegli Gestisci.**
1. **Per **EKS Zonal Shift**, scegli **Abilita o Disabilita.****
------
#### [ AWS CLI ]
**Per abilitare lo spostamento zonale su un nuovo cluster Amazon EKS ()AWS CLI**
+ Immetti il comando seguente:
```
aws eks create-cluster --name my-eks-cluster --role-arn my-role-arn-to-create-cluster --resources-vpc-config subnetIds=string,string,securityGroupIds=string,string,endpointPublicAccess=boolean,endpointPrivateAccess=boolean,publicAccessCidrs=string,string --zonal-shift-config enabled=true
```
**Per abilitare lo spostamento zonale su un cluster Amazon EKS esistente ()AWS CLI**
+ Immetti il comando seguente:
```
aws eks update-cluster-config --name my-eks-cluster --zonal-shift-config enabled=true
```
------
Puoi avviare uno spostamento di zona per un cluster Amazon EKS oppure puoi consentire di farlo AWS per te abilitando lo spostamento automatico di zona. Dopo aver abilitato lo spostamento zonale del cluster Amazon EKS con ARC, puoi avviare uno spostamento zonale o abilitare lo spostamento automatico di zona utilizzando la console ARC, la AWS CLI o lo spostamento zonale e lo spostamento automatico zonale. APIs
Per ulteriori informazioni sull'avvio di un cambiamento zonale, consulta. [Avvio, aggiornamento o annullamento di un turno zonale](arc-zonal-shift.start-cancel.md)
Per ulteriori informazioni sull'abilitazione di Amazon EKS con zonal shift, consulta [Informazioni su ARC Zonal Shift in Amazon EKS nella Amazon](https://docs.aws.amazon.com//eks/latest/userguide/zone-shift.html) *Elastic Kubernetes Service User Guide*.
## Come funziona il cambiamento di zona per Amazon Elastic Kubernetes Service
Durante un turno di zona di Amazon EKS, avviene automaticamente quanto segue:
+ Tutti i nodi della zona AZ interessata sono isolati. Ciò impedisce a Kubernetes Scheduler di pianificare nuovi Pod sui nodi in una zona AZ non integra.
+ Se utilizzi i [gruppi di nodi gestiti](https://docs.aws.amazon.com//eks/latest/userguide/managed-node-groups.html), il [ribilanciamento delle zone di disponibilità](https://docs.aws.amazon.com//autoscaling/ec2/userguide/auto-scaling-benefits.html#AutoScalingBehavior.InstanceUsage) viene sospeso e il gruppo Auto Scaling viene aggiornato per garantire che i nuovi nodi del piano dati Amazon EKS vengano lanciati solo in condizioni ottimali. AZs
+ I nodi della zona AZ non integra non vengono terminati e i Pod non vengono rimossi da questi nodi. Questo serve a garantire che, quando un turno di zona scade o viene annullato, il traffico possa essere reindirizzato in tutta sicurezza alla zona che ha ancora la piena capacità.
+ Il EndpointSlice controller trova tutti gli endpoint Pod nella zona AZ compromessa e li rimuove dalla zona interessata. EndpointSlices Ciò garantisce che solo gli endpoint Pod integri AZs siano destinati a ricevere il traffico di rete. Quando uno spostamento di zona viene annullato o scade, il EndpointSlice controller lo aggiorna EndpointSlices per includere gli endpoint nella AZ ripristinata.
[Per ulteriori informazioni, consulta il blog Containers.AWS](https://aws.amazon.com/blogs/containers/amazon-eks-now-supports-amazon-application-recovery-controller/)
# Application Load Balancer
## Utilizzo dello spostamento zonale per Application Load Balancer
Per utilizzare Application Load Balancer con zonal shift, è necessario abilitare l'integrazione ARC zonal shift negli attributi di Application Load Balancer. Application Load Balancer supporta lo spostamento zonale con configurazioni abilitate o disattivate tra zone.
Prima di abilitare l'integrazione ARC e iniziare a utilizzare lo spostamento zonale, esaminate le seguenti informazioni:
+ È possibile avviare uno spostamento zonale per uno specifico sistema di bilanciamento del carico solo per una singola zona di disponibilità. Non è possibile avviare uno spostamento zonale per più zone di disponibilità.
+ AWS rimuove in modo proattivo gli indirizzi IP del sistema di bilanciamento del carico zonale dal DNS quando più problemi di infrastruttura influiscono sui servizi. Verificare sempre l'attuale capacità della zona di disponibilità prima di avviare uno spostamento zonale.
+ Lo spostamento zonale non funzionerà per i gruppi target Single-AZ.
+ Quando un Application Load Balancer è una destinazione di un Network Load Balancer, avviare sempre lo spostamento zonale dal Network Load Balancer. Se si avvia uno spostamento zonale dall'Application Load Balancer, il Network Load Balancer non riconoscerà lo spostamento e continuerà a inviare traffico all'Application Load Balancer.
Puoi avviare uno spostamento di zona per un sistema di bilanciamento del carico nella console Elastic Load Balancing (nella Regioni AWS maggior parte dei casi) o nella console ARC.
------
#### [ Console ]
**Per abilitare lo spostamento zonale su un sistema di bilanciamento del carico (console)**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. **Nella pagina di **navigazione**, in **Load balancing, scegli Load balancers**.**
1. Seleziona il nome dell'Application Load Balancer.
1. Nella scheda **Attributi**, fate clic su **Modifica**.
1. **Nella **configurazione del routing della zona di disponibilità**, per l'integrazione con >ARC zonal shift, scegli Abilita.**
1. Scegli **Save** (Salva).
------
#### [ AWS CLI ]
**Per abilitare lo spostamento zonale su un sistema di bilanciamento del carico ()AWS CLI**
+ Immetti il comando seguente:
```
aws elbv2 modify-load-balancer-attributes --load-balancer-arn my-alb-arn --attributes Key=zonal_shift.config.enabled,Value=true
```
------
Per ulteriori informazioni sull'avvio di un cambiamento di zona, vedere. [Avvio, aggiornamento o annullamento di un turno zonale](arc-zonal-shift.start-cancel.md)
È possibile utilizzare l'`keepalive`opzione per configurare la durata delle connessioni. Per ulteriori informazioni, consulta la [durata del client HTTP keepalive nella Guida](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#http-client-keep-alive-duration) per l'utente di Application Load Balancer. Per impostazione predefinita, Application Load Balancer impostano il valore di durata keepalive del client HTTP su 3600 secondi o 1 ora. Ti consigliamo di abbassare il valore in modo che sia in linea con l'obiettivo del tempo di ripristino per l'applicazione, ad esempio 300 secondi. Quando scegli la durata di keepalive di un client HTTP, considera che questo valore rappresenta un compromesso tra la riconnessione più frequente in generale, il che può influire sulla latenza, e lo spostamento più rapido di tutti i client da una zona o regione compromessa.
## Come funziona lo spostamento zonale per Application Load Balancer
Quando viene avviato uno spostamento di zona su un Application Load Balancer con il bilanciamento del carico tra zone abilitato, tutto il traffico verso le destinazioni viene bloccato nella zona di disponibilità interessata e lo spostamento zonale rimuove l'indirizzo IP zonale dal DNS.
Per ulteriori informazioni, consulta [Integrazioni per il tuo Application Load Balancer nella Application Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-integrations.html#zonal-shift) *Balancer User Guide*.
# Network Load Balancers
## Utilizzo dello spostamento zonale per Network Load Balancer
Per utilizzare Network Load Balancer con zonal shift, è necessario abilitare l'integrazione ARC zonal shift negli attributi Network Load Balancer. Network Load Balancer supporta lo spostamento zonale con configurazioni abilitate o disattivate tra zone.
Puoi scegliere quali risorse attivare per utilizzare lo spostamento zonale e lo spostamento automatico di zona e quando rinunciare a una zona di disponibilità ridotta. Sono supportati sia i Network Load Balancer con accesso a Internet che quelli interni.
Per abilitare lo spostamento zonale per il Network Load Balancer abilitato tra zone, tutti i gruppi target collegati al load balancer devono soddisfare i seguenti requisiti.
+ Il bilanciamento del carico tra zone deve essere abilitato o impostato su. `use_load_balancer_configuration`
+ Per ulteriori informazioni sul bilanciamento del carico tra le zone del gruppo target, consulta Bilanciamento del [carico tra zone](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/edit-target-group-attributes.html#target-group-cross-zone) per gruppi target.
+ Il protocollo del gruppo target deve essere TCP o TLS.
+ Per ulteriori informazioni sui protocolli del gruppo target di Network Load Balancer, vedere Configurazione del [routing](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/load-balancer-target-groups.html#target-group-routing-configuration).
+ L'interruzione della connessione per destinazioni non integre deve essere disabilitata.
+ Per ulteriori informazioni sull'interruzione della connessione del gruppo target, vedere Interruzione della [connessione per destinazioni non integre.](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/edit-target-group-attributes.html#unhealthy-target-connection-termination)
+ Il gruppo target non deve avere come target alcun Application Load Balancer.
+ Per ulteriori informazioni sugli Application Load Balancer come destinazioni, consulta [Utilizzare Application Load Balancer come destinazioni di un Network Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/application-load-balancer-target.html).
Puoi avviare uno spostamento di zona per un Network Load Balancer utilizzando AWS CLI il, il o Console di gestione AWS il widget Elastic Load Balancing. Quando un Application Load Balancer è l'obiettivo di un Network Load Balancer, è necessario avviare lo spostamento zonale dal Network Load Balancer. Se si avvia lo spostamento di zona dall'Application Load Balancer, il Network Load Balancer non interromperà l'invio di traffico all'Application Load Balancer e ai suoi obiettivi.
------
#### [ Console ]
**Per abilitare lo spostamento zonale su un sistema di bilanciamento del carico (console)**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. **Nella pagina di **navigazione**, in **Load balancing, scegli Load balancers**.**
1. Seleziona il nome del Network Load Balancer.
1. Nella scheda **Attributi**, scegli **Modifica**.
1. **Nella **configurazione del routing della zona di disponibilità**, per l'**integrazione con ARC zonal shift, scegli Abilita**.**
1. Scegli **Save** (Salva).
------
#### [ AWS CLI ]
**Per abilitare lo spostamento zonale su un sistema di bilanciamento del carico ()AWS CLI**
+ Immetti il comando seguente:
```
aws elbv2 modify-load-balancer-attributes --load-balancer-arn my-nlb-arn --attributes Key=zonal_shift.config.enabled,Value=true
```
------
Per ulteriori informazioni sull'avvio di un cambiamento di zona, vedere. [Avvio, aggiornamento o annullamento di un turno zonale](arc-zonal-shift.start-cancel.md)
## Come funziona lo spostamento zonale per Network Load Balancer
ARC crea un errore di controllo dello stato per il Network Load Balancer registrato in modo che il nodo Network Load Balancer nella zona AZ compromessa venga rimosso dal DNS quando si avvia uno spostamento di zona. Il Network Load Balancer disabilita le destinazioni nella zona interessata in modo che smettano di ricevere traffico, mentre Elastic Load Balancing considera queste destinazioni come destinazioni disabilitate per lo spostamento di zona. Gli obiettivi nello stato disabilitato continuano a ricevere controlli di integrità. Quando gli obiettivi sono integri e lo spostamento zonale scade (o viene annullato), riprende il routing verso gli obiettivi nella zona precedentemente compromessa.
Durante lo spostamento zonale sui Network Load Balancer con bilanciamento del carico tra zone abilitato, gli indirizzi IP dei sistemi di bilanciamento del carico zonale vengono rimossi dal DNS. Le connessioni esistenti alle destinazioni nella zona di disponibilità ridotta persistono fino alla chiusura organica, mentre le nuove connessioni non vengono più instradate verso destinazioni nella zona di disponibilità ridotta.
Per ulteriori informazioni, consulta [Zonal Shift for your Network Load Balancer nella Network Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/zonal-shift.html) *Balancer User Guide*.
# Avvio, aggiornamento o annullamento di un turno zonale
Questa sezione fornisce le procedure per lavorare con i turni zonali, tra cui l'avvio di un turno zonale e l'annullamento di un turno zonale.
## Starting a zonal shift
I passaggi di questa sezione spiegano come avviare un cambiamento di zona avviato dal cliente sulla console Amazon Application Recovery Controller (ARC). [Per utilizzare lo spostamento zonale a livello di codice, consulta la Zonal Shift API Reference Guide.](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)
Oltre ad avviare uno spostamento zonale in ARC, puoi anche avviare uno spostamento zonale per un sistema di bilanciamento del carico nella console Elastic Load Balancing (nelle regioni supportate). Per ulteriori informazioni, consulta [Zonal shift](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/zonal-shift.html) nella Elastic Load Balancing User Guide.
## Per iniziare un cambiamento zonale
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. In **Multi-AZ**, scegli Spostamento **zonale**.
1. Nella pagina **Spostamento zonale, scegli **Avvia** spostamento zonale**.
1. Seleziona la zona di disponibilità da cui desideri allontanare il traffico.
1. Seleziona una risorsa supportata dalla tabella **Risorse** per cui allontanare il traffico.
1. Per **Imposta la scadenza del turno zonale**, scegli o inserisci una scadenza per il turno zonale. Un turno zonale può essere impostato per essere attivo inizialmente per 1 minuto o fino a tre giorni (72 ore).
Tutti gli spostamenti zonali sono temporanei. È necessario impostare una scadenza, ma è possibile aggiornare i turni attivi in un secondo momento per impostare un nuovo periodo di scadenza fino a tre giorni.
1. Inserire un commento. Se lo si desidera, è possibile aggiornare lo spostamento zonale in un secondo momento e modificare il commento.
1. Seleziona la casella di controllo per confermare che l'avvio di un turno zonale ridurrà la capacità disponibile per l'applicazione, allontanando il traffico dalla zona di disponibilità.
1. Scegli **Avvia**.
## Updating or canceling a zonal shift
I passaggi di questa sezione spiegano come aggiornare un cambiamento zonale avviato o annullare uno spostamento zonale sulla console Amazon Application Recovery Controller (ARC). [Per utilizzare lo spostamento zonale a livello di codice, consulta la Zonal Shift API Reference Guide.](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)
Puoi aggiornare un turno zonale per impostare una nuova scadenza oppure modificare o sostituire il commento per il turno zonale. Puoi annullare uno spostamento zonale in qualsiasi momento prima della scadenza.
È possibile annullare i turni zonali avviati dall'utente o i turni zonali iniziati per una risorsa per un'esercitazione relativa AWS allo spostamento automatico zonale. Per ulteriori informazioni sui turni di pratica in Zonal Autoshift, consulta. [Come funzionano gli autoshift e le esecuzioni pratiche zonali](arc-zonal-autoshift.how-it-works.md)
## Per aggiornare uno spostamento zonale
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. In **Multi-AZ**, scegli Spostamento **zonale**.
1. **Seleziona uno spostamento zonale che desideri aggiornare, quindi scegli Aggiorna spostamento zonale.**
1. Per **Imposta scadenza dello spostamento zonale**, seleziona o inserire facoltativamente una scadenza.
1. Per **Commento**, modificare il commento esistente o inserire un nuovo commento facoltativamente.
1. Scegliere **Aggiorna**.
## Per annullare uno spostamento zonale
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. In **Multi-AZ**, scegli Spostamento **zonale**.
1. Seleziona uno spostamento zonale che desideri annullare, quindi scegli **Annulla** spostamento zonale.
1. **Nella finestra di dialogo modale di conferma, scegliete Conferma.**
# Registrazione e monitoraggio per lo spostamento di zona in Amazon Application Recovery Controller (ARC)
Puoi utilizzarlo AWS CloudTrail per monitorare lo spostamento di zona in Amazon Application Recovery Controller (ARC), per analizzare i modelli e aiutare a risolvere i problemi.
**Topics**
+ [Registrazione delle chiamate API zonal shift utilizzando AWS CloudTrail](cloudtrail-zonal-shift.md)
# Registrazione delle chiamate API zonal shift utilizzando AWS CloudTrail
Zonal shift for ARC è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o AWS servizio in ARC. CloudTrail acquisisce tutte le chiamate API per lo spostamento di zona come eventi. Le chiamate acquisite includono chiamate dalla console ARC e chiamate in codice alle operazioni dell'API ARC per lo spostamento di zona.
Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per lo spostamento zonale. **Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi.**
Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta di spostamento di zona inoltrata ad ARC, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e altri dettagli.
Per ulteriori informazioni CloudTrail, consulta la [Guida per l'AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Informazioni sullo spostamento zonale in CloudTrail
CloudTrail è abilitato sul tuo Account AWS quando crei l'account. Quando si verifica un'attività in ARC per uno spostamento di zona, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella **cronologia** degli eventi. Puoi visualizzare, cercare e scaricare eventi recenti in. Account AWS Per ulteriori informazioni, consulta [Lavorare con la cronologia CloudTrail degli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi del tuo Account AWS, compresi gli eventi relativi al cambiamento di zona in ARC, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un percorso nella console, questo sarà valido in tutte le Regioni AWS. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Tutte le azioni ARC vengono registrate CloudTrail e documentate nella [Routing Control API Reference Guide for Amazon Application Recovery Controller](https://docs.aws.amazon.com/routing-control/latest/APIReference/). Ad esempio, le chiamate alle `ListManagedResources` azioni `StartZonalShift` e generano voci nei file di registro. CloudTrail
Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Visualizzazione degli eventi ARC nella cronologia degli eventi
CloudTrail consente di visualizzare gli eventi recenti nella **cronologia degli eventi**. Per ulteriori informazioni, consulta [Lavorare con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella *Guida AWS CloudTrail per l'utente*.
## Comprensione delle voci del file di registro dei turni zonali
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`ListManagedResources`azione per lo spostamento zonale.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:14:41Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "ListManagedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": null,
"responseElements": null,
"requestID": "VGXG4ZUE7UZTVCMTJGIAF_EXAMPLE",
"eventID": "4b5c42df-1174-46c8-be99-d67_EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`StartZonalShift`azione con un'eccezione di conflitto per lo spostamento zonale.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:10:38Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "StartZonalShift",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"errorCode": "ConflictException",
"errorMessage": "There's already an active zonal shift for that resource identifier: 'arn:aws:testservice:us-west-2:077059137270:testResource/456apples'. Active zonal shift: 'bac23b74-176e-c073-de8f-484ca508910f'",
"requestParameters": {
"resourceIdentifier": "arn:aws:testservice:us-west-2:077059137270:testResource/456apples",
"awayFrom": "usw2-az1",
"expiresIn": "2m",
"comment": "HIDDEN_FOR_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "OP4OYXZ54HUPMIPGWH_EXAMPLE",
"eventID": "0bca6660-e999-43a5-9008-EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
# Identity and Access Management per il cambiamento di zona in ARC
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse ARC. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Come funziona lo spostamento zonale con IAM](security_iam_service-with-iam-zs.md)
+ [Autorizzazioni per il cambiamento zonale](security_iam_service-with-iam-zonal-shift.md)
+ [Esempi di policy basate su identità](security_iam_id-based-policy-examples-zonal.md)
# Come funziona il cambio di zona con IAM
Prima di utilizzare IAM per gestire l'accesso allo spostamento zonale in Amazon Application Recovery Controller (ARC), scopri quali funzionalità IAM sono disponibili per l'uso con lo spostamento zonale.
**Funzionalità IAM che puoi utilizzare con lo spostamento zonale**
| Funzionalità IAM | Supporto per turni zonali |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Parziale |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una panoramica generale di alto livello su come AWS i servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per ARC
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Per visualizzare esempi di politiche basate sull'identità ARC, vedere. [Esempi di policy basate sull'identità in Amazon Application Recovery Controller (ARC)](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di ARC
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le policy di attendibilità dei ruoli IAM e le policy di bucket Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica.
## Azioni politiche per il cambiamento zonale
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di azioni ARC per lo spostamento di zona, consulta [Azioni definite da Amazon Route 53 Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions) nel *Service Authorization* Reference.
Le azioni politiche in ARC per lo spostamento zonale utilizzano i seguenti prefissi prima dell'azione:
```
arc-zonal-shift
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola. Ad esempio, quanto segue:
```
"Action": [
"arc-zonal-shift:action1",
"arc-zonal-shift:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "arc-zonal-shift:Describe*"
```
Per visualizzare esempi di politiche basate sull'identità ARC per il cambiamento di zona, vedere. [Esempi di politiche basate sull'identità per il cambiamento di zona in ARC](security_iam_id-based-policy-examples-zonal.md)
## Risorse politiche per il cambiamento zonale
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse e delle relative ARNs azioni e le azioni che è possibile specificare con l'ARN di ciascuna risorsa, vedere il seguente argomento nel *Service Authorization* Reference:
+ [Azioni definite da Amazon Route 53 - Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
Per visualizzare le azioni e le risorse che puoi utilizzare con una chiave di condizione, consulta il seguente argomento nel *Service Authorization Reference:*
+ [Chiavi di condizione definite da Amazon Route 53 - Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
Per visualizzare esempi di politiche ARC basate sull'identità per lo spostamento di zona, consulta. [Esempi di politiche basate sull'identità per il cambiamento di zona in ARC](security_iam_id-based-policy-examples-zonal.md)
## Chiavi delle condizioni politiche per lo spostamento zonale
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco delle chiavi di condizione dello spostamento zonale, consulta il seguente argomento nel *Service Authorization Reference:*
+ [Chiavi di condizione definite da Amazon Route 53 - Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
Per visualizzare le azioni e le risorse che puoi utilizzare con una chiave di condizione, consulta i seguenti argomenti nel *Service Authorization Reference:*
+ [Azioni definite da Amazon Route 53 - Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
+ [Tipi di risorse definiti da Amazon Route 53 - Zonal Shift](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-resources-for-iam-policies)
Per visualizzare esempi di politiche ARC basate sull'identità per lo spostamento di zona, consulta. [Esempi di politiche basate sull'identità per il cambiamento di zona in ARC](security_iam_id-based-policy-examples-zonal.md)
## Liste di controllo degli accessi () in ARC ACLs
**Supporti ACLs:** No
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## Controllo degli accessi basato sugli attributi (ABAC) con ARC
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
ARC include il seguente supporto parziale per ABAC:
+ Zonal shift supporta ABAC per le risorse gestite registrate in ARC per lo spostamento zonale. Per ulteriori informazioni sulle risorse gestite di ABAC for Network Load Balancer e Application Load Balancer[, consulta ABAC with Elastic Load Balancing nella Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-tags) User Guide.
## Utilizzo di credenziali temporanee con ARC
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per ARC
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Quando utilizzi un'entità IAM (utente o ruolo) per eseguire azioni AWS, sei considerato un principale. Le policy concedono autorizzazioni a un'entità. Quando si utilizzano alcuni servizi, è possibile eseguire un'azione che attiva un'altra azione in un servizio diverso. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni.
Per vedere se un'azione richiede azioni dipendenti aggiuntive in una policy, consulta il seguente argomento nel *Service Authorization Reference*:
+ [Spostamento zonale Amazon Route 53](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html)
## Ruoli di servizio per ARC
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
## Ruoli collegati ai servizi per ARC
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Lo spostamento zonale non utilizza ruoli collegati al servizio.
# IAM e autorizzazioni per lo spostamento zonale
Questa sezione fornisce informazioni aggiuntive su come funzionano le autorizzazioni per la funzionalità di spostamento zonale in Amazon Application Recovery Controller (ARC), specialmente se utilizzi la funzionalità di un altro AWS servizio, come Elastic Load Balancing. Per scoprire come le funzionalità ARC funzionano con IAM e le autorizzazioni in generale, consulta le informazioni nell'argomento di panoramica,. [Identity and Access Management per il cambiamento di zona in ARC](security-iam-zonalshift.md)
Zonal shift supporta Application Load Balancer, Network Load Balancer, gruppi Amazon EC2 Auto Scaling e Amazon EKS. Puoi utilizzare le chiavi delle condizioni IAM per definire una politica di autorizzazione IAM per queste risorse. Di seguito è riportato un esempio di policy che utilizza una chiave di condizione con più risorse di diverso tipo:
```
{
"Condition": {
"StringLike": {
"arc-zonal-shift:ResourceIdentifier": [
"arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/*",
"arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/*",
"arn:aws:eks:us-east-1:123456789012:cluster/*"
]
}
},
"Action": [
"arc-zonal-shift:StartZonalShift"
],
"Resource": "*",
"Effect": "Allow"
}
```
Per ulteriori informazioni, consulta [Risorse supportate](arc-zonal-shift.resource-types.md).
Oltre alle autorizzazioni descritte nell'argomento di panoramica su IAM, quanto segue si applica allo spostamento di zona per IAM e alle autorizzazioni:
+ Assicurati di disporre delle autorizzazioni necessarie per lavorare con lo spostamento zonale in ARC. Per ulteriori informazioni, vedere [Zonal Shift Console Access e [Zonal](security_iam_id-based-policy-examples-zonal.md#security_iam_id-based-policy-examples-api-zonal) Shift Operations Access](security_iam_id-based-policy-examples-zonal.md#security_iam_id-based-policy-examples-console-zonal).
+ Non è necessario aggiungere ulteriori autorizzazioni Elastic Load Balancing con IAM per utilizzare i turni zonali per le risorse gestite di bilanciamento del carico nel proprio account in ARC.
+ Una policy AWS gestita che fornisce l'accesso completo a Elastic Load Balancing include le autorizzazioni per lavorare con i turni zonali. Se utilizzi policy AWS gestite per l'accesso a Elastic Load Balancing, non sono necessarie autorizzazioni aggiuntive in IAM for zonal shift per avviare turni zonali per i sistemi di bilanciamento del carico o utilizzarli nella console Elastic Load Balancing. Per ulteriori informazioni, consulta [le politiche AWS gestite per Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/managed-policies.html).
# Esempi di politiche basate sull'identità per il cambiamento di zona in ARC
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse ARC. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da ARC, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [Esempio: accesso alla console a turni zonali](#security_iam_id-based-policy-examples-console-zonal)
+ [Esempio: azioni dell'API Zonal Shift](#security_iam_id-based-policy-examples-api-zonal)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse ARC nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Esempio: accesso alla console a turni zonali
Per accedere alla console Amazon Application Recovery Controller (ARC), devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse ARC presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per consentire agli utenti l'accesso completo all'utilizzo di zonal shift in Console di gestione AWS, allega all'utente una policy come la seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
## Esempio: azioni dell'API Zonal Shift
L'API zonal shift allontana temporaneamente il traffico da una zona di disponibilità per ripristinare un'applicazione.
Per garantire che un utente possa utilizzare le azioni dell'API zonal shift, allega una policy che corrisponda alle operazioni API con cui l'utente deve lavorare, come le seguenti:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource": "*"
}
]
}
```
------