Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Usa lo spostamento zonale e lo spostamento automatico di zona per ripristinare le applicazioni in ARC
Questa sezione spiega come utilizzare le funzionalità di Amazon Application Recovery Controller (ARC) per recuperare in modo affidabile una AWS risorsa da un problema in una zona di disponibilità (AZ) compromessa. Lo spostamento zonale e lo spostamento automatico di zona spostano temporaneamente il traffico di una risorsa supportata da una zona di zona compromessa, riducendo così i tempi di ripristino delle applicazioni.
La differenza principale tra lo spostamento zonale e lo spostamento automatico zonale è che uno è uno spostamento manuale del traffico controllato dall'utente, mentre l'altro allontana automaticamente il traffico da eventuali problemi.
+ Con lo spostamento zonale, sposti manualmente il traffico verso una risorsa supportata allontanandolo da una zona di disponibilità. Regione AWS
+ Con lo spostamento automatico zonale, il traffico relativo a una risorsa supportata viene automaticamente spostato da una zona di zona compromessa e reindirizzato a una risorsa integra nella stessa regione. AZs AWS
I seguenti argomenti descrivono le funzionalità di spostamento zonale e spostamento automatico di zona e come utilizzarle.
**Topics**
+ [Zonal shift in ARC](arc-zonal-shift.md)
+ [Zonal autoshift in ARC](arc-zonal-autoshift.md)
# Zonal shift in ARC
*Lo* spostamento di zona di Amazon Application Recovery Controller (ARC) consente di spostare il traffico di una risorsa supportata da una zona di disponibilità (AZ) compromessa Regione AWS a uno integro AZs nella stessa regione. Lo spostamento del traffico delle risorse da una zona di disponibilità ridotta riduce la durata e la gravità dell'impatto causato da interruzioni di corrente o da problemi hardware o software in una zona di zona e aiuta a mitigare i problemi e ripristinare rapidamente l'applicazione. È possibile scegliere di spostare il traffico, per esempio, perché una cattiva implementazione causa problemi di latenza o perché la zona di disponibilità è compromessa.
È necessario attivare le risorse per utilizzare Zonal Shift. Per ulteriori informazioni, vedi [Risorse supportate](arc-zonal-shift.resource-types.md).
Prima di iniziare uno spostamento zonale, è necessario pre-scalare l’applicazione e assicurarsi di disporre di una capacità sufficiente per spostare il traffico lontano da una zona di disponibilità. Dopo la prescalabilità, puoi scegliere la zona di disponibilità da cui allontanarti e la risorsa verso cui spostare il traffico, quindi avviare lo spostamento zonale. Puoi annullare il turno in qualsiasi momento per far sì che il traffico inizi a tornare alla zona di disponibilità originale. Per ulteriori informazioni, consulta [Best practice per spostamenti zonali in ARC](route53-arc-best-practices.zonal-shifts.md)
Tutti gli spostamenti zonali sono mitigazioni temporanee. Quando si avvia uno spostamento zonale, si imposta una scadenza iniziale, da un minuto a tre giorni (72 ore), che è possibile estendere, se è necessario continuare lo spostamento del traffico.
In scenari specifici, lo spostamento zonale non allontana il traffico dalla AZ. Per ulteriori informazioni, consulta [Risorse supportate](arc-zonal-shift.resource-types.md).
# Come funziona uno spostamento zonale
Quando si avvia uno spostamento zonale per una risorsa supportata, il traffico relativo alla risorsa viene allontanato dalla zona di disponibilità (AZ) specificata. Le risorse supportate da ARC forniscono integrazioni che contrassegnano la zona Z specificata come non integra, il che si traduce in uno spostamento del traffico dalla zona AZ compromessa.
**Il traffico inizia a cambiare: quando inizi uno spostamento** di zona in ARC, potresti non vedere immediatamente il traffico uscire dalla zona di disponibilità. Il completamento delle connessioni esistenti e in corso nella Zona di Disponibilità può richiedere poco tempo, a seconda del comportamento del client e del riutilizzo della connessione. Le impostazioni DNS e altri fattori, tra cui le connessioni esistenti, possono essere completate in pochi minuti, ma potrebbero richiedere più tempo. Per ulteriori informazioni, consulta [Garantire che i cambiamenti di traffico finiscano rapidamente.](route53-arc-best-practices.zonal-shifts.md#arc-zonal-shift.existing-connections)
**Termina lo spostamento del traffico**: quando scade un cambio di zona o lo annulli, ARC interviene per interrompere lo spostamento del traffico e inverte la procedura di avvio di un cambio di traffico. Ora, l'AZ recuperata viene riconosciuta come disponibile per la risorsa e il traffico riprende a fluire verso la AZ.
È necessario impostare tutti i turni zonali in modo che scadano all'inizio dei turni. Inizialmente puoi impostare la scadenza di un turno zonale dopo un massimo di tre giorni (72 ore). Tuttavia, puoi aggiornare un turno zonale per impostare una nuova scadenza in qualsiasi momento. Puoi anche annullare uno spostamento zonale prima della scadenza, se sei pronto a ripristinare il traffico verso la zona di disponibilità.
**Quando il traffico non si sposta**: in scenari specifici, uno spostamento zonale non sposta il traffico dalla zona di disponibilità. Ad esempio, supponiamo di iniziare uno spostamento zonale per un sistema di bilanciamento del carico quando i gruppi target del sistema di bilanciamento del carico AZs non dispongono di istanze o se tutte le istanze non sono integre. In questo scenario, il load balancer si trova in uno stato di fail-open e l'avvio di uno spostamento di zona non comporta lo spostamento del traffico.
Prima di iniziare un cambiamento di zona per una risorsa, assicurati che siano soddisfatte tutte le condizioni per un cambiamento zonale efficace. AWS le risorse gestiscono i turni zonali in modo diverso. Per ulteriori informazioni sul supporto dei turni zonali, vedere. [Risorse supportate](arc-zonal-shift.resource-types.md)
# Regione AWS disponibilità per lo spostamento zonale
Per informazioni dettagliate sul supporto regionale e sugli endpoint di servizio per Amazon Application Recovery Controller (ARC), consulta gli [endpoint e le quote di Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/general/latest/gr/r53arc.html) nel riferimento generale di *Amazon Web Services*.
Lo spostamento zonale e lo spostamento automatico di zona sono attualmente disponibili nelle versioni elencate qui. Regioni AWS Lo spostamento di zona e lo spostamento automatico di zona sono disponibili anche nelle regioni della Cina, ovvero la regione Cina (Pechino) e la regione Cina (Ningxia). Le risorse che utilizzano Amazon Application Recovery Controller (ARC) possono avere ulteriori considerazioni. Per ulteriori informazioni, vedi [Risorse supportate](arc-zonal-shift.resource-types.md).
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/r53recovery/latest/dg/introduction-regions-zonal.html)
# Zonal shift components
Il diagramma seguente illustra un esempio di spostamento zonale che sposta il traffico lontano da una zona di disponibilità in un. Regione AWS I controlli incorporati nello spostamento zonale impediscono di iniziare un altro turno zonale per una risorsa quando ha già un turno attivo.
![\[Diagramma di un cambiamento zonale con tre zone di disponibilità\]](http://docs.aws.amazon.com/it_it/r53recovery/latest/dg/images/ZonalShiftDiagramRev2023.png)
Di seguito sono riportati i componenti della funzionalità di spostamento zonale in ARC.
**Spostamento zonale**
Si avvia uno spostamento di zona per una risorsa gestita nel proprio AWS account per spostare temporaneamente il traffico da una zona di disponibilità in una Regione AWS zona a uno AZs attivo nella regione, per ripristinare rapidamente un problema in una zona. Per ulteriori informazioni sulle risorse supportate per lo spostamento zonale, fare riferimento a. [Risorse supportate](arc-zonal-shift.resource-types.md)
**Controlli di sicurezza integrati**
I controlli integrati in ARC impediscono che si verifichi più di uno spostamento di traffico per una risorsa alla volta. In altre parole, è possibile spostare attivamente il traffico lontano da una zona di disponibilità solo con un cambio di zona, un esercizio o uno spostamento automatico della risorsa su iniziativa del cliente. Ad esempio, se si avvia uno spostamento di zona per una risorsa quando è attualmente spostata via con lo spostamento automatico, il cambiamento di zona ha la precedenza. [Per ulteriori informazioni, consulta e Risultati per le prove pratiche. [Zonal autoshift in ARC](arc-zonal-autoshift.md)](arc-zonal-autoshift.how-it-works.precedence.md#ZAShiftPrecedence)
**Identificatore di risorsa**
L'identificatore di una risorsa da includere in uno spostamento zonale. L'identificatore è l'Amazon Resource Name (ARN) della risorsa.
Per un cambio di zona, puoi scegliere le risorse del tuo account solo per un AWS servizio supportato da ARC. Per ulteriori informazioni sulle risorse supportate per lo spostamento zonale, fare riferimento a. [Risorse supportate](arc-zonal-shift.resource-types.md)
**Risorsa gestita**
Alcune AWS risorse devono attivare manualmente lo spostamento di zona, mentre altre vengono abilitate automaticamente. Per ulteriori informazioni sulle risorse supportate per lo spostamento zonale, fare riferimento a. [Risorse supportate](arc-zonal-shift.resource-types.md)
**Nome risorsa**
Il nome di una risorsa in ARC che è possibile specificare per uno spostamento di zona.
**Stato (stato del turno zonale)**
Uno status per un cambiamento zonale. Lo `Status` per uno spostamento zonale può avere uno dei seguenti valori:
+ **ATTIVO**: Lo spostamento zonale viene avviato e attivo.
+ **SCADUTO**: Lo spostamento zonale è scaduto (il tempo di scadenza è stato superato).
+ **ANNULLATO: Il turno zonale è stato annullato.**
**Stato applicato**
Lo stato applicato indica se per una risorsa è in corso un cambiamento. Lo spostamento con lo stato `APPLIED` determina la zona di disponibilità in cui il traffico dell'applicazione è stato spostato verso una risorsa e quando termina tale turno.
**Tipo di turno**
Definisce il tipo di spostamento zonale. `shiftType`Possono avere i seguenti valori:
+ **ZONAL\$1SHIFT**
+ **ZONAL\$1AUTOSHIFT**
+ **ESERCITAZIONE\$1CORRI**
+ **FIS EXPERIMENT**
**Ora di scadenza (ora di scadenza)**
L'ora di scadenza (ora di scadenza) di un cambiamento di zona. Gli spostamenti zonali sono temporanei. Per un turno zonale, puoi inizialmente impostare un turno zonale in modo che rimanga attivo per un massimo di tre giorni (72 ore).
Quando si avvia uno spostamento zonale, si specifica per quanto tempo si desidera che rimanga attivo, che ARC converte in un'ora di scadenza (ora di scadenza). Puoi annullare uno spostamento zonale, ad esempio, se sei pronto a ripristinare il traffico verso la zona di disponibilità. Oppure puoi estendere un cambiamento zonale avviato dal cliente aggiornandolo per specificare un altro periodo di scadenza.
È possibile annullare le esercitazioni a turni zonali che fanno parte del cambio automatico zonale.
# Piani di dati e controllo per lo spostamento zonale
Quando pianifichi il failover e il disaster recovery, considera la resilienza dei tuoi meccanismi di failover. Ti consigliamo di assicurarti che i meccanismi da cui dipendi durante il failover siano altamente disponibili, in modo da poterli utilizzare quando ne hai bisogno in uno scenario di emergenza. In genere, è consigliabile utilizzare le funzioni del piano dati per i meccanismi ogni volta che è possibile, per la massima affidabilità e tolleranza ai guasti. In quest'ottica, è importante capire in che modo la funzionalità di un servizio è suddivisa tra piani di controllo e piani dati e quando è possibile contare su un'aspettativa di estrema affidabilità con il piano dati di un servizio.
Come per la maggior parte dei AWS servizi, la funzionalità per la funzionalità di spostamento zonale è supportata dai piani di controllo e dai piani dati. Sebbene entrambi siano progettati per essere affidabili, un piano di controllo è ottimizzato per la coerenza dei dati, mentre un piano dati è ottimizzato per la disponibilità. Un piano dati è progettato per la resilienza in modo da poter mantenere la disponibilità anche durante eventi di interruzione, quando un piano di controllo potrebbe non essere disponibile.
In generale, un *piano di controllo* consente di eseguire funzioni di gestione di base, come creare, aggiornare ed eliminare risorse nel servizio. Un *piano dati* fornisce le funzionalità principali di un servizio.
Per ulteriori informazioni sui piani dati, sui piani di controllo e su come AWS crea servizi per soddisfare gli obiettivi di alta disponibilità, consulta il [paper Static stability using Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) in Amazon Builders' Library.
# Prezzi per il cambio di zona in ARC
Per quanto riguarda lo spostamento di zona, puoi avviare uno spostamento di zona per le risorse supportate, per ripristinare l'applicazione da un problema in una zona di disponibilità. Non sono previsti costi aggiuntivi per l'utilizzo dello spostamento zonale.
Per informazioni dettagliate sui prezzi di ARC ed esempi di prezzi, consulta [ARC Pricing](https://aws.amazon.com/application-recovery-controller/pricing/).
# Best practice per spostamenti zonali in ARC
Consigliamo le seguenti best practice per l'utilizzo dei turni zonali per il ripristino Multi-AZ in ARC.
**Argomenti**
+ [Pianificazione e pre-scalabilità della capacità](#ZSBestPracticeCapacityPrescaling)
+ [Limita il tempo in cui i clienti rimangono connessi ai tuoi endpoint](#arc-zonal-shift.existing-connections)
+ [Prova in anticipo l'inizio dei turni zonali](#ZSBestPracticeTestShifting)
+ [Assicurati che tutte le zone di disponibilità siano funzionanti e che assorbano traffico](#ZSBestPracticeEnsureHealthyAZs)
+ [Utilizza le operazioni dell'API Data Plane per il disaster recovery](#ZSBestPracticeUseDataPlane)
+ [Sposta il traffico con uno spostamento di zona solo temporaneamente](#ZSBestPracticeMoveTrafficTemp)
**Pianificazione e pre-scalabilità della capacità**
Assicurati di aver pianificato e predimensionato o di poter scalare automaticamente una capacità sufficiente per far fronte al carico aggiuntivo imposto alle zone di disponibilità quando inizi un turno di zona. In un'architettura orientata al ripristino, in genere si consiglia di predimensionare la capacità di elaborazione in modo da includere un margine di crescita sufficiente per soddisfare i picchi di traffico quando una delle tre repliche (in genere) è offline.
Quando si avvia uno spostamento di zona per una risorsa supportata e il traffico viene spostato da una zona a zona, la capacità utilizzata dall'applicazione per le richieste di assistenza viene rimossa. È necessario assicurarsi di aver pianificato uno spostamento del traffico lontano da una zona di zona e di poter continuare a soddisfare le richieste nelle restanti aree. AZs
**Limita il tempo in cui i client rimangono connessi ai tuoi endpoint**
Quando Amazon Application Recovery Controller (ARC) allontana il traffico da un problema, ad esempio utilizzando lo spostamento zonale o lo spostamento automatico di zona, il meccanismo utilizzato da ARC per spostare il traffico dell'applicazione è un aggiornamento DNS. Un aggiornamento DNS fa sì che tutte le nuove connessioni vengano indirizzate lontano dalla posizione compromessa.
Tuttavia, i client con connessioni aperte preesistenti potrebbero continuare a effettuare richieste nei confronti della posizione compromessa fino alla riconnessione dei client. Per garantire un ripristino rapido, ti consigliamo di limitare il periodo di tempo in cui i client rimangono connessi ai tuoi endpoint.
**Prova in anticipo l'inizio dei turni zonali**
Prova regolarmente a spostare il traffico lontano dalle zone di disponibilità per la tua applicazione avviando i turni zonali. Pianifica ed esegui turni zonali iniziali, preferibilmente in ambienti di test e produzione, come parte dei regolari test di failover per il ripristino delle applicazioni in caso di emergenza. I test regolari sono fondamentali per garantire che siate pronti e abbiate la sicurezza necessaria per mitigare i problemi quando si verifica un evento operativo.
**Assicurati che tutte le zone di disponibilità siano integre e che assorbano traffico**
I turni zonali funzionano contrassegnando una risorsa, ovvero una replica dell'applicazione, come non integra in una zona di disponibilità. Ciò significa che è fondamentale garantire che le risorse delle applicazioni siano generalmente integre e che assorbano attivamente il traffico nelle zone di disponibilità di una regione. Ti consigliamo di disporre di dashboard per tenere traccia di ciò, tra cui, ad esempio, le metriche Elastic Load Balancing per destinazioni non integre e BytesProcessed per Availability Zone.
Prendi in considerazione la possibilità di monitorare lo stato delle tue risorse da una seconda regione adiacente. I vantaggi di questo approccio sono che può essere più rappresentativo dell'esperienza degli utenti finali e riduce anche il rischio che sia l'applicazione che il monitoraggio vengano colpiti dallo stesso problema contemporaneamente.
**Utilizza le operazioni API del piano dati per il disaster recovery**
Per avviare un cambiamento di zona quando è necessario ripristinare un'applicazione rapidamente e con poche dipendenze, consigliamo di utilizzare l'API AWS Command Line Interface or con azioni di spostamento zonale, con credenziali prememorizzate, se possibile. Puoi anche avviare turni zonali in, per facilità d'uso. Console di gestione AWS Ma quando un ripristino rapido e affidabile è fondamentale, le operazioni sul piano dati sono una scelta migliore. Per ulteriori informazioni, consulta la [Zonal Shift API Reference Guide](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html).
**Sposta il traffico con uno spostamento di zona solo temporaneamente**
Uno spostamento zonale allontana temporaneamente il traffico da una zona di disponibilità, per mitigare un danno. È necessario ripristinare la risorsa per l'applicazione in servizio non appena si interviene per correggere un problema. Ciò garantisce che l'intera applicazione venga ripristinata allo stato originale, completamente ridondante e resiliente.
# Operazioni dell'API Zonal Shift
La tabella seguente elenca le operazioni dell'API ARC che è possibile utilizzare utilizzando lo spostamento zonale, che allontana il traffico da una zona di disponibilità per applicazioni Multi-AZ. La tabella include anche collegamenti alla documentazione pertinente.
Per esempi di come utilizzare le operazioni comuni dell'API Zonal Shift con, vedi. AWS Command Line Interface[Esempi di utilizzo di AWS CLI with zonal shift](getting-started-cli-zonalshift.md)
| Azione | Utilizzo della console ARC | Utilizzando l'API ARC |
| --- | --- | --- |
| Avviare uno spostamento zonale | Consulta [Starting a zonal shift](arc-zonal-shift.start-cancel.md#arc-zonal-shift.start). | Consulta la sezione [StartZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartZonalShift.html) |
| Aggiornare uno spostamento zonale | Consulta [Updating or canceling a zonal shift](arc-zonal-shift.start-cancel.md#arc-zonal-shift.update-cancel). | Consulta la sezione [UpdateZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalShift.html) |
| Elenca i turni zonali | Consulta [Zonal shift in ARC](arc-zonal-shift.md). | Consulta la sezione [ListZonalShifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListZonalShifts.html) |
| Elenca le risorse gestite | Consulta [Risorse supportate](arc-zonal-shift.resource-types.md). | Consulta la sezione [ListManagedResources](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListManagedResources.html) |
| Ottieni risorse gestite | Consulta [Risorse supportate](arc-zonal-shift.resource-types.md). | Consulta la sezione [GetManagedResource](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_GetManagedResource.html) |
| Annullare uno spostamento zonale | Consulta [Updating or canceling a zonal shift](arc-zonal-shift.start-cancel.md#arc-zonal-shift.update-cancel). | Consulta la sezione [CancelZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelZonalShift.html) |
# Esempi di utilizzo di AWS CLI with zonal shift
Questa sezione fornisce esempi applicativi di utilizzo dello zonal shift, dell'utilizzo della AWS Command Line Interface funzionalità zonal shift in Amazon Application Recovery Controller (ARC) utilizzando le operazioni API. Gli esempi hanno lo scopo di aiutarti a sviluppare una comprensione di base su come lavorare con il cambiamento zonale utilizzando la CLI.
Lo spostamento zonale in ARC consente di spostare temporaneamente il traffico per le risorse supportate lontano da una zona di disponibilità in modo che l'applicazione possa continuare a funzionare normalmente con altre zone di disponibilità contemporaneamente. Regione AWS
Tutti i turni zonali sono temporanei e devono essere impostati inizialmente per scadere entro tre giorni. Tuttavia, puoi aggiornare un turno zonale in un secondo momento per impostare una nuova scadenza.
Per ulteriori informazioni sull'utilizzo di AWS CLI, vedere [AWS CLI Command Reference.](https://docs.aws.amazon.com/cli/latest/reference/arc-zonal-shift/index.html) Per un elenco delle azioni dell'API Zonal Shift e i collegamenti a ulteriori informazioni, vedere[Operazioni dell'API Zonal Shift](actions.zonalshift.md).
## Inizia lo spostamento zonale
È possibile avviare uno spostamento di zona con la CLI utilizzando `start-zonal-shift` il comando.
```
aws arc-zonal-shift start-zonal-shift \
--resource-identifier arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05 \
--away-from use1-az1 \
--expires-in 10m \
--comment "Shifting traffic away from use1-az1"
```
```
{
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
## Ottieni risorse gestite
È possibile ottenere informazioni su una risorsa gestita con la CLI utilizzando il `get-managed-resource` comando.
```
aws arc-zonal-shift get-managed-resource \
--resource-identifier arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05
```
```
{
"appliedWeights": {
"use1-az1": 0.0,
"use1-az2": 1.0,
"use1-az6": 1.0
},
"arn": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"autoshifts": [],
"name": "Testing",
"zonalAutoshiftStatus": "DISABLED",
"zonalShifts": [
{
"appliedStatus": "APPLIED",
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
"shiftType": "MANUAL"
}
]
}
```
## Elenca le risorse gestite
Puoi elencare le risorse gestite nel tuo account con la CLI utilizzando il `list-managed-resources` comando.
```
aws arc-zonal-shift list-managed-resources
```
```
{
"items": [
{
"appliedWeights": {
"use1-az1": 0.0,
"use1-az2": 1.0,
"use1-az6": 1.0
},
"arn": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"autoshifts": [],
"availabilityZones": [
"use1-az1",
"use1-az2",
"use1-az6"
],
"name": "Testing",
"practiceRunStatus": "DISABLED",
"zonalAutoshiftStatus": "DISABLED",
"zonalShifts": [
{
"appliedStatus": "APPLIED",
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
]
}
]
}
```
## Elenca i turni zonali
Puoi elencare i cambiamenti zonali nel tuo account con la CLI usando il comando. `list-zonal-shifts`
```
aws arc-zonal-shift list-zonal-shifts
```
```
{
"items": [
{
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
]
}
```
## Aggiorna lo spostamento zonale
È possibile aggiornare uno spostamento zonale con la CLI utilizzando `update-zonal-shift` il comando.
```
aws arc-zonal-shift update-zonal-shift \
--zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38 \
--expires-in 1h \
--comment "Still shifting traffic away from use1-az1"
```
```
{
"awayFrom": "use1-az1",
"comment": "Still shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
## Annulla lo spostamento zonale
È possibile annullare uno spostamento zonale con la CLI utilizzando `cancel-zonal-shift` il comando.
```
aws arc-zonal-shift cancel-zonal-shift \
--zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38
```
```
{
"awayFrom": "use1-az1",
"comment": "Still shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "CANCELED",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
# Risorse supportate
Amazon Application Recovery Controller (ARC) attualmente supporta l'attivazione delle seguenti risorse per lo spostamento zonale e lo spostamento automatico di zona:
+ [Gruppi Amazon EC2 Auto Scaling](arc-zonal-shift.resource-types.ec2-auto-scaling-groups.md)
+ [Amazon Elastic Kubernetes Service](arc-zonal-shift.resource-types.eks.md)
+ [Application Load Balancer](arc-zonal-shift.resource-types.app-load-balancers.md)con bilanciamento del carico tra zone abilitato o disabilitato
+ [Network Load Balancers](arc-zonal-shift.resource-types.network-load-balancers.md)con il bilanciamento del carico tra zone abilitato o disabilitato
Per i requisiti specifici per Network Load Balancer e Application Load Balancer, consulta gli argomenti aggiuntivi di questa sezione.
Esamina le seguenti condizioni per lavorare con i turni zonali, lo spostamento automatico di zona e le risorse in ARC:
+ Una risorsa deve essere attiva e dotata di tutte le risorse necessarie per spostarne il traffico. Prima di iniziare uno spostamento di zona per una risorsa, assicurati che si tratti di una risorsa gestita in ARC. Ad esempio, visualizza l'elenco delle risorse gestite in o utilizza l'`get-managed-resource`operazione con l'identificatore della risorsa. Console di gestione AWS
+ Per iniziare un turno di zona con una risorsa, questa deve essere distribuita nella zona di disponibilità e nel luogo in Regione AWS cui si inizia il turno. Assicurati di avviare uno spostamento di zona nella stessa regione in cui si trova la zona di residenza da cui desideri allontanarti e che anche la risorsa per cui stai trasferendo il traffico si trovi nella stessa zona e regione.
+ Assicurati di disporre delle autorizzazioni IAM corrette per utilizzare lo spostamento zonale con una risorsa. Per ulteriori informazioni, consulta [IAM e autorizzazioni per lo spostamento zonale](security_iam_service-with-iam-zonal-shift.md).
+ Quando un Network Load Balancer o un Application Load Balancer si trova in uno stato di fail-open, uno spostamento di zona non avrà alcun effetto. Si tratta di un comportamento previsto, in quanto lo spostamento zonale non può forzare una AZ a non funzionare correttamente e quindi spostare il traffico verso l'altra AZs in una regione quando un sistema di bilanciamento del carico non riesce ad aprire. *Per ulteriori informazioni, consulta [Utilizzo del failover DNS di Route 53 per il sistema di bilanciamento del carico](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/load-balancer-target-groups.html#r53-dns-failover) nella Guida dell'*utente di Network Load Balancers e Utilizzo* del [failover DNS di Route 53 per il bilanciamento del carico nella Guida utente di Application Load Balancers](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-target-groups.html#r53-dns-failover).*
+ Se più sistemi di bilanciamento del carico inoltrano il traffico verso le stesse destinazioni, uno spostamento zonale su un sistema di bilanciamento del carico abilitato tra zone riduce la capacità target per tutti i sistemi di bilanciamento del carico, anche se il traffico non viene spostato da uno spostamento di zona.
# Gruppi Amazon EC2 Auto Scaling
Un gruppo Amazon EC2 Auto Scaling contiene una raccolta di istanze Amazon EC2 che vengono trattate come un raggruppamento logico ai fini del ridimensionamento e della gestione automatici. I gruppi con scalabilità automatica consentono inoltre di utilizzare caratteristiche di Dimensionamento automatico Amazon EC2, quali le sostituzioni dei controlli di integrità e le policy di dimensionamento. Il mantenimento del numero di istanze in un gruppo con scalabilità automatica e la scalabilità automatica sono entrambe funzionalità di base del servizio Dimensionamento automatico Amazon EC2.
## Utilizzo dello spostamento zonale per i gruppi di Auto Scaling
Per abilitare lo spostamento zonale, utilizzate uno dei seguenti metodi.
------
#### [ Console ]
**Per abilitare lo spostamento zonale su un nuovo gruppo (console)**
1. Segui le istruzioni riportate in [Creare un gruppo di Auto Scaling utilizzando un modello di avvio](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template) e completa ogni passaggio della procedura, fino al passaggio 10.
1. Nella pagina **Integra con altri servizi**, per lo **spostamento zonale ARC, seleziona la casella di controllo per abilitare lo spostamento zonale**.
1. Per il **comportamento del controllo sanitario**, scegli Ignora non salutare o Sostituisci non salutare. Se impostato su`replace-unhealthy`, le istanze non integre verranno sostituite nella Zona di disponibilità con lo spostamento zonale attivo. Se impostato su`ignore-unhealthy`, le istanze non integre non verranno sostituite nella Zona di disponibilità con lo spostamento zonale attivo.
1. Continua con i passaggi descritti in [Creare un gruppo di Auto Scaling utilizzando un modello di avvio](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template).
------
#### [ AWS CLI ]
**Per abilitare lo spostamento zonale su un nuovo gruppo ()AWS CLI**
Aggiungi il parametro `--availability-zone-impairment-policy` al comando [create-auto-scaling-group](https://docs.aws.amazon.com/cli/latest/reference/autoscaling/create-auto-scaling-group.html).
Il `--availability-zone-impairment-policy` parametro ha due opzioni:
+ **ZonalShiftEnabled**— Se impostato su`true`, Auto Scaling registra il gruppo Auto Scaling con lo spostamento zonale ARC ed è possibile [avviare, aggiornare o annullare uno](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.start-cancel.html) spostamento zonale sulla console ARC. Se impostato su`false`, Auto Scaling annulla la registrazione del gruppo Auto Scaling dallo spostamento zonale ARC. È necessario che lo spostamento zonale sia già abilitato per impostarlo su. `false`
+ **ImpairedZoneHealthCheckBehavior**— Se impostato su`replace-unhealthy`, le istanze non integre verranno sostituite nella zona di disponibilità con lo spostamento zonale attivo. Se impostato su`ignore-unhealthy`, le istanze non integre non verranno sostituite nella Zona di disponibilità con lo spostamento zonale attivo.
L'esempio seguente abilita lo spostamento zonale su un nuovo gruppo Auto Scaling denominato. `my-asg`
```
aws autoscaling create-auto-scaling-group \
--launch-template LaunchTemplateName=my-launch-template,Version='1' \
--auto-scaling-group-name my-asg \
--min-size 1 \
--max-size 10 \
--desired-capacity 5 \
--availability-zones us-east-1a us-east-1b us-east-1c \
--availability-zone-impairment-policy '{
"ZonalShiftEnabled": true,
"ImpairedZoneHealthCheckBehavior": IgnoreUnhealthy
}'
```
------
------
#### [ Console ]
**Per abilitare lo spostamento zonale su un gruppo esistente (console)**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)e scegli **Auto Scaling** Groups dal pannello di navigazione.
1. Nella barra di navigazione nella parte superiore dello schermo, scegli il gruppo Auto Scaling in Regione AWS cui hai creato il tuo gruppo Auto Scaling.
1. Seleziona la casella di controllo accanto al gruppo Auto Scaling.
Si aprirà un riquadro diviso nella parte inferiore della pagina.
1. **Nella scheda **Integrazioni**, in **ARC zonal shift**, scegli Modifica.**
1. Seleziona la casella di controllo per abilitare lo spostamento zonale.
1. Per il **comportamento del controllo sanitario**, scegli **Ignora non salutare** o **Sostituisci non** salutare.
+ Se il comportamento del controllo sanitario è impostato in modo da ignorare le istanze non integre, le istanze non integre *non* vengono sostituite nella zona di disponibilità con lo spostamento zonale attivo.
+ Se il comportamento del controllo dello stato è impostato per sostituire le istanze non integre, le istanze non integre vengono sostituite nella zona di disponibilità con lo spostamento zonale attivo.
1. Scegliere **Aggiorna**.
------
#### [ AWS CLI ]
**Per abilitare lo spostamento zonale su un gruppo esistente ()AWS CLI**
Aggiungi il parametro `--availability-zone-impairment-policy` al comando [update-auto-scaling-group](https://docs.aws.amazon.com/cli/latest/reference/autoscaling/update-auto-scaling-group.html).
Il `--availability-zone-impairment-policy` parametro ha due opzioni:
+ **ZonalShiftEnabled**— Se impostato su`TRUE`, Auto Scaling registra il gruppo Auto Scaling con lo spostamento zonale ARC ed è possibile [avviare, aggiornare o annullare uno](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.start-cancel.html) spostamento zonale sulla console ARC. Se impostato su`FALSE`, Auto Scaling annulla la registrazione del gruppo Auto Scaling dallo spostamento zonale ARC. È necessario che lo spostamento zonale sia già abilitato per impostarlo su. `FALSE`
+ **ImpairedZoneHealthCheckBehavior**— Se impostato su`replace-unhealthy`, le istanze non integre verranno sostituite nella zona di disponibilità con lo spostamento zonale attivo. Se impostato su`ignore-unhealthy`, le istanze non integre non verranno sostituite nella Zona di disponibilità con lo spostamento zonale attivo.
L'esempio seguente abilita lo spostamento zonale sul gruppo Auto Scaling specificato.
```
aws autoscaling update-auto-scaling-group --auto-scaling-group-name my-asg \
--availability-zone-impairment-policy '{
"ZonalShiftEnabled": true,
"ImpairedZoneHealthCheckBehavior": IgnoreUnhealthy
}'
```
------
Per iniziare uno spostamento zonale, vedere. [Avvio, aggiornamento o annullamento di un turno zonale](arc-zonal-shift.start-cancel.md)
## Come funziona lo spostamento zonale per i gruppi di Auto Scaling
Supponiamo di avere un gruppo Auto Scaling con le seguenti zone di disponibilità:
+ `us-east-1a`
+ `us-east-1b`
+ `us-east-1c`
Notate dei guasti `us-east-1a` e iniziate un cambiamento di zona. I seguenti comportamenti si verificano quando viene avviato un cambiamento di zona in. `us-east-1a`
+ **Scalabilità orizzontale: Auto Scaling lancia tutte le nuove richieste di capacità nelle zone `us-east-1b` di disponibilità integre** (e). `us-east-1c`
+ **Scaling dinamico**: Auto Scaling impedisce alle politiche di scalabilità di ridurre la capacità desiderata. Auto Scaling non impedisce alle politiche di scalabilità di aumentare la capacità desiderata.
+ **Aggiornamento dell'istanza**: l'Auto Scaling estende il timeout per qualsiasi processo di aggiornamento dell'istanza ritardato durante uno spostamento di zona attivo.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/r53recovery/latest/dg/arc-zonal-shift.resource-types.ec2-auto-scaling-groups.html)
## Le migliori pratiche per l'utilizzo dello spostamento zonale
Per mantenere un'elevata disponibilità delle applicazioni quando si utilizza lo spostamento zonale, si consigliano le seguenti best practice.
+ Monitora EventBridge le notifiche per determinare quando si verifica un evento di riduzione della zona di disponibilità in corso. Per ulteriori informazioni, consulta [Automating Amazon EC2](https://docs.aws.amazon.com//autoscaling/ec2/userguide/automating-ec2-auto-scaling-with-eventbridge.html) Auto Scaling with. EventBridge
+ Utilizza politiche di scalabilità con soglie appropriate per assicurarti di avere una capacità sufficiente a tollerare la perdita di una zona di disponibilità.
+ Imposta una politica di manutenzione delle istanze con una percentuale minima di integrità di 100. Con questa impostazione, Auto Scaling attende che una nuova istanza sia pronta per l'uso prima di terminare un'istanza non integra.
Per i clienti prescalati, consigliamo inoltre quanto segue:
+ Seleziona **Ignore unhealthy** come comportamento di controllo dello stato di salute per la zona di disponibilità ridotta perché non è necessario sostituire l'istanza non integra durante l'evento di compromissione.
+ Usa lo spostamento automatico zonale in ARC per i tuoi gruppi di Auto Scaling. La funzionalità di trasferimento automatico zonale Amazon Application Recovery Controller (ARC) consente di spostare il traffico di una risorsa lontano AWS da una zona di disponibilità quando rileva una compromissione in una zona di disponibilità. AWS Per ulteriori informazioni, consulta [Zonal autoshift in ARC](arc-zonal-autoshift.md).
Ai clienti con sistemi di bilanciamento del carico disattivati tra zone diverse, consigliamo inoltre:
+ Utilizza **balanced solo per la distribuzione** delle zone di disponibilità.
+ Se utilizzi lo spostamento zonale sia sul gruppo Auto Scaling che sui sistemi di bilanciamento del carico, assicurati di annullare prima lo spostamento zonale sul gruppo Auto Scaling. Quindi, attendi che la capacità sia bilanciata in tutte le zone di disponibilità prima di annullare lo spostamento zonale sul sistema di bilanciamento del carico.
+ A causa della possibilità di uno squilibrio della capacità quando si abilita lo spostamento zonale e si utilizza un sistema di bilanciamento del carico disattivato tra zone, Auto Scaling dispone di una convalida aggiuntiva. Se stai seguendo le migliori pratiche, puoi riconoscere questa possibilità selezionando la casella di controllo in Console di gestione AWS o utilizzando il flag in, o. `skip-zonal-shift-validation` `CreateAutoScalingGroup` `UpdateAutoScalingGroup` `AttachTrafficSources`
# Amazon Elastic Kubernetes Service
Amazon EKS offre funzionalità che consentono di rendere le applicazioni più resilienti a eventi come il deterioramento dello stato di salute o il danneggiamento di una zona di disponibilità. Quando esegui i carichi di lavoro in un cluster Amazon EKS, puoi migliorare ulteriormente la tolleranza agli errori e il ripristino delle applicazioni dell'ambiente applicativo utilizzando lo spostamento zonale o lo spostamento automatico di zona.
## Utilizzo dello spostamento zonale con Amazon Elastic Kubernetes Service
Per abilitare lo spostamento zonale, utilizza uno dei seguenti metodi. Per ulteriori informazioni, consulta [Informazioni sullo spostamento di zona ARC nella Guida](https://docs.aws.amazon.com//eks/latest/userguide/zone-shift-enable.html#zone-shift-enable-steps) per l'utente di *Amazon Elastic Kubernetes Service*.
------
#### [ Console ]
**Per abilitare lo spostamento zonale su un nuovo cluster Amazon EKS (console)**
1. Trova il nome e la regione del cluster Amazon EKS che desideri registrare con ARC.
1. Apri la console Amazon EKS a [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Selezionare il cluster.
1. Nella pagina delle **Informazioni sul cluster**, seleziona la scheda **Panoramica**.
1. **In **Zonal** shift, scegli Gestisci.**
1. **Per **EKS Zonal Shift**, scegli **Abilita o Disabilita.****
------
#### [ AWS CLI ]
**Per abilitare lo spostamento zonale su un nuovo cluster Amazon EKS ()AWS CLI**
+ Immetti il comando seguente:
```
aws eks create-cluster --name my-eks-cluster --role-arn my-role-arn-to-create-cluster --resources-vpc-config subnetIds=string,string,securityGroupIds=string,string,endpointPublicAccess=boolean,endpointPrivateAccess=boolean,publicAccessCidrs=string,string --zonal-shift-config enabled=true
```
**Per abilitare lo spostamento zonale su un cluster Amazon EKS esistente ()AWS CLI**
+ Immetti il comando seguente:
```
aws eks update-cluster-config --name my-eks-cluster --zonal-shift-config enabled=true
```
------
Puoi avviare uno spostamento di zona per un cluster Amazon EKS oppure puoi consentire di farlo AWS per te abilitando lo spostamento automatico di zona. Dopo aver abilitato lo spostamento zonale del cluster Amazon EKS con ARC, puoi avviare uno spostamento zonale o abilitare lo spostamento automatico di zona utilizzando la console ARC, la AWS CLI o lo spostamento zonale e lo spostamento automatico zonale. APIs
Per ulteriori informazioni sull'avvio di un cambiamento zonale, consulta. [Avvio, aggiornamento o annullamento di un turno zonale](arc-zonal-shift.start-cancel.md)
Per ulteriori informazioni sull'abilitazione di Amazon EKS con zonal shift, consulta [Informazioni su ARC Zonal Shift in Amazon EKS nella Amazon](https://docs.aws.amazon.com//eks/latest/userguide/zone-shift.html) *Elastic Kubernetes Service User Guide*.
## Come funziona il cambiamento di zona per Amazon Elastic Kubernetes Service
Durante un turno di zona di Amazon EKS, avviene automaticamente quanto segue:
+ Tutti i nodi della zona AZ interessata sono isolati. Ciò impedisce a Kubernetes Scheduler di pianificare nuovi Pod sui nodi in una zona AZ non integra.
+ Se utilizzi i [gruppi di nodi gestiti](https://docs.aws.amazon.com//eks/latest/userguide/managed-node-groups.html), il [ribilanciamento delle zone di disponibilità](https://docs.aws.amazon.com//autoscaling/ec2/userguide/auto-scaling-benefits.html#AutoScalingBehavior.InstanceUsage) viene sospeso e il gruppo Auto Scaling viene aggiornato per garantire che i nuovi nodi del piano dati Amazon EKS vengano lanciati solo in condizioni ottimali. AZs
+ I nodi della zona AZ non integra non vengono terminati e i Pod non vengono rimossi da questi nodi. Questo serve a garantire che, quando un turno di zona scade o viene annullato, il traffico possa essere reindirizzato in tutta sicurezza alla zona che ha ancora la piena capacità.
+ Il EndpointSlice controller trova tutti gli endpoint Pod nella zona AZ compromessa e li rimuove dalla zona interessata. EndpointSlices Ciò garantisce che solo gli endpoint Pod integri AZs siano destinati a ricevere il traffico di rete. Quando uno spostamento di zona viene annullato o scade, il EndpointSlice controller lo aggiorna EndpointSlices per includere gli endpoint nella AZ ripristinata.
[Per ulteriori informazioni, consulta il blog Containers.AWS](https://aws.amazon.com/blogs/containers/amazon-eks-now-supports-amazon-application-recovery-controller/)
# Application Load Balancer
## Utilizzo dello spostamento zonale per Application Load Balancer
Per utilizzare Application Load Balancer con zonal shift, è necessario abilitare l'integrazione ARC zonal shift negli attributi di Application Load Balancer. Application Load Balancer supporta lo spostamento zonale con configurazioni abilitate o disattivate tra zone.
Prima di abilitare l'integrazione ARC e iniziare a utilizzare lo spostamento zonale, esaminate le seguenti informazioni:
+ È possibile avviare uno spostamento zonale per uno specifico sistema di bilanciamento del carico solo per una singola zona di disponibilità. Non è possibile avviare uno spostamento zonale per più zone di disponibilità.
+ AWS rimuove in modo proattivo gli indirizzi IP del sistema di bilanciamento del carico zonale dal DNS quando più problemi di infrastruttura influiscono sui servizi. Verificare sempre l'attuale capacità della zona di disponibilità prima di avviare uno spostamento zonale.
+ Lo spostamento zonale non funzionerà per i gruppi target Single-AZ.
+ Quando un Application Load Balancer è una destinazione di un Network Load Balancer, avviare sempre lo spostamento zonale dal Network Load Balancer. Se si avvia uno spostamento zonale dall'Application Load Balancer, il Network Load Balancer non riconoscerà lo spostamento e continuerà a inviare traffico all'Application Load Balancer.
Puoi avviare uno spostamento di zona per un sistema di bilanciamento del carico nella console Elastic Load Balancing (nella Regioni AWS maggior parte dei casi) o nella console ARC.
------
#### [ Console ]
**Per abilitare lo spostamento zonale su un sistema di bilanciamento del carico (console)**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. **Nella pagina di **navigazione**, in **Load balancing, scegli Load balancers**.**
1. Seleziona il nome dell'Application Load Balancer.
1. Nella scheda **Attributi**, fate clic su **Modifica**.
1. **Nella **configurazione del routing della zona di disponibilità**, per l'integrazione con >ARC zonal shift, scegli Abilita.**
1. Scegli **Save** (Salva).
------
#### [ AWS CLI ]
**Per abilitare lo spostamento zonale su un sistema di bilanciamento del carico ()AWS CLI**
+ Immetti il comando seguente:
```
aws elbv2 modify-load-balancer-attributes --load-balancer-arn my-alb-arn --attributes Key=zonal_shift.config.enabled,Value=true
```
------
Per ulteriori informazioni sull'avvio di un cambiamento di zona, vedere. [Avvio, aggiornamento o annullamento di un turno zonale](arc-zonal-shift.start-cancel.md)
È possibile utilizzare l'`keepalive`opzione per configurare la durata delle connessioni. Per ulteriori informazioni, consulta la [durata del client HTTP keepalive nella Guida](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#http-client-keep-alive-duration) per l'utente di Application Load Balancer. Per impostazione predefinita, Application Load Balancer impostano il valore di durata keepalive del client HTTP su 3600 secondi o 1 ora. Ti consigliamo di abbassare il valore in modo che sia in linea con l'obiettivo del tempo di ripristino per l'applicazione, ad esempio 300 secondi. Quando scegli la durata di keepalive di un client HTTP, considera che questo valore rappresenta un compromesso tra la riconnessione più frequente in generale, il che può influire sulla latenza, e lo spostamento più rapido di tutti i client da una zona o regione compromessa.
## Come funziona lo spostamento zonale per Application Load Balancer
Quando viene avviato uno spostamento di zona su un Application Load Balancer con il bilanciamento del carico tra zone abilitato, tutto il traffico verso le destinazioni viene bloccato nella zona di disponibilità interessata e lo spostamento zonale rimuove l'indirizzo IP zonale dal DNS.
Per ulteriori informazioni, consulta [Integrazioni per il tuo Application Load Balancer nella Application Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-integrations.html#zonal-shift) *Balancer User Guide*.
# Network Load Balancers
## Utilizzo dello spostamento zonale per Network Load Balancer
Per utilizzare Network Load Balancer con zonal shift, è necessario abilitare l'integrazione ARC zonal shift negli attributi Network Load Balancer. Network Load Balancer supporta lo spostamento zonale con configurazioni abilitate o disattivate tra zone.
Puoi scegliere quali risorse attivare per utilizzare lo spostamento zonale e lo spostamento automatico di zona e quando rinunciare a una zona di disponibilità ridotta. Sono supportati sia i Network Load Balancer con accesso a Internet che quelli interni.
Per abilitare lo spostamento zonale per il Network Load Balancer abilitato tra zone, tutti i gruppi target collegati al load balancer devono soddisfare i seguenti requisiti.
+ Il bilanciamento del carico tra zone deve essere abilitato o impostato su. `use_load_balancer_configuration`
+ Per ulteriori informazioni sul bilanciamento del carico tra le zone del gruppo target, consulta Bilanciamento del [carico tra zone](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/edit-target-group-attributes.html#target-group-cross-zone) per gruppi target.
+ Il protocollo del gruppo target deve essere TCP o TLS.
+ Per ulteriori informazioni sui protocolli del gruppo target di Network Load Balancer, vedere Configurazione del [routing](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/load-balancer-target-groups.html#target-group-routing-configuration).
+ L'interruzione della connessione per destinazioni non integre deve essere disabilitata.
+ Per ulteriori informazioni sull'interruzione della connessione del gruppo target, vedere Interruzione della [connessione per destinazioni non integre.](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/edit-target-group-attributes.html#unhealthy-target-connection-termination)
+ Il gruppo target non deve avere come target alcun Application Load Balancer.
+ Per ulteriori informazioni sugli Application Load Balancer come destinazioni, consulta [Utilizzare Application Load Balancer come destinazioni di un Network Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/application-load-balancer-target.html).
Puoi avviare uno spostamento di zona per un Network Load Balancer utilizzando AWS CLI il, il o Console di gestione AWS il widget Elastic Load Balancing. Quando un Application Load Balancer è l'obiettivo di un Network Load Balancer, è necessario avviare lo spostamento zonale dal Network Load Balancer. Se si avvia lo spostamento di zona dall'Application Load Balancer, il Network Load Balancer non interromperà l'invio di traffico all'Application Load Balancer e ai suoi obiettivi.
------
#### [ Console ]
**Per abilitare lo spostamento zonale su un sistema di bilanciamento del carico (console)**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. **Nella pagina di **navigazione**, in **Load balancing, scegli Load balancers**.**
1. Seleziona il nome del Network Load Balancer.
1. Nella scheda **Attributi**, scegli **Modifica**.
1. **Nella **configurazione del routing della zona di disponibilità**, per l'**integrazione con ARC zonal shift, scegli Abilita**.**
1. Scegli **Save** (Salva).
------
#### [ AWS CLI ]
**Per abilitare lo spostamento zonale su un sistema di bilanciamento del carico ()AWS CLI**
+ Immetti il comando seguente:
```
aws elbv2 modify-load-balancer-attributes --load-balancer-arn my-nlb-arn --attributes Key=zonal_shift.config.enabled,Value=true
```
------
Per ulteriori informazioni sull'avvio di un cambiamento di zona, vedere. [Avvio, aggiornamento o annullamento di un turno zonale](arc-zonal-shift.start-cancel.md)
## Come funziona lo spostamento zonale per Network Load Balancer
ARC crea un errore di controllo dello stato per il Network Load Balancer registrato in modo che il nodo Network Load Balancer nella zona AZ compromessa venga rimosso dal DNS quando si avvia uno spostamento di zona. Il Network Load Balancer disabilita le destinazioni nella zona interessata in modo che smettano di ricevere traffico, mentre Elastic Load Balancing considera queste destinazioni come destinazioni disabilitate per lo spostamento di zona. Gli obiettivi nello stato disabilitato continuano a ricevere controlli di integrità. Quando gli obiettivi sono integri e lo spostamento zonale scade (o viene annullato), riprende il routing verso gli obiettivi nella zona precedentemente compromessa.
Durante lo spostamento zonale sui Network Load Balancer con bilanciamento del carico tra zone abilitato, gli indirizzi IP dei sistemi di bilanciamento del carico zonale vengono rimossi dal DNS. Le connessioni esistenti alle destinazioni nella zona di disponibilità ridotta persistono fino alla chiusura organica, mentre le nuove connessioni non vengono più instradate verso destinazioni nella zona di disponibilità ridotta.
Per ulteriori informazioni, consulta [Zonal Shift for your Network Load Balancer nella Network Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/zonal-shift.html) *Balancer User Guide*.
# Avvio, aggiornamento o annullamento di un turno zonale
Questa sezione fornisce le procedure per lavorare con i turni zonali, tra cui l'avvio di un turno zonale e l'annullamento di un turno zonale.
## Starting a zonal shift
I passaggi di questa sezione spiegano come avviare un cambiamento di zona avviato dal cliente sulla console Amazon Application Recovery Controller (ARC). [Per utilizzare lo spostamento zonale a livello di codice, consulta la Zonal Shift API Reference Guide.](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)
Oltre ad avviare uno spostamento zonale in ARC, puoi anche avviare uno spostamento zonale per un sistema di bilanciamento del carico nella console Elastic Load Balancing (nelle regioni supportate). Per ulteriori informazioni, consulta [Zonal shift](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/zonal-shift.html) nella Elastic Load Balancing User Guide.
## Per iniziare un cambiamento zonale
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. In **Multi-AZ**, scegli Spostamento **zonale**.
1. Nella pagina **Spostamento zonale, scegli **Avvia** spostamento zonale**.
1. Seleziona la zona di disponibilità da cui desideri allontanare il traffico.
1. Seleziona una risorsa supportata dalla tabella **Risorse** per cui allontanare il traffico.
1. Per **Imposta la scadenza del turno zonale**, scegli o inserisci una scadenza per il turno zonale. Un turno zonale può essere impostato per essere attivo inizialmente per 1 minuto o fino a tre giorni (72 ore).
Tutti gli spostamenti zonali sono temporanei. È necessario impostare una scadenza, ma è possibile aggiornare i turni attivi in un secondo momento per impostare un nuovo periodo di scadenza fino a tre giorni.
1. Inserire un commento. Se lo si desidera, è possibile aggiornare lo spostamento zonale in un secondo momento e modificare il commento.
1. Seleziona la casella di controllo per confermare che l'avvio di un turno zonale ridurrà la capacità disponibile per l'applicazione, allontanando il traffico dalla zona di disponibilità.
1. Scegli **Avvia**.
## Updating or canceling a zonal shift
I passaggi di questa sezione spiegano come aggiornare un cambiamento zonale avviato o annullare uno spostamento zonale sulla console Amazon Application Recovery Controller (ARC). [Per utilizzare lo spostamento zonale a livello di codice, consulta la Zonal Shift API Reference Guide.](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)
Puoi aggiornare un turno zonale per impostare una nuova scadenza oppure modificare o sostituire il commento per il turno zonale. Puoi annullare uno spostamento zonale in qualsiasi momento prima della scadenza.
È possibile annullare i turni zonali avviati dall'utente o i turni zonali iniziati per una risorsa per un'esercitazione relativa AWS allo spostamento automatico zonale. Per ulteriori informazioni sui turni di pratica in Zonal Autoshift, consulta. [Come funzionano gli autoshift e le esecuzioni pratiche zonali](arc-zonal-autoshift.how-it-works.md)
## Per aggiornare uno spostamento zonale
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. In **Multi-AZ**, scegli Spostamento **zonale**.
1. **Seleziona uno spostamento zonale che desideri aggiornare, quindi scegli Aggiorna spostamento zonale.**
1. Per **Imposta scadenza dello spostamento zonale**, seleziona o inserire facoltativamente una scadenza.
1. Per **Commento**, modificare il commento esistente o inserire un nuovo commento facoltativamente.
1. Scegliere **Aggiorna**.
## Per annullare uno spostamento zonale
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. In **Multi-AZ**, scegli Spostamento **zonale**.
1. Seleziona uno spostamento zonale che desideri annullare, quindi scegli **Annulla** spostamento zonale.
1. **Nella finestra di dialogo modale di conferma, scegliete Conferma.**
# Registrazione e monitoraggio per lo spostamento di zona in Amazon Application Recovery Controller (ARC)
Puoi utilizzarlo AWS CloudTrail per monitorare lo spostamento di zona in Amazon Application Recovery Controller (ARC), per analizzare i modelli e aiutare a risolvere i problemi.
**Topics**
+ [Registrazione delle chiamate API zonal shift utilizzando AWS CloudTrail](cloudtrail-zonal-shift.md)
# Registrazione delle chiamate API zonal shift utilizzando AWS CloudTrail
Zonal shift for ARC è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o AWS servizio in ARC. CloudTrail acquisisce tutte le chiamate API per lo spostamento di zona come eventi. Le chiamate acquisite includono chiamate dalla console ARC e chiamate in codice alle operazioni dell'API ARC per lo spostamento di zona.
Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per lo spostamento zonale. **Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi.**
Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta di spostamento di zona inoltrata ad ARC, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e altri dettagli.
Per ulteriori informazioni CloudTrail, consulta la [Guida per l'AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Informazioni sullo spostamento zonale in CloudTrail
CloudTrail è abilitato sul tuo Account AWS quando crei l'account. Quando si verifica un'attività in ARC per uno spostamento di zona, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella **cronologia** degli eventi. Puoi visualizzare, cercare e scaricare eventi recenti in. Account AWS Per ulteriori informazioni, consulta [Lavorare con la cronologia CloudTrail degli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi del tuo Account AWS, compresi gli eventi relativi al cambiamento di zona in ARC, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un percorso nella console, questo sarà valido in tutte le Regioni AWS. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Tutte le azioni ARC vengono registrate CloudTrail e documentate nella [Routing Control API Reference Guide for Amazon Application Recovery Controller](https://docs.aws.amazon.com/routing-control/latest/APIReference/). Ad esempio, le chiamate alle `ListManagedResources` azioni `StartZonalShift` e generano voci nei file di registro. CloudTrail
Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Visualizzazione degli eventi ARC nella cronologia degli eventi
CloudTrail consente di visualizzare gli eventi recenti nella **cronologia degli eventi**. Per ulteriori informazioni, consulta [Lavorare con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella *Guida AWS CloudTrail per l'utente*.
## Comprensione delle voci del file di registro dei turni zonali
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`ListManagedResources`azione per lo spostamento zonale.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:14:41Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "ListManagedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": null,
"responseElements": null,
"requestID": "VGXG4ZUE7UZTVCMTJGIAF_EXAMPLE",
"eventID": "4b5c42df-1174-46c8-be99-d67_EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`StartZonalShift`azione con un'eccezione di conflitto per lo spostamento zonale.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:10:38Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "StartZonalShift",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"errorCode": "ConflictException",
"errorMessage": "There's already an active zonal shift for that resource identifier: 'arn:aws:testservice:us-west-2:077059137270:testResource/456apples'. Active zonal shift: 'bac23b74-176e-c073-de8f-484ca508910f'",
"requestParameters": {
"resourceIdentifier": "arn:aws:testservice:us-west-2:077059137270:testResource/456apples",
"awayFrom": "usw2-az1",
"expiresIn": "2m",
"comment": "HIDDEN_FOR_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "OP4OYXZ54HUPMIPGWH_EXAMPLE",
"eventID": "0bca6660-e999-43a5-9008-EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
# Identity and Access Management per il cambiamento di zona in ARC
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse ARC. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Come funziona lo spostamento zonale con IAM](security_iam_service-with-iam-zs.md)
+ [Autorizzazioni per il cambiamento zonale](security_iam_service-with-iam-zonal-shift.md)
+ [Esempi di policy basate su identità](security_iam_id-based-policy-examples-zonal.md)
# Come funziona il cambio di zona con IAM
Prima di utilizzare IAM per gestire l'accesso allo spostamento zonale in Amazon Application Recovery Controller (ARC), scopri quali funzionalità IAM sono disponibili per l'uso con lo spostamento zonale.
**Funzionalità IAM che puoi utilizzare con lo spostamento zonale**
| Funzionalità IAM | Supporto per turni zonali |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Parziale |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una panoramica generale di alto livello su come AWS i servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per ARC
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Per visualizzare esempi di politiche basate sull'identità ARC, vedere. [Esempi di policy basate sull'identità in Amazon Application Recovery Controller (ARC)](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di ARC
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le policy di attendibilità dei ruoli IAM e le policy di bucket Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica.
## Azioni politiche per il cambiamento zonale
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di azioni ARC per lo spostamento di zona, consulta [Azioni definite da Amazon Route 53 Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions) nel *Service Authorization* Reference.
Le azioni politiche in ARC per lo spostamento zonale utilizzano i seguenti prefissi prima dell'azione:
```
arc-zonal-shift
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola. Ad esempio, quanto segue:
```
"Action": [
"arc-zonal-shift:action1",
"arc-zonal-shift:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "arc-zonal-shift:Describe*"
```
Per visualizzare esempi di politiche basate sull'identità ARC per il cambiamento di zona, vedere. [Esempi di politiche basate sull'identità per il cambiamento di zona in ARC](security_iam_id-based-policy-examples-zonal.md)
## Risorse politiche per il cambiamento zonale
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse e delle relative ARNs azioni e le azioni che è possibile specificare con l'ARN di ciascuna risorsa, vedere il seguente argomento nel *Service Authorization* Reference:
+ [Azioni definite da Amazon Route 53 - Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
Per visualizzare le azioni e le risorse che puoi utilizzare con una chiave di condizione, consulta il seguente argomento nel *Service Authorization Reference:*
+ [Chiavi di condizione definite da Amazon Route 53 - Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
Per visualizzare esempi di politiche ARC basate sull'identità per lo spostamento di zona, consulta. [Esempi di politiche basate sull'identità per il cambiamento di zona in ARC](security_iam_id-based-policy-examples-zonal.md)
## Chiavi delle condizioni politiche per lo spostamento zonale
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco delle chiavi di condizione dello spostamento zonale, consulta il seguente argomento nel *Service Authorization Reference:*
+ [Chiavi di condizione definite da Amazon Route 53 - Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
Per visualizzare le azioni e le risorse che puoi utilizzare con una chiave di condizione, consulta i seguenti argomenti nel *Service Authorization Reference:*
+ [Azioni definite da Amazon Route 53 - Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
+ [Tipi di risorse definiti da Amazon Route 53 - Zonal Shift](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-resources-for-iam-policies)
Per visualizzare esempi di politiche ARC basate sull'identità per lo spostamento di zona, consulta. [Esempi di politiche basate sull'identità per il cambiamento di zona in ARC](security_iam_id-based-policy-examples-zonal.md)
## Liste di controllo degli accessi () in ARC ACLs
**Supporti ACLs:** No
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## Controllo degli accessi basato sugli attributi (ABAC) con ARC
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
ARC include il seguente supporto parziale per ABAC:
+ Zonal shift supporta ABAC per le risorse gestite registrate in ARC per lo spostamento zonale. Per ulteriori informazioni sulle risorse gestite di ABAC for Network Load Balancer e Application Load Balancer[, consulta ABAC with Elastic Load Balancing nella Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-tags) User Guide.
## Utilizzo di credenziali temporanee con ARC
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per ARC
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Quando utilizzi un'entità IAM (utente o ruolo) per eseguire azioni AWS, sei considerato un principale. Le policy concedono autorizzazioni a un'entità. Quando si utilizzano alcuni servizi, è possibile eseguire un'azione che attiva un'altra azione in un servizio diverso. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni.
Per vedere se un'azione richiede azioni dipendenti aggiuntive in una policy, consulta il seguente argomento nel *Service Authorization Reference*:
+ [Spostamento zonale Amazon Route 53](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html)
## Ruoli di servizio per ARC
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
## Ruoli collegati ai servizi per ARC
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Lo spostamento zonale non utilizza ruoli collegati al servizio.
# IAM e autorizzazioni per lo spostamento zonale
Questa sezione fornisce informazioni aggiuntive su come funzionano le autorizzazioni per la funzionalità di spostamento zonale in Amazon Application Recovery Controller (ARC), specialmente se utilizzi la funzionalità di un altro AWS servizio, come Elastic Load Balancing. Per scoprire come le funzionalità ARC funzionano con IAM e le autorizzazioni in generale, consulta le informazioni nell'argomento di panoramica,. [Identity and Access Management per il cambiamento di zona in ARC](security-iam-zonalshift.md)
Zonal shift supporta Application Load Balancer, Network Load Balancer, gruppi Amazon EC2 Auto Scaling e Amazon EKS. Puoi utilizzare le chiavi delle condizioni IAM per definire una politica di autorizzazione IAM per queste risorse. Di seguito è riportato un esempio di policy che utilizza una chiave di condizione con più risorse di diverso tipo:
```
{
"Condition": {
"StringLike": {
"arc-zonal-shift:ResourceIdentifier": [
"arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/*",
"arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/*",
"arn:aws:eks:us-east-1:123456789012:cluster/*"
]
}
},
"Action": [
"arc-zonal-shift:StartZonalShift"
],
"Resource": "*",
"Effect": "Allow"
}
```
Per ulteriori informazioni, consulta [Risorse supportate](arc-zonal-shift.resource-types.md).
Oltre alle autorizzazioni descritte nell'argomento di panoramica su IAM, quanto segue si applica allo spostamento di zona per IAM e alle autorizzazioni:
+ Assicurati di disporre delle autorizzazioni necessarie per lavorare con lo spostamento zonale in ARC. Per ulteriori informazioni, vedere [Zonal Shift Console Access e [Zonal](security_iam_id-based-policy-examples-zonal.md#security_iam_id-based-policy-examples-api-zonal) Shift Operations Access](security_iam_id-based-policy-examples-zonal.md#security_iam_id-based-policy-examples-console-zonal).
+ Non è necessario aggiungere ulteriori autorizzazioni Elastic Load Balancing con IAM per utilizzare i turni zonali per le risorse gestite di bilanciamento del carico nel proprio account in ARC.
+ Una policy AWS gestita che fornisce l'accesso completo a Elastic Load Balancing include le autorizzazioni per lavorare con i turni zonali. Se utilizzi policy AWS gestite per l'accesso a Elastic Load Balancing, non sono necessarie autorizzazioni aggiuntive in IAM for zonal shift per avviare turni zonali per i sistemi di bilanciamento del carico o utilizzarli nella console Elastic Load Balancing. Per ulteriori informazioni, consulta [le politiche AWS gestite per Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/managed-policies.html).
# Esempi di politiche basate sull'identità per il cambiamento di zona in ARC
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse ARC. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da ARC, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [Esempio: accesso alla console a turni zonali](#security_iam_id-based-policy-examples-console-zonal)
+ [Esempio: azioni dell'API Zonal Shift](#security_iam_id-based-policy-examples-api-zonal)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse ARC nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Esempio: accesso alla console a turni zonali
Per accedere alla console Amazon Application Recovery Controller (ARC), devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse ARC presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per consentire agli utenti l'accesso completo all'utilizzo di zonal shift in Console di gestione AWS, allega all'utente una policy come la seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
## Esempio: azioni dell'API Zonal Shift
L'API zonal shift allontana temporaneamente il traffico da una zona di disponibilità per ripristinare un'applicazione.
Per garantire che un utente possa utilizzare le azioni dell'API zonal shift, allega una policy che corrisponda alle operazioni API con cui l'utente deve lavorare, come le seguenti:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource": "*"
}
]
}
```
------
# Zonal autoshift in ARC
Con lo spostamento automatico zonale, autorizzi AWS a spostare il traffico di risorse di un'applicazione da una zona di disponibilità (AZ) durante gli eventi, per tuo conto, per ridurre i tempi di ripristino. AWS avvia uno spostamento automatico quando la telemetria interna indica che esiste un problema nella zona di disponibilità che potrebbe avere un impatto potenziale sui clienti. Quando AWS inizia uno spostamento automatico, il traffico delle applicazioni verso le risorse che hai configurato per lo spostamento automatico zonale inizia a spostarsi dalla zona di disponibilità.
Tieni presente che ARC non controlla lo stato delle singole risorse. AWS avvia uno spostamento automatico quando la AWS telemetria rileva che esiste una limitazione della zona di disponibilità che potrebbe avere un impatto sui clienti. In alcuni casi, il traffico potrebbe essere spostato verso risorse che non subiscono alcun impatto.
Con lo spostamento automatico zonale, autorizzi anche AWS a spostare il traffico di risorse di un'applicazione da una zona di disponibilità, per tuo conto, per le normali sessioni di pratica. Le prove pratiche sono necessarie per lo spostamento automatico zonale. I cambiamenti zonali che ARC avvia per le esercitazioni pratiche aiutano a garantire che lo spostamento del traffico da una zona di disponibilità durante un trasferimento automatico sia sicuro per l'applicazione. La pratica viene eseguita regolarmente per verificare che l'applicazione possa funzionare normalmente senza una zona di disponibilità avviando turni zonali che spostano il traffico di una risorsa lontano da una zona di disponibilità. Le esercitazioni si svolgono settimanalmente e forniscono un risultato, ad esempio `SUCCEEDED` o, che consente di `FAILED` capire se l'applicazione funziona come previsto.
**Importante**
Prima di configurare le sessioni pratiche o abilitare lo spostamento automatico zonale, si consiglia vivamente di predimensionare la capacità delle risorse applicative in tutte le zone di disponibilità della regione in cui vengono distribuite le risorse applicative. Non dovreste fare affidamento sulla scalabilità su richiesta all'avvio di un cambio automatico o di un'esecuzione pratica. Lo spostamento automatico zonale, incluse le esercitazioni, funziona in modo indipendente e non attende il completamento delle azioni di ridimensionamento automatico. Affidarsi alla scalabilità automatica, anziché alla prescalabilità, può richiedere più tempo per il ripristino dell'applicazione.
Se utilizzi la scalabilità automatica per gestire cicli di traffico regolari, ti consigliamo vivamente di configurare la capacità minima della scalabilità automatica per continuare a funzionare normalmente con la perdita di una zona di disponibilità.
Se prevedi di abilitare lo spostamento automatico zonale o configurare le sessioni pratiche, dopo aver predimensionato la capacità delle risorse dell'applicazione, verifica che l'applicazione possa funzionare normalmente senza una zona di disponibilità. Per verificarlo, avviate uno spostamento zonale per spostare il traffico di una risorsa lontano da una zona di disponibilità.
Dopo aver abilitato lo spostamento automatico zonale, ti consigliamo di verificare, avviando e valutando una pratica on-demand run zonal shift, che l'applicazione possa continuare a funzionare normalmente con il traffico spostato lontano da una zona di disponibilità. Quindi, le normali procedure eseguite da ARC consentono di confermare, su base continuativa, di disporre di una capacità sufficiente per un trasferimento automatico.
Per garantire che i test con spostamento zonale siano efficaci, è importante verificare che il traffico si esaurisca come previsto dalla zona di residenza da cui ci si allontana. Ad esempio, sia Application Load Balancer che Network Load Balancer forniscono metriche per AZ in Amazon CloudWatch che puoi utilizzare per monitorare questa situazione. A seconda del periodo di riutilizzo delle connessioni da parte del servizio e dei client, il traffico potrebbe continuare verso la zona dalla quale ti sei allontanato più a lungo del previsto. Per ulteriori informazioni, consulta [Limita il tempo in cui i client rimangono connessi ai tuoi endpoint](arc-zonal-autoshift.considerations.md#ZAConsiderationsCurrentConnections).
Puoi abilitare lo spostamento automatico zonale, per una risorsa supportata, nella console ARC. Oppure, nella console Amazon EC2, hai la possibilità di abilitare lo spostamento automatico zonale per una risorsa di bilanciamento del carico specifica. Per ulteriori informazioni sull'attivazione dello spostamento automatico di zona con Elastic Load Balancing, consulta [Zonal shift nella Elastic Load Balancing User Guide](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/zonal-shift.html).
Gli spostamenti automatici e i turni zonali per la corsa pratica sono temporanei. Con gli spostamenti automatici, quando la zona di disponibilità interessata viene ripristinata, interrompe lo spostamento del traffico destinato alle risorse lontano dalla zona di disponibilità. AWS Il traffico delle applicazioni per i clienti ritorna in tutte le zone di disponibilità della regione. Con un'esecuzione pratica, il traffico viene spostato da una zona di disponibilità a una singola risorsa per circa 30 minuti, quindi reindirizzato verso tutte le zone di disponibilità della regione.
Puoi configurare EventBridge le notifiche di Amazon per avvisarti dei cambi automatici e delle sessioni di pratica. Per ulteriori informazioni, consulta [Utilizzo dello spostamento automatico zonale con Amazon EventBridge](eventbridge-zonal-autoshift.md).
# Come funzionano gli autoshift e le esecuzioni pratiche zonali
La funzionalità di trasferimento automatico zonale di Amazon Application Recovery Controller (ARC) consente di AWS spostare il traffico di una risorsa lontano da una zona di disponibilità, per tuo conto, quando si AWS determina che c'è una compromissione che potrebbe potenzialmente influire sui clienti nella zona di disponibilità. L'autoshift zonale è progettato per una risorsa predimensionata in tutte le zone di disponibilità di una Regione AWS, in modo che un'applicazione possa funzionare normalmente con la perdita di una zona di disponibilità.
Con l'autoshift zonale, è necessario configurare le sessioni pratiche, in cui ARC sposta regolarmente il traffico relativo alla risorsa lontano da una zona di disponibilità. ARC pianifica le esercitazioni circa settimanali per ogni risorsa a cui è associata una configurazione di esecuzione pratica. Le esercitazioni per ogni risorsa sono programmate in modo indipendente.
Per ogni esercitazione, ARC registra un risultato. Se un'esercitazione viene interrotta da una condizione di blocco, l'esito dell'esercitazione non viene contrassegnato come riuscito. Per ulteriori informazioni sui risultati delle esercitazioni, vedi [Risultati delle esercitazioni](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes).
Puoi configurare EventBridge le notifiche di Amazon per inviarti informazioni sugli spostamenti automatici e sulle sessioni di pratica. Per ulteriori informazioni, consulta [Utilizzo dello spostamento automatico zonale con Amazon EventBridge](eventbridge-zonal-autoshift.md).
**Topics**
+ [Informazioni su zonal autoshift](arc-zonal-autoshift.how-it-works.about.md)
+ [Quando avvia AWS e arresta i cambi automatici](arc-zonal-autoshift.how-it-works.start-stop-auto.md)
+ [Quando ARC pianifica, avvia e termina, le esercitazioni vengono eseguite](arc-zonal-autoshift.how-it-works.scheduled-practice-runs.md)
+ [Controlli della capacità per le esercitazioni](arc-zonal-autoshift.how-it-works.capacity-check.md)
+ [Notifica per le prove e i turni automatici](arc-zonal-autoshift.how-it-works.notifications.md)
+ [Precedenza per i turni zonali](arc-zonal-autoshift.how-it-works.precedence.md)
+ [Interruzione di un cambio automatico o di un'esecuzione pratica attiva](arc-zonal-autoshift.how-it-works.stop-shift.md)
+ [Come viene spostato il traffico](arc-zonal-autoshift.how-it-works.how-traffic-shifted.md)
+ [Allarmi per le corse di allenamento](arc-zonal-autoshift.how-it-works.alarms.md)
+ [Finestre bloccate e finestre consentite (in UTC)](arc-zonal-autoshift.how-it-works.blocked-windows.md)
# Informazioni su zonal autoshift
L'autoshift zonale è una funzionalità che AWS sposta il traffico delle risorse delle applicazioni lontano da una zona di disponibilità, per conto dell'utente. AWS avvia uno spostamento automatico quando la telemetria interna indica che esiste una limitazione della zona di disponibilità che potrebbe avere un impatto sui clienti. La telemetria interna incorpora metriche provenienti da diverse fonti, tra cui la AWS rete e i servizi Amazon EC2 ed Elastic Load Balancing.
È necessario abilitare manualmente lo spostamento automatico zonale per le risorse supportate. AWS
Quando distribuisci ed esegui AWS applicazioni su sistemi di bilanciamento del carico in più (in genere tre) AZs in una regione e esegui la scalabilità preimpostata per supportare la stabilità statica, puoi ripristinare rapidamente le applicazioni dei clienti in una zona di zona deviando il traffico con uno spostamento automatico. AWS Spostando il traffico di risorse verso altri AZs utenti della regione, è AWS possibile ridurre la durata e la gravità del potenziale impatto causato da interruzioni dell'alimentazione, problemi hardware o software in una zona AZ o altri problemi.
Le risorse supportate da ARC forniscono integrazioni che contrassegnano la zona di zona specificata come non integra, il che comporta lo spostamento del traffico dalla zona di zona compromessa.
Quando abiliti lo spostamento automatico zonale per una risorsa, devi anche configurare un'esecuzione pratica per la risorsa. AWS esegue esercitazioni circa settimanali, per 30 minuti, per aiutarvi ad assicurarvi di avere una capacità sufficiente per eseguire l'applicazione senza una delle zone di disponibilità della regione.
Analogamente al trasferimento zonale, esistono alcuni scenari specifici in cui lo spostamento automatico zonale non sposta il traffico dalla zona AZ. Ad esempio, se i gruppi target del sistema di bilanciamento del carico AZs non dispongono di alcuna istanza o se tutte le istanze non sono integre, il sistema di bilanciamento del carico è in uno stato di fail-open e non è possibile spostarne una. AZs
Per ulteriori informazioni sullo spostamento automatico zonale, consulta. [Zonal autoshift in ARC](arc-zonal-autoshift.md)
# Quando avvia AWS e arresta i cambi automatici
Quando abiliti lo spostamento automatico zonale per una risorsa, autorizzi AWS a spostare il traffico di risorse di un'applicazione da una zona di disponibilità durante gli eventi, per tuo conto, per ridurre i tempi di ripristino.
A tal fine, l'autoshift zonale utilizza la AWS telemetria per rilevare, il prima possibile, l'esistenza di una compromissione della zona di disponibilità che potrebbe avere un impatto sui clienti. Quando AWS inizia un trasferimento automatico, il traffico verso le risorse configurate inizia immediatamente a spostarsi dalla zona di disponibilità compromessa, il che potrebbe avere un impatto potenziale sui clienti.
L'autoshift zonale è una funzionalità progettata per i clienti che hanno predimensionato le risorse applicative per tutte le zone di disponibilità in un'unica soluzione. Regione AWS Non dovresti fare affidamento sulla scalabilità su richiesta quando inizia un cambio automatico o un'esecuzione pratica.
AWS termina uno spostamento automatico quando determina che la zona di disponibilità è stata ripristinata.
# Quando ARC pianifica, avvia e termina, le esercitazioni vengono eseguite
ARC pianifica settimanalmente un'esercitazione per una risorsa, per circa 30 minuti. ARC pianifica, avvia e gestisce le esercitazioni per ciascuna risorsa in modo indipendente. ARC non raggruppa le esercitazioni relative alle risorse dello stesso account. È inoltre possibile avviare autonomamente delle esercitazioni su richiesta, per verificare che la configurazione sia sicura per un evento di spostamento automatico zonale.
Quando un'esercitazione continua per la durata prevista, senza interruzioni, viene contrassegnata con un risultato di. `SUCCESSFUL` Esistono molti altri risultati possibili:`FAILED`,`INTERRUPTED`, `CAPACITY_CHECK_FAILED` e. `PENDING` I valori e le descrizioni dei [risultati sono inclusi nella sezione Risultati per le prove pratiche](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes).
In alcuni scenari ARC interrompe un'esercitazione e la termina. Ad esempio, se un cambio automatico si avvia durante un'esercitazione, ARC interrompe l'esercitazione e la termina. Come altro esempio, supponiamo che la risorsa reagisca in modo negativo all'esecuzione di un'esercitazione e provochi un allarme che avete specificato per monitorare l'esecuzione dell'esercitazione. `ALARM` In questo scenario, ARC interrompe inoltre l'esecuzione dell'esercitazione e la termina.
Inoltre, esistono diversi scenari in cui ARC non avvia un'esercitazione di pianificazione per una risorsa.
In risposta alle sessioni di pratica interrotte e bloccate per una risorsa, ARC esegue le seguenti operazioni:
+ Se l'esecuzione di un'esercitazione per una risorsa viene interrotta mentre è in corso, ARC considera terminata l'esercitazione settimanale e pianifica una nuova esercitazione per la risorsa per la settimana successiva. L'esito dell'esercitazione settimanale `INTERRUPTED` rientra in questo scenario, non`FAILED`. L'esito dell'esercitazione è impostato su `FAILED` solo quando l'allarme di esito che monitora l'esercitazione entra in uno `ALARM` stato durante l'esercitazione.
+ Se esiste un vincolo di blocco quando è pianificato l'avvio di un'esercitazione per una risorsa, ARC non avvia l'esercitazione. ARC continua a monitorare regolarmente, per determinare se esistono ancora uno o più vincoli di blocco. Quando non ci sono vincoli di blocco, ARC avvia l'esecuzione pratica per la risorsa.
Di seguito sono riportati alcuni esempi di vincoli di blocco che impediscono ad ARC di avviare o continuare l'esecuzione di un'esercitazione per una risorsa:
+ ARC non avvia o continua le esercitazioni quando è in corso un AWS Fault Injection Service esperimento. Se un AWS FIS evento è attivo quando ARC ha programmato l'inizio di un'esercitazione, ARC non avvia l'esercitazione. ARC monitora durante le sessioni di pratica per bloccare i vincoli, incluso un evento. AWS FIS Se un AWS FIS evento inizia mentre è attiva un'esercitazione pratica, ARC termina l'esercitazione e non tenta di avviarne un altro fino alla successiva esercitazione regolarmente programmata per la risorsa.
+ Se c'è un AWS evento in corso in una regione, ARC non avvia le esercitazioni pratiche per le risorse e termina le esercitazioni attive nella regione.
Quando l'esercitazione termina senza essere interrotta, ARC pianifica la sessione di pratica successiva tra una settimana, come al solito. Se un'esercitazione non viene avviata a causa di un vincolo di blocco, ad esempio un AWS FIS esperimento o una finestra temporale bloccata che hai specificato, ARC continua a tentare di avviare un'esercitazione fino a quando l'esercitazione non può essere avviata.
# Controlli della capacità per le esercitazioni
Quando inizia un'esercitazione, per allontanare temporaneamente il traffico da una zona di disponibilità, ARC esegue un controllo per verificare che nelle altre zone di disponibilità sia disponibile una capacità sufficiente per allontanare in sicurezza il traffico dalla AZ. Se la capacità disponibile non è sufficiente, il Traffic Shift per l'esercitazione non viene avviato e l'esercitazione termina.
Inoltre, ARC esegue un controllo della capacità delle risorse di bilanciamento del carico al termine di un cambio automatico di zona, prima che ARC termini lo spostamento del traffico avviato dallo spostamento automatico. Se il controllo della capacità fallisce al termine dell'autoshift, il traffico non viene spostato nuovamente nella zona di disponibilità da cui è stato allontanato.
I controlli della capacità bilanciata vengono completati solo per i sistemi di bilanciamento del carico e i gruppi di Auto Scaling.
Per una risorsa di bilanciamento del carico, i controlli della capacità convalidano che gli host integri associati al sistema di bilanciamento del carico siano distribuiti tra le zone di disponibilità. In particolare, i controlli della capacità assicurano che il numero di host integri in tutte le zone di disponibilità in cui è registrata la risorsa sia bilanciato. Per quanto riguarda i controlli della capacità, bilanciato significa che la capacità integra di ciascuna zona di disponibilità è pari a quella delle altre zone, con una piccola differenza.
Si noti che i controlli di capacità non vengono applicati ai sistemi di bilanciamento del carico con gruppi target di tipo Lambda né agli Application Load Balancer, poiché tali destinazioni non sono configurate a livello di zone.
I controlli della capacità sono stati completati anche per i gruppi Auto Scaling. Per un gruppo Auto Scaling, i controlli di capacità convalidano che la capacità zonale integra totale di un gruppo Auto Scaling, ovvero il numero di host integri totali in tutte le zone di disponibilità, soddisfi la capacità desiderata impostata per quel gruppo di Auto Scaling.
**Quando un controllo della capacità fallisce**
Quando un controllo della capacità rileva che la capacità disponibile non è bilanciata per una risorsa, il risultato dell'esercitazione è`CAPACITY_CHECK_FAILED`. Per ulteriori informazioni sul motivo per cui un controllo della capacità non è riuscito, consulta il campo dei commenti relativo a`ZonalShiftSummary`. Per trovare il campo dei commenti per il tuo turno zonale di Practice Run, procedi come segue:
1. Utilizzando AWS CLI, elenca i turni zonali per la risorsa specificata nell'esecuzione dell'esercitazione utilizzando l'[ListZonalShifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListZonalShifts.html)operazione API.
FOr ad esempio, per restituire i turni zonali, è possibile eseguire un comando simile al seguente:
```
aws arc-zonal-shift start-practice-run
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890"
```
1. Esamina la serie di `ZonalShiftSummary` oggetti restituiti per trovare lo spostamento zonale relativo all'esecuzione pratica che non è riuscito a causa dei controlli della capacità.
1. Per lo spostamento zonale applicabile, consulta le informazioni nel `Comment` campo.
# Notifica per le prove e i turni automatici
Puoi scegliere di ricevere notifiche sulle sessioni di pratica e sugli spostamenti automatici della tua risorsa configurando le notifiche Amazon. EventBridge *Puoi configurare EventBridge le notifiche anche se non hai abilitato lo spostamento automatico zonale per nessuna risorsa, noto come notifica autoshift observer.* Con la notifica autoshift observer, si riceve una notifica di tutti gli spostamenti automatici che ARC avvia quando una zona di disponibilità è potenzialmente compromessa. Tieni presente che devi configurare questa opzione in ognuna delle quali desideri ricevere notifiche. Regione AWS
Per vedere i passaggi per abilitare la notifica autoshift observer, consulta. [Abilitazione o disabilitazione della notifica autoshift observer](arc-zonal-autoshift.enable-autoshift-observer.md) Per ulteriori informazioni sulle opzioni di notifica e su come configurarle in, consulta. EventBridge [Utilizzo dello spostamento automatico zonale con Amazon EventBridge](eventbridge-zonal-autoshift.md)
# Precedenza per i turni zonali
Non può essere applicato più di uno spostamento zonale alla volta. Cioè, solo una pratica esegue il cambio di zona, il cambiamento di zona avviato dal cliente, lo spostamento automatico o l'esperimento per la risorsa. AWS FIS Quando viene avviato un secondo spostamento zonale, ARC segue una precedenza per determinare quale tipo di spostamento zonale è valido per una risorsa.
Il principio generale di precedenza è che i turni zonali avviati come cliente hanno la precedenza sugli altri tipi di turni. Tuttavia, tieni presente che un'esercitazione AWS avviata attualmente in esecuzione impedisce di iniziare un'esercitazione su richiesta.
Per illustrare la precedenza in ARC, di seguito viene illustrato il funzionamento della precedenza, ad esempio negli scenari:
| Tipo di spostamento zonale applicato | Tipo di spostamento zonale avviato | Risultato |
| --- | --- | --- |
| AWS FIS esperimento | Corsa pratica | L'esercitazione non avrà inizio, poiché l' AWS FIS esperimento ha la precedenza. |
| AWS FIS esperimento | Spostamento zonale manuale | L' AWS FIS esperimento verrà annullato e verrà applicato lo spostamento zonale manuale. |
| AWS FIS esperimento | Spostamento zonale automatico | L' AWS FIS esperimento verrà annullato e verrà applicato lo spostamento automatico zonale. |
| AWS FIS esperimento | AWS FIS esperimento | L' AWS FIS esperimento iniziato non verrà avviato perché è in corso un esperimento esistente che ha attivato l'azione di cambio AWS FIS automatico. |
| Corsa pratica | Spostamento zonale manuale | L'esercitazione verrà annullata e il risultato impostato sarà lo stesso e verrà INTERRUPTED applicato lo spostamento zonale. |
| Corsa pratica | AWS FIS esperimento | L'esercitazione verrà annullata e il risultato impostato sarà impostatoINTERRUPTED, e l' AWS FIS esperimento verrà applicato. |
| Corsa pratica | Spostamento zonale automatico | L'esercitazione verrà annullata e il risultato impostato suINTERRUPTED, e verrà applicato lo spostamento automatico zonale. |
| Spostamento zonale manuale | Corsa pratica | L'esercitazione non avrà inizio. |
| Spostamento zonale manuale | AWS FIS esperimento | L' AWS FIS esperimento non verrà avviato o fallirà se è già in corso. |
| Spostamento zonale manuale | Spostamento zonale automatico | Lo spostamento automatico zonale avverrà ACTIVE ma non sulla risorsa. APPLIED Lo spostamento zonale manuale ha la precedenza. |
| Spostamento zonale automatico | AWS FIS esperimento | L' AWS FIS esperimento non verrà avviato o fallirà se è in corso. |
| Spostamento zonale automatico | Spostamento zonale manuale | Lo spostamento automatico zonale avverrà ACTIVE ma non sulla risorsa. APPLIED Lo spostamento zonale manuale ha la precedenza. |
| Spostamento zonale automatico | Corsa pratica | L'esercitazione non verrà avviata, poiché lo spostamento automatico zonale ha la precedenza. |
Lo spostamento del traffico attualmente in vigore per la risorsa ha uno stato di spostamento zonale applicato impostato su `APPLIED`. È impostato su `APPLIED` un solo spostamento alla volta. Gli altri turni in corso sono impostati, ma rimangono invariati`NOT_APPLIED`. `ACTIVE`
# Interruzione di un cambio automatico o di un'esecuzione pratica attiva per una risorsa
Per interrompere uno spostamento automatico in corso per una risorsa, è necessario annullare lo spostamento di zona.
Per la risorsa si svolgono ancora prove pratiche regolari, secondo lo stesso programma. Se si desidera interrompere le esercitazioni oltre a disabilitare gli spostamenti automatici, è necessario eliminare la configurazione dell'esecuzione pratica associata alla risorsa.
Quando si elimina una configurazione di esecuzione pratica, AWS interrompe l'esecuzione delle esercitazioni che spostano il traffico della risorsa lontano da una zona di disponibilità ogni settimana. Inoltre, poiché lo spostamento automatico zonale richiede delle esercitazioni pratiche, quando si elimina una configurazione di esecuzione pratica utilizzando la console ARC, questa azione disabilita anche lo spostamento automatico zonale per la risorsa. Tuttavia, tieni presente che se utilizzi l'API zonal autoshift per eliminare un'esercitazione, devi prima disabilitare l'autoshift zonale per la risorsa.
Per ulteriori informazioni, consultare [Annullamento di un cambio automatico zonale](arc-zonal-autoshift.canceling-an-autoshift.md) e [Abilitazione e utilizzo dell'autoshift zonale](arc-zonal-autoshift.start-cancel.md).
# Come viene spostato il traffico
Per gli spostamenti automatici e per fare pratica con i turni zonali, il traffico viene spostato da una zona di disponibilità utilizzando lo stesso meccanismo utilizzato da ARC per i turni zonali avviati dal cliente. A seguito di un controllo dello stato non corretto, Amazon Route 53 ritira gli indirizzi IP corrispondenti della risorsa dal DNS, in modo che il traffico venga reindirizzato dalla zona di disponibilità. Le nuove connessioni vengono ora instradate invece verso altre zone di disponibilità. Regione AWS
Con uno spostamento automatico, quando una zona di disponibilità si ripristina e AWS decide di interrompere lo spostamento automatico, ARC inverte il processo di controllo dello stato, richiedendo l'annullamento dei controlli di integrità della Route 53. Quindi, gli indirizzi IP zonali originali vengono ripristinati e, se i controlli di integrità continuano a essere corretti, la zona di disponibilità viene nuovamente inclusa nel routing dell'applicazione.
È importante tenere presente che gli spostamenti automatici non si basano su controlli di integrità che monitorano lo stato di base dei sistemi di bilanciamento del carico o delle applicazioni. ARC utilizza i controlli di integrità per allontanare il traffico dalle zone di disponibilità, richiedendo che i controlli di integrità siano impostati su «non integri», quindi ripristina nuovamente i controlli di integrità alla normalità quando termina uno spostamento automatico o uno spostamento di zona.
# Allarmi per le corse di allenamento
È possibile specificare due tipi di CloudWatch allarmi per le esercitazioni in autoshift zonale: allarmi di esito e allarmi di blocco.
**Allarmi sui risultati (obbligatori)**
Per il primo tipo di allarme, l'*allarme di risultato*, è necessario specificare almeno un allarme. È necessario configurare gli allarmi di esito per monitorare lo stato dell'applicazione quando il traffico viene spostato da una zona di disponibilità durante ogni esercizio di 30 minuti.
Affinché un'esercitazione sia efficace, specifica come allarmi di esito almeno un CloudWatch allarme che soddisfi entrambi i seguenti criteri:
L'allarme monitora le metriche relative alla risorsa o all'applicazione
AND
L'allarme risponde con uno `ALARM` stato in cui l'applicazione viene influenzata negativamente dalla perdita di una zona di disponibilità.
Per ulteriori informazioni, consulta la sezione **Allarmi specificati per le esecuzioni pratiche** in. [Le migliori pratiche per la configurazione dell'autoshift zonale](arc-zonal-autoshift.considerations.md)
Gli allarmi sui risultati forniscono anche informazioni sull'*esito dell'esercitazione* che ARC riporta per ogni sessione di esercitazione. Se un allarme di esito entra in uno `ALARM` stato, ARC termina l'esecuzione dell'esercitazione e restituisce il risultato dell'esecuzione dell'`FAILED`esercitazione. Se l'esecuzione dell'esercitazione completa il periodo di test di 30 minuti e nessuno degli allarmi di risultato che hai specificato entra in uno `ALARM` stato, il risultato restituito è. `SUCCEEDED` Un elenco di tutti i valori dei risultati, con le relative descrizioni, è disponibile nella sezione [Risultati per le esercitazioni](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes).
**Blocco degli allarmi (opzionale)**
Facoltativamente, puoi specificare un secondo tipo di allarme, l'allarme di *blocco*. La pratica del blocco degli allarmi viene eseguita dall'inizio o dalla continuazione quando uno o più allarmi si trovano in uno stato. `ALARM` Il blocco degli allarmi blocca l'avvio dell'esercitazione, i turni di traffico e interrompe tutte le esercitazioni in corso quando almeno uno degli allarmi è in uno stato. `ALARM`
Ad esempio, in un'architettura di grandi dimensioni con più microservizi, quando un microservizio presenta un problema, in genere si desidera interrompere tutte le altre modifiche nell'ambiente dell'applicazione, incluso il blocco delle procedure di esecuzione. A tale scopo, è possibile aggiungere un allarme di blocco in ARC.
# Finestre bloccate e finestre consentite (in UTC)
È possibile *bloccare* o *consentire* le esercitazioni per date di calendario specifiche o per finestre temporali specifiche, ovvero giorni e ore, specificati in UTC.
Ad esempio, se hai programmato il lancio di un aggiornamento dell'applicazione per il 1° maggio 2024 e non desideri che le sessioni di esercitazione allontanino il traffico in quel momento, puoi impostare una data bloccata per. `2024-05-01`
Oppure, supponiamo che tu esegua riepiloghi di report aziendali tre giorni alla settimana. In questo scenario, puoi impostare i seguenti giorni e orari ricorrenti come finestre bloccate, per esempio, in UTC:. `MON-20:30-21:30 WED-20:30-21:30 FRI-20:30-21:30`
In alternativa, potreste decidere che il mercoledì e il venerdì, da mezzogiorno alle 5:00, siano gli orari migliori per ARC per iniziare le prove pratiche e testare la configurazione. In questo scenario, puoi impostare i seguenti giorni e orari ricorrenti come finestre consentite, ad esempio in UTC:. `WED-12:00-17:00 FRI-12:00-17:00`
# Regione AWS disponibilità per lo spostamento automatico zonale
Il cambio di zona e lo spostamento automatico di zona sono attualmente disponibili nelle regioni commerciali e cinesi Regioni AWS, ovvero nella regione Cina (Pechino) e nella regione Cina (Ningxia).
Le risorse che utilizzano Amazon Application Recovery Controller (ARC) possono includere considerazioni aggiuntive. Per ulteriori informazioni, consulta [Risorse supportate](arc-zonal-shift.resource-types.md).
Per un elenco di regioni e informazioni dettagliate sul supporto regionale e sugli endpoint di servizio per ARC, consulta gli endpoint e le [quote di Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/general/latest/gr/r53arc.html) nell'*Amazon Web Services* General Reference.
# Zonal autoshift components
Il diagramma seguente illustra un esempio di trasferimento automatico che sposta il traffico lontano da una zona di disponibilità. AWS avvia uno spostamento automatico quando la telemetria interna indica che esiste una limitazione della zona di disponibilità che potrebbe avere un impatto sui clienti.
![\[Diagramma di un cambio automatico con tre zone di disponibilità\]](http://docs.aws.amazon.com/it_it/r53recovery/latest/dg/images/ZonalAutoshiftDiagram.png)
Di seguito sono riportati i componenti delle funzionalità di cambio automatico zonale in ARC.
**Spostamenti automatici zonali**
Lo spostamento automatico zonale sposta il traffico verso una risorsa, senza che sia necessario intraprendere alcuna azione. Lo spostamento automatico zonale è una funzionalità di ARC che AWS avvia uno spostamento automatico quando la telemetria interna indica che esiste una limitazione della zona di disponibilità che potrebbe avere un impatto sui clienti. Tieni presente che, in alcuni casi, potrebbero essere spostate via risorse che non subiscono alcun impatto.
**Corse di pratica**
*Quando abiliti lo spostamento automatico zonale per una risorsa, devi anche configurare le esecuzioni pratiche di spostamento automatico zonale per la risorsa.* AWS esegue un turno zonale per le sessioni di pratica circa settimanali, per circa 30 minuti. È inoltre possibile pianificare le esercitazioni su richiesta.
Le sessioni di esercitazione assicurano che l'applicazione possa funzionare normalmente senza la perdita di una zona di disponibilità. In un'esercitazione, AWS sposta il traffico relativo a una risorsa lontano da una zona di disponibilità con uno spostamento zonale, quindi riporta il traffico indietro al termine dell'esecuzione dell'esercitazione.
**Configurazioni per l'esecuzione pratica**
Con una configurazione di esecuzione pratica, è possibile definire gli intervalli di tempo (finestre bloccate o consentite) entro i quali ARC può avviare un'esecuzione pratica per una risorsa con spostamento automatico zonale. È inoltre possibile definire gli CloudWatch allarmi per un'esercitazione. AWS È possibile modificare la configurazione di un'esercitazione in qualsiasi momento, aggiungere o modificare finestre bloccate o consentite o aggiornare gli allarmi per l'esercitazione.
Per abilitare lo spostamento automatico zonale, è necessario disporre di una configurazione di esecuzione pratica per una risorsa.
È possibile eliminare un'esercitazione, ma prima è necessario disabilitare lo spostamento automatico zonale.
**Esercitati, esegui allarmi**
Quando si configurano le sessioni di esercitazione, si specificano gli CloudWatch allarmi (che vengono creati per la prima volta CloudWatch), in base ai requisiti di risorse e applicazioni. Gli allarmi specificati possono bloccare l'avvio di un'esercitazione o interrompere un'esercitazione in corso, se l'applicazione è influenzata negativamente dall'esecuzione dell'esercitazione.
Se un avviso specificato entra in uno `ALARM` stato, ARC interrompe lo spostamento zonale per l'esecuzione dell'esercitazione, in modo che il traffico della risorsa non venga più spostato dalla zona di disponibilità.
Esistono due tipi di allarmi specificati per le esercitazioni: gli allarmi dei *risultati*, per monitorare lo stato della risorsa e dell'applicazione durante l'esecuzione dell'esercitazione, e gli allarmi di *blocco*, che è possibile configurare per impedire l'avvio delle esercitazioni o per interrompere un'esercitazione in corso. È richiesto almeno un allarme di esito; il blocco degli allarmi è facoltativo.
**Risultati della sessione pratica**
ARC riporta un risultato per ogni esercitazione. Di seguito sono riportati i possibili esiti della prova pratica:
+ **IN SOSPESO:** Il turno zonale per l'esercitazione è attivo (in corso). Non ci sono ancora esiti.
+ **RIUSCITA:** L'allarme relativo all'esito non è `ALARM` stato attivato durante l'esercitazione e l'esercitazione ha completato l'intero periodo di prova di 30 minuti.
+ **INTERROTTA:** L'esercitazione è terminata per un motivo diverso dall'allarme relativo all'esito. `ALARM` Una prova pratica può essere interrotta per una serie di motivi. Ad esempio, un'esercitazione che termina perché l'allarme di blocco specificato per l'esercitazione è entrato in uno `ALARM` stato ha il risultato di`INTERRUPTED`. Per ulteriori informazioni sui motivi di un esito `INTERRUPTED`, consulta [Outcomes for practice runs](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes).
+ **FALLITA: **l’allarme di esito è entrato in uno stato `ALARM` durante la prova pratica.
+ **CAPACITY\$1CHECK\$1FAILED:** la verifica della capacità bilanciata nelle zone di disponibilità per le risorse del gruppo di bilanciamento del carico e Auto Scaling non è riuscita.
**Regole di sicurezza integrate**
Le regole di sicurezza integrate in ARC impediscono che si verifichi più di un cambio di traffico per una risorsa alla volta. In altre parole, solo un cambio di zona avviato dal cliente, un cambio zonale di tipo Practice Run (avviato da AWS o da un cliente) o lo spostamento automatico della risorsa possono spostare attivamente il traffico lontano da una zona di disponibilità. Ad esempio, se si avvia uno spostamento di zona per una risorsa quando è attualmente spostata via con lo spostamento automatico, il cambiamento di zona ha la precedenza. [Per ulteriori informazioni, consulta Precedenza per i turni zonali.](arc-zonal-autoshift.how-it-works.precedence.md#ZAShiftPrecedence)
**Identificatore di risorsa**
L'identificatore di una risorsa per cui abilitare lo spostamento automatico zonale, ovvero l'Amazon Resource Name (ARN) della risorsa. Puoi abilitare lo spostamento automatico zonale solo per le risorse del tuo account che fanno parte di un servizio supportato da ARC. AWS
**Risorsa gestita**
Gli Application Load Balancer registrano automaticamente le risorse con ARC per lo spostamento automatico zonale. È necessario attivare manualmente altre risorse per lo spostamento automatico zonale.
**Nome risorsa**
Il nome di una risorsa gestita in ARC.
**Stato applicato**
Uno stato applicato indica se per una risorsa è in corso uno spostamento del traffico. Quando si configura lo spostamento automatico zonale, una risorsa può avere più di uno spostamento di traffico attivo, ad esempio un cambio di zona eseguito in pratica, uno spostamento di zona avviato dal cliente o uno spostamento automatico. *Tuttavia, ne viene applicato solo uno alla volta, ossia è valido per la risorsa.* Lo spostamento con lo stato `APPLIED` determina la zona di disponibilità in cui il traffico dell'applicazione è stato spostato verso una risorsa e quando termina tale spostamento di traffico.
**Tipo di turno**
Definisce il tipo di spostamento zonale. I turni zonali possono avere uno dei seguenti tipi:
+ **ZONAL\$1SHIFT**
+ **ZONAL\$1AUTOSHIFT**
+ **ESERCITAZIONE\$1CORRI**
+ **FIS EXPERIMENT**
# Piani di dati e controllo per lo spostamento automatico zonale
Quando pianifichi il failover e il disaster recovery, considera la resilienza dei tuoi meccanismi di failover. Ti consigliamo di assicurarti che i meccanismi da cui dipendi durante il failover siano altamente disponibili, in modo da poterli utilizzare quando ne hai bisogno in uno scenario di emergenza. In genere, è consigliabile utilizzare le funzioni del piano dati per i meccanismi ogni volta che è possibile, per la massima affidabilità e tolleranza ai guasti. In quest'ottica, è importante capire in che modo la funzionalità di un servizio è suddivisa tra piani di controllo e piani dati e quando è possibile contare su un'aspettativa di estrema affidabilità con il piano dati di un servizio.
In generale, un *piano di controllo* consente di eseguire funzioni di gestione di base, come creare, aggiornare ed eliminare risorse nel servizio. Un *piano dati* fornisce le funzionalità principali di un servizio.
Per ulteriori informazioni sui piani dati, sui piani di controllo e su come AWS crea servizi per soddisfare gli obiettivi di alta disponibilità, consulta il [paper Static stability using Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) in Amazon Builders' Library.
# Prezzi per l'autoshift zonale in ARC
Per quanto riguarda lo spostamento automatico zonale, AWS sposta il traffico da una zona di disponibilità per conto dell'utente verso le risorse supportate quando AWS determina l'esistenza di un potenziale problema che può influire negativamente sulle applicazioni dei clienti. Non sono previsti costi aggiuntivi per l'attivazione dello spostamento automatico zonale.
[Per informazioni dettagliate sui prezzi di ARC ed esempi di prezzi, consulta ARC Pricing.](https://aws.amazon.com/application-recovery-controller/pricing/)
# Le migliori pratiche per la configurazione dell'autoshift zonale
Tieni presente le seguenti best practice e considerazioni quando abiliti l'autoshift zonale in Amazon Application Recovery Controller (ARC).
L'autoshift zonale include due tipi di turni di traffico: turni automatici e turni zonali Practice Run.
+ Lo spostamento *automatico AWS consente di ridurre i tempi di ripristino allontanando* il traffico delle risorse applicative da una zona di disponibilità durante gli eventi, per conto dell'utente.
+ Con le *esercitazioni*, ARC avvia un turno di allenamento zonale per tuo conto oppure tu inizi un turno di pratica a turni zonali. L'esecuzione AWS pratica del turno zonale sposta il traffico da una zona di disponibilità a una risorsa e viceversa, con cadenza settimanale. Le esecuzioni pratiche aiutano ad accertarsi di aver ampliato la capacità necessaria per le zone di disponibilità in una regione affinché l'applicazione possa tollerare la perdita di una zona di disponibilità.
Esistono diverse best practice e considerazioni da tenere a mente per quanto riguarda gli spostamenti automatici e le esecuzioni pratiche. Consulta i seguenti argomenti prima di abilitare lo spostamento automatico zonale o configurare le sessioni pratiche per una risorsa.
**Argomenti**
+ [Limita il tempo in cui i client rimangono connessi ai tuoi endpoint](#ZAConsiderationsCurrentConnections)
+ [Prescalate la vostra capacità di risorse e testate il traffico mutevole](#ZAConsiderationsCapacityPrescaling)
+ [Sii consapevole dei tipi e delle restrizioni delle risorse](#ZAConsiderationsResourceRequirements)
+ [Specificate gli allarmi per le prove](#ZAConsiderationsPracticeRunAlarms)
+ [Valuta i risultati delle prove](#ZAConsiderationsPracticeRunOutcomes)
**Limita il tempo in cui i clienti rimangono connessi ai tuoi endpoint**
Quando Amazon Application Recovery Controller (ARC) allontana il traffico da un problema, ad esempio utilizzando lo spostamento zonale o lo spostamento automatico di zona, il meccanismo utilizzato da ARC per spostare il traffico dell'applicazione è un aggiornamento DNS. Un aggiornamento DNS fa sì che tutte le nuove connessioni vengano indirizzate lontano dalla posizione compromessa. Tuttavia, i client con connessioni aperte preesistenti potrebbero continuare a effettuare richieste nei confronti della posizione compromessa fino alla riconnessione dei client. Per garantire un ripristino rapido, ti consigliamo di limitare il periodo di tempo in cui i client rimangono connessi ai tuoi endpoint.
Se si utilizza un Application Load Balancer, è possibile utilizzare l'`keepalive`opzione per configurare la durata delle connessioni. Ti consigliamo di abbassare il `keepalive` valore per adattarlo all'obiettivo del tempo di ripristino per l'applicazione, ad esempio 300 secondi. Quando scegli un `keepalive` orario, considera che questo valore rappresenta un compromesso tra la riconnessione più frequente in generale, il che può influire sulla latenza, e lo spostamento più rapido di tutti i client da una zona o regione compromessa.
Per ulteriori informazioni sull'impostazione dell'`keepalive`opzione per Application Load Balancer, vedete la [durata del client HTTP keepalive](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#http-client-keep-alive-duration) nella Application Load Balancer User Guide.
**Prescalate la vostra capacità di risorse e testate il traffico variabile**
Quando si AWS sposta il traffico da una zona di disponibilità a favore di uno spostamento di zona o di uno spostamento automatico, è importante che le zone di disponibilità rimanenti siano in grado di soddisfare le maggiori percentuali di richiesta della risorsa. *Questo modello è noto come stabilità statica.* Per ulteriori informazioni, consulta il [white paper sulla stabilità statica con le zone di disponibilità nella libreria](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) di Amazon Builder.
Ad esempio, se l'applicazione richiede 30 istanze per servire i propri clienti, è necessario effettuare il provisioning di 15 istanze in tre zone di disponibilità, per un totale di 45 istanze. In questo modo, quando si AWS sposta il traffico da una zona di disponibilità, con uno spostamento automatico o durante un'esecuzione pratica, è comunque AWS possibile servire i client dell'applicazione con il totale rimanente di 30 istanze, su due zone di disponibilità.
La funzionalità di trasferimento automatico zonale di ARC consente di ripristinare rapidamente AWS gli eventi in una zona di disponibilità quando si dispone di un'applicazione con risorse predimensionate per funzionare normalmente con la perdita di una zona di disponibilità. Prima di abilitare lo spostamento automatico zonale per una risorsa, scalate la capacità delle risorse in tutte le zone di disponibilità configurate in un'unica. Regione AWS Quindi, avvia i turni zonali per la risorsa, per verificare che l'applicazione funzioni ancora normalmente quando il traffico viene spostato da una zona di disponibilità.
Dopo aver eseguito il test con i turni zonali, abilita lo spostamento automatico zonale e configurato le esecuzioni pratiche per le risorse dell'applicazione. Eseguite le vostre sessioni pratiche su richiesta per assicurarvi che la configurazione sia scalata correttamente. Le esercitazioni regolari con zonal autoshift vi aiutano ad assicurarvi, su base continuativa, che la vostra capacità sia ancora scalata in modo appropriato. Con una capacità sufficiente in tutte le zone di disponibilità, l'applicazione può continuare a servire i clienti, senza interruzioni, durante un trasferimento automatico.
Per ulteriori informazioni sull'avvio di uno spostamento di zona per una risorsa, vedere. [Zonal shift in ARC](arc-zonal-shift.md)
**Sii consapevole dei tipi e delle restrizioni delle risorse**
Lo spostamento automatico zonale supporta lo spostamento del traffico da una zona di disponibilità per tutte le risorse supportate dallo spostamento zonale. In alcuni scenari di risorse specifici, lo spostamento automatico zonale non sposta il traffico da una zona di disponibilità a uno spostamento automatico.
Ad esempio, se i gruppi target del sistema di bilanciamento del carico nelle zone di disponibilità non dispongono di istanze o se tutte le istanze non sono integre, il sistema di bilanciamento del carico si trova in uno stato di fail-open. Se AWS avvia uno spostamento automatico per un sistema di bilanciamento del carico in questo scenario, lo spostamento automatico non modifica le zone di disponibilità utilizzate dal sistema di bilanciamento del carico, poiché il sistema di bilanciamento del carico è già in uno stato di fail-open. Questo è il comportamento previsto. Lo spostamento automatico non può causare il malfunzionamento di una zona di disponibilità e spostare il traffico verso le altre zone di disponibilità se tutte le zone di disponibilità non sono aperte (non integre). Regione AWS
Per visualizzare i dettagli sulle risorse supportate, inclusi tutti i requisiti e le eccezioni di cui tenere conto, vedere. [Risorse supportate](arc-zonal-shift.resource-types.md)
**Specificare gli allarmi per le sessioni di pratica**
È necessario configurare almeno un tipo di allarme (un allarme di esito) per le esercitazioni con spostamento automatico zonale. Facoltativamente, puoi anche configurare un secondo tipo di allarme (blocco degli allarmi).
Quando consideri gli CloudWatch allarmi che configuri per le sessioni di esercitazione per la tua risorsa, tieni presente quanto segue:
+ È necessario configurare almeno un allarme di esito per una configurazione di esecuzione pratica. Per quanto riguarda gli allarmi di esito, ti consigliamo di configurare gli CloudWatch allarmi in modo che entrino in uno `ALARM` stato in cui le metriche relative alla risorsa o all'applicazione indicano che lo spostamento del traffico dalla zona di disponibilità influisce negativamente sulle prestazioni. Ad esempio, puoi determinare una soglia per i tassi di richiesta per la tua risorsa e quindi configurare un allarme in modo che entri in uno `ALARM` stato quando la soglia viene superata. L'utente è responsabile della configurazione degli allarmi appropriati che causino la AWS fine dell'esecuzione dell'esercitazione e la restituzione di un risultato. `FAILED`
+ Ti consigliamo di seguire il [AWS Well Architected Framework](https://docs.aws.amazon.com/wellarchitected/2022-03-31/framework/perf_monitor_instances_post_launch_establish_kpi.html), che ti consiglia di implementare gli indicatori chiave di prestazione () KPIs come allarmi. CloudWatch In tal caso, è possibile utilizzare questi allarmi per creare un allarme composito da utilizzare come trigger di sicurezza, per evitare che vengano avviate sessioni di prova che potrebbero causare il mancato rispetto di un KPI nell'applicazione. Quando l'allarme non è più in uno `ALARM` stato, ARC avvia le esercitazioni la prossima volta che viene pianificata un'esecuzione pratica per la risorsa.
+ Per fare pratica sugli allarmi di blocco, se scegli di configurarne uno (o più), puoi scegliere di tenere traccia di metriche specifiche che utilizzi per indicare che non desideri che un' AWS esercitazione abbia inizio, ad esempio quando un allarme indica che è in corso un incidente.
+ Per fare pratica, devi specificare l'Amazon Resource Name (ARN) per ogni allarme, quindi devi prima configurare l'allarme in Amazon. CloudWatch Gli CloudWatch allarmi che specifichi possono essere allarmi compositi, per consentirti di includere diverse metriche e controlli per l'applicazione e la risorsa in grado di attivare lo stato dell'allarme. `ALARM` In alternativa, è possibile configurare allarmi separati e quindi specificare più di un allarme di ogni tipo per la configurazione dell'esecuzione pratica. Per ulteriori informazioni, consulta [Combinare gli allarmi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Composite_Alarm.html) nella Amazon CloudWatch User Guide.
+ Assicurati che gli CloudWatch allarmi che specifichi per le esercitazioni si trovino nella stessa regione della risorsa per cui stai configurando un'esercitazione.
**Valuta i risultati delle esercitazioni**
ARC riporta un risultato per ogni esercitazione. Dopo un'esercitazione, valuta il risultato e determina se è necessario agire. Ad esempio, potrebbe essere necessario scalare la capacità o modificare la configurazione per un allarme.
Di seguito sono riportati i possibili esiti della prova pratica:
+ **RIUSCITA:** durante l'esercitazione non è `ALARM` stato attivato alcun allarme di esito e l'esercitazione ha completato l'intero periodo di test di 30 minuti.
+ **FALLITO:** almeno un allarme di esito è entrato in uno `ALARM` stato durante l'esecuzione dell'esercitazione.
+ **INTERROTTA:** L'esercitazione è terminata per un motivo diverso dall'allarme di esito che entrava in uno `ALARM` stato. Un'esercitazione può essere interrotta per diversi motivi, tra cui i seguenti:
+ L'esercitazione è stata interrotta perché è stato AWS avviato un cambio automatico nella regione Regione AWS o si è verificata una condizione di allarme nella regione.
+ L'esecuzione pratica è stata terminata perché la configurazione dell'esecuzione pratica è stata eliminata per la risorsa.
+ L'esecuzione dell'esercitazione è stata interrotta perché è stato avviato uno spostamento di zona avviato dal cliente per la risorsa nella zona di disponibilità da cui il trasferimento zonale dell'esecuzione dell'esercitazione stava allontanando il traffico.
+ L'esecuzione dell'esercitazione è stata interrotta perché non era più possibile accedere all' CloudWatch allarme specificato per la configurazione dell'esercitazione.
+ L'esercitazione è stata terminata perché un allarme di blocco specificato per l'esercitazione è entrato in uno `ALARM` stato.
+ L'esercitazione è stata interrotta per un motivo sconosciuto.
+ L'esercitazione è stata interrotta perché è stato avviato un cambio automatico di zona con precedenza. [Vedi Precedenza per i cambiamenti zonali.](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-autoshift.how-it-works.html#ZAShiftPrecedence)
+ **CAPACITY\$1CHECK\$1FAILED:** la verifica della capacità bilanciata nelle zone di disponibilità per le risorse del gruppo di bilanciamento del carico e Auto Scaling non è riuscita.
+ **IN SOSPESO:** L'esercitazione è attiva (in corso). Non ci sono ancora esiti.
# Operazioni Zonal Autoshift API
La tabella seguente elenca le operazioni dell'API ARC che è possibile utilizzare con lo spostamento automatico zonale. Per esempi di utilizzo delle operazioni dell'API zonal autoshift con, vedere. AWS CLI
Per esempi di come utilizzare le comuni operazioni dell'API zonal autoshift con, vedere. AWS Command Line Interface[Esempi di utilizzo della funzione AWS CLI con cambio automatico zonale](getting-started-cli-zonal-autoshift.md)
| Azione | Utilizzo della console ARC | Utilizzando l'API ARC |
| --- | --- | --- |
| Crea una configurazione di esecuzione pratica | Consulta [Enabling or disabling zonal autoshift](arc-zonal-autoshift.start-cancel.md#arc-zonal-autoshift.configure). | Consulta la sezione [CreatePracticeRunConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CreatePracticeRunConfiguration.html) |
| Eliminare una configurazione di esecuzione pratica | Consulta [Configurazione, modifica o eliminazione di una configurazione di esecuzione pratica](arc-zonal-autoshift.edit-delete-practice-run.md). | Consulta la sezione [DeletePracticeRunConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_DeletePracticeRunConfiguration.html) |
| Elenca i turni automatici | Consulta [Zonal autoshift in ARC](arc-zonal-shift.md). | Consulta la sezione [ListAutoshifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListAutoshifts.html) |
| Elenca le risorse per lo spostamento automatico zonale | Consulta [Risorse supportate](arc-zonal-shift.resource-types.md). | Consulta la sezione [ListManagedResources](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListManagedResources.html) |
| Ottieni risorse per lo spostamento automatico zonale | Consulta [Risorse supportate](arc-zonal-shift.resource-types.md). | Consulta la sezione [GetManagedResource](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_GetManagedResource.html) |
| Modifica una configurazione di esecuzione pratica | Consulta [Configurazione, modifica o eliminazione di una configurazione di esecuzione pratica](arc-zonal-autoshift.edit-delete-practice-run.md). | Consulta la sezione [UpdatePracticeRunConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdatePracticeRunConfiguration.html) |
| Abilita o disabilita lo spostamento automatico zonale | Consulta [Enabling or disabling zonal autoshift](arc-zonal-autoshift.start-cancel.md#arc-zonal-autoshift.configure). | Consulta la sezione [UpdateZonalAutoshiftConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalAutoshiftConfiguration.html) |
| Abilita o disabilita la notifica autoshift observer | Consulta [Abilitazione e utilizzo dell'autoshift zonale](arc-zonal-autoshift.start-cancel.md). | Consulta la sezione [UpdateAutoshiftObserverNotificationStatus](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateAutoshiftObserverNotificationStatus.html) |
| Inizia una corsa pratica | Consulta [Avvio di una corsa pratica (spostamento zonale)](arc-zonal-autoshift.start-cancel.md). | Consulta la sezione [StartPracticeRun](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartPracticeRun.html) |
| Annullare un'esercitazione | Consulta [Annullamento di un'esercitazione (turno zonale)](arc-zonal-autoshift.start-cancel.md). | Consulta la sezione [CancelPracticeRun](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelPracticeRun.html) |
# Esempi di utilizzo della funzione AWS CLI con cambio automatico zonale
Questa sezione illustra semplici esempi applicativi di utilizzo dell'autoshift zonale, dell'utilizzo della AWS Command Line Interface funzionalità di trasferimento automatico zonale in Amazon Application Recovery Controller (ARC) utilizzando le operazioni API. Gli esempi hanno lo scopo di aiutarti a sviluppare una comprensione di base su come lavorare con l'autoshift zonale utilizzando la CLI.
L'autoshift zonale è una funzionalità di ARC. Con l'autoshift zonale, autorizzi AWS a spostare il traffico delle risorse delle applicazioni supportate da una zona di disponibilità durante gli eventi, per tuo conto, per ridurre i tempi di ripristino. Per ulteriori informazioni sulle risorse che è possibile utilizzare con lo spostamento automatico zonale, vedere. [Risorse supportate](arc-zonal-shift.resource-types.md)
L'autoshift zonale include prove pratiche, che allontanano anche il traffico dalle zone di disponibilità, per verificare che gli spostamenti automatici siano sicuri per l'applicazione in uso.
Per un elenco delle azioni dell'API Zonal Autoshift e i collegamenti a ulteriori informazioni, consulta. [Operazioni Zonal Autoshift API](actions.zonalautoshift.md) [Per ulteriori informazioni sull'utilizzo di AWS CLI, vedere Command Reference.AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/arc-zonal-shift/index.html)
**Topics**
+ [Creare una configurazione per l'esecuzione pratica](getting-started-cli-update-zonal_autoshift.create-practice-run.md)
+ [Abilita o disabilita gli spostamenti automatici](getting-started-cli-zonal-autoshift.update-autoshift.md)
+ [Avvia un'esercitazione su richiesta](getting-started-cli-zonal-autoshift.start-practice-run.md)
+ [Annullare un'esercitazione in corso](getting-started-cli-zonal-autoshift.cancel-practice-run.md)
+ [Annullare un cambio automatico in corso](getting-started-cli-zonal-autoshift.cancel-autoshift.md)
+ [Modificare una configurazione di esecuzione pratica](getting-started-cli-zonal_autoshift.edit-practice-run-config.md)
+ [Eliminare una configurazione di esecuzione pratica](getting-started-cli-zonal-autoshift.delete-practice-run-config.md)
# Creare una configurazione per l'esecuzione pratica
Prima di poter abilitare lo spostamento automatico zonale per una risorsa, è necessario creare una configurazione di esecuzione pratica per la risorsa, in modo da scegliere le opzioni per le esercitazioni richieste. È possibile creare una configurazione di esecuzione pratica per una risorsa con la CLI utilizzando il `create-practice-run-configuration` comando.
Tieni presente quanto segue quando crei una configurazione di esecuzione pratica per una risorsa:
+ L'unico tipo di allarme supportato al momento è`CLOUDWATCH`.
+ È necessario utilizzare allarmi che siano gli stessi in Regione AWS cui è distribuita la risorsa.
+ È necessario specificare un allarme di esito. La specificazione di un allarme di blocco è facoltativa.
+ La specificazione di date o finestre bloccate o consentite è facoltativa.
È possibile creare una configurazione di esecuzione pratica con la CLI utilizzando il `create-practice-run-configuration` comando.
Ad esempio, per creare una configurazione di esecuzione pratica per una risorsa, utilizzate un comando come il seguente:
```
aws arc-zonal-shift create-practice-run-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--outcome-alarms type=CLOUDWATCH,alarmIdentifier=arn:aws:cloudwatch:Region:111122223333:alarm:Region-MyAppHealthAlarm \
--blocking-alarms type=CLOUDWATCH,alarmIdentifier=arn:aws:cloudwatch:Region:111122223333:alarm:Region-BlockWhenALARM \
--blocked-dates 2023-12-01 --blocked-windows Mon:10:00-Mon:10:30
```
```
{
"arn": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"name": "zonal-shift-elb"
"zonalAutoshiftStatus": "DISABLED",
"practiceRunConfiguration": {
"blockingAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-BlockWhenALARM"
}
]
"outcomeAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-MyAppHealthAlarm"
}
],
"blockedWindows": [
"Mon:10:00-Mon:10:30"
],
"blockedDates": [
"2023-12-01"
]
}
```
# Abilita o disabilita gli spostamenti automatici
Puoi abilitare o disabilitare gli spostamenti automatici per una risorsa aggiornando lo stato dello spostamento automatico zonale con la CLI. Per modificare lo stato del cambio automatico zonale, usa il comando. `update-zonal-autoshift-configuration`
Ad esempio, per abilitare gli spostamenti automatici per una risorsa, utilizzate un comando come il seguente:
```
aws arc-zonal-shift update-zonal-autoshift-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--zonal-autoshift-status="ENABLED"
```
```
{
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"zonalAutoshiftStatus": "ENABLED"
}
```
# Avvia un'esercitazione su richiesta
È possibile avviare un'esercitazione su richiesta run zonal shift con la CLI utilizzando il comando. `start-practice-run`
Ad esempio, per avviare un'esercitazione su una risorsa, utilizzate un comando come il seguente:
```
aws arc-zonal-shift start-practice-run
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
"awayFrom": "usw2-az1",
```
```
{
"awayFrom": "usw2-az1",
"comment": "Practice run started. Shifting traffic away from Availability Zone usw2-az1.",
}
```
# Annullare un'esercitazione in corso
È possibile annullare un'esercitazione in corso con la CLI utilizzando `cancel-practice-run` il comando.
Ad esempio, per annullare l'esecuzione di un'esercitazione per una risorsa, utilizzate un comando come il seguente:
```
aws arc-zonal-shift cancel-practice-run \
--zonal-shift-id="="arn:aws:testservice::111122223333:ExampleALB123456890"
```
```
{
"zonalShiftId": "2222222-3333-444-1111",
"resourceIdentifier": "arn:aws:testservice::111122223333:ExampleALB123456890",
"awayFrom": "usw2-az1",
"expiryTime": 2024-11-15T10:35:42+00:00,
"startTime": 2024-11-15T09:35:42+00:00,
"status": "CANCELED",
"comment": "Practice run canceled"
}
```
# Annullare un cambio automatico in corso
È possibile annullare un cambio automatico in corso con la CLI annullando lo spostamento automatico zonale per la risorsa. Per annullare un cambio automatico zonale, usa il. `cancel-zonal-shift command`
```
aws arc-zonal-shift cancel-zonal-shift --zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38
```
```
{
"awayFrom": "usw2-az1",
"comment": "Zonal autoshift started. Shifting traffic away from Availability Zone usw2-az1.",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "CANCELED",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
# Modificare una configurazione di esecuzione pratica
È possibile modificare la configurazione di un'esecuzione pratica per una risorsa con la CLI per aggiornare diverse opzioni di configurazione, ad esempio modificare gli allarmi per le esercitazioni o aggiornare le date bloccate o le finestre bloccate, quando ARC non avvia le esercitazioni. Per modificare la configurazione di un'esercitazione, usa il `update-practice-run-configuration` comando.
Tieni presente quanto segue quando modifichi una configurazione di esecuzione pratica per una risorsa:
+ L'unico tipo di allarme supportato al momento è`CLOUDWATCH`.
+ È necessario utilizzare allarmi che siano gli stessi in Regione AWS cui è distribuita la risorsa.
+ È necessario specificare un allarme di esito. La specificazione di un allarme di blocco è facoltativa.
+ La specificazione di date o finestre bloccate è facoltativa.
+ Le date bloccate o le finestre bloccate specificate sostituiscono tutti i valori esistenti.
Ad esempio, per modificare una configurazione di esecuzione pratica per una risorsa al fine di specificare una nuova data di blocco, utilizzate un comando come il seguente:
```
aws arc-zonal-shift update-practice-run-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--blocked-dates 2024-03-01
```
```
{
"arn": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"name": "zonal-shift-elb"
"zonalAutoshiftStatus": "DISABLED",
"practiceRunConfiguration": {
"blockingAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-BlockWhenALARM"
}
]
"outcomeAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-MyAppHealthAlarm"
}
],
"blockedWindows": [
"Mon:10:00-Mon:10:30"
],
"blockedDates": [
"2024-03-01"
]
}
```
# Eliminare una configurazione di esecuzione pratica
È possibile eliminare una configurazione di esecuzione pratica per una risorsa, ma è necessario prima disabilitare lo spostamento automatico zonale per la risorsa. È necessaria una risorsa per disporre di una configurazione di esecuzione pratica per abilitare l'autoshift zonale. Le esercitazioni regolari aiutano a garantire che l'applicazione possa funzionare normalmente senza una zona di disponibilità.
Per eliminare una configurazione di esecuzione pratica utilizzando la CLI, disabilita innanzitutto l'autoshift zonale, se necessario utilizzando il comando. `update-zonal-autoshift` Quindi, per eliminare la configurazione dell'esecuzione pratica, utilizzate il comando. `delete-practice-run-configuration`
Innanzitutto, disattivate lo spostamento automatico zonale per la risorsa, utilizzando un comando come il seguente:
```
aws arc-zonal-shift update-zonal-autoshift-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--zonal-autoshift-status="DISABLED"
```
```
{
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"zonalAutoshiftStatus": "DISABLED"
}
```
Quindi, eliminate la configurazione dell'esecuzione pratica utilizzando un comando come il seguente:
```
aws arc-zonal-shift delete-practice-run-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890"
```
```
{
"arn": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"name": "TestResource",
"zonalAutoshiftStatus": "DISABLED"
}
```
# Abilitazione e utilizzo dell'autoshift zonale
Questa sezione fornisce le procedure per lavorare con gli spostamenti automatici zonali in Amazon Application Recovery Controller (ARC). Dopo aver abilitato l'autoshift zonale, puoi apportare modifiche alle configurazioni delle esecuzioni pratiche, avviare un'esercitazione su richiesta, annullare un turno in corso, comprese le esercitazioni, o abilitare le notifiche di autoshift observer.
## Enabling or disabling zonal autoshift
I passaggi seguenti spiegano come abilitare o disabilitare lo spostamento automatico zonale sulla console Amazon Application Recovery Controller (ARC). [Per utilizzare l'autoshift zonale a livello di codice, consulta la Guida di riferimento alle API Zonal Shift and Zonal Autoshift.](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)
Quando l'autoshift zonale è abilitato, autorizzi AWS a spostare il traffico delle risorse applicative da una zona di disponibilità durante gli eventi, per tuo conto, per ridurre i tempi di ripristino.
## Per abilitare o disabilitare lo spostamento automatico zonale
1. Apri la console ARC all'indirizzo. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift)
1. In **Resource zonal autoshift configurations**, scegli una risorsa.
1. Nel menu **Azioni**, scegli **Abilita trasferimento automatico zonale, quindi segui i passaggi per completare l'aggiornamento**.
Se la risorsa non dispone di una configurazione di esecuzione pratica, **Enable zonal** autoshift non è disponibile. **Per configurare una configurazione di esecuzione pratica e abilitare lo spostamento automatico zonale, scegli Configura lo spostamento automatico zonale.**
**Topics**
+ [Enabling or disabling zonal autoshift](#arc-zonal-autoshift.configure)
+ [Configurazione, modifica o eliminazione di una configurazione di esecuzione pratica](arc-zonal-autoshift.edit-delete-practice-run.md)
+ [Annullamento di un cambio automatico zonale](arc-zonal-autoshift.canceling-an-autoshift.md)
+ [Avvio di una corsa pratica (spostamento zonale)](arc-zonal-autoshift.start-practice-run.md)
+ [Annullamento di un'esercitazione (turno zonale)](arc-zonal-autoshift.cancel-practice-run.md)
+ [Abilitazione o disabilitazione della notifica autoshift observer](arc-zonal-autoshift.enable-autoshift-observer.md)
# Configurazione, modifica o eliminazione di una configurazione di esecuzione pratica
I passaggi di questa sezione spiegano come modificare o eliminare una configurazione di esecuzione pratica sulla console Amazon Application Recovery Controller (ARC). Per utilizzare l'autoshift zonale a livello di codice, comprese le modifiche alle configurazioni di esecuzione pratica, consulta la Guida di riferimento alle API Zonal Shift e [Zonal](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html) Autoshift.
Se elimini una configurazione di esecuzione pratica nella console, l'autoshift zonale viene disabilitato. Prima di poter eliminare una configurazione di esecuzione pratica con un'operazione API, è necessario disabilitare l'autoshift zonale. È possibile configurare un'esecuzione pratica senza abilitare lo spostamento automatico zonale. Tuttavia, per abilitare lo spostamento automatico zonale per una risorsa, è necessario che un'esecuzione pratica sia configurata per la risorsa.
# Per configurare un'esecuzione pratica
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift).
1. Scegli **Configure zonal autoshift**.
1. Scegli una risorsa da configurare per lo spostamento automatico zonale.
1. Scegli di disabilitare lo spostamento automatico zonale se non desideri avviare uno spostamento automatico AWS per una risorsa in caso di evento. AWS Se lo desideri, puoi continuare con la procedura guidata per configurare una configurazione pratica senza abilitare gli spostamenti automatici.
1. Scegliete le opzioni per le esercitazioni relative alla risorsa. Per gli allarmi, è possibile fare quanto segue:
+ (Obbligatorio) Specificate almeno un allarme di esito per monitorare le sessioni di pratica relative a questa risorsa.
+ (Facoltativo) Specificate uno o più allarmi di blocco per le esercitazioni relative a questa risorsa.
Per ulteriori informazioni, consulta la sezione **Allarmi specificati per le esercitazioni in**. [Le migliori pratiche per la configurazione dell'autoshift zonale](arc-zonal-autoshift.considerations.md)
1. Facoltativamente, specificate le finestre bloccate o consentite, per impedire ad ARC di avviare le esercitazioni o consentire ad ARC di avviare le esercitazioni relative a questa risorsa. Tutte le date e gli orari sono in UTC.
1. Seleziona la casella di controllo per confermare di aver letto la nota di riconoscimento.
1. Scegli **Create** (Crea).
# Per modificare una configurazione di esecuzione pratica
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift).
1. In **Resource zonal autoshift configurations**, scegli una risorsa.
1. **Nel menu **Azioni**, scegli Modifica pratica ed esegui configurazione.**
1. Apporta modifiche alla configurazione dell'esercitazione per eseguire una o più delle seguenti operazioni:
+ Per gli allarmi, è possibile fare quanto segue:
+ Per bloccare gli allarmi, puoi aggiungere uno o più allarmi o eliminare gli allarmi.
+ Per gli allarmi con esito, puoi aggiungere uno o più allarmi o eliminare gli allarmi. È richiesto almeno un allarme di esito, quindi non è possibile eliminare tutti gli allarmi di esito in una configurazione.
+ Per le finestre bloccate e le finestre consentite, puoi aggiungere nuove date o giorni e orari oppure rimuovere o aggiornare date o giorni e orari esistenti. Tutte le date e gli orari sono in UTC.
1. Scegli **Save** (Salva).
# Per eliminare una configurazione di esecuzione pratica
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift).
1. In **Resource zonal autoshift configurations**, scegli una risorsa.
1. **Nel menu **Azioni**, scegli Elimina pratica ed esegui configurazione.**
1. Nella finestra di dialogo modale di conferma, digitate`Delete`, quindi scegliete **Elimina**.
Tieni presente che l'eliminazione di una configurazione di esecuzione pratica nella console disabilita anche lo spostamento automatico zonale per la risorsa. Lo spostamento automatico zonale richiede la configurazione di un'esecuzione pratica per la risorsa.
# Annullamento di un cambio automatico zonale
Per interrompere uno spostamento automatico zonale in corso per una risorsa, è necessario annullare lo spostamento automatico zonale.
# Per interrompere un cambio automatico zonale in corso
1. Apri la console ARC all'indirizzo. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/)
1. **Seleziona uno spostamento automatico zonale che desideri annullare, quindi scegli Annulla spostamento zonale.**
1. **Nella finestra di dialogo modale di conferma, scegliete Conferma.**
# Avvio di una corsa pratica (spostamento zonale)
I passaggi di questa sezione spiegano come avviare un'esercitazione on demand run zonal shift sulla console ARC. [Per utilizzare programmaticamente lo zonal shift e lo zonal autoshift, consulta la Guida di riferimento alle API Zonal Shift and Zonal Autoshift.](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)
Puoi avviare una sessione pratica zonal shift dopo aver configurato zonal autoshift e aver creato una configurazione di esecuzione pratica.
# Per iniziare un'esercitazione, esegui un turno zonale
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/).
1. In **Zonal autoshift resources**, accedi a una singola risorsa per cui è configurato lo spostamento automatico zonale.
1. **Nella pagina di panoramica delle **risorse, scegli Inizia l'esercitazione**.**
1. Seleziona una zona di disponibilità, quindi inserisci un commento per l'esercitazione. L'esercitazione allontanerà il traffico dalla zona di disponibilità selezionata.
1. Scegli **Avvia**.
# Annullamento di un'esercitazione (turno zonale)
I passaggi di questa sezione spiegano come annullare un cambiamento di zona sulla console ARC. Per utilizzare programmaticamente lo zonal shift e lo zonal autoshift, consulta la Guida di riferimento alle API Zonal Shift and [Zonal](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html) Autoshift.
Puoi annullare i turni zonali o le sessioni di pratica iniziate tu stesso. È inoltre possibile annullare i turni zonali che AWS iniziano per una risorsa destinata a un'esercitazione per lo spostamento automatico di zona.
# Per annullare un'esercitazione, esegui un turno zonale.
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/).
1. Seleziona un'esercitazione, il turno zonale che desideri annullare, quindi scegli Annulla **turno zonale o Annulla** esecuzione dell'**esercitazione**.
1. **Nella finestra di dialogo modale di conferma, scegli Conferma.**
# Abilitazione o disabilitazione della notifica autoshift observer
Puoi configurare lo spostamento automatico zonale in modo che ti avvisi, tramite Amazon EventBridge, ogni volta che AWS avvia uno spostamento automatico per allontanare il traffico da una zona di disponibilità potenzialmente compromessa. Devi configurare questa opzione in Regione AWS ognuna delle quali desideri ricevere notifiche. Non è necessario configurare alcuna risorsa specifica con lo spostamento automatico zonale per abilitare queste notifiche separate. Per ulteriori informazioni, consulta [Utilizzo dello spostamento automatico zonale con Amazon EventBridge](eventbridge-zonal-autoshift.md).
I passaggi di questa sezione spiegano come abilitare la notifica autoshift observer utilizzando la console Amazon Application Recovery Controller (ARC). [Per utilizzare l'autoshift zonale a livello di codice, consulta la Guida di riferimento alle API Zonal Shift and Zonal Autoshift.](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)
# Per abilitare o disabilitare la notifica autoshift observer
1. Apri la console ARC all'indirizzo. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/)
1. In **Guida introduttiva**, scegli **Abilita la notifica dell'osservatore con spostamento automatico**.
1. **Nella finestra di dialogo di conferma, scegli Abilita notifica all'osservatore.**
# Test dell'autoshift zonale con AWS FIS
Puoi utilizzarlo AWS Fault Injection Service per configurare ed eseguire esperimenti che ti aiutino a simulare condizioni reali, come [lo scenario AZ Availability: Power Interruption](https://docs.aws.amazon.com//fis/latest/userguide/az-availability-scenario.html), che dimostrerà cosa succede quando AWS avvia un cambio automatico zonale sulle risorse abilitate al cambio automatico durante una compromissione della zona Z potenzialmente diffusa.
L'azione start `aws:arc:start-zonal-autoshift` recovery consente di dimostrare come AWS Will sposta automaticamente il traffico, per le risorse zonali abilitate allo spostamento automatico, lontano da una zona di zona potenzialmente compromessa e lo reindirizza verso l'integrità della stessa Regione AWS durante l'esecuzione dello scenario di disponibilità della zona. AZs
Ad esempio, è possibile utilizzare la libreria di AWS FIS scenari per simulare una compromissione della zona di attività causata da un'interruzione dell'alimentazione. In questo esperimento, cinque minuti dopo l'inizio dell'interruzione dell'alimentazione AZ, l'azione di ripristino sposta `aws:arc:start-zonal-autoshift` automaticamente il traffico di risorse lontano dalla zona di disponibilità specificata. Il traffico viene spostato per i restanti 25 minuti dopo l'interruzione dell'alimentazione, per dimostrare come si innescherebbe lo spostamento automatico in caso di problemi di AZ potenzialmente diffusi. Al termine dell'esperimento, lo spostamento del traffico termina e il traffico riprende a fluire verso tutto il suo corso. AZs Questo processo dimostra un ripristino completo da un evento di alimentazione che ha un impatto su una zona AZ.
## In che modo gli esperimenti differiscono dalle esecuzioni pratiche di cambio automatico zonale
AWS FIS gli esperimenti differiscono dalle pratiche di spostamento automatico zonale in quanto, durante le esercitazioni, ARC sposta il traffico relativo alla risorsa da una zona di zona all'altra come parte di un normale processo per garantire che l'applicazione possa tollerare la perdita di una AZ. Tuttavia, durante un AWS FIS esperimento, AWS FIS dimostra come verranno attivati per conto dell'utente una compromissione AZ e uno spostamento automatico per le risorse abilitate allo spostamento automatico, quindi annulla l'autoshift quando il problema è stato risolto.
Non AWS è possibile aggiornare uno spostamento zonale avviato dal FIS mentre è in esecuzione. Inoltre, se si annulla uno spostamento zonale al di fuori di AWS FIS, l'esperimento termina. AWS FIS
## AWS FIS meccanismo di sicurezza basato sulla scadenza
AWS FIS gestisce lo spostamento di zona utilizzando le operazioni [StartZonalShift[UpdateZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalShift.html)](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartZonalShift.html), e [CancelZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelZonalShift.html)API, con il `expiresIn` campo per queste richieste impostato su 1 minuto come meccanismo di sicurezza. Ciò consente di AWS FIS ripristinare rapidamente lo spostamento zonale in caso di eventi imprevisti, come interruzioni della rete o problemi di sistema. Nella console ARC, il campo del tempo di scadenza verrà visualizzato AWS FIS-managed e la scadenza effettiva prevista è determinata dalla durata specificata nell'azione di spostamento zonale. Per ulteriori informazioni sulle esercitazioni, vedi [Come funzionano lo spostamento automatico zonale e le esecuzioni](https://docs.aws.amazon.com//r53recovery/latest/dg/arc-zonal-autoshift.how-it-works.html) pratiche
Non può essere applicato più di un turno zonale alla volta. Cioè, solo una pratica esegue il cambio di zona, il cambiamento di zona avviato dal cliente, lo spostamento automatico o l'esperimento per la risorsa. AWS FIS Quando viene avviato un secondo spostamento zonale, ARC segue una precedenza per determinare quale tipo di spostamento zonale è valido per una risorsa. Per ulteriori informazioni sulla precedenza per i turni zonali, vedere. [Precedenza per i turni zonali](arc-zonal-autoshift.how-it-works.precedence.md)
*Per ulteriori informazioni sulle azioni di AWS FIS ripristino, fare riferimento all'[azione di AWS FIS ripristino nella Guida](https://docs.aws.amazon.com//fis/latest/userguide/fis-actions-reference.html#fis-actions-recovery.html) per l'AWS Fault Injection Service utente.*
# Registrazione e monitoraggio per lo spostamento automatico zonale in Amazon Application Recovery Controller (ARC)
Puoi usare AWS CloudTrail Amazon EventBridge per monitorare l'autoshift zonale in Amazon Application Recovery Controller (ARC), per analizzare i modelli e aiutare a risolvere i problemi.
**Topics**
+ [Registrazione delle chiamate API zonal autoshift utilizzando AWS CloudTrail](cloudtrail-zonal-autoshift.md)
+ [Utilizzo dello spostamento automatico zonale con Amazon EventBridge](eventbridge-zonal-autoshift.md)
# Registrazione delle chiamate API zonal autoshift utilizzando AWS CloudTrail
Zonal autoshift for ARC è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o servizio in ARC. AWS CloudTrail acquisisce tutte le chiamate API per lo spostamento di zona come eventi. Le chiamate acquisite includono chiamate dalla console ARC e chiamate in codice alle operazioni dell'API ARC per lo spostamento di zona.
Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per lo spostamento zonale. **Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi.**
Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta di spostamento di zona effettuata ad ARC, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e altri dettagli.
Per ulteriori informazioni CloudTrail, consulta la [Guida per l'AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Informazioni sullo spostamento automatico zonale in CloudTrail
CloudTrail è abilitato sul tuo account al Account AWS momento della creazione dell'account. **Quando si verifica un'attività in ARC for zonal autoshift, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella cronologia degli eventi.** Puoi visualizzare, cercare e scaricare eventi recenti nel tuo. Account AWS Per ulteriori informazioni, consulta [Lavorare con la cronologia CloudTrail degli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi della tua area Account AWS, compresi gli eventi relativi al cambio automatico di zona in ARC, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un percorso nella console, questo sarà valido in tutte le Regioni AWS. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Tutte le azioni ARC vengono registrate CloudTrail e documentate nella [Routing Control API Reference Guide for Amazon Application Recovery Controller](https://docs.aws.amazon.com/routing-control/latest/APIReference/). Ad esempio, le chiamate alle `ListManagedResources` azioni `StartZonalShift` e generano voci nei file di registro. CloudTrail
Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Visualizzazione degli eventi ARC nella cronologia degli eventi
CloudTrail consente di visualizzare gli eventi recenti nella **cronologia degli eventi**. Per ulteriori informazioni, consulta [Lavorare con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella *Guida AWS CloudTrail per l'utente*.
## Comprensione delle voci dei file di registro zonali autoshift
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`ListManagedResources`azione per lo spostamento automatico zonale.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:14:41Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "ListManagedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": null,
"responseElements": null,
"requestID": "VGXG4ZUE7UZTVCMTJGIAF_EXAMPLE",
"eventID": "4b5c42df-1174-46c8-be99-d67_EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
# Utilizzo dello spostamento automatico zonale con Amazon EventBridge
Con Amazon EventBridge, puoi configurare regole basate sugli eventi che monitorano le tue risorse di spostamento automatico zonale e avviano azioni mirate che utilizzano altri servizi. AWS Ad esempio, puoi impostare una regola per l'invio di notifiche e-mail segnalando un argomento di Amazon SNS quando inizia un'esercitazione per lo spostamento automatico zonale.
Puoi creare regole in Amazon EventBridge per agire sullo spostamento automatico zonale. Un evento per lo spostamento automatico zonale specifica le informazioni sullo stato delle esercitazioni o dei cambi automatici, ad esempio, quando viene avviata un'esercitazione. È possibile configurare l'autoshift zonale per notificare gli eventi di trasferimento automatico zonale per le risorse abilitate per il servizio.
Puoi anche scegliere, in aggiunta o al posto di altre notifiche, di abilitare la notifica autoshift observer, che fornisce un evento di notifica ogni volta che avvia uno spostamento automatico per una zona di disponibilità potenzialmente compromessa. AWS La notifica di Autoshift Observer è separata dalle notifiche che ricevi quando il traffico per le risorse che hai abilitato per lo spostamento automatico zonale viene spostato da una zona di disponibilità. Non è necessario configurare alcuna risorsa con l'autoshift zonale per abilitare la notifica autoshift observer. Per ulteriori informazioni, consulta [Abilitazione e utilizzo dell'autoshift zonale](arc-zonal-autoshift.start-cancel.md).
Per registrare eventi di spostamento automatico zonale specifici che ti interessano, definisci modelli specifici dell'evento da utilizzare per rilevare gli eventi. EventBridge I pattern di eventi hanno la stessa struttura degli eventi a cui corrispondono. Il modello cita i campi che desideri abbinare e fornisce i valori che stai cercando.
Gli eventi vengono emessi secondo il principio del massimo sforzo. Vengono consegnati da ARC a quasi EventBridge in tempo reale, in normali circostanze operative. Tuttavia, possono verificarsi situazioni che potrebbero ritardare o impedire la consegna di un evento.
Per informazioni su come EventBridge le regole funzionano con i modelli di eventi, consulta [Eventi e modelli di eventi in EventBridge](https://docs.aws.amazon.com//eventbridge/latest/userguide/eventbridge-and-event-patterns.html).
## Monitora una risorsa di spostamento automatico zonale con EventBridge
Con EventBridge, puoi creare regole che definiscono le azioni da intraprendere quando ARC emette eventi per le sue risorse. Ad esempio, è possibile creare una regola che invii un messaggio e-mail all'avvio di un'esercitazione per lo spostamento automatico zonale.
Per digitare o copiare e incollare uno schema di eventi nella EventBridge console, seleziona l'opzione da utilizzare **Inserisci la mia** opzione nella console. Per aiutarti a determinare i modelli di eventi che potrebbero esserti utili, questo argomento include esempi di [modelli di abbinamento degli eventi di spostamento automatico zonale e di eventi di spostamento](#ZAEventBridgePatterns) automatico [zonale](#ZAEventBridgeEventSamples) che puoi utilizzare.
**Per creare una regola per un evento risorsa**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Scegli la regione in Regione AWS cui vuoi creare la regola, ovvero la regione per cui ti interessa guardare gli eventi.
1. Scegliere **Create rule (Crea regola)**.
1. Immettere un **Name (Nome)** per la regola e, facoltativamente, una descrizione.
1. Per **Event bus**, lascia il valore predefinito, **default**.
1. Scegli **Next (Successivo)**.
1. Per il passo **Build event pattern**, per **Event source**, lascia il valore predefinito, **AWS events**.
1. In **Evento di esempio**, scegli **Inserisci il mio**.
1. Per **gli eventi di esempio**, digita o copia e incolla un modello di evento.
## Esempi di modelli di eventi di spostamento automatico zonale
I pattern di eventi hanno la stessa struttura degli eventi a cui corrispondono. Il modello cita i campi che desideri abbinare e fornisce i valori che stai cercando.
È possibile copiare e incollare i modelli di eventi da questa sezione EventBridge per creare regole da utilizzare per monitorare le azioni e le risorse di spostamento automatico zonale.
Quando create modelli di eventi per eventi di trasferimento automatico zonale, potete specificare una delle seguenti opzioni per: `detail-type`
+ `Autoshift In Progress`
+ `Autoshift Completed`
+ `Practice Run Started`
+ `Practice Run Succeeded`
+ `Practice Run Interrupted`
+ `Practice Run Failed`
+ `FIS Experiment Autoshift In Progress`
+ `FIS Experiment Autoshift Completed`
+ `FIS Experiment Autoshift Canceled`
+ `Manual Shift Started`
+ `Manual Shift Updated`
+ `Manual Shift Canceled`
Quando un'esercitazione viene interrotta, per ulteriori informazioni sulla causa dell'interruzione, consulta il campo. `additionalFailureInfo`
*Puoi scegliere di monitorare tutti gli spostamenti automatici abilitando le AWS notifiche autoshift observer.* Dopo aver abilitato la notifica dell'autoshift observer, per ricevere le notifiche, scegli di ricevere una notifica per il tipo di dettaglio zonale dello spostamento automatico. `Autoshift In Progress` Per vedere i passaggi per abilitare la notifica dell'osservatore con spostamento automatico, consulta. [Abilitazione e utilizzo dell'autoshift zonale](arc-zonal-autoshift.start-cancel.md)
Per alcuni esempi, consulta la sezione Esempi di eventi di spostamento [automatico zonale](#ZAEventBridgeEventSamples).
+ *Seleziona tutti gli eventi dallo spostamento automatico zonale in cui è iniziato un cambio automatico.*
Tenere presente quanto segue:
+ Se hai abilitato la notifica autoshift observer, ARC restituisce tutti gli eventi di trasferimento automatico.
+ Se non hai abilitato la notifica autoshift observer, ARC restituisce gli eventi di spostamento automatico solo quando una risorsa che hai configurato per lo spostamento automatico zonale è inclusa in un cambio automatico.
```
{
"source": [
"aws.arc-zonal-shift"
],
"detail-type": [
"Autoshift In Progress"
]
}
```
+ *Seleziona tutti gli eventi dallo* spostamento automatico zonale in cui è iniziata un'esercitazione.
```
{
"source": [
"aws.arc-zonal-shift"
],
"detail-type": [
"Practice Run Started"
]
}
```
+ *Seleziona tutti gli eventi dal cambio automatico zonale* in cui un'esercitazione non è riuscita.
```
{
"source": [
"aws.arc-zonal-shift"
],
"detail-type": [
"Practice Run Failed"
]
}
```
## Esempi di eventi di spostamento automatico zonale
*Questa sezione include eventi di esempio per azioni di cambio automatico zonale.*
Di seguito è riportato un esempio di evento relativo all'`Autoshift In Progress`azione, quando 1) la notifica autoshift observer è *abilitata e 2) non è stata* configurata una risorsa con cambio automatico zonale inclusa in un cambio automatico:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Autoshift In Progress",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":"AWS has started an autoshift for an impaired Availability Zone. This notification
is separate from autoshift notifications for resources, if any, that you have configured for
zonal autoshift. For details, see the Developer Guide."
}
}
}
```
Di seguito è riportato un esempio di evento per l'`Autoshift In Progress`azione, quando 1) la notifica autoshift observer è *disabilitata* e 2) è stata configurata una risorsa con autoshift zonale inclusa in un cambio automatico:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Autoshift In Progress",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":""
}
}
}
```
Di seguito è riportato un esempio di evento relativo all'azione: `Practice Run Interrupted`
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Practice Run Interrupted",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": {
"additionalFailureInfo": "Practice run interrupted. The blocking alarm entered ALARM state."
},
"metadata": {
"awayFrom": "use1-az2"
}
}
}
```
Di seguito è riportato un esempio di evento relativo all'`FIS Experiment Autoshift In Progress`azione:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "FIS Experiment Autoshift In Progress",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":""
}
}
}
```
Di seguito è riportato un esempio di evento relativo all'`Manual Shift Started`azione. Viene emesso quando l'`StartZonalShift`API viene chiamata su una risorsa:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Manual Shift Started",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":""
}
}
}
```
## Specificare un gruppo di CloudWatch log da utilizzare come destinazione
Quando si crea una EventBridge regola, è necessario specificare la destinazione a cui vengono inviati gli eventi corrispondenti alla regola. Per un elenco degli obiettivi disponibili per EventBridge, vedi [Target disponibili nella EventBridge console](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html#eb-console-targets). Uno degli obiettivi che puoi aggiungere a una EventBridge regola è un gruppo di CloudWatch log Amazon. Questa sezione descrive i requisiti per aggiungere gruppi di CloudWatch log come destinazioni e fornisce una procedura per aggiungere un gruppo di log quando si crea una regola.
Per aggiungere un gruppo di CloudWatch log come destinazione, è possibile effettuare una delle seguenti operazioni:
+ Creare un nuovo gruppo di log
+ Scegli un gruppo di log esistente
Se specifichi un nuovo gruppo di log utilizzando la console quando crei una regola, crea EventBridge automaticamente il gruppo di log per te. Assicurati che il gruppo di log che usi come destinazione per la EventBridge regola inizi con`/aws/events`. Se desideri scegliere un gruppo di log esistente, tieni presente che solo i gruppi di log che iniziano con `/aws/events` appaiono come opzioni nel menu a discesa. Per ulteriori informazioni, consulta [Creare un nuovo gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group) nella *Amazon CloudWatch User Guide*.
Se crei o utilizzi un gruppo di CloudWatch log da utilizzare come destinazione utilizzando CloudWatch operazioni esterne alla console, assicurati di impostare le autorizzazioni correttamente. Se utilizzi la console per aggiungere un gruppo di log a una EventBridge regola, la politica basata sulle risorse per il gruppo di log viene aggiornata automaticamente. Tuttavia, se si utilizza AWS Command Line Interface o un AWS SDK per specificare un gruppo di log, è necessario aggiornare la politica basata sulle risorse per il gruppo di log. La seguente politica di esempio illustra le autorizzazioni che è necessario definire in una politica basata sulle risorse per il gruppo di log:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com",
"delivery.logs.amazonaws.com"
]
},
"Resource": "arn:aws:logs:us-east-1:222222222222:log-group:/aws/events/*:*",
"Sid": "TrustEventsToStoreLogEvent"
}
]
}
```
------
Non è possibile configurare una politica basata sulle risorse per un gruppo di log utilizzando la console. Per aggiungere le autorizzazioni richieste a una politica basata sulle risorse, utilizza l'operazione API. CloudWatch [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) Quindi, puoi utilizzare il comando [describe-resource-policies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/logs/describe-resource-policies.html)CLI per verificare che la tua politica sia stata applicata correttamente.
**Per creare una regola per un evento di risorsa e specificare un target per un gruppo di CloudWatch log**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Scegli Regione AWS quello in cui vuoi creare la regola.
1. Scegli **Crea regola** e inserisci tutte le informazioni su quella regola, come lo schema dell'evento o i dettagli della pianificazione.
Per ulteriori informazioni sulla creazione di EventBridge regole per ARC, consulta le sezioni precedenti di questo argomento.
1. Nella pagina **Seleziona destinazione**, scegli **CloudWatch**come obiettivo.
1. Scegli un gruppo di CloudWatch log dal menu a discesa.
# Identity and Access Management per lo spostamento automatico zonale in ARC
AWS Identity and Access Management (IAM) è un dispositivo Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse ARC. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Come funziona l'autoshift zonale con IAM](security_iam_service-with-iam-zonalautoshift.md)
+ [Esempi di policy basate su identità](security_iam_id-based-policy-examples-zonalautoshift.md)
+ [Ruolo collegato al servizio](using-service-linked-roles-zonal-autoshift.md)
+ [AWS politiche gestite](security-iam-awsmanpol-zonal-autoshift.md)
# Come funziona l'autoshift zonale in ARC con IAM
Prima di utilizzare IAM per gestire l'accesso all'autoshift zonale in Amazon Application Recovery Controller (ARC), scopri quali funzionalità IAM sono disponibili per l'uso con l'autoshift zonale.
**Funzionalità IAM che puoi utilizzare con l'autoshift zonale in ARC**
| Funzionalità IAM | Supporto per lo spostamento automatico zonale |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-zonalautoshift-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-zonalautoshift-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-zonalautoshift-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-zonalautoshift-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-zonalautoshift-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-zonalautoshift-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-zonalautoshift-tags) | Parziale |
| [Credenziali temporanee](#security_iam_service-with-iam-zonalautoshift-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-zonalautoshift-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-zonalautoshift-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-zonalautoshift-roles-service-linked) | Sì |
*Per avere una visione generale di alto livello di come AWS i servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) User Guide.*
## Politiche basate sull'identità per ARC
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Per visualizzare esempi di politiche basate sull'identità ARC, vedere. [Esempi di policy basate sull'identità in Amazon Application Recovery Controller (ARC)](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di ARC
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le policy di attendibilità dei ruoli IAM e le policy di bucket Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica.
## Azioni politiche per ARC
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
*Per visualizzare un elenco di azioni ARC per lo spostamento automatico zonale, consulta Azioni [definite da Amazon Route 53 Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions) nel Service Authorization Reference.*
Le azioni politiche in ARC per lo spostamento automatico zonale utilizzano i seguenti prefissi prima dell'azione:
```
arc-zonal-shift
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola. Ad esempio, quanto segue:
```
"Action": [
"arc-zonal-shift:action1",
"arc-zonal-shift:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "arc-zonal-shift:Describe*"
```
Per visualizzare esempi di politiche basate sull'identità ARC per lo spostamento automatico zonale, vedere. [Esempi di policy basate sull'identità per lo spostamento automatico zonale in ARC](security_iam_id-based-policy-examples-zonalautoshift.md)
## Risorse politiche per il trasferimento automatico zonale in ARC
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse e delle relative ARNs azioni e le azioni che è possibile specificare con l'ARN di ciascuna risorsa, vedere il seguente argomento nel *Service Authorization* Reference:
+ [Azioni definite da Amazon Route 53 - Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
Per visualizzare le azioni e le risorse che puoi utilizzare con una chiave di condizione, consulta il seguente argomento nel *Service Authorization Reference:*
+ [Chiavi di condizione definite da Amazon Route 53 - Zonal Shift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
Per visualizzare esempi di politiche ARC basate sull'identità per lo spostamento automatico zonale, consulta. [Esempi di policy basate sull'identità per lo spostamento automatico zonale in ARC](security_iam_id-based-policy-examples-zonalautoshift.md)
## Chiavi relative alle condizioni delle policy per lo spostamento automatico zonale in ARC
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
*Per visualizzare un elenco delle chiavi di condizione ARC per lo spostamento automatico zonale, consulta i seguenti argomenti nel Service Authorization Reference:*
+ [Chiavi delle condizioni per Amazon Route 53 Zonal Shift](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
Per visualizzare le azioni e le risorse che puoi utilizzare con una chiave di condizione, consulta i seguenti argomenti nel *Service Authorization Reference:*
+ [Azioni definite da Amazon Route 53 Zonal Shift](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
Per visualizzare esempi di politiche ARC basate sull'identità per lo spostamento automatico zonale, consulta. [Esempi di policy basate sull'identità per lo spostamento automatico zonale in ARC](security_iam_id-based-policy-examples-zonalautoshift.md)
## Liste di controllo degli accessi () in ARC ACLs
**Supporti ACLs:** No
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## Controllo degli accessi basato sugli attributi (ABAC) con ARC
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
L'autoshift zonale in ARC include il seguente supporto parziale per ABAC:
+ L'autoshift zonale supporta ABAC per le risorse gestite registrate in ARC per lo spostamento zonale. Per ulteriori informazioni sulle risorse gestite di ABAC for Network Load Balancer e Application Load Balancer[, consulta ABAC with Elastic Load Balancing nella Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-tags) User Guide.
## Utilizzo di credenziali temporanee con ARC
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per ARC
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Quando utilizzi un'entità IAM (utente o ruolo) per eseguire azioni AWS, sei considerato un principale. Le policy concedono autorizzazioni a un'entità. Quando si utilizzano alcuni servizi, è possibile eseguire un'azione che attiva un'altra azione in un servizio diverso. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni.
Per vedere se un'azione richiede azioni dipendenti aggiuntive in una policy, consulta il seguente argomento nel *Service Authorization Reference*:
+ [Spostamento zonale Amazon Route 53](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html)
## Ruoli di servizio per ARC
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
## Ruoli collegati ai servizi per ARC
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sulla creazione o la gestione di ruoli collegati ai servizi ARC, consulta. [Utilizzo del ruolo collegato al servizio per lo spostamento automatico zonale in ARC](using-service-linked-roles-zonal-autoshift.md)
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per lo spostamento automatico zonale in ARC
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse ARC. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da ARC, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [Esempio: accesso alla console Zonal Autoshift](#security_iam_id-based-policy-examples-console-zonalautoshift)
+ [Esempi: azioni dell'API ARC](#security_iam_id-based-policy-examples-api-zonalautoshift)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse ARC nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Esempio: accesso alla console Zonal Autoshift
Per accedere alla console Amazon Application Recovery Controller (ARC), devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse ARC presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per eseguire alcune attività, gli utenti devono disporre dell'autorizzazione per creare il ruolo collegato al servizio associato allo spostamento automatico zonale in ARC. Per ulteriori informazioni, consulta [Utilizzo del ruolo collegato al servizio per lo spostamento automatico zonale in ARC](using-service-linked-roles-zonal-autoshift.md).
Per consentire agli utenti l'accesso completo all'utilizzo dell'autoshift zonale in Console di gestione AWS, allega all'utente una politica come la seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift",
"arc-zonal-shift:CreatePracticeRunConfiguration",
"arc-zonal-shift:DeletePracticeRunConfiguration",
"arc-zonal-shift:ListAutoshifts",
"arc-zonal-shift:UpdatePracticeRunConfiguration",
"arc-zonal-shift:UpdateZonalAutoshiftConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloudwatch:DescribeAlarms",
"Resource": "*"
}
]
}
```
------
## Esempi: azioni dell'API ARC
È possibile utilizzare una policy per garantire che un utente possa utilizzare le azioni dell'API ARC per lo spostamento automatico zonale per configurare lo AWS spostamento automatico zonale in modo da spostare il traffico delle risorse delle applicazioni da una zona di disponibilità, per conto dell'utente, a quello integro AZs nella, per ridurre i tempi di ripristino durante gli Regione AWS eventi. Per fornire queste autorizzazioni, allega una policy che corrisponda alle operazioni API con cui l'utente deve lavorare, come descritto di seguito.
Per eseguire alcune attività, gli utenti devono disporre delle autorizzazioni per il ruolo collegato al servizio associato ad ARC. Le autorizzazioni necessarie per creare il ruolo collegato al servizio sono incluse nella seguente politica di esempio. Per ulteriori informazioni, consulta [Utilizzo del ruolo collegato al servizio per lo spostamento automatico zonale in ARC](using-service-linked-roles-zonal-autoshift.md).
Per utilizzare le operazioni API per lo spostamento automatico zonale, allega all'utente una policy come la seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift",
"arc-zonal-shift:CreatePracticeRunConfiguration",
"arc-zonal-shift:DeletePracticeRunConfiguration",
"arc-zonal-shift:ListAutoshifts",
"arc-zonal-shift:UpdatePracticeRunConfiguration",
"arc-zonal-shift:UpdateZonalAutoshiftConfiguration"
],
"Resource": "*"
},
{
"Effect" : "Allow",
"Action" : [
"cloudwatch:DescribeAlarms",
"health:DescribeEvents"
],
"Resource" : "*"
},
{
"Effect" : "Allow",
"Action" : [
"arc-zonal-shift:CancelZonalShift",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift"
],
"Resource" : "*"
}
]
}
```
------
# Utilizzo del ruolo collegato al servizio per lo spostamento automatico zonale in ARC
[L'autoshift zonale in Amazon Application Recovery Controller utilizza AWS Identity and Access Management un ruolo collegato al servizio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un ruolo collegato al servizio è un tipo unico di ruolo IAM collegato direttamente a un servizio, in questo caso ARC. Il ruolo collegato al servizio è predefinito da ARC e include tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per conto dell'utente per scopi specifici.
Un ruolo collegato al servizio semplifica la configurazione di ARC perché non è necessario aggiungere manualmente le autorizzazioni necessarie. ARC definisce le autorizzazioni per il ruolo collegato al servizio e, se non diversamente definito, solo ARC può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questo protegge le tue risorse ARC zonali autoshift perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
****Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS Servizi che funzionano con IAM e cerca i servizi con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) Sì nella colonna Ruolo collegato ai servizi.**** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per AWSService RoleForZonalAutoshiftPracticeRun
ARC utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForZonalAutoshiftPracticeRun**per effettuare le seguenti operazioni:
+ Monitora gli CloudWatch allarmi Amazon forniti dai clienti e Health Dashboard gli eventi dei clienti per le sessioni di prova
+ Gestisci le sessioni di pratica (pratica i turni zonali)
Questa sezione descrive le autorizzazioni per il ruolo collegato al servizio e le informazioni sulla creazione, la modifica e l'eliminazione del ruolo.
### Autorizzazioni di ruolo collegate al servizio per AWSService RoleForZonalAutoshiftPracticeRun
Questo ruolo collegato al servizio utilizza la policy gestita. `AWSZonalAutoshiftPracticeRunSLRPolicy`
Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi **AWSServiceRoleForZonalAutoshiftPracticeRun** considera attendibile il seguente servizio:
+ `practice-run.arc-zonal-shift.amazonaws.com`
Per vedere le autorizzazioni per questa policy, consulta [AWSZonalAutoshiftPracticeRunSLRPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSZonalAutoshiftPracticeRunSLRPolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
### Creazione del ruolo collegato al **AWSServiceRoleForZonalAutoshiftPracticeRun**servizio per ARC
Non devi creare manualmente il ruolo collegato al servizio **AWSServiceRoleForZonalAutoshiftPracticeRun**. Quando create la configurazione della prima esecuzione pratica in Console di gestione AWS, il o un AWS SDK AWS CLI, ARC crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei la prima configurazione di esecuzione pratica, ARC crea nuovamente il ruolo collegato al servizio per te.
### Modifica del ruolo collegato al **AWSServiceRoleForZonalAutoshiftPracticeRun**servizio per ARC
ARC non consente di modificare il ruolo collegato al **AWSServiceRoleForZonalAutoshiftPracticeRun**servizio. Dopo aver creato il ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché altre entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
### Eliminazione del ruolo collegato al **AWSServiceRoleForZonalAutoshiftPracticeRun**servizio per ARC
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario ripulire le risorse per un ruolo collegato al servizio prima di poterlo eliminare manualmente.
Dopo aver disabilitato lo spostamento automatico, puoi eliminare il ruolo collegato al servizio. **AWSServiceRoleForZonalAutoshiftPracticeRun** Per ulteriori informazioni sulla funzionalità di trasferimento automatico, vedere. [Zonal shift in ARC](arc-zonal-shift.md)
**Nota**
Se il servizio ARC utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione del ruolo di servizio potrebbe non riuscire. In tal caso, attendi qualche minuto e riprova a eliminare il ruolo.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AWSService RoleForZonalAutoshiftPracticeRun collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente di IAM*.
## Aggiornamenti al ruolo ARC collegato al servizio per lo spostamento automatico zonale
[Per gli aggiornamenti alle politiche AWS gestite per i ruoli collegati ai servizi ARC, consulta la tabella degli aggiornamenti delle politiche gestite per ARC.AWS](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates) [È inoltre possibile abbonarsi agli avvisi RSS automatici nella pagina della cronologia dei documenti ARC.](doc-history.md)
# AWS politiche gestite per lo spostamento automatico zonale in ARC
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSZonal AutoshiftPracticeRun SLRPolicy
Non è possibile collegare `AWSZonalAutoshiftPracticeRunSLRPolicy`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente ad Amazon Application Recovery Controller (ARC) di eseguire le seguenti operazioni per l'autoshift zonale:
+ Monitora gli CloudWatch allarmi Amazon forniti dai clienti e Health Dashboard gli eventi dei clienti per le sessioni di prova
+ Gestisci le sessioni di pratica (pratica i turni zonali)
+ Gestisci controlli bilanciati della capacità per le sessioni di pratica e i turni automatici
Per ulteriori informazioni, consulta [Utilizzo del ruolo collegato al servizio per lo spostamento automatico zonale in ARC](using-service-linked-roles-zonal-autoshift.md).
## Aggiornamenti per le politiche AWS gestite per lo spostamento automatico zonale
Per i dettagli sugli aggiornamenti alle politiche AWS gestite per lo spostamento automatico zonale in ARC da quando questo servizio ha iniziato a tenere traccia di queste modifiche, vedere. [Aggiornamenti alle politiche AWS gestite per Amazon Application Recovery Controller (ARC)](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates) [Per avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti ARC.](doc-history.md)
# Quote per lo spostamento automatico zonale
L'autoshift zonale in Amazon Application Recovery Controller (ARC) è soggetto alle seguenti quote.
| Entità | Quota |
| --- | --- |
| Numero di allarmi di esito per configurazione dell'esecuzione pratica | 10 Puoi [richiedere un aumento della quota](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas). |
| Numero di allarmi di blocco per configurazione dell'esecuzione pratica | 10 Puoi [richiedere un aumento della quota](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas). |