Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Cambio di regione in ARC
È possibile utilizzare Region switch in ARC per orchestrare attività di ripristino complesse e su larga scala per le risorse applicative su più AWS account, per garantire la continuità aziendale e ridurre il sovraccarico operativo. Lo switch di regione offre una soluzione centralizzata e osservabile che puoi eseguire manualmente o automatizzare utilizzando i trigger di allarme di Amazon CloudWatch . In caso di Regione AWS problemi, puoi eseguire i piani che hai creato utilizzando Region Switch per eseguire il failover o trasferire le tue risorse in un'altra regione. Ciò garantisce che l'applicazione possa continuare a funzionare e funzionare in condizioni ottimali. Regione AWS
Region Switch si basa sul concetto di *piano*, che viene progettato e configurato per esigenze di ripristino specifiche. Ogni piano include *flussi di lavoro* costituiti da fasi. Ogni passaggio esegue uno o più *blocchi di esecuzione*, che lo switch di regione esegue in parallelo o in sequenza, per completare il ripristino di un'applicazione. Ogni blocco di esecuzione gestisce un'attività diversa, come il trasferimento delle risorse o la gestione del reindirizzamento del traffico per l'applicazione. Per una flessibilità ancora maggiore, puoi creare piani per i genitori, aggiungendo piani per bambini a un piano generale per genitori.
Il cambio di regione include quanto segue:
+ Support active/passive e active/active configurazioni. È possibile eseguire il failover e il failback se si dispone di configurazioni active/passive multiregionali, oppure lo shift-away e return se l'applicazione è configurata come in più regioni. active/active
+ Supporto su più account per le risorse applicative incluse nel ripristino dell'applicazione. Puoi anche condividere i piani Region Switch tra più account.
+ Failover o switchover automatico, attivando l'esecuzione del piano in base agli allarmi di Amazon. CloudWatch In alternativa, puoi scegliere di eseguire manualmente un piano di cambio di regione.
+ Dashboard complete che offrono visibilità in tempo reale sul processo di ripristino.
+ Ciascuno include un piano dati Regione AWS, in modo da poter eseguire il piano di cambio di regione senza dipendere dalla regione che si sta disattivando.
Il cambio di regione è completamente gestito da. AWS L'utilizzo di Region Switch consente di beneficiare della resilienza di una piattaforma di ripristino incentrata sui requisiti specifici dell'applicazione, anziché creare e gestire script e raccogliere manualmente dati sui ripristini.
# Informazioni su Region Switch
Con Region Switch, puoi orchestrare i passaggi specifici per cambiare l'applicazione in Regione AWS cui è in esecuzione la tua applicazione multiregionale.
Il cambio di regione si basa sul concetto di *piano*, che viene progettato e configurato per esigenze di ripristino specifiche. Ogni piano include *flussi di lavoro* costituiti da fasi. Ogni passaggio esegue uno o più *blocchi di esecuzione*, che lo switch di regione esegue in parallelo o in sequenza, per completare il ripristino di un'applicazione. Ogni blocco di esecuzione gestisce un'attività diversa, come il trasferimento delle risorse o la gestione del reindirizzamento del traffico per l'applicazione. Per una flessibilità ancora maggiore, puoi creare piani per i genitori aggiungendo piani per bambini.
Ogni volta che crei o aggiorni un piano, Region switch esegue una valutazione del piano per garantire che non vi siano problemi con le autorizzazioni IAM, le configurazioni delle risorse o la capacità di esecuzione. Region switch esegue queste valutazioni regolarmente e genera un avviso per eventuali problemi rilevati.
Region switch calcola inoltre un valore effettivo del tempo di ripristino per ogni esecuzione del piano, per aiutarvi a valutare se il piano soddisfa gli obiettivi prefissati. È possibile visualizzare i tempi di ripristino e altri dettagli sull'esecuzione dei piani nei dashboard di Region Switch in. Console di gestione AWS Per ulteriori informazioni, consulta [Dashboard di cambio di regione](region-switch.dashboarding-and-reports.md).
Per ulteriori informazioni su ciascuna di queste aree in Region Switch, consulta le seguenti sezioni.
## Piani di cambio di regione
Un piano di cambio di regione è la risorsa di primo livello in Region Switch. È necessario adattare il piano a una specifica applicazione multiregionale. Un piano consente di creare *flussi* di lavoro per ripristinare le applicazioni eseguendo una serie di *blocchi di esecuzione* di switch di regione che attivano o disattivano l'applicazione e le relative risorse, comprese le risorse tra account diversi, nella Regione AWS modalità specificata.
Un piano è composto da uno o più flussi di lavoro, per consentirti di attivarne o disattivarne uno specifico. Regione AWSÈ possibile configurare i blocchi di esecuzione in un flusso di lavoro in modo che vengano eseguiti in sequenza oppure è possibile specificare che alcuni blocchi vengano eseguiti in parallelo.
Per un piano configurato per un approccio active/passive multiregionale, è necessario creare un flusso di lavoro che può essere utilizzato per attivare una delle regioni o due flussi di lavoro di attivazione separati, uno per ciascuna regione. Per un piano configurato per un approccio attivo/attivo, crei un flusso di lavoro per attivare le regioni e un flusso di lavoro per disattivare le regioni.
Regioni AWS sono località geografiche in tutto il mondo in cui si trovano i data center dei AWS cluster. Ogni regione è progettata per essere completamente isolata dalle altre regioni, garantendo stabilità e tolleranza ai guasti. Quando si utilizza Region Switch, è necessario considerare in quali regioni è distribuita l'applicazione e quali regioni si desidera utilizzare per il ripristino.
Il cambio di regione supporta il ripristino tra due aree qualsiasi Regioni AWS in cui il servizio è disponibile. Quando si configura un piano di cambio di regione, si specificano le regioni in cui viene distribuita l'applicazione e l'approccio di ripristino che si desidera utilizzare: active/passive o attivo/attivo.
Ad esempio, potresti avere un approccio active/passive multiregionale con us-east-1 come regione principale e us-west-2 come regione di standby. Per ripristinare l'applicazione da un problema operativo che ha un impatto sull'applicazione in us-east-1, è possibile eseguire il piano di cambio di regione per attivare us-west-2. Ciò comporterebbe il passaggio dell'applicazione dalle risorse in us-east-1 alle risorse in us-west-2.
I piani di cambio di regione vengono eseguiti utilizzando le autorizzazioni associate al ruolo IAM che specifichi al momento della creazione del piano.
*Puoi creare più piani, uno per ciascuna delle tue applicazioni multiregionali, e quindi orchestrare il ripristino tra questi piani nell'ordine richiesto creando un piano principale.* Un piano principale è un piano che utilizza i blocchi di esecuzione del piano Region Switch come fasi. La gerarchia dei piani è limitata a due livelli (genitore e figlio), ma è possibile includere più piani per bambini nello stesso piano principale.
## Flussi di lavoro e blocchi di esecuzione
Dopo aver creato un piano di cambio di regione, è necessario aggiungere uno o più flussi di lavoro al piano per definire i passaggi che si desidera che il piano esegua per il ripristino dell'applicazione. Per ogni flusso di lavoro, si aggiungono passaggi che contengono blocchi di esecuzione. Ogni blocco di esecuzione esegue un'azione di ripristino specifica, ad esempio il ridimensionamento delle risorse o l'aggiornamento dei controlli di routing per reindirizzare il traffico. I passaggi organizzano questi blocchi di esecuzione e controllano se vengono eseguiti in parallelo o in sequenza. Creando piani principali, puoi anche orchestrare l'ordine in cui più applicazioni vengono ripristinate nella regione che stai attivando.
I blocchi di esecuzione vengono organizzati in fasi all'interno di un flusso di lavoro. Ogni passaggio può contenere uno o più blocchi di esecuzione eseguiti in parallelo e puoi organizzare i passaggi in modo che vengano eseguiti in sequenza nel tuo flusso di lavoro. Inoltre, a seconda della risorsa, puoi avere la possibilità di eseguire un blocco di esecuzione con esecuzione regolare (pianificata) o non corretta (non pianificata).
+ Esecuzione elegante: un flusso di lavoro di esecuzione pianificato. Quando l'ambiente è integro, è possibile utilizzare il flusso di lavoro Graceful per eseguire tutte le fasi necessarie a un'esecuzione ordinata del piano.
+ Esecuzione non corretta: un'esecuzione non pianificata. La modalità di flusso di lavoro non corretta utilizza solo i passaggi e le azioni necessari. Questa modalità modifica il comportamento dei blocchi di esecuzione in un flusso di lavoro o ignora blocchi di esecuzione specifici.
+ Esecuzione post-ripristino: un flusso di lavoro che viene eseguito dopo un ripristino riuscito per prepararsi a futuri eventi regionali. Le esecuzioni successive al ripristino possono creare repliche di lettura, eseguire logica personalizzata tramite funzioni Lambda, aggiungere porte di approvazione manuali e incorporare piani secondari per un'orchestrazione complessa. Queste esecuzioni richiedono che entrambe le regioni siano integre e vengano eseguite nella regione precedentemente compromessa.
Infine, puoi anche configurare risorse tra account diversi per un blocco di esecuzione. Innanzitutto, è necessario configurare le autorizzazioni seguendo le istruzioni riportate in. [Supporto per più account in Region Switch](cross-account-resources-rs.md) Dopo aver configurato i ruoli IAM richiesti, puoi aggiungere risorse cross-account nei blocchi di esecuzione dei flussi di lavoro del tuo piano. Per aggiungere risorse su più account, quando aggiungi un passaggio, specifichi un ruolo IAM di destinazione con autorizzazioni per la risorsa di altri. Account AWSÈ inoltre necessario specificare l'ID esterno fornito nella politica di fiducia per il ruolo tra account diversi. Per i dettagli sulla creazione dei ruoli IAM richiesti, consulta[Autorizzazioni relative alle risorse per più account](security_iam_region_switch_cross_account.md).
Per ulteriori informazioni sui flussi di lavoro, consulta[Crea flussi di lavoro del piano Region Switch](working-with-rs-workflows.md). Per informazioni dettagliate su ciascun tipo di blocco di esecuzione, inclusi i passaggi di configurazione, il suo funzionamento e gli elementi valutati nell'ambito della valutazione del piano, consulta. [Aggiungere blocchi di esecuzione](working-with-rs-execution-blocks.md)
## Valutazione del piano
La valutazione del piano è un processo automatizzato che Region Switch esegue quando un piano viene creato o aggiornato e successivamente ogni 30 minuti, durante lo stato stazionario. Il processo di valutazione verifica diversi aspetti critici della configurazione del piano e delle configurazioni delle risorse. Le valutazioni includono la verifica delle autorizzazioni IAM, delle configurazioni delle risorse e della capacità di esecuzione.
Se Region switch rileva un problema che potrebbe impedire la corretta esecuzione del piano, genera un avviso di valutazione del piano, che viene evidenziato nella pagina dei dettagli del piano nella console. Puoi anche utilizzare gli avvisi di valutazione del piano con Amazon EventBridge oppure puoi visualizzare gli avvisi utilizzando l'API Region Switch. Per ulteriori informazioni sull'API Plan Evaluation, consulta [GetPlanEvaluationStatus](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanEvaluationStatus.html)la *Region Switch API Reference Guide* per Amazon Application Recovery Controller (ARC).
Puoi vedere i dettagli e le soluzioni suggerite per i problemi che emergono dalla valutazione del **piano nella scheda Valutazione del piano** nella pagina dei dettagli del piano. Ti consigliamo di testare il ripristino delle applicazioni anche eseguendo il tuo piano di cambio di regione e di non affidarti esclusivamente alla valutazione del piano di cambio di regione per verificare che il piano di ripristino funzioni come previsto.
## Rapporti automatici sull'esecuzione del piano
Region Switch può generare automaticamente report PDF completi per l'esecuzione dei piani per aiutarvi a soddisfare i requisiti di conformità normativa. Questi report forniscono prove dei test di disaster recovery e degli eventi di ripristino effettivi, tra cui tempistiche di esecuzione dettagliate, configurazioni dei piani e stati delle risorse.
Quando configuri la generazione automatica di report per un piano, Region switch crea un report PDF al termine di ogni esecuzione del piano e lo invia a un bucket Amazon S3 specificato dall'utente. I report sono generalmente disponibili entro 30 minuti dal completamento dell'esecuzione. Si applicano i costi di storage S3.
Ogni rapporto include:
+ Riepilogo esecutivo con panoramica del servizio e data di creazione del report
+ Pianifica i dettagli della configurazione così come esistevano al momento dell'esecuzione
+ Cronologia dettagliata dell'esecuzione con passaggi, risorse interessate e stati
+ Pianifica gli avvisi presenti all'inizio dell'esecuzione
+ Stati degli CloudWatch allarmi di Amazon e cronologia degli allarmi associati
+ Per i piani per i genitori, i dettagli di configurazione ed esecuzione dei piani secondari
+ Glossario di termini e concetti
Per abilitare la generazione automatica dei report, si configura una destinazione di output dei report quando si crea o si aggiorna un piano. È inoltre necessario assicurarsi che il ruolo IAM di esecuzione del piano disponga delle autorizzazioni necessarie per scrivere report nel bucket Amazon S3 e accedere alle risorse necessarie per generare il contenuto del report. Per ulteriori informazioni sulle autorizzazioni richieste, consultare [Autorizzazioni per l'esecuzione automatica dei report di esecuzione del piano](security_iam_region_switch_reports.md).
Puoi visualizzare lo stato della generazione dei report e scaricare i report completati dalla pagina dei dettagli di esecuzione del piano nella console. Se nella generazione dei report si verificano errori, ad esempio autorizzazioni insufficienti o bucket Amazon S3 non configurati correttamente, Region Switch fornisce i dettagli dell'errore per aiutarti a risolvere il problema.
La valutazione del piano convalida continuamente la configurazione del report, inclusa la verifica che il ruolo di esecuzione disponga delle autorizzazioni IAM richieste. Se Region switch rileva problemi di configurazione che impedirebbero la corretta generazione dei report, genera avvisi che è possibile visualizzare nella pagina dei dettagli del piano.
## Allarmi regionali e tempo di ripristino effettivo
Il cambio di regione calcola un valore *effettivo del tempo di ripristino* per ogni esecuzione del piano, che è possibile visualizzare dopo l'esecuzione di un piano. Il tempo di ripristino effettivo viene visualizzato nella pagina dei dettagli di esecuzione del piano, in modo da poter confrontare il tempo effettivo con l'obiettivo del tempo di ripristino specificato al momento della creazione del piano.
Il tempo di ripristino effettivo viene calcolato come il tempo totale impiegato per il completamento dell'esecuzione di un piano e il tempo aggiuntivo trascorso prima che specifici CloudWatch allarmi Amazon configurati tornino allo stato verde.
Per supportare il calcolo accurato del tempo di ripristino effettivo per l'esecuzione del piano, devi configurare gli CloudWatch allarmi Amazon regionali per un piano di switch di regione che fornisca un segnale sullo stato dell'applicazione in ciascuna regione. Quando viene eseguito un piano, Region switch utilizza questi allarmi sullo stato dell'applicazione per determinare quando l'applicazione è nuovamente integra. Quindi, Region switch calcola il tempo di ripristino effettivo in base al tempo impiegato per l'esecuzione del piano e al tempo necessario per ripristinare l'integrità dell'applicazione, in base agli allarmi sullo stato dell'applicazione configurati.
Prima di aggiungere CloudWatch allarmi a un piano di cambio di regione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [CloudWatch allarmi per le autorizzazioni di integrità dell'applicazione](security_iam_region_switch_cloudwatch.md).
# Regioni AWS
Il cambio di regione è disponibile in tutte le regioni commerciali Regioni AWS e in quelle AWS GovCloud (degli Stati Uniti).
Per informazioni dettagliate sul supporto regionale e sugli endpoint di servizio per Amazon Application Recovery Controller (ARC), consulta gli [endpoint e le quote di Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/general/latest/gr/arc.html) nel riferimento generale di *Amazon Web Services*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/r53recovery/latest/dg/aws-regions-rs.html)
# Componenti del cambio di regione
Di seguito sono riportati i componenti e i concetti relativi alla funzionalità di cambio di regione in Amazon Application Recovery Controller (ARC).
**Pianificazione**
Un piano è il processo di ripristino fondamentale per la tua applicazione. Puoi creare un piano creando uno o più flussi di lavoro con blocchi di esecuzione da eseguire in sequenza o in parallelo. Quindi, in caso di problemi a livello regionale, si esegue il piano per completare il ripristino dell'applicazione spostando l'applicazione in una regione integra.
**Piano per bambini**
Un piano secondario è un piano autonomo che può essere eseguito all'interno di un piano principale, per coordinare scenari di ripristino delle applicazioni più complessi. È possibile annidare i piani Region Switch a un livello.
**Flusso di lavoro**
Un piano di cambio di regione include uno o più flussi di lavoro. Un flusso di lavoro è costituito da passaggi che contengono blocchi di esecuzione, specificati per l'esecuzione in parallelo o in sequenza, per completare l'attivazione o la disattivazione di una regione come parte di un piano di ripristino. Per un piano configurato in base a un active/passive approccio, è necessario creare un unico flusso di lavoro che può essere utilizzato per attivare una delle regioni o flussi di lavoro di attivazione separati, uno per ogni regione. Per un piano configurato per un active/active approccio, crei un flusso di lavoro per attivare le regioni e un flusso di lavoro per disattivare le regioni.
**Blocco di esecuzione**
Si aggiungono passaggi ai flussi di lavoro del piano di cambio di regione contenenti un blocco di esecuzione. I blocchi di esecuzione consentono di specificare il ripristino per più applicazioni o risorse in una regione di attivazione. Quando aggiungi un passaggio a un flusso di lavoro, puoi aggiungerlo in sequenza con altri passaggi o in parallelo con uno o più altri passaggi.
**Configurazioni graziose e sgradevoli**
È possibile scegliere di eseguire blocchi di esecuzione specifici con esecuzione regolare (pianificata) o non corretta (non pianificata). Quando l'ambiente è integro, è possibile utilizzare l'elegante flusso di lavoro per eseguire tutte le fasi necessarie all'esecuzione ordinata del piano. La modalità di flusso di lavoro poco funzionale utilizza solo i passaggi e le azioni necessari. Quando si esegue un piano in modalità ungraceful, modifica il comportamento dei blocchi di esecuzione in un flusso di lavoro o ignora blocchi di esecuzione specifici, a seconda del tipo di blocco di esecuzione.
Tipi specifici di blocchi di esecuzione hanno un comportamento diverso quando vengono eseguiti in modo non corretto. I dettagli su queste differenze sono descritti nella sezione che include dettagli su ciascun tipo di blocco di esecuzione. Per ulteriori informazioni, consulta [Aggiungere blocchi di esecuzione](working-with-rs-execution-blocks.md).
**Configurazioni Active/active and active/passive**
Esistono due approcci principali per creare una configurazione resiliente per un'applicazione in più regioni: active/passive uno attivo/attivo. Il cambio di regione supporta il ripristino delle applicazioni per entrambi questi approcci.
Con una active/passive configurazione, puoi distribuire due repliche dell'applicazione in due regioni diverse, con il traffico dei clienti diretto a una sola regione.
Con una active/active configurazione, si distribuiscono due repliche in due regioni diverse, ma entrambe le repliche elaborano il lavoro o ricevono traffico.
**Esecuzione del piano**
Quando viene eseguito un piano di cambio di regione, implementa il ripristino di un'applicazione quando una regione viene compromessa attivando una regione integra per l'applicazione e il traffico che riceve. Con una active/active configurazione, esegui anche l'esecuzione di un piano per disattivare la regione danneggiata.
**Allarmi relativi allo stato delle applicazioni**
Gli allarmi sullo stato delle applicazioni sono CloudWatch allarmi specificati per un piano per indicare lo stato dell'applicazione in ciascuna regione. Il cambio di regione utilizza gli allarmi sullo stato dell'applicazione per determinare il tempo di ripristino effettivo dopo aver cambiato regione per implementare il ripristino.
**Triggers**
È possibile utilizzare i trigger in Region Switch per automatizzare il ripristino delle applicazioni. Quando crei un trigger, specifichi uno o più CloudWatch allarmi Amazon e definisci quali condizioni di allarme (ad esempio «rosso» o «verde») devono avviare l'esecuzione del piano. Quando vengono soddisfatte le condizioni specificate, Region switch esegue automaticamente il piano. I trigger sono diversi dagli allarmi sullo stato delle applicazioni: i trigger avviano l'esecuzione del piano, mentre gli allarmi sullo stato dell'applicazione aiutano Region Switch a calcolare il tempo di ripristino effettivo dopo il completamento di un piano.
**Flusso di lavoro post-ripristino**
Un flusso di lavoro post-ripristino è un flusso di lavoro opzionale che viene eseguito dopo un ripristino riuscito per prepararsi a futuri eventi regionali. Questi flussi di lavoro richiedono che entrambe le regioni siano integre e funzionino nella regione precedentemente compromessa. Le esecuzioni successive al ripristino fanno riferimento all'ID di esecuzione del ripristino più recente.
I flussi di lavoro post-ripristino supportano i seguenti blocchi di esecuzione:
+ RDS Create Cross-Region Replica
+ Azione personalizzata Lambda
+ Approvazione manuale
+ Piano di cambio di regione
**Pannelli di controllo**
Region Switch include dashboard in cui è possibile tenere traccia dei dettagli sull'esecuzione dei piani in tempo reale.
# Piani di dati e controllo per Region Switch
Quando pianifichi il failover e il disaster recovery, considera la resilienza dei tuoi meccanismi di failover. Ti consigliamo di assicurarti che i meccanismi da cui dipendi durante il failover siano altamente disponibili, in modo da poterli utilizzare quando ne hai bisogno in uno scenario di emergenza. In genere, è consigliabile utilizzare le funzioni del piano dati per i meccanismi ogni volta che è possibile, per la massima affidabilità e tolleranza ai guasti. In quest'ottica, è importante capire in che modo la funzionalità di un servizio è suddivisa tra piani di controllo e piani dati e quando è possibile contare su un'aspettativa di estrema affidabilità con il piano dati di un servizio.
Come per molti AWS servizi, la funzionalità relativa alla funzionalità Region Switch è supportata da un piano di controllo e da piani dati. Sebbene entrambi i tipi siano progettati per essere affidabili, un piano di controllo è ottimizzato per la coerenza dei dati, mentre un piano dati è ottimizzato per la disponibilità. Un piano dati è progettato per la resilienza in modo da poter mantenere la disponibilità anche durante eventi dirompenti, quando un piano di controllo potrebbe non essere disponibile.
In generale, un *piano di controllo* consente di eseguire funzioni di gestione di base, come creare, aggiornare ed eliminare risorse nel servizio. Un *piano dati* fornisce le funzionalità principali di un servizio. Per questo motivo, si consiglia di utilizzare le operazioni del piano dati quando la disponibilità è importante, ad esempio quando è necessario ottenere informazioni su un piano di cambio di regione durante un'interruzione.
Per il cambio di regione, i piani di controllo e i piani dati sono suddivisi come segue:
+ Il piano di controllo per Region Switch si trova nella regione (us-east-1) degli Stati Uniti orientali (Virginia settentrionale) AWS GovCloud , nella regione (-1) degli Stati Uniti orientali us-gov-west (Virginia settentrionale) e deve essere utilizzato solo per la gestione dei servizi, ovvero la creazione e l'aggiornamento di piani, non per il ripristino, ovvero l'esecuzione di piani. *Le operazioni dell'API del piano di controllo della configurazione dello switch Region non sono altamente disponibili.*
+ Lo switch di regione dispone di piani dati indipendenti in ciascuno di essi Regione AWS. È necessario utilizzare il piano dati per le azioni di ripristino, ovvero per l'esecuzione di piani di cambio di regione. Per un elenco delle operazioni del piano dati, vedere[Operazioni API di cambio di regione](actions.region-switch.md). *Queste operazioni sul piano dati con commutazione di regione sono altamente disponibili.*
Region Switch fornisce una console indipendente in ciascuna di esse Regione AWS, che richiama le operazioni dell'API del piano dati per le attività di ripristino, in modo da poter utilizzare la console nella regione che stai attivando per eseguire piani per il ripristino delle applicazioni. Per ulteriori informazioni sulle considerazioni chiave relative alla preparazione e al completamento di un'operazione di ripristino con Region Switch, consulta. [Le migliori pratiche per il cambio di regione in ARC](best-practices.region-switch.md)
Per ulteriori informazioni sui piani dati, sui piani di controllo e su come AWS crea servizi per soddisfare gli obiettivi di alta disponibilità, consulta il [paper Static stability using Availability Zones](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/) in Amazon Builders' Library.
# Etichettatura per lo switch ARC Region;
I tag sono parole o frasi (metadati) che usi per identificare e organizzare le tue AWS risorse. È possibile aggiungere più tag a ogni risorsa e ogni tag include una chiave e un valore che definisci. Ad esempio, la chiave potrebbe essere l'ambiente e il valore potrebbe essere la produzione. Puoi cercare e filtrare le tue risorse in base ai tag che aggiungi.
Puoi taggare la seguente risorsa in Region switch in ARC:
+ Piani
L'aggiunta di tag in ARC è disponibile solo tramite l'API, ad esempio utilizzando il AWS CLI.
Di seguito sono riportati alcuni esempi di etichettatura nel cambio di regione utilizzando. AWS CLI
`aws arc-region-switch --region us-east-1 create-plan --plan-name example-plan --tags Region=IAD,Stage=Prod`
Per ulteriori informazioni, consulta [TagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_TagResource.html)la *Guida di riferimento dell'API Region Switch* per Amazon Application Recovery Controller (ARC).
# Prezzi di Region Switch in ARC
Paghi un costo mensile fisso per il piano di cambio di regione che configuri.
Per informazioni dettagliate sui prezzi di ARC ed esempi di prezzi, consulta [ARC Pricing](https://aws.amazon.com/application-recovery-controller/pricing/).
# Le migliori pratiche per il cambio di regione in ARC
Consigliamo le seguenti best practice per la preparazione al ripristino e al failover con Region Switch in Amazon Application Recovery Controller (ARC).
**Argomenti**
+ [Mantieni le credenziali create appositamente e di lunga durata sicure e sempre accessibili AWS](#RSBestPracticeCredentials)
+ [Scegli valori TTL inferiori per i record DNS coinvolti nel failover](#RSBestPracticeLowerTTL)
+ [Riserva la capacità richiesta per le applicazioni critiche](#RSBestPracticeCapacity)
+ [Utilizza le operazioni estremamente affidabili dell'API Data Plane per elencare e ottenere informazioni sui piani di cambio di regione](#RSBestPracticeUseDataPlane)
+ [Test di failover con ARC](#RSBestPracticeTestFailover)
**Mantieni le credenziali create appositamente e di lunga durata sicure e sempre accessibili AWS **
In uno scenario di disaster recovery (DR), riduci al minimo le dipendenze dal sistema utilizzando un approccio semplice per accedere ed eseguire le attività di ripristino. AWS Crea [credenziali IAM a lunga durata](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html) specifiche per le attività di DR e conservale in modo sicuro in una cassaforte fisica locale o in un deposito virtuale, a cui accedervi quando necessario. Con IAM, puoi gestire centralmente le credenziali di sicurezza, come le chiavi di accesso e le autorizzazioni per l'accesso alle risorse. AWS [Per le attività diverse dal DR, ti consigliamo di continuare a utilizzare l'accesso federato, utilizzando AWS servizi come Single Sign-On.AWS](https://aws.amazon.com/single-sign-on/)
**Scegliete valori TTL inferiori per i record DNS coinvolti nel failover**
Per i record DNS che potrebbe essere necessario modificare nell'ambito del meccanismo di failover, in particolare per i record il cui stato di integrità è stato verificato, è opportuno utilizzare valori TTL inferiori. Per questo scenario, è comune impostare un TTL di 60 o 120 secondi.
L'impostazione DNS TTL (time to live) indica ai resolver DNS per quanto tempo devono memorizzare nella cache un record prima di richiederne uno nuovo. Quando scegli un TTL, fai un compromesso tra latenza e affidabilità e reattività al cambiamento. Con un TTL più breve su un record, i resolver DNS notano gli aggiornamenti del record più rapidamente perché il TTL specifica che devono eseguire query più frequentemente.
Per ulteriori informazioni, consulta *Scelta dei valori TTL per i record DNS* nelle [migliori pratiche per Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-dns.html) DNS.
**Riserva la capacità richiesta per le applicazioni critiche**
Region Switch include tipi di blocchi di esecuzione che aiutano a scalare le risorse di calcolo come parte del ripristino. Se si utilizzano questi blocchi di esecuzione in un piano, Region switch non garantisce il raggiungimento della capacità di elaborazione desiderata. Se disponi di un'applicazione critica e devi garantire l'accesso alla capacità, ti consigliamo di riservare la capacità.
Esistono strategie che puoi seguire per riservare la capacità di elaborazione in una regione secondaria limitando al contempo i costi. Per ulteriori informazioni, consulta [Pilot light with reserved capacity: come ottimizzare i costi di disaster recovery utilizzando On-Demand](https://aws.amazon.com/blogs/architecture/pilot-light-with-reserved-capacity-how-to-optimize-dr-cost-using-on-demand-capacity-reservations/) Capacity Reservations.
**Utilizza le operazioni estremamente affidabili dell'API Data Plane per elencare e ottenere informazioni sui piani di cambio di regione**
Utilizza le operazioni dell'API del piano dati per elaborare ed eseguire il tuo piano di cambio di regione durante un evento. Per un elenco delle operazioni del piano dati di cambio di regione, vedere[Operazioni API di cambio di regione](actions.region-switch.md).
La console di commutazione di regione in ciascuna regione utilizza le operazioni del piano dati per eseguire i piani di commutazione di regione. È inoltre possibile richiamare le operazioni dell'API del piano dati utilizzando AWS CLI o eseguendo il codice scritto utilizzando uno dei AWS SDKs. ARC offre un'affidabilità estrema con l'API nel piano dati.
**Prova il ripristino delle applicazioni con ARC**
Prova regolarmente il ripristino delle applicazioni con ARC Region Switch, per attivare uno stack di applicazioni secondario in un altro Regione AWS o per passare a una configurazione attiva-attiva eseguendo un piano di cambio di regione per disattivare una delle regioni.
È importante assicurarsi che i piani di cambio di regione che hai creato siano allineati con le risorse corrette del tuo stack e che tutto funzioni come previsto. È necessario verificarlo dopo aver configurato il Region Switch per l'ambiente e continuare a eseguire il test periodicamente, in modo da verificare che i processi di ripristino funzionino correttamente. Esegui questi test regolarmente, prima che si verifichi una situazione di errore, per evitare tempi di inattività per gli utenti.
**Failover DNS dello switch ARC Region e ripristino accelerato Route 53**
Il ripristino accelerato fornisce un RTO target di 60 minuti da APIs utilizzare per aggiornare i record delle zone ospitate pubbliche abilitate per questa funzionalità. Se è necessario mantenere il controllo sull'RTO e non attendere il ripristino completo di AWS quello APIs necessario, è consigliabile utilizzare ARC Routing control o ARC Region switch Route 53 Health Check Execution Block.
# Tutorial: Creare un piano di cambio di active/passive regione
Questo tutorial ti guida nella creazione di un piano di cambio di active/passive regione per un'applicazione in esecuzione in us-east-1 e nel ripristino in us-west-2. L'esempio include istanze Amazon EC2 per l'elaborazione, Amazon Aurora Global Database per lo storage e Amazon Route 53 per DNS.
In questo tutorial, completerai i seguenti passaggi:
+ Crea un piano di cambio di regione
+ Crea i flussi di lavoro e i blocchi di esecuzione del piano
+ Crea un blocco di esecuzione di gruppo EC2 Auto Scaling
+ Crea due blocchi di esecuzione manuale dell'approvazione
+ Crea due blocchi di esecuzione Lambda con azioni personalizzate
+ Crea un blocco di esecuzione di Amazon Aurora Global Database
+ Crea un blocco di controllo del routing ARC
+ Esegui il piano di cambio di regione
## Prerequisiti
Prima di iniziare questo tutorial, verifica di avere i seguenti prerequisiti in entrambe le regioni:
+ Ruoli IAM con autorizzazioni appropriate
+ Gruppi di Auto Scaling EC2
+ Funzioni Lambda per pagine di manutenzione e recinzioni
+ Aurora Global Database
+ Controlli di routing ARC
## Fase 1: Creare il piano di cambio di regione
1. Dalla console Region Switch, scegli **Crea piano di switch Region**.
1. Fornisci i seguenti dettagli:
+ **Regione principale**: scegli us-east-1
+ **Regione di standby**: scegli us-west-2
+ **Obiettivo del tempo di ripristino (RTO) desiderato (opzionale)**
+ **Ruolo IAM: inserire il ruolo** IAM per l'esecuzione del piano. Questo ruolo IAM consente alla regione di passare ai AWS servizi di chiamata durante l'esecuzione.
1. Scegli **Create** (Crea).
(Facoltativo) Aggiungi risorse da diversi AWS account al tuo piano di cambio di regione:
1. Crea il ruolo tra account:
+ Nell'account che ospita la risorsa, crea un ruolo IAM.
+ Aggiungi le autorizzazioni per le risorse specifiche a cui accederà il piano.
+ Aggiungi una politica di fiducia che consenta al ruolo di esecuzione di assumere il nuovo ruolo.
+ Inserisci e prendi nota di un ID esterno che utilizzerai come segreto condiviso.
1. Configura la risorsa nel tuo piano:
+ Quando aggiungi la risorsa al tuo piano, specifica due campi aggiuntivi:
+ **crossAccountRole**: L'ARN del ruolo creato nel passaggio 1
+ **ExternalID**: l'ID esterno che hai inserito nel passaggio 1
Esempio di configurazione per un blocco di esecuzione EC2 Auto Scaling che accede alle risorse nell'account 987654321:
```
{
"executionBlock": "EC2AutoScaling",
"name": "ASG",
"crossAccountRole": "arn:aws:iam::987654321:role/RegionSwitchCrossAccountRole",
"externalId": "unique-external-id-123",
"autoScalingGroupArn": "arn:aws:autoscaling:us-west-2:987654321:autoScalingGroup:*:autoScalingGroupName/CrossAccountASG"
}
```
Autorizzazioni richieste:
+ Il ruolo di esecuzione deve avere l'AssumeRole autorizzazione sts: per il ruolo interaccount.
+ Il ruolo tra account diversi deve disporre delle autorizzazioni solo per le risorse specifiche a cui si accede.
+ La politica di fiducia del ruolo interaccount deve includere:
+ L'account del ruolo di esecuzione come entità attendibile.
+ La condizione dell'ID esterno.
+ Per ulteriori informazioni sulla configurazione di un ruolo tra account, vedere. [Autorizzazioni relative alle risorse per più account](security_iam_region_switch_cross_account.md)
Prima di eseguire il piano, Region switch verificherà quanto segue:
+ Il ruolo di esecuzione può assumere il ruolo tra account diversi.
+ Il ruolo tra account diversi dispone delle autorizzazioni richieste.
+ L'ID esterno corrisponde alla politica di attendibilità.
## Fase 2: Costruisci i flussi di lavoro e i blocchi di esecuzione del piano
1. Dalla pagina dei dettagli del piano Region Switch, scegli **Crea flussi di lavoro**.
1. Seleziona **Crea lo stesso flusso di lavoro di attivazione per tutte le regioni**.
1. Inserisci una descrizione del flusso di lavoro di attivazione della regione (opzionale). Questo verrà utilizzato per identificare facilmente il flusso di lavoro durante l'esecuzione del piano.
1. Seleziona **Salva e continua**.
### Aggiungi il blocco di esecuzione EC2 Auto Scaling
Per ulteriori informazioni su questo blocco di esecuzione, consulta. [Blocco di esecuzione di gruppo Amazon EC2 Auto Scaling](ec2-auto-scaling-block.md)
1. Scegli **Aggiungi un passaggio**, quindi seleziona **Esegui in sequenza**.
1. Seleziona il blocco di esecuzione **EC2 Auto Scaling**, **quindi scegli Aggiungi e modifica**. Questo blocco ti consentirà di iniziare ad aumentare la capacità nella regione passiva.
1. Nel pannello di destra, configura il blocco:
+ **Nome del passaggio**: inserisci «Scale»
+ **Descrizione della fase** (opzionale)
+ ARN del **gruppo Auto Scaling per us-east-1: l'ARN** del tuo ASG in us-east-1
+ ARN del **gruppo Auto Scaling per us-west-2: l'ARN** del tuo ASG in us-west-2
+ **Percentuale corrispondente alla capacità della regione di origine**: immettere 100
+ **Approccio al monitoraggio della capacità**: lascia come «Più recente»
+ **Timeout** (opzionale)
Per informazioni sulle autorizzazioni IAM richieste per questo blocco di esecuzione, consulta. [Politica di esempio per i blocchi di esecuzione di EC2 Auto Scaling](security_iam_region_switch_ec2_autoscaling.md)
1. Scegli **Salva passaggio**.
### Aggiungi un blocco di esecuzione dell'approvazione manuale
Per ulteriori informazioni su questo blocco di esecuzione, vedere[Blocco di esecuzione dell'approvazione manuale](manual-approval-block.md).
1. Scegli **Aggiungi un passaggio**.
1. Seleziona il **blocco Esecuzione manuale dell'approvazione** e aggiungilo alla finestra di progettazione. Questo blocco consente la verifica umana prima di procedere.
1. Nel pannello di destra, configura il blocco:
+ **Nome del passaggio**: inserisci «Approvazione manuale prima della configurazione»
+ **Descrizione della fase** (opzionale)
+ **Ruolo di approvazione IAM**: il ruolo che un utente deve assumere per approvare l'esecuzione
+ **Timeout** (opzionale). Dopo il timeout, l'esecuzione viene messa in pausa e puoi scegliere di riprovare, saltare o annullare.
Per informazioni sulle autorizzazioni IAM richieste per questo blocco di esecuzione, consulta. [Esempio di politica di approvazione manuale, blocco di esecuzione](security_iam_region_switch_manual_approval.md)
1. Scegli **Salva passaggio**.
### Aggiungi un blocco di esecuzione Lambda ad azione personalizzata per la pagina di manutenzione
Per ulteriori informazioni su questo blocco di esecuzione, vedere[Blocco di esecuzione Lambda ad azione personalizzata](custom-action-lambda-block.md).
1. Scegli **Aggiungi un passaggio**.
1. Seleziona il **blocco di esecuzione Lambda dell'azione personalizzata**, quindi scegli **Aggiungi e modifica**. Questo blocco pubblica una pagina di manutenzione nella Regione che si sta attivando.
1. Nel pannello di destra, configura il blocco:
+ **Nome del passaggio**: inserisci «Visualizza la pagina di manutenzione»
+ **Descrizione della fase** (opzionale)
+ **Lambda ARN per l'attivazione di us-east-1: l'ARN della funzione Lambda della pagina di manutenzione implementata in us-east-1**
+ **Lambda ARN per l'attivazione di us-west-2: l'ARN della funzione Lambda della pagina di manutenzione implementata in us-west-2**
+ **Regione per eseguire la funzione Lambda**: scegli **Esegui nella** regione di attivazione
+ **Timeout** (opzionale)
+ **Intervallo tra tentativi (opzionale)**
Per informazioni sulle autorizzazioni IAM richieste per questo blocco di esecuzione, consulta. [Politica di esempio del blocco di esecuzione Lambda ad azione personalizzata](security_iam_region_switch_lambda.md)
1. Scegli **Salva passaggio**.
### Aggiungi il blocco di esecuzione Aurora Global Database
Per ulteriori informazioni su questo blocco di esecuzione, consulta[Blocco di esecuzione di Amazon Aurora Global Database](aurora-global-database-block.md).
1. Scegli **Aggiungi un passaggio**.
1. Seleziona il **blocco di esecuzione Aurora Global Database**, quindi scegli **Aggiungi e modifica**. Questo blocco attiva uno switchover globale del database Aurora (nessuna perdita di dati). *Per ulteriori informazioni, vedere [Uso dello switchover o del failover per Aurora Global Database nella Guida per l'utente di Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html).*
1. Nel pannello di destra, configura il blocco:
+ **Nome del passaggio**: Enter **Aurora switchover**
+ **Descrizione della fase** (opzionale)
+ **Identificatore globale del database Aurora**: il nome del cluster Aurora
+ **ARN del cluster utilizzato per l'attivazione di us-east-1: l'ARN del cluster Aurora in us-east-1**
+ **ARN del cluster utilizzato per l'attivazione di us-west-2: l'ARN del cluster Aurora in us-west-2**
+ **Seleziona l'opzione per il database Aurora****: scegli Switchover**
+ **Timeout** (opzionale)
Per informazioni sulle autorizzazioni IAM richieste per questo blocco di esecuzione, consulta. [Politica di esempio dei blocchi di esecuzione di Aurora Global Database](security_iam_region_switch_aurora.md)
1. Scegli **Salva passaggio**.
### Aggiungi il blocco di esecuzione del controllo di routing ARC
Per ulteriori informazioni su questo blocco di esecuzione, vedere[Blocco di esecuzione del controllo del routing ARC](arc-routing-controls-block.md).
1. Scegli **Aggiungi un passaggio**.
1. Seleziona il **blocco di esecuzione del controllo del routing ARC**, quindi scegli **Aggiungi e modifica**. Questo blocco esegue un failover DNS per spostare il traffico verso la regione passiva.
1. Nel pannello di destra, configura il blocco:
+ **Nome del passaggio**: Enter **Toggle** DNS
+ **Descrizione della fase** (opzionale)
+ **Controlli di routing utilizzati nell'attivazione di us-east-1****: scegli Aggiungi controlli di routing**
+ Timeout: **inserisci un valore di timeout.**
1. Scegli **Aggiungi controllo di routing**:
+ **ARN di controllo del routing**: L'ARN del controllo di routing che controlla us-east-1
+ ****Stato di controllo del routing: scegli Attivato****
1. Scegli nuovamente **Aggiungi controllo del routing**:
+ **ARN di controllo del routing**: L'ARN del controllo di routing che controlla us-west-2
+ ****Stato di controllo del routing: scegli Off****
1. Scegli **Save** (Salva).
1. **Controlli di routing utilizzati nell'attivazione di us-west-2****: scegli Aggiungi controlli di routing**
1. **Scegli Aggiungi controllo di routing:**
+ **ARN di controllo del routing**: L'ARN del controllo di routing che controlla us-west-2
+ ****Stato di controllo del routing: scegli Attivato****
1. Scegli nuovamente **Aggiungi controllo del routing**:
+ **ARN di controllo del routing**: L'ARN del controllo di routing che controlla us-east-1
+ ****Stato di controllo del routing: scegli Off****
1. Scegli **Save** (Salva).
1. Scegli **Salva passaggio**.
Per informazioni sulle autorizzazioni IAM richieste per questo blocco di esecuzione, consulta[Il routing ARC controlla la politica di esempio dei blocchi di esecuzione](security_iam_region_switch_arc_routing.md).
1. Scegli **Save** (Salva).
## Fase 3: Esegui il piano
1. Nella pagina dei dettagli del piano Region Switch, in alto a destra, scegli **Esegui**.
1. Inserisci i dettagli dell'esecuzione:
+ Seleziona la regione da attivare.
+ Seleziona la modalità di esecuzione del piano.
+ (Facoltativo) Visualizza le fasi di esecuzione.
+ Conferma l'esecuzione del piano.
1. Scegli **Avvia**.
1. È possibile visualizzare i passaggi dettagliati durante l'esecuzione del piano nella pagina dei dettagli di esecuzione. È possibile visualizzare ogni fase dell'esecuzione del piano, inclusi l'ora di inizio, l'ora di fine, l'ARN della risorsa e i messaggi di registro.
Una volta ripristinata la regione danneggiata, è possibile eseguire nuovamente il piano (modificando i parametri forniti) per attivare la regione originale e riportare le operazioni dell'applicazione alla regione principale originale.
# Tutorial: configura la generazione automatica del rapporto di esecuzione del piano
Questo tutorial ti guida nella configurazione della generazione automatica dei report di esecuzione del piano per un piano di cambio di regione. I report forniscono una documentazione PDF completa sull'esecuzione dei piani ai fini della conformità.
In questo tutorial, completerai i seguenti passaggi:
+ Crea un bucket Amazon S3 per l'archiviazione dei report
+ Abilita la generazione automatica dei report su un piano di cambio di regione
+ Esegui il piano e scarica il rapporto
## Prerequisiti
Prima di iniziare questo tutorial, verifica di disporre di quanto segue:
+ Un piano di cambio di regione esistente con flussi di lavoro configurati
+ Autorizzazioni per creare bucket Amazon S3
+ Il ruolo IAM di esecuzione del piano è stato configurato con le autorizzazioni richieste. Per ulteriori informazioni, consulta [Autorizzazioni per l'esecuzione automatica dei report di esecuzione del piano](security_iam_region_switch_reports.md).
## Fase 1: creare un bucket Amazon S3 per i report
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Seleziona **Crea bucket**.
1. Fornisci i seguenti dettagli:
+ **Nome del bucket**: inserisci un nome univoco, ad esempio `my-region-switch-reports`
+ **Blocca impostazioni di accesso pubblico**: mantieni bloccato tutto l'accesso pubblico (consigliato)
+ **Bucket Versioning**: abilita il controllo delle versioni (opzionale ma consigliato)
+ **Crittografia predefinita: seleziona la crittografia**. Se si utilizza SSM-KMS, sono planExecutionRole necessari kms: Encrypt e kms: GenerateDataKey autorizzazioni sulla CMK predefinita del bucket s3
1. Seleziona **Crea bucket**.
1. Nota il nome del bucket da utilizzare nel passaggio successivo.
## Passaggio 2: abilita la generazione automatica dei report nel tuo piano
1. Apri la console Region Switch all'indirizzo. [https://console.aws.amazon.com/route53recovery/regionswitch/home](https://console.aws.amazon.com/route53recovery/regionswitch/home)
1. Seleziona il piano per cui desideri configurare i report.
1. Scegli **Nella barra di navigazione, vai su Azioni e seleziona Modifica dettagli del piano**.
1. Nella sezione **Impostazioni del rapporto**, fornisci quanto segue:
+ Seleziona **Abilita la generazione automatica dei report**
+ URI **Amazon S3: seleziona o inserisci l'URI** S3 del bucket che hai creato nella fase 1
+ **ID dell'account proprietario del bucket:** inserisci l'ID dell'account del proprietario del bucket
1. Scegli **Save** (Salva).
1. Attendi il completamento della valutazione del piano. In caso di problemi di configurazione, nella pagina dei dettagli del piano verranno visualizzati degli avvisi.
## Fase 3: Esegui il piano e scarica il rapporto
1. Nella pagina dei dettagli del piano, scegli **Esegui**.
1. Completa l'esecuzione del piano normalmente, selezionando la regione da attivare e la modalità di esecuzione.
1. Una volta completata l'esecuzione del piano, vai alla pagina dei dettagli dell'esecuzione.
1. Nella sezione **Report sull'esecuzione del piano**, monitora lo stato di generazione del report. La generazione del report viene in genere completata entro 30 minuti dal completamento dell'esecuzione.
1. Quando lo stato del rapporto è **Completato**, scegli **Scarica il rapporto sull'esecuzione del piano** per scaricare il PDF.
1. In alternativa, accedi al tuo bucket Amazon S3 per accedere direttamente al report. I report vengono archiviati con il seguente schema di denominazione: `ExecutionReport-${planVersion.ownerAccountId}-${planName}-${execution.regionTo}-${event.executionId}-${dateStr}.pdf`
Il rapporto generato include:
+ Riepilogo esecutivo con panoramica del servizio e data di creazione del report
+ Pianifica i dettagli della configurazione così come esistevano al momento dell'esecuzione
+ Cronologia dettagliata dell'esecuzione con passaggi, risorse interessate e stati
+ Pianifica gli avvisi presenti all'inizio dell'esecuzione
+ Stati degli CloudWatch allarmi di Amazon e cronologia degli allarmi associati
+ Per i piani per i genitori, i dettagli di configurazione ed esecuzione dei piani secondari
+ Glossario di termini e concetti
## Risoluzione dei problemi
Se la generazione del report fallisce, verifica quanto segue:
+ **Errori di autorizzazione**: verifica che il ruolo di esecuzione disponga delle autorizzazioni IAM corrette. Per ulteriori informazioni, consulta [Autorizzazioni per l'esecuzione automatica dei report di esecuzione del piano](security_iam_region_switch_reports.md). Controlla gli avvisi di valutazione del piano per problemi di autorizzazione specifici.
+ **Accesso al bucket Amazon S3**: assicurati che il bucket Amazon S3 esista e sia accessibile dalla regione in cui è configurato il piano. Verifica che le policy bucket non blocchino l'accesso dal ruolo di esecuzione.
+ **Crittografia dei bucket**: se utilizzi chiavi KMS gestite dal cliente per la crittografia dei bucket, assicurati che il ruolo di esecuzione disponga delle autorizzazioni per utilizzare la chiave KMS.
Per ulteriore assistenza, visualizza i messaggi di errore dettagliati nella pagina dei dettagli di esecuzione o contatta l' AWS assistenza.
# Tutorial: Esegui un flusso di lavoro post-ripristino RDS
Questo tutorial ti guida nell'esecuzione di un flusso di lavoro post-ripristino dopo un failover RDS riuscito. Questa esecuzione post-ripristino ripristina la ridondanza ristabilendo la replica tra regioni per il database RDS, assicurando che il database RDS sia pronto per i futuri eventi regionali.
In questo tutorial, completerai i seguenti passaggi:
+ Verifica i prerequisiti per l'esecuzione dopo il ripristino
+ Crea un flusso di lavoro post-ripristino con il blocco di esecuzione RDS Create Cross-Region Replica
+ Esegui il flusso di lavoro post-ripristino
## Prerequisiti
Prima di iniziare questo tutorial, verifica di disporre di quanto segue:
+ Un active/passive piano di cambio di regione con un flusso di lavoro di attivazione che include un blocco di esecuzione RDS Promote Read Replica
+ Un'esecuzione di attivazione riuscita che ha promosso una replica di lettura nell'altra regione
+ Entrambe le regioni sono sane e accessibili
+ L'ID di esecuzione dell'esecuzione di ripristino più recente
## Passaggio 1: creare un flusso di lavoro post-ripristino
1. Dalla console Region Switch scegli il piano, scegli **Modifica flussi di lavoro**, seleziona **Config**, **seleziona Includi il flusso di lavoro successivo al ripristino nel** piano e salva.
1. **Nella pagina Modifica flussi di lavoro, seleziona il menu a discesa **Seleziona un flusso di lavoro per aggiungere passaggi** e scegli Post-ripristino.**
1. Scegli **Aggiungi un passaggio**.
1. Seleziona il blocco di **esecuzione Amazon RDS create cross Region Replica**.
1. Nel pannello di destra, configura il blocco:
+ **Nome del passaggio**: inserisci «Crea una replica di lettura interregionale»
+ **Descrizione della fase** (opzionale)
+ **ARN dell'istanza DB RDS per la regione primaria**: l'ARN del database nella regione primaria deve essere lo stesso della fase di promozione della lettura della replica
+ **ARN dell'istanza DB RDS per la regione secondaria**: l'ARN del database promosso nella fase secondaria deve essere lo stesso della fase di promozione della lettura della replica
+ **Timeout** (opzionale): inserisci un valore di timeout, ad esempio 90 minuti
Per informazioni sulle autorizzazioni IAM richieste per questo blocco di esecuzione, consulta. [Policy di esempio per i blocchi di esecuzione di Amazon RDS](security_iam_region_switch_rds.md)
1. Scegli **Salva passaggio**.
1. Scegli **Salva flusso di lavoro**.
## Passaggio 2: Esegui il flusso di lavoro post-ripristino
1. Nella pagina dei dettagli del piano di cambio di regione, in alto a destra, scegli **Esegui dopo** il ripristino.
1. Inserisci i dettagli dell'esecuzione:
+ **ID di esecuzione del ripristino**: inserire l'ID di esecuzione dell'esecuzione di ripristino più recente. Questo campo viene utilizzato per identificare la regione attualmente attiva.
+ **Regione in cui eseguire**: seleziona la regione inattiva che non riceve alcun traffico applicativo. Questa è la regione in cui verrà creata una replica di lettura.
1. Esamina i passaggi di esecuzione e conferma l'esecuzione.
1. Selezionare **Start Execution (Avvia esecuzione)**.
1. Monitora l'avanzamento dell'esecuzione nella pagina dei dettagli dell'esecuzione. Il blocco di esecuzione RDS Create Cross-Region Replica rinominerà la vecchia istanza primaria e creerà una nuova replica di lettura nella regione precedentemente compromessa.
Una volta completata correttamente l'esecuzione post-ripristino, la replica tra regioni dell'applicazione verrà ripristinata e sarete pronti per i futuri eventi regionali. È possibile verificare se la nuova replica di lettura è stata creata controllando la console RDS nella regione di destinazione. *La vecchia versione principale verrà rinominata e contrassegnata con Switch. renamedByRegion*
**Importante**
Il cambio di regione verifica che l'ID di esecuzione del ripristino corrisponda all'ultima esecuzione nota per il piano. Se l'ID di esecuzione non è valido o non è l'ID dell'ultima esecuzione di ripristino nota, l'esecuzione successiva al ripristino non verrà eseguita.
# Operazioni API di cambio di regione
La tabella seguente elenca le operazioni ARC che è possibile utilizzare per il cambio di regione, con collegamenti alla documentazione pertinente.
| Azione | Utilizzo della console ARC | Utilizzando l'API ARC | API del piano dati |
| --- | --- | --- | --- |
| Approva o nega una fase di esecuzione del piano | Consulta [Blocco di esecuzione dell'approvazione manuale](manual-approval-block.md). | Consulta la sezione [ApprovePlanExecutionStep](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ApprovePlanExecutionStep.html) | Sì |
| Annullare l'esecuzione di un piano | Consulta [Crea un piano di cambio di regione](working-with-rs-create-plan.md). | Consulta la sezione [CancelPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_CancelPlanExecution.html) | Sì |
| Creare un piano | Consulta [Crea un piano di cambio di regione](working-with-rs-create-plan.md). | Consulta la sezione [CreatePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_CreatePlan.html) | No |
| Eliminare un piano | Consulta [Lavorare con Region Switch](working-with-rs.md). | Consulta la sezione [DeletePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_DeletePlan.html) | No |
| Procurati un piano | Consulta [Lavorare con Region Switch](working-with-rs.md). | Consulta la sezione [GetPlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlan.html) | No |
| Ottieni lo stato di valutazione del piano | Consulta [Valutazione del piano](region-switch-plans.md#region-switch-plans.plan-evaluation). | Consulta la sezione [GetPlanEvaluationStatus](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanEvaluationStatus.html) | Sì |
| Ottieni l'esecuzione di un piano | Consulta [Dashboard di cambio di regione](region-switch.dashboarding-and-reports.md). | Consulta la sezione [GetPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanExecution.html) | Sì |
| Prepara un piano in Region | Consulta [Lavorare con Region Switch](working-with-rs.md). | Consulta la sezione [GetPlanInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanInRegion.html) | Sì |
| Elenca gli eventi di esecuzione del piano | Consulta [Esegui un piano di cambio di regione per ripristinare un'applicazione](plan-execution-rs.md). | Consulta la sezione [ListPlanExecutionEvents](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlanExecutionEvents.html) | Sì |
| Elenca le esecuzioni dei piani | Consulta [Esegui un piano di cambio di regione per ripristinare un'applicazione](plan-execution-rs.md). | Consulta la sezione [ListPlanExecutions](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlanExecutions.html) | Sì |
| Elenca i piani | Consulta [Lavorare con Region Switch](working-with-rs.md). | Consulta la sezione [ListPlans](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlans.html) | No |
| Elenca i piani nella regione | Consulta [Lavorare con Region Switch](working-with-rs.md). | Consulta la sezione [ListPlansInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlansInRegion.html) | Sì |
| Elenca i controlli sanitari della Route 53 per un piano | Per informazioni, consultare [Blocco di esecuzione del controllo dello stato di Amazon Route 53](route53-health-check-block.md). | Vedi [ListRoute53 HealthChecksForPlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListRoute53HealthChecks.html) | No |
| Elenca i controlli sanitari della Route 53 per un piano nella regione | Per informazioni, consultare [Blocco di esecuzione del controllo dello stato di Amazon Route 53](route53-health-check-block.md). | Vedi [ListRoute53 HealthChecksForPlanInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListRoute53HealthChecksInRegion.html) | Sì |
| Elencare i tag associati a una risorsa | Consulta [Etichettatura per lo switch ARC Region;](tagging.region-switch.md). | Consulta la sezione [ListTagsForResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListTagsForResource.html) | No |
| Avvia l'esecuzione di un piano | Consulta [Esegui un piano di cambio di regione per ripristinare un'applicazione](plan-execution-rs.md). | Consulta la sezione [StartPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_StartPlanExecution.html) | Sì |
| Applicazione di tag a una risorsa | Consulta [Crea un piano di cambio di regione](working-with-rs-create-plan.md). | Consulta la sezione [TagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_TagResource.html) | No |
| Rimuovere i tag da una risorsa | Consulta [Etichettatura per lo switch ARC Region;](tagging.region-switch.md). | Consulta la sezione [UntagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UntagResource.html) | No |
| Aggiornare un piano | Consulta [Crea un piano di cambio di regione](working-with-rs-create-plan.md). | Consulta la sezione [UpdatePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlan.html) | No |
| Aggiornare l'esecuzione di un piano | Consulta [Crea un piano di cambio di regione](working-with-rs-create-plan.md). | Consulta la sezione [UpdatePlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlanExecution.html) | Sì |
| Aggiornare una fase di esecuzione del piano | Consulta [Crea un piano di cambio di regione](working-with-rs-create-plan.md). | Consulta la sezione [UpdatePlanExecutionStep](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlanExecutionStep.html) | Sì |
# Lavorare con Region Switch
Questa sezione fornisce step-by-step istruzioni per utilizzare i piani di cambio di regione, che è possibile utilizzare per ripristinare applicazioni multiregionali. Il cambio di regione consente di creare piani per entrambi gli approcci active/passive di active/active ripristino.
Per creare un piano di ripristino per l'applicazione, procedi come segue:
1. Crea un piano di cambio di regione. Un piano è una struttura con determinati attributi, ad esempio lo specifico in Regioni AWS cui viene eseguita l'applicazione. Ogni piano include uno o più *flussi di lavoro*.
Facoltativamente, puoi creare diversi piani e inserirli in un *piano* di recupero generale.
1. Crea un flusso di lavoro per il piano. Non puoi eseguire un piano senza prima creare un flusso di lavoro.
1. Nel flusso di lavoro, aggiungi uno o più passaggi, ciascuno dei quali è un *blocco di esecuzione*.
Ad esempio, puoi aggiungere un passaggio per scalare i gruppi di Auto Scaling EC2 in una regione di destinazione.
1. Dopo aver aggiunto passaggi al flusso di lavoro, potrebbero essere necessari passaggi aggiuntivi, come la configurazione dei controlli di integrità in Amazon Route 53. Ogni sezione del blocco di esecuzione include le informazioni di configurazione necessarie. Per ulteriori informazioni, consulta [Aggiungere blocchi di esecuzione](working-with-rs-execution-blocks.md).
1. Per ripristinare l'applicazione quando è in esecuzione in un ambiente con problemi Regione AWS, esegui il piano.
È possibile tenere traccia dello stato di avanzamento dell'esecuzione di un piano visualizzando le informazioni nella dashboard globale o nella dashboard regionale.
Le sezioni seguenti forniscono informazioni dettagliate e passaggi per creare un piano e flussi di lavoro e aggiungere fasi di blocco di esecuzione nei flussi di lavoro.
**Topics**
+ [Crea un piano](working-with-rs-create-plan.md)
+ [Crea flussi di lavoro](working-with-rs-workflows.md)
+ [Aggiungi blocchi di esecuzione](working-with-rs-execution-blocks.md)
+ [Crea piani per bambini](working-with-rs-child-plan.md)
+ [Creazione di trigger](working-with-rs-triggers.md)
+ [Esegui un piano](plan-execution-rs.md)
Le procedure in questa sezione illustrano come utilizzare piani, flussi di lavoro, blocchi di esecuzione e trigger utilizzando. Console di gestione AWS Per utilizzare invece le operazioni dell'API Region Switch, consulta. [Operazioni API di cambio di regione](actions.region-switch.md)
# Crea un piano di cambio di regione
Puoi creare due diversi tipi di piani in Region switch: un active/active piano o un active/passive piano. Quando crei un piano, specifica il tipo che si applica al modo in cui desideri gestire il failover.
+ Un approccio *attivo/passivo* implementa due repliche di applicazioni in due regioni, con il traffico indirizzato solo verso la regione attiva. È possibile attivare la replica nella regione passiva eseguendo il piano di commutazione di regione.
+ Un approccio *attivo/attivo* implementa due repliche di applicazioni in due regioni ed entrambe le repliche elaborano il lavoro o ricevono traffico.
# Per creare un piano di cambio di regione
1. Dalla console Region Switch, scegli **Crea un piano di cambio di regione** con active/passive approccio.
1. Fornisci i seguenti dettagli:
+ **Nome del piano**: inserisci un nome descrittivo per il piano.
+ **Approccio multiregionale****: seleziona **Attivo/passivo o Attivo/attivo**.** Questo approccio significa che due repliche delle applicazioni vengono distribuite in due regioni, con il traffico instradato solo nella regione attiva. È possibile attivare la replica nella regione passiva eseguendo il piano di commutazione di regione.
+ Scegli **attivo/passivo** se hai distribuito due repliche di applicazioni in due regioni, con il traffico indirizzato solo verso la regione attiva. *È quindi possibile attivare la replica nella regione passiva eseguendo il piano di cambio di regione che specifica Attivo/passivo.*
+ Scegliete **Attiva/attiva** se avete distribuito due repliche di applicazioni in due regioni ed entrambe le repliche stanno elaborando il lavoro o ricevendo traffico.
+ **Regioni o regioni primarie e di standby**: seleziona **le regioni** principali e di standby per l'applicazione. Per una active/active distribuzione, seleziona le regioni in cui vengono distribuite le repliche.
+ **Obiettivo del tempo di ripristino (RTO)**: immettere l'RTO desiderato. Region Switch lo utilizza per fornire informazioni sul tempo impiegato per completare l'esecuzione del piano di cambio di regione rispetto all'RTO desiderato.
+ **Ruolo IAM**: fornisci un ruolo IAM per Region Switch da utilizzare per eseguire il piano. Per ulteriori informazioni sulle autorizzazioni, consultare [Identity and Access Management per lo switch di regione in ARC](security-iam-region-switch.md).
+ ** CloudWatch Allarme Amazon**: fornisci un allarme sullo stato dell'applicazione che hai creato con Amazon CloudWatch, per indicare lo stato della tua applicazione in ogni regione. Il cambio di regione utilizza questi allarmi sullo stato delle applicazioni per determinare il tempo di ripristino effettivo dopo aver cambiato regione per implementare il ripristino.
Prima di aggiungere CloudWatch allarmi a un piano di cambio di regione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [CloudWatch allarmi per le autorizzazioni di integrità dell'applicazione](security_iam_region_switch_cloudwatch.md).
+ **Generazione automatica di report**: facoltativamente, abilita la generazione automatica di report per l'esecuzione dei piani. Se abilitato, Region Switch genera un report PDF completo al termine di ogni esecuzione del piano e lo consegna a un bucket Amazon S3 specificato dall'utente. Fornisci l'URI di Amazon S3 e l'ID dell'account proprietario del bucket.
Prima di abilitare la generazione automatica di report per i piani, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni sulla generazione di report e sulle autorizzazioni richieste, consulta[Rapporti automatici sull'esecuzione del piano](region-switch-plans.md#region-switch-plans.plan-execution-reports).
+ **Tag**: facoltativamente, aggiungi uno o più tag al tuo piano.
# Crea flussi di lavoro del piano Region Switch
Dopo aver creato un piano di cambio di regione, è necessario definire e creare flussi di lavoro che specifichino il processo di ripristino dell'applicazione. Per ogni piano, definisci uno o più flussi di lavoro che completano il ripristino dell'applicazione. In ogni flusso di lavoro, aggiungi passaggi che includono *blocchi di esecuzione* che definiscono ogni azione che Region Switch deve eseguire per il ripristino dell'applicazione.
Il numero di flussi di lavoro creati dipende dallo scenario di distribuzione dell'applicazione e dalle preferenze di gestione del ripristino. Esempio:
+ Se il tuo piano di cambio di regione prevede active/active application deployment, you also need to create a deactivation workflow. This means that for or active/active distribuzioni, avrai un minimo di due flussi di lavoro: un flusso di lavoro di attivazione e uno di disattivazione.
+ Se il tuo piano di cambio di regione prevede la distribuzione di un' active/passive applicazione, hai una regione principale e una secondaria. Se scegli di avere flussi di lavoro di attivazione separati per ogni regione, creerai due flussi di lavoro: uno per ogni regione.
# Per creare flussi di lavoro tra piani di cambio di regione
1. Nel piano di cambio di regione che hai creato, scegli **Crea flussi di lavoro**.
1. Seleziona una delle seguenti opzioni di flusso di lavoro:
+ **Crea lo stesso flusso di lavoro di attivazione per tutte le regioni**: consente di utilizzare lo stesso flusso di lavoro di attivazione in tutte le regioni.
+ **Crea flussi di lavoro separatamente per ogni regione**: crea un flusso di lavoro di attivazione individuale per ogni regione.
1. Facoltativamente, fornisci una descrizione per ogni flusso di lavoro.
1. Definite il flusso di lavoro necessario per ripristinare l'applicazione. Nel flusso di lavoro, aggiungete *blocchi di esecuzione* per definire i passaggi che desiderate che Region Switch esegua per il ripristino. Ogni blocco di esecuzione definisce azioni, come il reindirizzamento del traffico delle applicazioni o il ripristino del database in una regione di attivazione, e supporta le risorse in un'altra. Account AWS Puoi scegliere di far eseguire i blocchi di esecuzione in parallelo o in sequenza. Per informazioni dettagliate sui blocchi di esecuzione specifici che puoi aggiungere ai flussi di lavoro, consulta. [Aggiungere blocchi di esecuzione](working-with-rs-execution-blocks.md)
1. A seconda dell'opzione di workflow selezionata, procedi come segue:
+ Se hai selezionato **Crea lo stesso flusso di lavoro di attivazione per tutte le regioni**, è necessario un unico flusso di lavoro di attivazione.
+ Se hai selezionato **Crea flussi di lavoro separatamente per ogni regione**, sono necessari due flussi di lavoro di attivazione.
Per active/active i piani, è necessario definire sia un flusso di lavoro di attivazione che uno di disattivazione.
# Aggiungere blocchi di esecuzione
È necessario aggiungere passaggi ai flussi di lavoro del piano Region Switch, per eseguire i singoli passaggi per completare il failover o lo switchover dell'applicazione. Per informazioni dettagliate sulla funzionalità e sul comportamento di ogni tipo di blocco di esecuzione, vedere le seguenti descrizioni.
Region switch esegue una valutazione del piano immediatamente dopo la creazione o l'aggiornamento di un piano e successivamente ogni 30 minuti durante lo stato stazionario. Region switch memorizza le informazioni sulla valutazione del piano in tutte le regioni in cui è configurato il piano. Ogni sezione relativa ai blocchi di esecuzione include informazioni su ciò che viene valutato quando Region Switch esegue la valutazione del piano.
Region switch include tipi di blocchi di esecuzione che aiutano a scalare le risorse di calcolo come parte del ripristino. Se utilizzi questi blocchi di esecuzione in un piano, tieni presente che Region Switch non garantisce il raggiungimento della capacità di elaborazione desiderata. Se disponi di un'applicazione critica e devi garantire l'accesso alla capacità, ti consigliamo di riservare la capacità. Esistono strategie che puoi seguire per riservare la capacità di elaborazione in una regione secondaria limitando al contempo i costi. Per ulteriori informazioni, consulta [Pilot light with reserved capacity: come ottimizzare i costi di disaster recovery utilizzando On-Demand](https://aws.amazon.com/blogs/architecture/pilot-light-with-reserved-capacity-how-to-optimize-dr-cost-using-on-demand-capacity-reservations/) Capacity Reservations.
Lo switch di regione supporta i seguenti blocchi di esecuzione.
****
| Blocco di esecuzione | Funzione | Configurazione sgradevole |
| --- | --- | --- |
| [Blocco di esecuzione del piano di switch ARC Region](region-switch-plan-block.md) | Orchestra il ripristino per più applicazioni in un'unica esecuzione specificando i piani secondari da eseguire. | Avvia i piani per bambini con le loro configurazioni sgradevoli. |
| [Blocco di esecuzione di gruppo Amazon EC2 Auto Scaling](ec2-auto-scaling-block.md) | Ridimensiona le risorse di calcolo EC2 che si trovano in un gruppo Auto Scaling come parte dell'esecuzione del piano. | Specificate la percentuale minima di capacità di elaborazione che deve corrispondere nella regione che state attivando. |
| [Blocco di esecuzione per la scalabilità delle risorse di Amazon EKS](eks-resource-scaling-block.md) | Ridimensiona i cluster pod Amazon EKS come parte dell'esecuzione del piano. | N/D |
| [Blocco di esecuzione per la scalabilità del servizio Amazon ECS](ecs-service-scaling-block.md) | Ridimensiona le attività del servizio Amazon ECS come parte dell'esecuzione del piano. | N/D |
| [Blocco di esecuzione del controllo del routing ARC](arc-routing-controls-block.md) | Aggiungi un passaggio per modificare lo stato di uno o più controlli di routing ARC, per reindirizzare il traffico dell'applicazione verso una destinazione. Regione AWS | N/D |
| [Blocco di esecuzione di Amazon Aurora Global Database](aurora-global-database-block.md) | Esegui un flusso di lavoro di ripristino per un database globale Aurora. | Esegui un failover dei database globali Aurora (può potenzialmente causare la perdita di dati). |
| [Blocco di esecuzione di Amazon DocumentDB Global Cluster](documentdb-global-cluster-block.md) | Esegui un flusso di lavoro di ripristino per un cluster globale Amazon DocumentDB. | Esegui un failover globale del cluster Amazon DocumentDB (può potenzialmente causare la perdita di dati). |
| [Blocco di esecuzione Amazon RDS Promote Read Replica](rds-promote-read-replica-block.md) | Promuovi una replica di lettura di Amazon RDS in un'istanza di database autonoma. | N/D |
| [Blocco di esecuzione Amazon RDS Create Cross-Region Replica](rds-create-cross-region-replica-block.md) | Crea una replica di lettura interregionale per un'istanza di database Amazon RDS come parte del processo di post-ripristino. | N/D |
| [Blocco di esecuzione dell'approvazione manuale](manual-approval-block.md) | Inserisci una fase di approvazione per richiedere l'approvazione o l'annullamento di un'esecuzione prima di procedere. | N/D |
| [Blocco di esecuzione Lambda ad azione personalizzata](custom-action-lambda-block.md) | Aggiungi un passaggio personalizzato per l'esecuzione di una funzione Lambda, per abilitare azioni personalizzate. | Salta il passaggio. |
| [Blocco di esecuzione del controllo dello stato di Amazon Route 53](route53-health-check-block.md) | Speciifica le regioni verso le quali verrà reindirizzato il traffico dell'applicazione durante il failover. | N/D |
# Blocco di esecuzione del piano di switch ARC Region
Il blocco di esecuzione del piano di cambio di regione consente di orchestrare l'ordine in cui più applicazioni passano alla regione che si desidera attivare, facendo riferimento ad altri piani secondari di cambio di regione. Utilizzando questa relazione padre/figlio, è possibile creare processi di ripristino complessi e coordinati che gestiscono più risorse e dipendenze nell'infrastruttura.
## Configurazione
Quando si utilizza il blocco di esecuzione del piano di cambio di regione, si seleziona uno specifico piano di cambio di regione che si desidera eseguire nel flusso di lavoro del piano che si sta creando.
**Importante**
Prima di configurare il blocco di esecuzione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Esempio di politica di esempio per l'esecuzione del piano di cambio di regione](security_iam_region_switch_plan_execution.md).
Per configurare un blocco di esecuzione del piano Region Switch, inserisci i seguenti valori:
1. **Nome della fase:** inserisci un nome.
1. **Descrizione della fase (opzionale):** inserisci una descrizione della fase.
1. **Piano di cambio di regione:** seleziona un piano da eseguire nel flusso di lavoro per il piano corrente.
Quindi, scegli **Salva passaggio.**
## Come funziona
Utilizza il blocco di esecuzione del piano Region Switch per creare flussi di lavoro principali con parent/child relazioni. Tieni presente che questo blocco di esecuzione non supporta livelli aggiuntivi di piani figlio e limita il numero di piani genitore-figlio. I piani per bambini devono supportare le stesse regioni supportate dal piano principale e devono avere lo stesso approccio di recupero del piano principale ( active/active ovvero attivo/passivo).
Questo blocco supporta modalità di esecuzione sia graceful che ungraceful. Le impostazioni sgradevoli avvieranno i piani per bambini con la loro configurazione sgradevole. Se il blocco Region Switch è stato eseguito correttamente e poi è passato alla modalità di esecuzione non corretta, anche qualsiasi piano secondario passerà alla modalità di esecuzione non corretta.
## Cosa viene valutato nell'ambito della valutazione del piano
Se condividi un piano tra più account e il piano non è più condiviso con l'account del piano principale, Region switch evaluation restituisce un avviso che indica che il piano non è valido.
# Blocco di esecuzione di gruppo Amazon EC2 Auto Scaling
Il blocco di esecuzione di gruppo EC2 Auto Scaling consente di scalare le istanze EC2 come parte del processo di ripristino multiregionale. Puoi definire una percentuale di capacità rispetto alla regione che stai lasciando (origine e destinazione).
## Configurazione
Quando configuri il blocco di esecuzione di gruppo EC2 Auto Scaling, inserisci gli ARN EC2 Auto Scaling per le regioni specifiche associate al tuo piano. È necessario inserire EC2 ARNs Auto Scaling in ogni regione che si desidera aumentare durante l'esecuzione del piano.
**Importante**
Prima di configurare il blocco di esecuzione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Politica di esempio per i blocchi di esecuzione di EC2 Auto Scaling](security_iam_region_switch_ec2_autoscaling.md).
Per configurare un blocco di esecuzione di gruppo EC2 Auto Scaling, inserisci i seguenti valori:
1. **Nome della fase:** inserisci un nome.
1. **Descrizione della fase (opzionale):** inserisci una descrizione della fase.
1. ARN per regione del **gruppo EC2 Auto Scaling: inserisci l'*ARN*** per il gruppo Auto Scaling EC2 in ogni regione del tuo piano.
1. **Percentuale corrispondente alla capacità della Regione attivata:** Inserisci la percentuale desiderata del numero di istanze in esecuzione nel gruppo Auto Scaling da corrispondere per la Regione attivata.
1. **Approccio al monitoraggio della capacità:** seleziona uno dei seguenti approcci per il monitoraggio della capacità per i tuoi gruppi di Auto Scaling EC2:
+ **Capacità operativa massima campionata nell'arco di 24 ore**: scegli questa opzione per utilizzare il valore di **capacità desiderata** specificato nella configurazione del gruppo EC2 Auto Scaling. Questa opzione non crea costi aggiuntivi, ma è potenzialmente meno accurata rispetto all'utilizzo dell'altra opzione, le metriche. CloudWatch
Nell'API Region Switch, questa opzione corrisponde alla specificazione`sampledMaxInLast24Hours`.
Per ulteriori informazioni, consulta la sezione [Impostazione dei limiti di scalabilità per il gruppo Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/asg-capacity-limits.html) nella Guida per l'utente di Amazon EC2 Auto Scaling.
+ **Capacità operativa massima campionata in 24 ore con CloudWatch**: scegli questa opzione per utilizzare i parametri specificati in Amazon CloudWatch for EC2 Auto Scaling. L'utilizzo dell'opzione può essere più accurato, ma comporta costi aggiuntivi legati all'utilizzo delle metriche. CloudWatch
Nell'API Region Switch, questa opzione corrisponde alla specificazione. `autoscalingMaxInLast24Hours`
Per utilizzare questa opzione, devi prima abilitare le metriche di gruppo per i tuoi gruppi di Auto Scaling. Per ulteriori informazioni, consulta [Enable Auto Scaling group metrics](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-metrics.html#as-enable-group-metrics) nella Amazon EC2 Auto Scaling User Guide.
1. Timeout**: inserisci un valore di timeout**.
Quindi, scegli **Salva** passaggio.
## Come funziona
Dopo aver configurato un blocco di esecuzione di EC2 Auto Scaling, Region switch conferma che esiste un solo gruppo Auto Scaling di origine e un gruppo Auto Scaling di destinazione. Se sono presenti più gruppi di Auto Scaling, il blocco di esecuzione fallisce durante la valutazione del piano. La capacità target è definita come il numero di istanze con uno stato impostato su. `InService` Per ulteriori informazioni, consulta [Ciclo di vita delle istanze EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-lifecycle.html).
In base al valore specificato (quando si configura il blocco di esecuzione Auto Scaling) per una percentuale corrispondente, Region switch calcola la nuova capacità desiderata per il gruppo Auto Scaling di destinazione. La nuova capacità desiderata viene confrontata con la capacità desiderata del gruppo Auto Scaling di destinazione. La formula utilizzata da Region switch per calcolare la capacità desiderata è la seguente:`ceil(percentToMatch * Source Auto Scaling group capacity)`, dove ceil () è una funzione che arrotonda qualsiasi risultato frazionario. Se la capacità attuale desiderata del gruppo Auto Scaling di destinazione è maggiore o uguale alla capacità desiderata del nuovo gruppo Auto Scaling calcolato dallo switch di regione, il blocco di esecuzione procede. Si noti che il cambio di regione non riduce la capacità del gruppo Auto Scaling.
Quando Region switch esegue un blocco Auto Scaling, Region switch tenta di aumentare la capacità del gruppo Region Auto Scaling di destinazione in modo che corrisponda alla capacità desiderata. Quindi, il cambio di regione attende che la capacità del gruppo Auto Scaling richiesta sia soddisfatta nel gruppo Auto Scaling della regione di destinazione prima che il cambio di regione proceda alla fase successiva del piano.
**Nota**
L'esecuzione di questo blocco modifica le impostazioni di capacità minima e desiderata dei gruppi di Auto Scaling, il che può causare variazioni di configurazione se gestisci questi valori infrastructure-as-code tramite strumenti o altre automazioni. Assicuratevi che i processi di gestione della configurazione tengano conto di queste modifiche per evitare rollback involontari.
Se utilizzi un active/active approccio, Region switch utilizza l'altra regione configurata come origine. In altre parole, se una regione viene disattivata, il cambio di regione utilizza l'altra regione attiva come fonte per determinare la percentuale da scalare.
Questo blocco supporta sia le modalità di esecuzione graziose che le modalità di esecuzione ungraceful. È possibile configurare un'esecuzione non autorizzata specificando la percentuale minima di capacità di elaborazione da abbinare nella regione di destinazione prima che il passaggio alla fase successiva del piano passi al passaggio successivo.
## Cosa viene valutato nell'ambito della valutazione del piano
Quando Region switch valuta il piano, Region switch esegue diversi controlli critici sulla configurazione e sulle autorizzazioni del blocco di esecuzione del gruppo EC2 Auto Scaling. La valutazione dei cambi di regione verifica che i gruppi Auto Scaling siano presenti in entrambe le regioni, assicura che siano configurati e accessibili correttamente e rileva il numero di istanze in esecuzione in ciascuna regione. Conferma inoltre che la capacità massima nel gruppo Auto Scaling della regione di destinazione è sufficiente per gestire la corrispondenza percentuale specificata della scala per la capacità richiesta.
Il cambio di regione verifica inoltre che il ruolo IAM del piano disponga delle autorizzazioni corrette per Auto Scaling. Per ulteriori informazioni sulle autorizzazioni richieste per i blocchi di esecuzione degli switch di regione, vedere. [Esempi di politiche basate sull'identità per Region Switch in ARC](security_iam_id-based-policy-examples-region-switch.md) Se uno qualsiasi dei controlli fallisce, Region Switch restituisce messaggi di avviso, che è possibile visualizzare nella console. In alternativa, puoi ricevere gli avvisi di convalida tramite EventBridge o utilizzando le operazioni API.
# Blocco di esecuzione per la scalabilità delle risorse di Amazon EKS
Il blocco di esecuzione per la scalabilità delle risorse EKS consente di scalare le risorse EKS come parte del processo di ripristino multiregionale. Quando si configura il blocco di esecuzione, si definisce una percentuale di capacità da scalare, rispetto alla capacità nella regione che viene disattivata.
## Configura le autorizzazioni di accesso EKS
Prima di poter aggiungere una fase per la scalabilità delle risorse EKS, devi fornire a Region Switch le autorizzazioni necessarie per intraprendere azioni con le risorse Kubernetes nei tuoi cluster EKS. Per fornire l'accesso a Region switch, è necessario creare una voce di accesso EKS per il ruolo IAM utilizzato da Region switch per l'esecuzione del piano, utilizzando la seguente politica di accesso Region switch: `arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy`
### Region Switch: politica di accesso EKS
Le seguenti informazioni forniscono dettagli sulla politica di accesso EKS.
**Nome:** `AmazonARCRegionSwitchScalingPolicy`
**ARN della politica:** `arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy`
| Gruppi di API Kubernetes | Risorse di Kubernetes | Verbi di Kubernetes (autorizzazioni) |
| --- | --- | --- |
| \$1 | \$1/scala | ottieni, aggiorna |
| \$1 | \$1/stato | get |
| scalabilità automatica | scalatori automatici a podi orizzontali | prendi, patch |
### Crea una voce di accesso EKS per Region Switch
L'esempio seguente descrive come creare le associazioni di accesso e politiche di accesso richieste in modo che Region Switch possa eseguire azioni specifiche per le tue risorse Kubernetes. In questo esempio, le autorizzazioni si applicano allo spazio dei nomi *my-namespace1* nel cluster EKS per il ruolo IAM. *my-cluster* `arn:aws:iam::555555555555:role/my-role`
Quando configuri queste autorizzazioni, assicurati di eseguire questi passaggi per entrambi i cluster EKS nel blocco di esecuzione.
**Prerequisito**
Prima di iniziare, modifica la modalità di autenticazione del cluster in una delle due `API_AND_CONFIG_MAP` opzioni. `API` La modifica della modalità di autorizzazione aggiunge l'API per le voci di accesso. Per ulteriori informazioni, consulta [Modifica della modalità di autenticazione per utilizzare le voci di accesso](https://docs.aws.amazon.com/eks/latest/userguide/setting-up-access-entries.html) nella Amazon EKS User Guide.
**Crea la voce di accesso**
Il primo passaggio consiste nel creare la voce di accesso utilizzando un AWS CLI comando simile al seguente:
```
aws eks create-access-entry --cluster-name my-cluster --principal-arn
arn:aws:iam::555555555555:user/my-user --type STANDARD
```
Per ulteriori informazioni, consulta [Creare voci di accesso](https://docs.aws.amazon.com/eks/latest/userguide/creating-access-entries.html) nella Amazon EKS User Guide.
**Crea l'associazione di immissione degli accessi**
Quindi, create l'associazione alla politica di accesso Region Switch utilizzando un AWS CLI comando simile al seguente:
```
aws eks associate-access-policy --cluster-name my-cluster --principal-arn arn:aws:iam::555555555555:role/my-role \
--access-scope type=namespace,namespaces=my-namespace1 --policy-arn
arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy
```
Per ulteriori informazioni, consulta [Associare le politiche di accesso alle voci](https://docs.aws.amazon.com/eks/latest/userguide/access-policies.html) di accesso nella Amazon EKS User Guide.
Assicurati di ripetere questi passaggi con il secondo cluster EKS nel blocco di esecuzione, nell'altra regione, per assicurarti che sia possibile accedere a entrambi i cluster tramite lo switch di regione.
## Configurazione
**Importante**
Prima di aggiungere una fase di scalabilità delle risorse EKS, assicurati innanzitutto di aver configurato le autorizzazioni corrette. Per ulteriori informazioni, consulta [Configura le autorizzazioni di accesso EKS](#eks-resource-scaling-block-permissions). Assicurati inoltre di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Esempio di policy di esempio per la scalabilità delle risorse di Amazon EKS](security_iam_region_switch_eks.md).
Nota che Region switch attualmente supporta le seguenti ReplicaSet risorse: apps/v1, Deployment, and apps/v 1.
Per la configurazione del blocco di esecuzione, immettere i seguenti valori.
1. **Nome della fase:** inserisci un nome.
1. **Descrizione della fase (opzionale):** inserisci una descrizione della fase.
1. **Nome dell'applicazione:** inserisci il nome della tua applicazione EKS, ad esempio *myApplication*.
1. *Tipo di **risorsa Kubernetes: inserisci il tipo** di risorsa per l'applicazione, ad esempio Deployment.*
1. **Risorsa per *regione*:** per ogni regione, inserisci le informazioni per il cluster EKS, incluso l'ARN del cluster EKS, lo spazio dei nomi delle risorse e così via.
1. **Percentuale corrispondente alla capacità della regione attivata:** inserisci la percentuale desiderata di pod funzionanti nella regione di origine in modo che corrisponda alla regione attivata.
1. **Approccio al monitoraggio della capacità:** l'unica opzione per il monitoraggio della capacità è già stata selezionata, la **capacità operativa massima è stata campionata nell'arco di 24 ore**.
Questo approccio di monitoraggio della capacità utilizza il `ReplicaCount` valore per le richieste di assistenza EKS. Per ulteriori informazioni, consulta [Informazioni sullo spostamento zonale ARC in Amazon EKS nella Amazon](https://docs.aws.amazon.com/eks/latest/userguide/zone-shift.html) Elastic Kubernetes Service User Guide.
1. Timeout**: inserisci un valore di timeout**.
Quindi, scegli **Salva** passaggio.
## Come funziona
Durante l'esecuzione di un piano, Region switch recupera il numero massimo di repliche campionate nelle 24 ore precedenti per la risorsa di destinazione nella regione che stai attivando. Quindi, calcola il numero di repliche desiderato per la risorsa di destinazione utilizzando la seguente formula: `ceil(percentToMatch * Source replica count)`
Se il numero di repliche pronte per la destinazione è inferiore al valore desiderato, Region Switch ridimensiona il valore di replica della risorsa di destinazione in base alla capacità desiderata. Attende che le repliche siano pronte, sfruttando lo scaler automatico del nodo per aumentare la capacità dei nodi, se necessario.
Se il `hpaName` campo opzionale non è vuoto, Region switch lo patcherà HorizontalPodAutoscaler per impedire qualsiasi ridimensionamento automatico durante o dopo l'esecuzione utilizzando la seguente patch: `{"spec":{"behavior":{"scaleDown":{"selectPolicy":"Disabled"}}}}`
Assicurati di configurare qualsiasi strumento di correzione delle deviazioni, come gli GitOps strumenti, in modo che ignori il campo di replica per le risorse della patch, oltre al campo. HorizontalPodAutoscaler
## Cosa viene valutato nell'ambito della valutazione del piano
Quando Region switch valuta il piano, Region switch esegue diversi controlli sul blocco di esecuzione EKS configurato e sulle autorizzazioni. Region switch verifica che il ruolo IAM del piano disponga delle autorizzazioni corrette per descrivere i cluster EKS ed elencare le politiche di accesso associate. Region switch verifica inoltre che il ruolo IAM sia associato alla corretta policy di Access Entry, in modo che Region switch disponga delle autorizzazioni necessarie per agire sulle risorse Kubernetes. Infine, Region Switch conferma l'esistenza dei cluster EKS e delle risorse Kubernetes configurati.
Inoltre, Region switch verifica di aver raccolto e archiviato correttamente i dati di monitoraggio necessari (numero di repliche Kubernetes) e acquisisce il numero di pod in esecuzione necessari per eseguire il piano di switch di regione.
# Blocco di esecuzione per la scalabilità del servizio Amazon ECS
Il blocco di esecuzione della scalabilità del servizio ECS consente di scalare il servizio ECS in una regione di destinazione come parte del processo di ripristino multiregionale. È possibile definire una percentuale di capacità rispetto alla regione da cui lo switch di regione viene disattivato o disattivato.
## Configurazione
Per configurare il blocco di esecuzione del servizio ECS Service Scaling, inserisci i seguenti valori.
**Importante**
Prima di configurare il blocco di esecuzione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Policy di esempio del blocco di esecuzione della scalabilità del servizio Amazon ECS](security_iam_region_switch_ecs.md).
1. **Nome della fase:** inserisci un nome.
1. **Descrizione della fase (opzionale):** inserisci una descrizione della fase.
1. **Risorsa per *regione*:** per ogni regione, inserisci l'ARN del cluster ECS e l'ARN del servizio ECS.
1. **Percentuale corrispondente al numero di attività della regione di origine:** inserisci la percentuale desiderata di attività in esecuzione nella regione di origine in modo che corrisponda alla regione attivata.
1. **Approccio al monitoraggio della capacità:** seleziona uno dei seguenti approcci per il monitoraggio della capacità per Amazon ECS:
+ **Capacità di esecuzione massima campionata in 24 ore**: scegli questa opzione per utilizzare il valore del **conteggio delle attività in esecuzione** nel tuo servizio Amazon ECS. Questa opzione non crea costi aggiuntivi, ma è potenzialmente meno accurata rispetto all'utilizzo dell'altra opzione, CloudWatch le metriche.
Nell'API Region Switch, questa opzione corrisponde alla specificazione`sampledMaxInLast24Hours`.
Per ulteriori informazioni, consulta [la sezione Ridimensionamento automatico del servizio Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-auto-scaling.html) nella Amazon Elastic Container Service Developer Guide.
+ **Capacità operativa massima campionata nell'arco di 24 ore tramite Container Insights**: scegli questa opzione per utilizzare i parametri di Amazon ECS Container Insights. L'utilizzo dell'opzione può essere più preciso, ma comporta i costi aggiuntivi dell'utilizzo di Container Insights.
Nell'API Region switch, questa opzione corrisponde alla specificazione`autoscalingMaxInLast24Hours`.
Per utilizzare questa opzione, devi prima abilitare Container Insights. Per ulteriori informazioni, consulta [Configurare Container Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS-cluster.html#set-container-insights-ECS-cluster) nella Amazon CloudWatch User Guide.
1. **Timeout:** inserisci un valore di timeout.
Quindi, scegli **Salva** passaggio.
## Come funziona
Dopo aver configurato il blocco di esecuzione nel piano, Region Switch conferma che esiste un solo servizio ECS di origine e un servizio di destinazione. Se sono presenti più servizi, Region switch restituisce un avviso per il blocco di esecuzione. Region switch memorizza questi dati in tutte le regioni per cui è configurato il piano. La capacità target è definita come il numero desiderato impostato sul servizio ECS.
A titolo di active/passive approccio, Region switch calcola la nuova capacità desiderata per il servizio ECS nella regione di destinazione (in fase di attivazione). La nuova capacità desiderata viene confrontata con la capacità desiderata del servizio ECS di destinazione. La formula utilizzata da Region switch per calcolare la capacità desiderata è la seguente:`ceil(percentToMatch * Source Auto Scaling group capacity)`, dove ceil () è una funzione che arrotonda qualsiasi risultato frazionario. Se il conteggio corrente desiderato per il servizio ECS di destinazione è superiore alla nuova capacità desiderata calcolata per il servizio ECS, l'esecuzione del piano procede. Tieni presente che Region Switch non riduce la capacità del servizio ECS.
Se il servizio ECS ha l'Application Autoscaling abilitato, Region switch aggiorna la capacità minima in Application Autoscaling e aggiorna anche il conteggio desiderato nel servizio ECS.
Quando Region switch esegue un blocco di servizio ECS, Region switch tenta di aumentare la capacità Region ECS di destinazione in modo che corrisponda alla capacità desiderata. Quindi, Region switch attende che la capacità del servizio ECS richiesta sia soddisfatta nel servizio ECS della regione di destinazione prima che Region switch proceda alla fase successiva del piano. Se lo desideri, puoi configurare il passaggio da completare prima del completamento dell'evasione impostando un limite di timeout per il tempo di attesa del cambio di regione per il raggiungimento della capacità.
Se utilizzi un active/active approccio, lo switch Region utilizza l'altra regione configurata come origine. In altre parole, se una regione viene disattivata, il cambio di regione utilizza l'altra regione attiva come fonte per determinare la percentuale da scalare.
## Cosa viene valutato nell'ambito della valutazione del piano
Quando Region switch valuta il piano, Region switch esegue diversi controlli sulla configurazione e sulle autorizzazioni del blocco di esecuzione del servizio ECS. Region switch verifica che i servizi ECS siano presenti sia nella regione di origine che in quella di destinazione e verifica che la capacità massima impostata per il servizio ECS della regione di destinazione sia sufficiente a gestire la corrispondenza percentuale specificata della capacità della regione di destinazione. Il cambio di regione verifica inoltre che il ruolo IAM del piano disponga delle autorizzazioni corrette per il servizio ECS. Per ulteriori informazioni sulle autorizzazioni richieste per i blocchi di esecuzione degli switch di regione, consulta. [Esempi di politiche basate sull'identità per Region Switch in ARC](security_iam_id-based-policy-examples-region-switch.md)
Inoltre, Region switch verifica di aver raccolto e `ResourceMonitor` archiviato correttamente i dati di monitoraggio necessari per i servizi ECS e acquisisce un conteggio del numero di attività in esecuzione.
Se uno qualsiasi dei controlli fallisce, Region Switch restituisce messaggi di avviso, che è possibile visualizzare nella console. In alternativa, puoi ricevere gli avvisi di convalida tramite EventBridge o utilizzando le operazioni API.
# Blocco di esecuzione del controllo del routing ARC
Se hai configurato il controllo del routing di Amazon Application Recovery Controller (ARC) per la tua applicazione, puoi aggiungere una fase di controllo del routing ARC per reindirizzare il traffico dell'applicazione. Questo passaggio consente di modificare lo stato di uno o più controlli di routing ARC per reindirizzare il traffico dell'applicazione verso una destinazione. Regione AWS Il controllo del routing ARC reindirizza il traffico utilizzando i controlli di integrità in Amazon Route 53 configurati con i record DNS associati ai controlli di routing.
**Importante**
Il controllo del routing di Amazon Application Recovery Controller (ARC) è disponibile solo nella partizione AWS commerciale.
## Configurazione
Per configurare un blocco di esecuzione del controllo del routing, inserisci i seguenti valori.
**Importante**
Prima di configurare il blocco di esecuzione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Il routing ARC controlla la politica di esempio dei blocchi di esecuzione](security_iam_region_switch_arc_routing.md).
1. **Nome della fase:** inserisci un nome.
1. **Descrizione della fase (opzionale):** inserisci una descrizione della fase.
1. **Controlli di routing desiderati:** per ogni regione che desideri attivare o disattivare, inserisci l'ARN del controllo di routing e lo stato iniziale per il controllo del routing, Attivato o Disattivato.
1. Timeout: **inserire un valore di timeout.**
Quindi, scegli **Salva** passaggio.
Lo schema previsto per questo blocco di esecuzione consiste nello specificare i controlli di routing e gli stati iniziali in linea con la specifica configurazione dell'applicazione. Regioni AWS Ad esempio, se disponete di un piano che consente di attivare la Regione A e la Regione B per la vostra applicazione, potreste avere un controllo di routing per la Regione A in cui impostate lo stato su On e un controllo di routing per la Regione B in cui impostate lo stato su On.
Quindi, quando si esegue il piano e si specifica che si desidera attivare la Regione A, il flusso di lavoro che include questo blocco di esecuzione aggiorna il controllo di routing specificato su On, che indirizza il traffico verso la Regione A.
## Come funziona
Configurando un blocco di esecuzione del controllo del routing ARC, puoi reindirizzare il traffico delle applicazioni verso una destinazione o Regione AWS, per un active/active approccio, impedire che il traffico venga instradato verso una regione che stai disattivando. Se il tuo piano include più flussi di lavoro, assicurati di fornire gli stessi input per i record DNS per tutti i blocchi di esecuzione del controllo del routing che utilizzi.
Questo blocco non supporta la modalità di esecuzione non corretta.
## Cosa viene valutato nell'ambito della valutazione del piano
Quando Region switch valuta il piano, Region switch esegue diversi controlli sui controlli di routing, sulla configurazione dei blocchi di esecuzione e sulle autorizzazioni. Region switch verifica che i controlli di routing specificati siano configurati e accessibili correttamente.
Il cambio di regione verifica inoltre che il ruolo IAM del piano disponga delle autorizzazioni necessarie per accedere e aggiornare gli stati di controllo del routing. Per ulteriori informazioni sulle autorizzazioni richieste per i blocchi di esecuzione degli switch di regione, vedere. [Esempi di politiche basate sull'identità per Region Switch in ARC](security_iam_id-based-policy-examples-region-switch.md)
Le autorizzazioni IAM corrette sono essenziali per il corretto funzionamento del blocco di esecuzione del controllo del routing. Se una di queste convalide fallisce, Region switch segnala la presenza di problemi e fornisce messaggi di errore specifici per aiutarti a risolvere i problemi relativi alle autorizzazioni o alla configurazione. Ciò garantisce che il piano disponga dell'accesso necessario per gestire e interagire con i controlli di routing ARC durante l'esecuzione di questa fase durante l'esecuzione di un piano.
## Confronto tra i controlli di routing ARC e i blocchi di esecuzione dei controlli di integrità di Route 53
Il blocco di esecuzione dei controlli sanitari di Amazon Route 53 nello switch Region offre un'alternativa a basso costo per la gestione del traffico basata su DNS. Tuttavia, questo blocco di esecuzione dipende dalla regione Regione AWS che stai attivando, quindi quella regione deve essere disponibile. Ciò soddisfa le esigenze della maggior parte dei clienti, poiché stanno attivando una regione sana.
I controlli di routing ARC forniscono una gestione del traffico basata su DNS altamente affidabile con uno SLA di disponibilità del 100%. Con i controlli di routing, i team operativi possono spostare il traffico tra le regioni con barriere di sicurezza. I controlli di routing forniscono una soluzione single-tenant con uno SLA del 100%. Un cluster di controllo del routing è distribuito su cinque regioni e può tollerare che due regioni siano offline. Se disponi di applicazioni estremamente critiche, valuta la possibilità di utilizzare i controlli di routing.
I controlli di routing non sono necessari per utilizzare Region Switch. È possibile utilizzare Region switch per gestire il reindirizzamento del traffico utilizzando i blocchi di esecuzione del controllo dello stato di Route 53 senza controlli di routing.
I controlli di routing aggiungono valore con Region Switch nelle seguenti situazioni:
+ È necessario lo SLA di disponibilità al 100% per il meccanismo di controllo del traffico stesso.
+ La tua organizzazione richiede controlli operativi manuali con regole di sicurezza per le applicazioni critiche.
+ defense-in-depthVolete che i team operativi possano ignorare manualmente il routing automatico del traffico, se necessario.
I blocchi di esecuzione del controllo dello stato di Route 53 non dipendono dal piano di controllo. Le modifiche ai record di Health Check utilizzano il piano dati, quindi non richiedono la Regione di attivazione per elaborare gli aggiornamenti della configurazione. I blocchi di esecuzione del controllo dello stato di Route 53 sono sufficienti nelle seguenti situazioni:
+ L'applicazione può dipendere da quella Regione AWS che si sta attivando.
+ Il reindirizzamento automatico del traffico come parte del flusso di lavoro di ripristino soddisfa i tuoi requisiti.
+ L'ottimizzazione dei costi è una priorità. I blocchi di esecuzione dei controlli di integrità Route 53 hanno un costo inferiore rispetto ai controlli di routing.
La maggior parte dei clienti inizia con i blocchi di esecuzione del controllo dello stato di Route 53 come meccanismo di routing del traffico predefinito e aggiunge controlli di routing solo per le applicazioni più critiche che richiedono la massima affidabilità per il meccanismo di gestione del traffico.
# Blocco di esecuzione di Amazon Aurora Global Database
Il blocco di esecuzione di Amazon Aurora Global Database consente di eseguire un flusso di lavoro di *failover* o ripristino dello *switchover* per un database globale.
+ Failover: utilizza questo approccio per il ripristino dopo un'interruzione non pianificata. Con questo approccio, esegui un failover interregionale su uno dei cluster DB secondari nei database globali Aurora. Il Recovery Point Objective (RPO) per questo approccio è in genere un valore diverso da zero misurato in secondi. La quantità di perdita di dati dipende dal ritardo di replica dei database globali di Aurora Regioni AWS al momento dell'errore. Per ulteriori informazioni, consulta [Ripristino di un database globale di Amazon Aurora da un'interruzione non pianificata](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-failover) nella Guida per l'utente di Amazon Aurora.
+ *Switchover: questa operazione era precedentemente chiamata failover pianificato gestito.* Usa questo approccio per scenari controllati, ad esempio la manutenzione operativa e altre procedure operative pianificate, in cui tutti i cluster Aurora e gli altri servizi con cui interagiscono sono in stato integro. Poiché questa funzionalità sincronizza i cluster di database secondari con il primario prima di apportare altre modifiche, l’RPO è 0 (nessuna perdita di dati). Per ulteriori informazioni, consulta [Esecuzione degli switchovers per i database globali di Amazon Aurora nella Guida per l'](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-disaster-recovery.managed-failover)utente di Amazon Aurora.
## Configurazione
Per configurare un blocco di esecuzione di Aurora Global Database, immettere i seguenti valori.
**Importante**
Prima di configurare il blocco di esecuzione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Politica di esempio dei blocchi di esecuzione di Aurora Global Database](security_iam_region_switch_aurora.md).
1. **Nome della fase:** inserisci un nome.
1. **Descrizione della fase (opzionale):** inserisci una descrizione della fase.
1. **Nome del cluster Aurora Global Database:** immettere l'identificatore per il database globale.
1. **ARN del cluster per *regione*:** inserire l'ARN del cluster da utilizzare in ogni regione del piano.
1. **Specificare l'opzione per il database Aurora:** scegli **Switchover o Failover** **(perdita di dati)**, a seconda di come desideri
1. **Nome del cluster Aurora Global Database:**
1. **Timeout:** inserire un valore di timeout.
Quindi, scegli **Salva** passaggio.
## Come funziona
Configurando un blocco di esecuzione di Aurora Global Databases, è possibile eseguire il failover o lo switchover dei database globali come parte del ripristino dell'applicazione. Se utilizzi un active/active approccio, Region switch utilizza l'altra regione configurata come origine. In altre parole, se una regione viene disattivata, il cambio di regione utilizza l'altra regione attiva come fonte per determinare la percentuale da scalare.
Questo blocco supporta sia le modalità di esecuzione graziose che le modalità di esecuzione ungraceful. Le impostazioni non corrette eseguono un *failover* di Aurora Global Database, che potrebbe causare la perdita di dati.
Per ulteriori informazioni sul disaster recovery di Aurora Global Database, inclusi failover e switchover, consulta Using switchover [o failover nei database globali di Amazon Aurora nella Guida per l'utente di Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html).
## Cosa viene valutato come parte della valutazione del piano
Quando Region switch valuta il piano, Region switch esegue diversi controlli sulla configurazione e sulle autorizzazioni del blocco di esecuzione Aurora. Region switch verifica che quanto segue sia corretto:
+ Il cluster globale Aurora specificato nella configurazione esiste.
+ Esistono cluster Aurora DB sia nella regione di origine che in quella di destinazione.
+ I cluster DB di origine e di destinazione si trovano in uno stato che consente il passaggio a Global Database.
+ Esistono istanze DB sia nel cluster di origine che in quello di destinazione
+ Le versioni del motore di cluster globale per l'azione di switchover sono compatibili. Ciò include la verifica che i cluster utilizzino le stesse versioni principali, secondarie e patch, con alcune eccezioni elencate nella documentazione di Aurora.
Il cambio di regione verifica inoltre che il ruolo IAM del piano disponga delle autorizzazioni necessarie per il failover e lo switchover di Aurora. Per ulteriori informazioni sulle autorizzazioni richieste per i blocchi di esecuzione degli switch regionali, consulta. [Esempi di politiche basate sull'identità per Region Switch in ARC](security_iam_id-based-policy-examples-region-switch.md)
Le autorizzazioni IAM corrette sono essenziali per il corretto funzionamento del blocco di esecuzione Aurora. Se una di queste convalide fallisce, Region switch restituisce avvisi relativi alla presenza di problemi e fornisce messaggi di errore specifici per aiutarti a risolvere i problemi relativi alle autorizzazioni o alla configurazione. Ciò garantisce che il piano disponga dell'accesso necessario per gestire e interagire con Aurora durante l'esecuzione di questo passaggio durante l'esecuzione di un piano.
# Blocco di esecuzione di Amazon DocumentDB Global Cluster
Il blocco di esecuzione di Amazon DocumentDB Global Cluster consente di eseguire un flusso di lavoro di *failover* o ripristino dello *switchover* per un cluster globale.
+ Failover: utilizza questo approccio per il ripristino dopo un'interruzione non pianificata. Con questo approccio, esegui un failover tra regioni su uno dei cluster secondari del tuo cluster globale Amazon DocumentDB. Il Recovery Point Objective (RPO) per questo approccio è in genere un valore diverso da zero misurato in secondi. La quantità di perdita di dati dipende dal ritardo della replica globale del cluster di Amazon DocumentDB Regioni AWS al momento dell'errore.
+ Switchover: utilizza questo approccio per scenari controllati, come la manutenzione operativa e altre procedure operative pianificate in cui tutti i cluster Amazon DocumentDB sono integri. Poiché questa funzionalità sincronizza i cluster secondari con quelli primari prima di apportare altre modifiche, l'RPO è 0 (nessuna perdita di dati).
## Configurazione
Per configurare un blocco di esecuzione di Amazon DocumentDB Global Cluster, inserisci i seguenti valori.
**Importante**
Prima di configurare il blocco di esecuzione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Politica di esempio per i blocchi di esecuzione di Amazon DocumentDB Global Cluster](security_iam_region_switch_documentdb.md).
1. **Nome della fase:** inserisci un nome.
1. **Descrizione della fase (opzionale):** inserisci una descrizione della fase.
1. **Identificatore del cluster globale di Amazon DocumentDB:** inserisci l'identificatore per il cluster globale.
1. **ARN del cluster per *regione*:** inserire l'ARN del cluster da utilizzare in ogni regione del piano.
1. **Specificare l'opzione per il cluster Amazon DocumentDB:** scegli **Switchover o **Failover**** (perdita di dati).
1. Timeout**: inserisci un valore di timeout**.
Quindi, scegli **Salva** passaggio.
## Come funziona
Configurando un blocco di esecuzione di Amazon DocumentDB Global Cluster, puoi eseguire il failover o lo switchover dei cluster globali come parte del ripristino dell'applicazione. Se utilizzi un active/active approccio, Region switch utilizza l'altra regione configurata come origine. In altre parole, se una regione viene disattivata, il cambio di regione utilizza l'altra regione attiva come fonte per determinare la percentuale da scalare.
Questo blocco supporta sia le modalità di esecuzione graziose che le modalità di esecuzione ungraceful. Le impostazioni non corrette eseguono un *failover* di Amazon DocumentDB Global Cluster, che potrebbe causare la perdita di dati.
Durante le operazioni di switchover o failover, l'endpoint DNS utilizzato dai clienti per la scrittura verrà modificato. I clienti hanno la responsabilità di assicurarsi di utilizzare l'endpoint corretto una volta completata l'operazione.
## Cosa viene valutato nell'ambito della valutazione del piano
Quando Region switch valuta il tuo piano, Region switch esegue diversi controlli sulla configurazione e sulle autorizzazioni del blocco di esecuzione di Amazon DocumentDB. Il cambio di regione verifica che quanto segue sia corretto:
+ Il cluster globale Amazon DocumentDB specificato nella configurazione esiste.
+ Esistono cluster Amazon DocumentDB sia nella regione di origine che in quella di destinazione.
+ I cluster di origine e di destinazione sono disponibili.
+ Esistono istanze sia nel cluster di origine che in quello di destinazione.
+ Le versioni del motore di cluster globale sono compatibili.
Il cambio di regione verifica inoltre che il ruolo IAM del piano disponga delle autorizzazioni necessarie per il failover e lo switchover di Amazon DocumentDB. Per ulteriori informazioni sulle autorizzazioni richieste per i blocchi di esecuzione degli switch regionali, consulta. [Esempi di politiche basate sull'identità per Region Switch in ARC](security_iam_id-based-policy-examples-region-switch.md)
Le autorizzazioni IAM corrette sono essenziali per il corretto funzionamento del blocco di esecuzione di Amazon DocumentDB. Se una di queste convalide fallisce, Region switch segnala la presenza di problemi e fornisce messaggi di errore specifici per aiutarti a risolvere i problemi relativi alle autorizzazioni o alla configurazione. Ciò garantisce che il piano disponga dell'accesso necessario per gestire e interagire con Amazon DocumentDB durante l'esecuzione di questo passaggio durante l'esecuzione di un piano.
# Blocco di esecuzione Amazon RDS Promote Read Replica
Il blocco di esecuzione di Amazon RDS Promote Read Replica consente di promuovere una replica di lettura di Amazon RDS su un'istanza di database autonoma come parte del processo di ripristino multiregionale. Ciò consente di eseguire il failover in una regione integra promuovendo la replica di lettura in quella regione in modo che diventi il nuovo database primario.
## Configurazione
Per configurare un blocco di esecuzione Amazon RDS Promote Read Replica, inserisci i seguenti valori.
**Importante**
Prima di configurare il blocco di esecuzione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Policy di esempio per i blocchi di esecuzione di Amazon RDS](security_iam_region_switch_rds.md).
1. **Nome della fase:** inserisci un nome.
1. **Descrizione della fase (opzionale):** inserisci una descrizione della fase.
1. **ARN dell'istanza DB RDS per regione**: immettere l'ARN dell'istanza di database per la replica di lettura in ogni regione del piano.
1. **Timeout: immettere un valore di timeout**.
Quindi, scegli **Salva** passaggio.
## Come funziona
Configurando un blocco di esecuzione Amazon RDS Promote Read Replica, puoi promuovere una replica di lettura a un'istanza di database autonoma come parte del ripristino dell'applicazione. Quando esegui il piano, Region switch promuove la replica di lettura nella regione che stai attivando in modo che diventi un'istanza di database indipendente.
**Nota**
Questo blocco supporta solo i piani active/passive
Durante la promozione, l'endpoint DNS utilizzato per connettersi al database rimarrà lo stesso. Tuttavia, l'istanza promossa non verrà più replicata dal database primario originale. È tua responsabilità garantire che la loro applicazione sia configurata per utilizzare l'endpoint corretto al termine dell'operazione.
Dopo la promozione, l'istanza promossa eredita le seguenti impostazioni di backup dall'istanza principale originale:
+ Periodo di conservazione dei backup
+ Finestra di backup preferita
## Cosa viene valutato nell'ambito della valutazione del piano
Quando Region switch valuta il tuo piano, Region switch esegue diversi controlli sulla configurazione e sulle autorizzazioni del blocco di esecuzione di Amazon RDS. Il cambio di regione verifica che quanto segue sia corretto:
+ Le istanze di database Amazon RDS specificate nella configurazione esistono.
+ Le istanze di database nelle regioni non primarie sono repliche di lettura.
+ Le repliche di lettura sono disponibili.
+ Le istanze del database sono configurate correttamente per la replica tra regioni.
Il cambio di regione verifica inoltre che il ruolo IAM del piano disponga delle autorizzazioni necessarie per la promozione delle repliche di lettura di Amazon RDS. Per ulteriori informazioni sulle autorizzazioni richieste per i blocchi di esecuzione degli switch regionali, consulta. [Esempi di politiche basate sull'identità per Region Switch in ARC](security_iam_id-based-policy-examples-region-switch.md)
Le autorizzazioni IAM corrette sono essenziali per il corretto funzionamento del blocco di esecuzione di Amazon RDS. Se una di queste convalide fallisce, Region switch segnala la presenza di problemi e fornisce messaggi di errore specifici per aiutarti a risolvere i problemi relativi alle autorizzazioni o alla configurazione. Ciò garantisce che il piano disponga dell'accesso necessario per gestire e interagire con Amazon RDS durante questa fase durante l'esecuzione di un piano.
# Blocco di esecuzione Amazon RDS Create Cross-Region Replica
Il blocco di esecuzione Amazon RDS Create Cross-Region Replica consente di creare una replica di lettura interregionale per un'istanza di database Amazon RDS come parte del processo di post-ripristino. Questo blocco di esecuzione viene in genere utilizzato dopo aver promosso una replica di lettura per ristabilire la replica tra regioni, assicurando che l'applicazione sia pronta per i futuri eventi regionali.
## Configurazione
Per configurare un blocco di esecuzione Amazon RDS Create Cross-Region Replica, inserisci i seguenti valori.
**Importante**
Prima di configurare il blocco di esecuzione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Policy di esempio per i blocchi di esecuzione di Amazon RDS](security_iam_region_switch_rds.md).
1. **Nome della fase:** inserisci un nome.
1. **Descrizione della fase (opzionale):** inserisci una descrizione della fase.
1. **ARN dell'istanza DB di origine per regione:** immettere l'ARN dell'istanza di database per il database di origine in ogni regione del piano. Il blocco di esecuzione utilizza l'identificatore della regione attivata come database di origine per creare la replica di lettura interregionale.
1. **ARN dell'istanza DB di replica: immettere l'ARN** dell'istanza da utilizzare per la nuova replica di lettura.
1. Timeout**: inserire un valore di timeout**.
Quindi, scegli **Salva** passaggio.
## Come funziona
Configurando un blocco di esecuzione Amazon RDS Create Cross-Region Replica, puoi creare una replica di lettura nell'altra regione come parte del processo di post-ripristino. Questo blocco di esecuzione è progettato per essere eseguito dopo un failover riuscito per ristabilire la replica tra regioni.
Questo blocco può essere aggiunto solo ai piani. active/passive
Durante l'esecuzione, la vecchia istanza primaria verrà rinominata e contrassegnata con *renamedByRegionSwitch*. Quindi verrà creata una nuova istanza di replica di lettura con le seguenti impostazioni copiate dalla vecchia istanza primaria:
+ Identificatore di istanza
+ Gruppi di parametri database
+ Gruppi di sottoreti database
+ Chiave KMS
+ Gruppi di sicurezza VPC
+ Gruppi di opzioni
+ Configurazione Multi-AZ
+ ARN segreto di autenticazione del dominio
**Importante**
L'istanza principale rinominata rimane in esecuzione e continua a comportare addebiti. Region Switch la contrassegna con *renamedByRegionSwitch* per identificarla, ma non la modifica o la elimina in altro modo. L'utente è responsabile della gestione dell'istanza rinominata, inclusa la decisione se mantenerla in esecuzione, interromperla o eliminarla in base ai requisiti operativi e di costo.
**Nota**
Questo blocco di esecuzione è progettato per i flussi di lavoro successivi al ripristino e richiede che la regione di origine sia integra e accessibile. Deve essere utilizzato dopo un failover riuscito per ristabilire la replica tra regioni.
## Cosa viene valutato nell'ambito della valutazione del piano
Quando Region switch valuta il tuo piano, Region switch esegue diversi controlli sulla configurazione e sulle autorizzazioni del blocco di esecuzione di Amazon RDS. Il cambio di regione verifica che quanto segue sia corretto:
+ Le istanze del database ARNs nella configurazione sono valide e formattate correttamente.
+ Le istanze del database di origine esistono nelle rispettive regioni.
+ Le istanze del database di origine sono disponibili.
Il cambio di regione verifica inoltre che il ruolo IAM del piano disponga delle autorizzazioni necessarie per creare repliche di lettura Amazon RDS. Per ulteriori informazioni sulle autorizzazioni richieste per i blocchi di esecuzione degli switch regionali, consulta. [Esempi di politiche basate sull'identità per Region Switch in ARC](security_iam_id-based-policy-examples-region-switch.md)
Le autorizzazioni IAM corrette sono essenziali per il corretto funzionamento del blocco di esecuzione di Amazon RDS. Se una di queste convalide fallisce, Region switch segnala la presenza di problemi e fornisce messaggi di errore specifici per aiutarti a risolvere i problemi relativi alle autorizzazioni o alla configurazione. Ciò garantisce che il piano disponga dell'accesso necessario per gestire e interagire con Amazon RDS durante questa fase durante l'esecuzione di un piano.
# Blocco di esecuzione dell'approvazione manuale
Il blocco di esecuzione manuale dell'approvazione consente di inserire una fase di approvazione da associare a un ruolo IAM. Gli utenti con accesso al ruolo possono approvare o rifiutare l'esecuzione di un passaggio, sospenderlo fino alla concessione dell'approvazione o, potenzialmente, impedire l'avanzamento del piano.
Per garantire che sia richiesta l'approvazione manuale durante l'esecuzione del piano, si inserisce una fase di approvazione manuale in una posizione specifica del flusso di lavoro, quindi si configura il ruolo IAM per specificare chi può approvare la fase.
## Configurazione
Per configurare un blocco di esecuzione manuale dell'approvazione, inserisci i seguenti valori.
**Importante**
Prima di configurare il blocco di esecuzione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Esempio di politica di approvazione manuale, blocco di esecuzione](security_iam_region_switch_manual_approval.md).
1. **Nome della fase:** inserisci un nome.
1. **Descrizione della fase (opzionale):** inserisci una descrizione della fase.
1. **Ruolo di approvazione IAM:** inserisci l'ARN per un ruolo IAM autorizzato ad approvare manualmente il proseguimento dell'esecuzione per il piano di cambio di regione. Il ruolo IAM deve rientrare nell'account proprietario del piano.
1. **Timeout:** inserisci un valore di timeout.
Quindi, scegli **Salva** passaggio.
## Come funziona
Configurando un blocco di esecuzione dell'approvazione manuale, puoi richiedere un'approvazione come parte del ripristino dell'applicazione. Per un blocco di esecuzione manuale, Region switch esegue le seguenti operazioni:
+ Quando Region switch esegue un blocco di esecuzione manuale, sospende l'esecuzione e imposta lo stato di esecuzione del piano su In attesa di approvazione.
+ Chiunque abbia accesso al ruolo definito nel blocco di esecuzione può approvare o rifiutare l'esecuzione della fase.
+ Se approva l'esecuzione della fase, Region switch procede con l'esecuzione del piano. Se rifiutano, Region switch annulla l'esecuzione del piano.
Questo blocco non supporta la modalità di esecuzione non corretta.
## Cosa viene valutato nell'ambito della valutazione del piano
Region Switch non completa alcuna valutazione per i blocchi di esecuzione dell'approvazione manuale.
# Blocco di esecuzione Lambda ad azione personalizzata
Il blocco di esecuzione Lambda dell'azione personalizzata consente di aggiungere un passaggio personalizzato a un piano utilizzando una funzione Lambda.
## Configurazione
Per configurare un blocco di esecuzione Lambda, inserisci i seguenti valori.
**Importante**
Prima di configurare il blocco di esecuzione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Politica di esempio del blocco di esecuzione Lambda ad azione personalizzata](security_iam_region_switch_lambda.md).
1. **Nome della fase:** inserisci un nome.
1. **Descrizione della fase (opzionale):** inserisci una descrizione della fase.
1. **ARN della funzione Lambda da richiamare durante l'attivazione o la disattivazione di *Region***: specifica l'ARN della funzione Lambda da eseguire per questo passaggio.
1. **Regione in cui eseguire la funzione Lambda:** nel menu a discesa, scegli la regione in cui desideri eseguire le funzioni Lambda.
1. Timeout**: inserisci un valore di timeout**.
1. **Intervallo tra tentativi:** inserisci un intervallo di tentativi per eseguire nuovamente la funzione Lambda se non riesce entro questo intervallo.
**Quindi, scegli Salva passaggio.**
## Come funziona
+ Quando crei un blocco di esecuzione Lambda di azione personalizzato, devi specificare due funzioni Lambda per la fase da eseguire, una in ciascuna delle regioni del piano.
+ È possibile configurare in quale regione si desidera che la Lambda venga eseguita, ad esempio, nella regione di attivazione o nella regione di disattivazione. Tuttavia, se esegui nella regione di disattivazione, assumi una dipendenza da quella regione. Non è consigliabile dipendere dalla regione di disattivazione.
Questo blocco supporta sia le modalità di esecuzione graceful che ungraceful. In modalità di esecuzione non funzionale, Region switch salta la fase del blocco di esecuzione Lambda.
## Cosa viene valutato nell'ambito della valutazione del piano
Quando Region switch valuta il piano, Region switch esegue diversi controlli sulla configurazione e sulle autorizzazioni del blocco di esecuzione Lambda. Region switch verifica che quanto segue sia corretto:
+ Le funzioni Lambda specificate nella configurazione esistono.
+ Le impostazioni di concorrenza delle funzioni Lambda non sono limitate, inclusa la verifica di quanto segue:
+ La concorrenza non è impostata su 0.
+ È disponibile almeno un'esecuzione simultanea oppure esiste una concorrenza non riservata.
Region switch esegue un'esecuzione a secco della funzione Lambda per convalidare i parametri e le autorizzazioni specificati, senza eseguire la logica della funzione effettiva. I costi standard Lambda vengono sostenuti quando si esegue una corsa a secco.
Il cambio di regione verifica inoltre che il ruolo IAM del piano disponga delle autorizzazioni necessarie per l'esecuzione di Lambda. Per ulteriori informazioni sulle autorizzazioni richieste per i blocchi di esecuzione degli switch di regione, consulta. [Esempi di politiche basate sull'identità per Region Switch in ARC](security_iam_id-based-policy-examples-region-switch.md)
Le autorizzazioni IAM corrette sono essenziali per il corretto funzionamento del blocco di esecuzione Lambda. Se una di queste convalide fallisce, Region switch restituisce avvisi relativi alla presenza di problemi e fornisce messaggi di errore specifici per aiutarti a risolvere i problemi relativi alle autorizzazioni o alla configurazione. Ciò garantisce che il piano disponga dell'accesso necessario per gestire e interagire con la Lambda durante l'esecuzione di questo passaggio durante l'esecuzione di un piano.
# Blocco di esecuzione del controllo dello stato di Amazon Route 53
Il blocco di esecuzione del controllo dello stato di Amazon Route 53 consente di specificare le regioni a cui verrà reindirizzato il traffico dell'applicazione durante il failover. Il blocco di esecuzione crea controlli di integrità di Amazon Route 53, che puoi quindi allegare ai record DNS di Route 53 nel tuo account. Quando esegui il tuo piano di switch di regione, lo stato del controllo di integrità di Route 53 viene aggiornato e il traffico viene reindirizzato in base alla configurazione DNS.
**Importante**
La zona ospitata da Route 53 deve trovarsi nella stessa partizione del piano di commutazione regionale.
## Configurazione
Per configurare un blocco di esecuzione del controllo dello stato di salute di Route 53, inserisci i seguenti valori.
**Importante**
Prima di configurare il blocco di esecuzione, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Politica di esempio del blocco di esecuzione del controllo dello stato di Route 53](security_iam_region_switch_route53.md).
1. **Nome della fase:** inserisci un nome.
1. **Descrizione della fase (opzionale):** inserisci una descrizione della fase.
1. **ID della zona ospitata:** l'ID della zona ospitata per il dominio e i record DNS in Route 53.
1. **Nome del record:** inserisci il nome del record (nome di dominio) per i record che utilizzi, con i relativi controlli di integrità, per reindirizzare il traffico verso la tua applicazione. Region Switch troverà i set di record Route 53 per il nome del record e tenterà di mappare ogni set di record su una regione, in base al nome della regione all'interno del **Value** o **Set Identifier** del set di record.
1. **Identificatori del set di record (facoltativi):** è possibile fornire manualmente gli identificatori del set di record se Region Switch non è in grado di mappare automaticamente i set di record alle regioni in base al nome del record fornito nel passaggio 4 dopo la creazione del piano. Se la valutazione del piano restituisce un avviso che indica che sono necessarie ulteriori informazioni, aggiorna il piano con gli identificatori dei set di record includendo quanto segue per ogni regione:
+ Identificatore del **set di record: inserire l'identificatore** del **set** o il **valore o il percorso verso cui il traffico viene indirizzato per** il set di record.
+ **Regione:** inserire la regione associata al set di record che contiene le informazioni sull'identificatore del set di record.
1. Scegli **Salva passaggio**.
1. Configura i controlli sanitari in Route 53.
Region switch fornisce un ID di controllo dello stato, per ogni regione, per ogni nome di record all'interno di una zona ospitata definita nel blocco di esecuzione. Assicurati di configurare i controlli di integrità per i set di record corrispondenti nel tuo account in Route 53 in modo che Region Switch possa reindirizzare correttamente il traffico verso l'applicazione durante l'esecuzione del piano. Nella scheda **Health checks** della pagina dei dettagli del piano, puoi visualizzare i controlli di integrità per tutti i blocchi di esecuzione e le regioni.
## Come funziona
Aggiungi una fase di controllo dello stato al flusso di lavoro di cambio di regione in modo da poter reindirizzare il traffico verso una regione secondaria, per active/passive le configurazioni, o lontano da una regione disattivata, per le configurazioni. active/active Se aggiungi più flussi di lavoro al tuo piano, fornisci gli stessi valori di configurazione per tutti i blocchi di esecuzione dei controlli di integrità che utilizzano gli stessi record DNS.
In base alle informazioni fornite durante la configurazione del blocco di esecuzione, Region Switch tenta di determinare il set di record corretto per ogni regione del piano. In genere, l'ID della zona ospitata e il nome del record sono informazioni sufficienti per determinare i set di record e le regioni associate. In caso contrario, quando Region Switch esegue la valutazione automatica del piano dopo la creazione del piano, viene restituito un avviso per indicare che sono necessarie ulteriori informazioni.
Region switch esegue i controlli di integrità per ogni blocco di esecuzione dei controlli di integrità della Route 53. Per i piani che utilizzano un approccio di active/passive ripristino, il controllo dello stato di salute per la regione primaria inizia con lo stato corretto, mentre il controllo sanitario per la regione di standby è inizialmente impostato su Non integro. Per i piani che utilizzano l'approccio di active/active recupero, i controlli sanitari per tutte le regioni iniziano dallo stato di salute.
Per consentire a Region Switch di eseguire correttamente questo blocco di esecuzione per il piano, è necessario aggiungere i controlli di integrità ai record DNS.
Per un active/active piano, la fase di esecuzione funziona nel modo seguente:
+ Quando viene eseguito un flusso di lavoro di disattivazione per una regione, il controllo dello stato è impostato su non integro e il traffico non viene più indirizzato verso la regione.
+ Quando viene eseguito un flusso di lavoro di attivazione per una regione, il controllo dello stato è impostato su integro e il traffico viene indirizzato verso la regione.
Per un active/passive piano, la fase di esecuzione funziona nel modo seguente:
+ Quando viene eseguito un flusso di lavoro di attivazione per una regione, il controllo dello stato di tale regione viene impostato su integro e il traffico viene indirizzato verso la regione. Allo stesso tempo, il controllo sanitario per l'altra regione del piano non è corretto e il traffico non viene più indirizzato verso quella regione.
## Cosa viene valutato nell'ambito della valutazione del piano
Quando Region switch valuta il piano, Region switch esegue diversi controlli sulla configurazione e sulle autorizzazioni del blocco di esecuzione del controllo dello stato di Route 53. Region switch verifica che i controlli di integrità siano allegati ai record DNS specificati nella configurazione del blocco di esecuzione. Cioè, Region Switch verifica che i record DNS di una regione specifica Regione AWS siano configurati per utilizzare i controlli di integrità per quella regione.
## Confronto tra i controlli di routing ARC e i blocchi di esecuzione dei controlli di integrità di Route 53
Il blocco di esecuzione dei controlli sanitari di Amazon Route 53 nello switch Region offre un'alternativa a basso costo per la gestione del traffico basata su DNS. Tuttavia, questo blocco di esecuzione dipende dalla regione Regione AWS che stai attivando, quindi quella regione deve essere disponibile. Ciò soddisfa le esigenze della maggior parte dei clienti, poiché stanno attivando una regione sana.
I controlli di routing ARC forniscono una gestione del traffico basata su DNS altamente affidabile con uno SLA di disponibilità del 100%. Con i controlli di routing, i team operativi possono spostare il traffico tra le regioni con barriere di sicurezza. I controlli di routing forniscono una soluzione single-tenant con uno SLA del 100%. Un cluster di controllo del routing è distribuito su cinque regioni e può tollerare che due regioni siano offline. Se disponi di applicazioni estremamente critiche, valuta la possibilità di utilizzare i controlli di routing.
I controlli di routing non sono necessari per utilizzare Region Switch. È possibile utilizzare Region switch per gestire il reindirizzamento del traffico utilizzando i blocchi di esecuzione del controllo dello stato di Route 53 senza controlli di routing.
I controlli di routing aggiungono valore con Region Switch nelle seguenti situazioni:
+ È necessario lo SLA di disponibilità al 100% per il meccanismo di controllo del traffico stesso.
+ La tua organizzazione richiede controlli operativi manuali con regole di sicurezza per le applicazioni critiche.
+ defense-in-depthVolete che i team operativi possano ignorare manualmente il routing automatico del traffico, se necessario.
I blocchi di esecuzione del controllo dello stato di Route 53 non dipendono dal piano di controllo. Le modifiche ai record di Health Check utilizzano il piano dati, quindi non richiedono la Regione di attivazione per elaborare gli aggiornamenti della configurazione. I blocchi di esecuzione del controllo dello stato di Route 53 sono sufficienti nelle seguenti situazioni:
+ L'applicazione può dipendere da quella Regione AWS che si sta attivando.
+ Il reindirizzamento automatico del traffico come parte del flusso di lavoro di ripristino soddisfa i tuoi requisiti.
+ L'ottimizzazione dei costi è una priorità. I blocchi di esecuzione dei controlli di integrità Route 53 hanno un costo inferiore rispetto ai controlli di routing.
La maggior parte dei clienti inizia con i blocchi di esecuzione del controllo dello stato di Route 53 come meccanismo di routing del traffico predefinito e aggiunge controlli di routing solo per le applicazioni più critiche che richiedono la massima affidabilità per il meccanismo di gestione del traffico.
# Crea piani per bambini
Per supportare scenari di ripristino più complessi, puoi creare piani secondari aggiungendoli con blocchi di esecuzione del piano Region Switch. La gerarchia è limitata a due livelli, ma un piano per genitori può includere più piani per bambini.
**Importante**
Prima di creare un piano secondario, assicurati di disporre della politica IAM corretta. Per ulteriori informazioni, consulta [Esempio di politica di esempio per l'esecuzione del piano di cambio di regione](security_iam_region_switch_plan_execution.md).
Per motivi di compatibilità, i piani per bambini devono supportare tutte le regioni supportate dal piano principale. Inoltre, l'approccio di recupero, active/active o attivo/passivo, deve essere lo stesso per i piani genitore e figlio.
Tieni presente i seguenti modi in cui un piano figlio risponde alle modifiche apportate a un piano genitore e agli scenari del piano genitore.
+ Un blocco di esecuzione principale viene contrassegnato come completato quando tutti i piani figlio e gli altri blocchi di esecuzione al suo interno sono stati completati.
+ Se un passaggio non riesce in un piano secondario, il blocco di esecuzione del piano Region Switch fallisce nel piano principale.
+ Le azioni di controllo avviate nel piano genitore durante la fase di cambio di regione, come una pausa, un passaggio graduale o non corretto o una cancellazione, vengono eseguite automaticamente nel piano per bambini, indipendentemente dalla fase corrente del piano per bambini.
+ Le operazioni Skips hanno un comportamento speciale: il piano principale viene saltato, ma il piano secondario verrà comunque eseguito.
+ Se un piano secondario è già in esecuzione in un blocco di cambio di regione, per determinare se continua a funzionare, Region switch valuta la compatibilità del piano secondario con il piano principale. Se la configurazione del piano figlio soddisfa i requisiti del piano principale, Region switch considera il piano figlio come se fosse stato avviato dal piano principale.
+ La fase del piano principale avrà esito negativo se il piano secondario viene eseguito con parametri di configurazione incompatibili, come i seguenti:
+ Il piano per bambini è attivo in una regione diversa
+ Il piano secondario sta eseguendo un'operazione di disattivazione quando Region Switch prevede che esegua un'operazione di attivazione
+ Se il piano per i genitori viene completato con successo durante un periodo in cui un piano principale è sospeso, il piano principale avrà esito positivo quando riprenderà il piano principale.
# Crea un trigger per un piano di cambio di regione
Se desideri automatizzare il ripristino della tua applicazione in Region Switch, puoi creare uno o più trigger per il tuo piano di cambio di regione. I trigger iniziano automaticamente a eseguire un piano di cambio di regione, in base alle condizioni di CloudWatch allarme scelte.
# Per creare un trigger per un piano di cambio di regione
1. Dopo aver creato un piano, nella pagina dei **dettagli del piano**, seleziona la scheda **Trigger**.
1. Scegli **Gestisci i trigger**.
1. **Seleziona i flussi di lavoro di cui desideri automatizzare l'esecuzione, quindi scegli Aggiungi trigger.**
1. Fornisci una descrizione del trigger.
1. Seleziona un CloudWatch allarme, quindi seleziona fino a 10 CloudWatch allarmi per creare le condizioni per l'attivazione.
Quando selezioni più di una condizione, tutte le condizioni devono essere soddisfatte prima che inizi l'esecuzione automatica del piano.
Il trigger avvia l'esecuzione del piano quando un CloudWatch allarme passa a soddisfare le condizioni per l'attivazione. Quando il trigger viene aggiunto al piano, se le condizioni sono già soddisfatte, il piano non viene eseguito, il che impedisce eventi di failover non intenzionali.
# Esegui un piano di cambio di regione per ripristinare un'applicazione
Per ripristinare un'applicazione quando un'applicazione Regione AWS è danneggiata, esegui un piano di cambio di regione in Amazon Application Recovery Controller (ARC).
+ Se l'applicazione viene distribuita con un active/active approccio, i flussi di lavoro del piano disattivano la regione danneggiata in modo che l'altra regione attiva venga ridimensionata in modo appropriato e inizi a ricevere tutto il traffico dell'applicazione.
+ Se l'applicazione viene distribuita con un active/passive approccio, i flussi di lavoro del piano disattivano la regione danneggiata e attivano la regione di standby, aumentando le risorse in tale area, se necessario, e reindirizzando il traffico dell'applicazione verso la regione di standby.
Per eseguire il ripristino dell'applicazione manualmente, esegui il piano di cambio di regione effettuando le seguenti operazioni.
Un'altra opzione è quella di attivare automaticamente un'esecuzione con CloudWatch allarmi Amazon specifici specificati per avviare l'esecuzione di un piano. Puoi specificare i trigger per l'esecuzione del piano quando crei o aggiorni un piano. Per ulteriori informazioni, consulta [Crea un trigger per un piano di cambio di regione](working-with-rs-triggers.md).
# Per eseguire un piano di cambio di regione
1. Nella Console di gestione AWS, accedi a Regione AWS quello che desideri attivare per la tua applicazione.
1. Sulla console Amazon Application Recovery Controller (ARC), scegli **Region switch**, quindi seleziona il piano che desideri eseguire.
1. Scegli **Execute plan**.
1. Se il tuo piano include passaggi di approvazione manuali, approva ogni passaggio quando richiesto.
Durante l'esecuzione di un piano, è possibile monitorarne l'avanzamento nella pagina dei dettagli di esecuzione, che si apre quando si sceglie di eseguire un piano.
È inoltre possibile visualizzare le informazioni sul ripristino delle applicazioni in corso nei dashboard di Region Switch. Nella console Region Switch, nella barra di navigazione a sinistra, in Cambio di **regione**, scegli una delle seguenti opzioni:
+ **Dashboard globale**
+ **Esecuzioni nel nome *della regione***
Tieni presente che, in caso di problemi in una regione, la dashboard globale potrebbe non mostrare tutti i dati del tuo piano. Per questo motivo, ti consigliamo di fare affidamento solo sulla dashboard delle esecuzioni regionali durante gli eventi operativi. Il dashboard Regional Executions è più resiliente perché utilizza il piano dati locale dello switch Region.
Una volta completata l'esecuzione del piano, è possibile visualizzare le informazioni sull'esecuzione del piano e su altri piani eseguiti da Region Switch nella pagina dei **dettagli del piano** nella scheda **Cronologia di esecuzione del piano**.
# Dashboard di cambio di regione
Il cambio di regione include una dashboard globale che puoi utilizzare per osservare lo stato dei piani di cambio di regione nell'organizzazione e nelle regioni. Region Switch dispone anche di un pannello di controllo delle esecuzioni regionali che mostra solo le esecuzioni dei piani nella regione in cui sei attualmente connesso a. Console di gestione AWS
Tieni presente che, in caso di problemi in una regione, la dashboard globale potrebbe non mostrare tutti i dati del tuo piano. Per questo motivo, ti consigliamo di fare affidamento solo sulla dashboard delle esecuzioni regionali durante gli eventi operativi. Il dashboard Regional Executions è più resiliente perché utilizza il piano dati locale dello switch Region.
# Per aprire il pannello di controllo globale Region Switch
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. In **Cambio di regione**, scegli **Dashboard globale**.
# Per aprire la dashboard Regional Switch Regional
1. Apri la console ARC all'indirizzo[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard).
1. In **Cambio di regione**, scegli **Dashboard regionale**.
# Supporto per più account in Region Switch
In Region Switch, puoi aggiungere risorse da altri account ai tuoi piani. Puoi anche condividere un piano di cambio di regione con altri account. Per ulteriori informazioni, consultare le sezioni indicate di seguito.
## Risorse per più account
Il cambio di regione consente di ospitare le risorse in un account separato dall'account che contiene il piano di cambio di regione. Quando Region switch esegue un piano, assume l'ExecutionRole. Se il piano utilizza le risorse di un account diverso dall'account che ospita il piano, Region Switch utilizza ExecutionRole per assumere l'accesso a tali risorse. crossAccountRole
Ogni risorsa del piano Region Switch ha due campi opzionali: crossAccountRole e ExternalID.
+ crossAccountRole: Questo ruolo consente l'accesso alle risorse in un account diverso dall'account che ospita il piano di cambio di regione. Il ruolo necessita solo delle autorizzazioni per agire sulle risorse del suo account e non ha bisogno di autorizzazioni per agire sulle risorse dell'account che ospita il piano di cambio di regione.
+ ExternalId: Questo è l'ID esterno STS indicato nella politica di fiducia dell'account che contiene la risorsa che richiede un'azione. È una stringa alfanumerica che rappresenta il segreto condiviso tra i due account.
## Condivisione dei piani di cambio di regione
Region switch si integra con AWS Resource Access Manager (AWS RAM) per consentirti di condividere i piani tra Account AWS di loro. Quando condividi un piano, gli account da te specificati possono visualizzare i dettagli del piano, eseguire il piano e visualizzare le esecuzioni del piano, il che offre maggiore controllo e flessibilità per le funzionalità di ripristino tra diversi team.
Per iniziare con la condivisione tra account in Region Switch, devi creare una condivisione di risorse in. AWS RAM La condivisione delle risorse specifica i partecipanti autorizzati a condividere il piano di proprietà del tuo account. I partecipanti possono visualizzare ed eseguire il piano condiviso tramite la console, la CLI o. AWS SDKs
Importante: Account AWS devi essere il proprietario dei piani che desideri condividere. Non puoi condividere un piano che è stato condiviso con te. Per condividere un piano con la propria organizzazione o con un'unità organizzativa in AWS Organizations, è necessario abilitare la condivisione con Organizations.
Per ulteriori informazioni su AWS RAM, vedere[Supporta i piani di condivisione tra account per ARC Region Switch](resource-sharing.region-switch.md).
# Supporta i piani di condivisione tra account per ARC Region Switch
Amazon Application Recovery Controller (ARC) si integra con AWS Resource Access Manager per abilitare la condivisione delle risorse. AWS RAM è un servizio che consente di condividere risorse con altri Account AWS o tramite AWS Organizations. Per ARC Region Switch, puoi condividere il piano Region Switch. (Per utilizzare le risorse di un altro account del piano, si utilizza un ruolo CrossAccount. Per ulteriori informazioni, consulta[Risorse per più account](cross-account-resources-rs.md#cross-account-resources-rs-in-plan).)
Con AWS RAM, condividi le risorse di tua proprietà creando una *condivisione di risorse*. Una condivisione di risorse specifica le risorse da condividere e i *partecipanti* con cui condividerle. I partecipanti possono includere:
+ Specifico Account AWS all'interno o all'esterno dell'organizzazione del proprietario in AWS Organizations
+ Un'unità organizzativa all'interno della sua organizzazione in AWS Organizations
+ La sua intera organizzazione in AWS Organizations
Per ulteriori informazioni in merito AWS RAM, consulta la *[Guida AWS RAM per l'utente](https://docs.aws.amazon.com/ram/latest/userguide/)*.
Utilizzando AWS Resource Access Manager per condividere i piani tra più account in ARC, è possibile utilizzare un piano con diversi piani diversi Account AWS. Quando si sceglie di condividere un piano, un altro Account AWS piano specificato dall'utente può eseguire il piano per eseguire il ripristino dell'applicazione.
AWS RAM è un servizio che aiuta AWS i clienti a condividere in modo sicuro le risorse tra Account AWS i clienti. Con AWS RAM, puoi condividere risorse all'interno di un'organizzazione o di unità organizzative (OUs) in AWS Organizations, utilizzando ruoli e utenti IAM. AWS RAM è un modo centralizzato e controllato per condividere un piano.
Quando si condivide un piano, è possibile ridurre il numero totale di piani richiesti dall'organizzazione. Con un piano condiviso, è possibile allocare il costo totale di esecuzione del piano tra diversi team, per massimizzare i vantaggi di ARC a costi inferiori. La condivisione dei piani tra gli account può anche semplificare il processo di onboarding di più applicazioni su ARC, soprattutto se si dispone di un gran numero di applicazioni distribuite su più account e team operativi.
Per iniziare con la condivisione tra account in ARC, devi creare una *condivisione di risorse* i n. AWS RAM La condivisione delle risorse specifica *i partecipanti* autorizzati a condividere il piano di proprietà del tuo account.
Questo argomento spiega come condividere le tue risorse e come utilizzare le risorse condivise con te.
**Topics**
+ [Prerequisiti per la condivisione dei piani](#sharing-prereqs-rs)
+ [Condivisione di un piano](#sharing-share-rs)
+ [Annullamento della condivisione di un piano condiviso](#sharing-unshare-rs)
+ [Identificazione di un piano condiviso](#sharing-identify-rs)
+ [Responsabilità e autorizzazioni per i piani condivisi](#sharing-perms-rs)
+ [Costi di fatturazione](#sharing-billing-rs)
+ [Quote](#sharing-quotas-rs)
## Prerequisiti per la condivisione dei piani
+ Per condividere un piano, devi possederlo nel tuo Account AWS. Ciò significa che la risorsa deve essere allocata o assegnata all’account. Non puoi condividere un piano che è stato condiviso con te.
+ Per condividere un piano con la tua organizzazione o un'unità organizzativa AWS Organizations, devi abilitare la condivisione con AWS Organizations. Per ulteriori informazioni, consulta [Abilitare la condivisione con AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) nella *Guida per l’utente di AWS RAM *.
## Condivisione di un piano
Quando condividi un piano, i partecipanti che hai specificato per condividere il piano possono visualizzare e, se concedi autorizzazioni aggiuntive, eseguire il piano.
Per condividere un piano, è necessario aggiungerlo a una condivisione di risorse. Una condivisione di risorse è una risorsa AWS RAM che consente di condividere le risorse tra Account AWS. Una condivisione di risorse specifica le risorse da condividere e i partecipanti con cui vengono condivise. Per condividere un piano, puoi creare una nuova condivisione di risorse o aggiungere la risorsa a una condivisione di risorse esistente. Per creare una nuova condivisione di risorse, puoi utilizzare la [AWS RAM console](https://console.aws.amazon.com/ram) o utilizzare le operazioni AWS RAM API con AWS Command Line Interface o AWS SDKs.
Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, ai partecipanti dell'organizzazione viene automaticamente concesso l'accesso al piano condiviso. In caso contrario, i partecipanti ricevono un invito a partecipare alla condivisione delle risorse e ottengono l'accesso al piano condiviso dopo aver accettato l'invito.
Puoi condividere un piano di tua proprietà utilizzando la AWS RAM console o utilizzando le operazioni AWS RAM API con AWS CLI o SDKs.
**Per condividere un piano di tua proprietà utilizzando la AWS RAM console**
Vedi [Creazione di una condivisione di risorse](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) nella *Guida AWS RAM per l'utente*.
**Per condividere un piano di tua proprietà utilizzando il AWS CLI**
Utilizza il comando [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html).
**Concessione delle autorizzazioni per condividere i piani**
La condivisione dei piani tra più account richiede le seguenti autorizzazioni aggiuntive affinché il principale IAM condivida il piano utilizzando: AWS RAM
```
# read and execute plan permissions
"arc-region-switch:GetPlan",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:StartPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:UpdatePlanExecutionStep"
```
Il proprietario che condivide il piano deve disporre delle seguenti autorizzazioni. Se si tenta di condividere un piano AWS RAM senza disporre di queste autorizzazioni, viene restituito un errore.
```
"arc-region-switch:PutResourcePolicy" # Permission only apis
"arc-region-switch:DeleteResourcePolicy" # Permission only apis
"arc-region-switch:GetResourcePolicy" # Permission only apis
```
Per ulteriori informazioni sul modo in cui AWS Resource Access Manager utilizza IAM, consulta [How AWS Resource Access Manager uses IAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-policies.html) nella *Guida per l'AWS RAM utente*.
## Annullamento della condivisione di un piano condiviso
Quando annulli la condivisione di un piano, ai partecipanti e ai proprietari si applica quanto segue:
+ I partecipanti non possono più visualizzare o eseguire il piano non condiviso.
Per annullare la condivisione di un piano condiviso di tua proprietà, rimuovilo dalla condivisione delle risorse. Puoi farlo utilizzando la AWS RAM console o utilizzando le operazioni AWS RAM API con AWS CLI o SDKs.
**Per annullare la condivisione di un piano condiviso di tua proprietà utilizzando la console AWS RAM**
Consulta [Aggiornamento di una condivisione di risorse](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update) nella *Guida per l’utente di AWS RAM *.
**Per annullare la condivisione di un piano condiviso di tua proprietà utilizzando il AWS CLI**
Utilizza il comando [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).
## Identificazione di un piano condiviso
I proprietari e i partecipanti possono identificare i piani condivisi visualizzando le informazioni in AWS RAM. Possono inoltre ottenere informazioni sulle risorse condivise utilizzando la console ARC e AWS CLI.
In generale, per saperne di più sulle risorse che hai condiviso o che sono state condivise con te, consulta le informazioni nella Guida per l' AWS Resource Access Manager utente:
+ In qualità di proprietario, puoi visualizzare tutte le risorse che condividi con altri utilizzando AWS RAM. Per ulteriori informazioni, vedi [Visualizzazione delle risorse condivise in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-view-sr.html).
+ Come partecipante, puoi visualizzare tutte le risorse condivise con te utilizzando AWS RAM. Per ulteriori informazioni, vedi [Visualizzazione delle risorse condivise in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-view-sr.html).
In qualità di proprietario, puoi determinare se stai condividendo un piano visualizzando le informazioni nelle operazioni dell'API Console di gestione AWS o utilizzando le operazioni dell'API AWS Command Line Interface con ARC.
**Per identificare se un piano di tua proprietà è condiviso utilizzando la console**
Nella Console di gestione AWS pagina dei dettagli di un piano, vedi **lo stato di condivisione del piano**.
In qualità di partecipante, quando un piano viene condiviso con te, in genere devi accettare la condivisione per poter accedere al piano.
## Responsabilità e autorizzazioni per i piani condivisi
### Autorizzazioni per i proprietari
I partecipanti possono visualizzare o eseguire il piano (se dispongono delle autorizzazioni corrette).
### Autorizzazioni per i partecipanti
Quando condividi un piano di tua proprietà con altri Account AWS, i partecipanti possono visualizzare o eseguire il piano (se dispongono delle autorizzazioni corrette).
Quando condividi un piano utilizzando AWS RAM, un partecipante dispone, per impostazione predefinita, di autorizzazioni di sola lettura. Per visualizzare un elenco di autorizzazioni di sola lettura per il cambio di regione, consulta. [Autorizzazioni di sola lettura](security_iam_region_switch_read_only.md) I partecipanti necessitano di autorizzazioni aggiuntive per eseguire un piano di cambio di regione. I partecipanti che devono eseguire i piani necessitano di autorizzazioni aggiuntive. Tieni presente che non puoi concedere l'autorizzazione a un AWS RAM partecipante per le seguenti operazioni:
+ ` ApprovePlanExecutionStep`
+ ` UpdatePlan`
## Costi di fatturazione
Al proprietario di un piano in ARC vengono fatturati i costi associati al piano. Non sono previsti costi aggiuntivi, per i proprietari del piano o per i partecipanti, per la creazione di risorse ospitate in un piano.
Per informazioni dettagliate ed esempi sui prezzi, consulta la pagina dei [prezzi di Amazon Application Recovery Controller (ARC)](https://aws.amazon.com/application-recovery-controller/pricing/).
## Quote
Tutte le risorse create in un piano condiviso vengono conteggiate ai fini delle quote assegnate al proprietario del piano.
Per un elenco delle quote del piano di cambio di regione, consulta. [Quote per il cambio di regione](quotas.region-switch.md)
# Identity and Access Management per lo switch di regione in ARC
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse ARC. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Come funziona il Region Switch con IAM](security_iam_service-with-iam-region-switch.md)
+ [Esempi di policy basate su identità](security_iam_id-based-policy-examples-region-switch.md)
# Come funziona Region Switch in ARC con IAM
Prima di utilizzare IAM per gestire l'accesso ad ARC, scopri quali funzionalità IAM sono disponibili per l'uso con ARC.
Prima di utilizzare IAM per gestire l'accesso al Region switch in Amazon Application Recovery Controller (ARC), scopri quali funzionalità IAM sono disponibili per l'uso con Region switch.
**Funzionalità IAM che puoi utilizzare con lo switch di regione in Amazon Application Recovery Controller (ARC)**
| Funzionalità IAM | Supporto per switch di regione |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-region-switch-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-region-switch-resource-based-policies) | Sì |
| [Operazioni di policy](#security_iam_service-with-iam-region-switch-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-region-switch-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-region-switch-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-region-switch-acls) | Sì |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-region-switch-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-region-switch-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-region-switch-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-region-switch-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-region-switch-roles-service-linked) | No |
Per avere una visione generale di alto livello di come AWS i servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per Region Switch
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Per visualizzare esempi di politiche basate sull'identità ARC, vedere. [Esempi di policy basate sull'identità in Amazon Application Recovery Controller (ARC)](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Region Switch
**Supporta le policy basate sulle risorse**: sì
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le policy di attendibilità dei ruoli IAM e le policy di bucket Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica.
## Azioni politiche per il cambio di regione
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni di eseguire l’operazione associata.
Le azioni politiche in ARC for Region switch utilizzano i seguenti prefissi prima dell'azione:
```
arc-region-switch
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola. Ad esempio, quanto segue:
```
"Action": [
"arc-region-switch:action1",
"arc-region-switch:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "arc-region-switch:Describe*"
```
Per visualizzare esempi di politiche basate sull'identità ARC per Region Switch, vedere. [Esempi di politiche basate sull'identità per Region Switch in ARC](security_iam_id-based-policy-examples-region-switch.md)
## Risorse politiche per Region Switch
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare esempi di politiche basate sull'identità ARC per Region Switch, vedere. [Esempi di politiche basate sull'identità per Region Switch in ARC](security_iam_id-based-policy-examples-region-switch.md)
## Chiavi relative alle condizioni politiche per il cambio di regione
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare esempi di politiche ARC basate sull'identità per Region Switch, vedere. [Esempi di politiche basate sull'identità per Region Switch in ARC](security_iam_id-based-policy-examples-region-switch.md)
## Accedete agli elenchi di controllo (ACLs) in Region Switch
**Supporti ACLs:** Sì
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## Controllo degli accessi basato sugli attributi (ABAC) con interruttore di regione
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Region switch
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per Region Switch
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Quando utilizzi un'entità IAM (utente o ruolo) per eseguire azioni in AWS, sei considerato un principale. Le policy concedono autorizzazioni a un'entità. Quando si utilizzano alcuni servizi, è possibile eseguire un'azione che attiva un'altra azione in un servizio diverso. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni.
## Ruoli di servizio per Region Switch
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta la sezione [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
## Ruoli collegati al servizio per Region Switch
**Supporta i ruoli collegati ai servizi:** no
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di politiche basate sull'identità per Region Switch in ARC
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse ARC. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da ARC, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Application Recovery Controller (ARC)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [Pianifica la politica di affidabilità dei ruoli di esecuzione](security_iam_region_switch_trust_policy.md)
+ [Autorizzazioni di accesso complete](security_iam_region_switch_full_access.md)
+ [Autorizzazioni di sola lettura](security_iam_region_switch_read_only.md)
+ [Autorizzazioni per blocchi di esecuzione](security_iam_region_switch_execution_blocks.md)
+ [CloudWatch allarmi per le autorizzazioni di integrità dell'applicazione](security_iam_region_switch_cloudwatch.md)
+ [Autorizzazioni per l'esecuzione automatica dei report di esecuzione del piano](security_iam_region_switch_reports.md)
+ [Autorizzazioni relative alle risorse per più account](security_iam_region_switch_cross_account.md)
+ [Autorizzazioni complete per il ruolo di esecuzione del piano](security_iam_region_switch_complete_policy.md)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse ARC nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
# Pianifica la politica di affidabilità dei ruoli di esecuzione
Questa è la politica di fiducia richiesta per il ruolo di esecuzione del piano, in modo che ARC possa eseguire un piano di cambio di regione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "arc-region-switch.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Autorizzazioni di accesso complete
La seguente policy IAM garantisce l'accesso completo a tutti gli switch di regione: APIs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "arc-region-switch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:CreatePlan",
"arc-region-switch:UpdatePlan",
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:DeletePlan",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:ApprovePlanExecutionStep",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:StartPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource",
"arc-region-switch:TagResource",
"arc-region-switch:UntagResource",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:UpdatePlanExecutionStep"
],
"Resource": "*"
}
]
}
```
------
# Autorizzazioni di sola lettura
La seguente policy IAM concede autorizzazioni di accesso in sola lettura per Region Switch:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
# Autorizzazioni per blocchi di esecuzione
Le seguenti sezioni forniscono esempi di policy IAM che forniscono le autorizzazioni richieste per blocchi di esecuzione specifici da aggiungere a un piano di cambio di regione.
**Topics**
+ [Politica di esempio per i blocchi di esecuzione di EC2 Auto Scaling](security_iam_region_switch_ec2_autoscaling.md)
+ [Esempio di policy di esempio per la scalabilità delle risorse di Amazon EKS](security_iam_region_switch_eks.md)
+ [Policy di esempio del blocco di esecuzione della scalabilità del servizio Amazon ECS](security_iam_region_switch_ecs.md)
+ [Il routing ARC controlla la politica di esempio dei blocchi di esecuzione](security_iam_region_switch_arc_routing.md)
+ [Politica di esempio dei blocchi di esecuzione di Aurora Global Database](security_iam_region_switch_aurora.md)
+ [Politica di esempio per i blocchi di esecuzione di Amazon DocumentDB Global Cluster](security_iam_region_switch_documentdb.md)
+ [Policy di esempio per i blocchi di esecuzione di Amazon RDS](security_iam_region_switch_rds.md)
+ [Esempio di politica di approvazione manuale, blocco di esecuzione](security_iam_region_switch_manual_approval.md)
+ [Politica di esempio del blocco di esecuzione Lambda ad azione personalizzata](security_iam_region_switch_lambda.md)
+ [Politica di esempio del blocco di esecuzione del controllo dello stato di Route 53](security_iam_region_switch_route53.md)
+ [Esempio di politica di esempio per l'esecuzione del piano di cambio di regione](security_iam_region_switch_plan_execution.md)
# Politica di esempio per i blocchi di esecuzione di EC2 Auto Scaling
Di seguito è riportato un esempio di policy da allegare se aggiungi blocchi di esecuzione a un piano di cambio di regione per i gruppi EC2 Auto Scaling.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"autoscaling:UpdateAutoScalingGroup"
],
"Resource": [
"arn:aws:autoscaling:us-east-1:123456789012:autoScalingGroup:123d456e-123e-1111-abcd-EXAMPLE22222:autoScalingGroupName/app-asg-primary",
"arn:aws:autoscaling:us-west-2:123456789012:autoScalingGroup:1234a321-123e-1234-aabb-EXAMPLE33333:autoScalingGroupName/app-asg-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Esempio di policy di esempio per la scalabilità delle risorse di Amazon EKS
Di seguito è riportato un esempio di policy da allegare se aggiungi blocchi di esecuzione a un piano di switch di regione per la scalabilità delle risorse di Amazon EKS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:cluster/app-eks-primary",
"arn:aws:eks:us-west-2:123456789012:cluster/app-eks-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"eks:ListAssociatedAccessPolicies"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:access-entry/app-eks-primary/*",
"arn:aws:eks:us-west-2:123456789012:access-entry/app-eks-secondary/*"
]
}
]
}
```
------
Nota: oltre a questa policy IAM, il ruolo di esecuzione del piano deve essere aggiunto alle voci di accesso del cluster Amazon EKS con la policy di `AmazonArcRegionSwitchScalingPolicy` accesso. Per ulteriori informazioni, consulta [Configura le autorizzazioni di accesso EKS](eks-resource-scaling-block.md#eks-resource-scaling-block-permissions).
# Policy di esempio del blocco di esecuzione della scalabilità del servizio Amazon ECS
Di seguito è riportato un esempio di policy da allegare se aggiungi blocchi di esecuzione a un piano di switch di regione per la scalabilità del servizio Amazon ECS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeServices",
"ecs:UpdateService"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/app-cluster-primary/app-service",
"arn:aws:ecs:us-west-2:123456789012:service/app-cluster-secondary/app-service"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeClusters"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:cluster/app-cluster-primary",
"arn:aws:ecs:us-west-2:123456789012:cluster/app-cluster-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:ListServices"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Il routing ARC controlla la politica di esempio dei blocchi di esecuzione
Nota: il blocco di esecuzione dei controlli di routing di Amazon ARC richiede che tutte le politiche di controllo del servizio (SCPs) applicate al ruolo di esecuzione del piano consentano l'accesso alle seguenti regioni per questi servizi:
+ `route53-recovery-control-config: us-west-2`
+ `route53-recovery-cluster: us-west-2, us-east-1, eu-west-1, ap-southeast-2, ap-northeast-1`
Di seguito è riportato un esempio di policy da allegare se aggiungi blocchi di esecuzione a un piano di switch di regione per i controlli di routing ARC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-control-config:DescribeControlPanel",
"route53-recovery-control-config:DescribeCluster"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/abcd1234abcd1234abcd1234abcd1234",
"arn:aws:route53-recovery-control::123456789012:cluster/4b325d3b-0e28-4dcf-ba4a-EXAMPLE11111"
]
},
{
"Effect": "Allow",
"Action": [
"route53-recovery-cluster:GetRoutingControlState",
"route53-recovery-cluster:UpdateRoutingControlStates"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/abcdef1234567890",
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/1234567890abcdef"
]
}
]
}
```
------
È possibile recuperare l'ID del pannello di controllo del routing e l'ID del cluster utilizzando la CLI. Per ulteriori informazioni, consulta [Configura i componenti di controllo del routing](getting-started-cli-routing-config.md).
# Politica di esempio dei blocchi di esecuzione di Aurora Global Database
Di seguito è riportato un esempio di policy da allegare se si aggiungono blocchi di esecuzione a un piano di switch di regione per i database Aurora.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": [
"arn:aws:rds::123456789012:global-cluster:app-global-db",
"arn:aws:rds:us-east-1:123456789012:cluster:app-db-primary",
"arn:aws:rds:us-west-2:123456789012:cluster:app-db-secondary"
]
}
]
}
```
------
# Politica di esempio per i blocchi di esecuzione di Amazon DocumentDB Global Cluster
Di seguito è riportato un esempio di policy da allegare se aggiungi blocchi di esecuzione a un piano di switch di regione per i cluster globali di Amazon DocumentDB.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters",
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": "*"
}
]
}
```
# Policy di esempio per i blocchi di esecuzione di Amazon RDS
Di seguito è riportato un esempio di policy da allegare se aggiungi blocchi di esecuzione a un piano di switch di regione per la promozione di repliche di lettura di Amazon RDS o la creazione di repliche tra regioni.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:PromoteReadReplica",
"rds:CreateDBInstanceReadReplica",
"rds:ModifyDBInstance"
],
"Resource": "*"
}
]
}
```
# Esempio di politica di approvazione manuale, blocco di esecuzione
Di seguito è riportato un esempio di politica da allegare se si aggiungono blocchi di esecuzione a un piano di cambio di regione per le approvazioni manuali.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:ApprovePlanExecutionStep"
],
"Resource": "arn:aws:arc-region-switch::123456789012:plan/sample-plan:0123abc"
}
]
}
```
------
# Politica di esempio del blocco di esecuzione Lambda ad azione personalizzata
Di seguito è riportato un esempio di policy da allegare se si aggiungono blocchi di esecuzione a un piano di switch di regione per le funzioni Lambda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:app-recovery-primary",
"arn:aws:lambda:us-west-2:123456789012:function:app-recovery-secondary"
]
}
]
}
```
------
# Politica di esempio del blocco di esecuzione del controllo dello stato di Route 53
Di seguito è riportato un esempio di policy da allegare se si aggiungono blocchi di esecuzione a un piano di switch di regione per i controlli di integrità di Route 53.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:ListResourceRecordSets"
],
"Resource": [
"arn:aws:route53:::hostedzone/Z1234567890ABCDEFGHIJ"
]
}
]
}
```
------
# Esempio di politica di esempio per l'esecuzione del piano di cambio di regione
Di seguito è riportato un esempio di politica da allegare se si aggiungono blocchi di esecuzione a un piano di cambio di regione per eseguire piani secondari.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:StartPlanExecution",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": [
"arn:aws:arc-region-switch::123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch::123456789012:plan/child-plan-2/fghij2"
]
}
]
}
```
------
# CloudWatch allarmi per le autorizzazioni di integrità dell'applicazione
Di seguito è riportato un esempio di policy da allegare agli CloudWatch allarmi di accesso relativi allo stato delle applicazioni, utilizzati per determinare il tempo di ripristino effettivo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary",
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
]
}
]
}
```
------
# Autorizzazioni per l'esecuzione automatica dei report di esecuzione del piano
Di seguito è riportato un esempio di politica da allegare se si configura la generazione automatica di report per un piano di cambio di regione. Questa politica include le autorizzazioni per scrivere report su Amazon S3, CloudWatch accedere ai dati degli allarmi e recuperare informazioni sui piani figlio per i piani genitori.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your-bucket-name/*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeAlarmHistory"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary"
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
],
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutionEvents"
],
"Resource": [
"arn:aws:arc-region-switch:us-east-1:123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch:us-west-2:123456789012:plan/child-plan-2/fghij2"
],
}
]
}
```
Nota: se configuri una AWS KMS chiave gestita dal cliente per la crittografia dei bucket Amazon S3, devi anche aggiungere le autorizzazioni `kms:GenerateDataKey` e `kms:Encrypt` le autorizzazioni per la chiave.
# Autorizzazioni relative alle risorse per più account
Se le risorse si trovano in account diversi, avrai bisogno di un ruolo su più account. Di seguito è riportato un esempio di politica di fiducia per un ruolo tra account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
E quanto segue è l'autorizzazione per il ruolo di esecuzione del piano ad assumere questo ruolo tra account diversi:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::987654321098:role/RegionSwitchCrossAccountRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
# Autorizzazioni complete per il ruolo di esecuzione del piano
La creazione di una politica completa che includa le autorizzazioni per tutti i blocchi di esecuzione richiederebbe una politica piuttosto ampia. In pratica, dovreste includere solo le autorizzazioni per i blocchi di esecuzione che utilizzate nei vostri piani specifici.
Di seguito è riportato un esempio di politica che è possibile utilizzare come punto di partenza per una politica relativa al ruolo di esecuzione del piano. Assicurati di aggiungere le politiche aggiuntive necessarie per i blocchi di esecuzione specifici che includi nel tuo piano. Includi solo le autorizzazioni necessarie per i blocchi di esecuzione specifici che utilizzi nel tuo piano, per seguire il principio del privilegio minimo
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:SimulatePrincipalPolicy",
"Resource": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": "*"
}
]
}
```
------
# Registrazione e monitoraggio per Region Switch in ARC
Puoi utilizzare Amazon e Amazon CloudWatch EventBridge per monitorare il cambio di regione in Amazon Application Recovery Controller (ARC), per ricevere avvisi, analizzare i modelli e aiutare a risolvere i problemi. AWS CloudTrail
**Topics**
+ [Registrazione delle chiamate API Region Switch utilizzando AWS CloudTrail](cloudtrail-region-switch.md)
+ [Utilizzo del cambio di regione in ARC con Amazon EventBridge](eventbridge-region-switch.md)
# Registrazione delle chiamate API Region Switch utilizzando AWS CloudTrail
Lo switch di regione Amazon Application Recovery Controller (ARC) è integrato con AWS CloudTrail un servizio che fornisce un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio in ARC. CloudTrail acquisisce tutte le chiamate API per ARC come eventi. Le chiamate acquisite includono chiamate dalla console ARC e chiamate in codice alle operazioni dell'API ARC.
Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per ARC. Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli **eventi**.
Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta che è stata effettuata ad ARC, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e ulteriori dettagli.
Per ulteriori informazioni CloudTrail, consulta la [Guida AWS CloudTrail per l'utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Informazioni ARC in CloudTrail
CloudTrail è abilitato sul tuo account al Account AWS momento della creazione dell'account. Quando si verifica un'attività in ARC, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi AWS di servizio nella **cronologia degli eventi**. Puoi visualizzare, cercare e scaricare eventi recenti in Account AWS. Per ulteriori informazioni, consulta [Lavorare con la cronologia CloudTrail degli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi del tuo Account AWS, compresi gli eventi per ARC, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un percorso nella console, questo sarà valido in tutte le Regioni AWS. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Tutte le azioni ARC vengono registrate CloudTrail e documentate nel TBD API REFERENCE LINK. Ad esempio, le chiamate a `TBD` e le `TBD` `TBD` azioni generano voci nei file di registro. CloudTrail
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Visualizzazione degli eventi del cambio di regione nella cronologia degli eventi
CloudTrail consente di visualizzare gli eventi recenti nella **cronologia degli eventi**. La maggior parte degli eventi per le richieste API di cambio di regione si svolgono nella regione in cui si lavora con un piano di cambio di regione, ad esempio dove si crea un piano o si esegue un piano. Tuttavia, alcune azioni di cambio di regione eseguite nella console ARC vengono eseguite utilizzando le operazioni dell'API del piano di controllo, anziché le operazioni sul piano dati. Per le operazioni sul piano di controllo, è possibile visualizzare gli eventi negli Stati Uniti orientali (Virginia settentrionale). Per informazioni su quali chiamate API sono operazioni del piano di controllo, consulta[Operazioni API di cambio di regione](actions.region-switch.md).
## Comprensione delle voci dei file di registro ARC
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`StartPlanExecution`azione del cambio di regione.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2025-07-06T17:38:05Z"
}
}
},
"eventTime": "2025-07-06T18:08:03Z",
"eventSource": "arc-region-switch.amazonaws.com",
"eventName": "StartPlanExecution",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": {
"planArn": "arn:aws:arc-region-switch::555555555555:plan/CloudTrailIntegTestPlan:bbbbb",
"targetRegion": "us-east-1",
"action": "activate" }
"responseElements": {
"executionId": "us-east-1/dddddddEXAMPLE",
"plan": "arn:aws:arc-region-switch::555555555555:plan/CloudTrailIntegTestPlan:bbbbb",
"planVersion": "1",
"activateRegion": "us-east-1" },
"requestID": "fd42dcf7-6446-41e9-b408-d096example",
"eventID": "4b5c42df-1174-46c8-be99-d67aexample",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.arc.amazon.aws"
}
```
# Utilizzo del cambio di regione in ARC con Amazon EventBridge
Con Amazon EventBridge, puoi configurare regole basate sugli eventi che monitorano le risorse dello switch di regione in Amazon Application Recovery Controller (ARC) e quindi avviare azioni mirate che utilizzano altri servizi. AWS Ad esempio, puoi impostare una regola per l'invio di notifiche e-mail segnalando un argomento di Amazon SNS ogni volta che un piano di cambio di regione completa l'esecuzione.
Puoi creare regole in Amazon EventBridge per agire sui seguenti eventi di cambio di regione ARC:
+ *Esecuzione del piano di cambio di regione.* L'evento specifica che è stato eseguito (eseguito) un piano di cambio di regione.
+ *Valutazione del piano di cambio di regione.* L'evento specifica che la valutazione di un piano di cambio di regione è stata completata.
Per acquisire eventi ARC specifici che ti interessano, definisci modelli specifici dell'evento che EventBridge puoi utilizzare per rilevare gli eventi. I pattern di eventi hanno la stessa struttura degli eventi a cui corrispondono. Il modello cita i campi che desideri abbinare e fornisce i valori che stai cercando.
Gli eventi vengono emessi secondo il principio del massimo sforzo. Vengono trasmessi da ARC a quasi EventBridge in tempo reale in normali circostanze operative. Tuttavia, possono verificarsi situazioni che potrebbero ritardare o impedire la consegna di un evento.
Per informazioni su come EventBridge le regole funzionano con i modelli di eventi, consulta [Eventi e modelli di eventi in EventBridge](https://docs.aws.amazon.com//eventbridge/latest/userguide/eventbridge-and-event-patterns.html).
## Monitora una risorsa di cambio di regione con EventBridge
Con EventBridge, puoi creare regole che definiscono le azioni da intraprendere quando ARC emette eventi per le risorse di cambio di regione.
Per digitare o copiare e incollare un pattern di eventi nella EventBridge console, nella console, seleziona l'opzione **Inserisci la mia opzione.** Per aiutarti a determinare i modelli di eventi che potrebbero esserti utili, questo argomento include [esempi di modelli di cambio di regione](#arc-eventbridge-examples-region-switch).
**Per creare una regola per un evento risorsa**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Regione AWS Per creare la regola, scegli la regione in cui hai creato il piano per cui desideri monitorare gli eventi.
1. Scegliere **Create rule (Crea regola)**.
1. Immettere un **Name (Nome)** per la regola e, facoltativamente, una descrizione.
1. Per **Event bus**, lascia il valore predefinito, **predefinito**.
1. Scegli **Next (Successivo)**.
1. Per il passo **Build event pattern**, per **Event source**, lascia il valore predefinito, **AWS events**.
1. In **Evento di esempio**, scegli **Inserisci il mio**.
1. Per **gli eventi di esempio**, digita o copia e incolla un modello di evento. Per alcuni esempi, consultate la sezione successiva.
## Esempio di modelli di cambio di regione
I modelli di eventi hanno la stessa struttura degli eventi a cui corrispondono. Il modello cita i campi che desideri abbinare e fornisce i valori che stai cercando.
È possibile copiare e incollare i modelli di eventi da questa sezione EventBridge per creare regole da utilizzare per monitorare le azioni e le risorse ARC.
I seguenti modelli di eventi forniscono esempi che è possibile utilizzare EventBridge per la funzionalità di cambio di regione in ARC.
+ *Seleziona tutti gli eventi da Region Switch for PlanExecution*.
```
{
"source": [ "aws.arc-region-switch" ],
"detail-type": [ "ARC Region switch Plan Execution" ]
}
```
+ *Seleziona tutti gli eventi da Region Switch for PlanEvaluation*.
```
{
"source": [ "aws.arc-region-switch" ],
"detail-type": [ "ARC Region Switch Plan Evaluation" ]
}
```
Di seguito è riportato un esempio di evento ARC per l'*esecuzione di un piano di cambio di regione*:
```
{
"version": "0",
"id": "1111111-bbbb-aaaa-cccc-dddddEXAMPLE", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/aaaaaExample"], # planArn
"detail": {
"version": "0.0.1",
"eventType": "ExecutionStarted",
"executionId": "bbbbbbEXAMPLE",
"executionAction": "activating/deactivating {region}",
"idempotencyKey": "1111111-2222-3333-4444-5555555555", # As there is a possibility of dual logging
}
}
```
Di seguito è riportato un esempio di evento ARC per un'*esecuzione a livello di fase del piano di cambio di regione*:
```
{
"version": "0",
"id": "1111111-bbbb-aaaa-cccc-dddddEXAMPLE", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/aaaaaExample"], # planArn
"detail": {
"version": "0.0.1",
"eventType": "StepStarted",
"executionId": "bbbbbbEXAMPLE",
"executionAction": "activating/deactivating {region}",
"idempotencyKey": "1111111-2222-3333-4444-5555555555", # As there is a possibility of dual logging
"stepDetails" : {
"stepName": "Routing control step",
"resource": ["arn:aws:route53-recovery-control::111122223333:controlpanel/abcdefghiEXAMPLE/routingcontrol/jklmnopqrsEXAMPLE"]
}
}
}
```
Di seguito è riportato un esempio di evento ARC per un *avviso di valutazione del piano di cambio di regione*.
Per la valutazione di un piano di cambio di regione, viene emesso un evento quando viene restituito un avviso. Se l'avviso non viene cancellato, viene emesso un evento relativo all'avviso solo una volta ogni 24 ore. Quando l'evento viene cancellato, non vengono emessi altri eventi per quell'avviso.
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/a2b89be4821bfd1d"],
"detail": {
"version": "0.0.1",
"idempotencyKey": "1111111-2222-3333-4444-5555555555",
"metadata": {
"evaluationTime" : "timestamp",
"warning" : "There is a plan evaluation warning for arn:aws:arc-region-switch::111122223333:plan/a2b89be4821bfd1d. Navigate to the Region switch console to resolve."
}
}
}
```
## Specificare un gruppo di CloudWatch log da utilizzare come destinazione
Quando si crea una EventBridge regola, è necessario specificare la destinazione a cui vengono inviati gli eventi corrispondenti alla regola. Per un elenco degli obiettivi disponibili per EventBridge, vedi [Target disponibili nella EventBridge console](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html#eb-console-targets). Uno degli obiettivi che puoi aggiungere a una EventBridge regola è un gruppo di CloudWatch log Amazon. Questa sezione descrive i requisiti per aggiungere gruppi di CloudWatch log come destinazioni e fornisce una procedura per aggiungere un gruppo di log quando si crea una regola.
Per aggiungere un gruppo di CloudWatch log come destinazione, è possibile effettuare una delle seguenti operazioni:
+ Creare un nuovo gruppo di log
+ Scegli un gruppo di log esistente
Se specifichi un nuovo gruppo di log utilizzando la console quando crei una regola, crea EventBridge automaticamente il gruppo di log per te. Assicurati che il gruppo di log che usi come destinazione per la EventBridge regola inizi con`/aws/events`. Se desideri scegliere un gruppo di log esistente, tieni presente che solo i gruppi di log che iniziano con `/aws/events` appaiono come opzioni nel menu a discesa. Per ulteriori informazioni, consulta [Creare un nuovo gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group) nella *Amazon CloudWatch User Guide*.
Se crei o utilizzi un gruppo di CloudWatch log da utilizzare come destinazione utilizzando CloudWatch operazioni esterne alla console, assicurati di impostare le autorizzazioni correttamente. Se utilizzi la console per aggiungere un gruppo di log a una EventBridge regola, la politica basata sulle risorse per il gruppo di log viene aggiornata automaticamente. Tuttavia, se si utilizza AWS Command Line Interface o un AWS SDK per specificare un gruppo di log, è necessario aggiornare la politica basata sulle risorse per il gruppo di log. La seguente politica di esempio illustra le autorizzazioni che è necessario definire in una politica basata sulle risorse per il gruppo di log:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com",
"delivery.logs.amazonaws.com"
]
},
"Resource": "arn:aws:logs:us-east-1:222222222222:log-group:/aws/events/*:*",
"Sid": "TrustEventsToStoreLogEvent"
}
]
}
```
------
Non è possibile configurare una politica basata sulle risorse per un gruppo di log utilizzando la console. Per aggiungere le autorizzazioni richieste a una politica basata sulle risorse, utilizza l'operazione API. CloudWatch [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) Quindi, puoi utilizzare il comando [describe-resource-policies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/logs/describe-resource-policies.html)CLI per verificare che la tua politica sia stata applicata correttamente.
**Per creare una regola per un evento di risorsa e specificare un target per un gruppo di CloudWatch log**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Scegli Regione AWS quello in cui vuoi creare la regola.
1. Scegli **Crea regola** e inserisci tutte le informazioni su quella regola, come lo schema dell'evento o i dettagli della pianificazione.
Per ulteriori informazioni sulla creazione di EventBridge regole di preparazione, consulta [Monitorare una risorsa per il controllo di prontezza](eventbridge-readiness.md#RCEventBridgeCreateRule) con. EventBridge
1. Nella pagina **Seleziona destinazione**, scegli **CloudWatch**come obiettivo.
1. Scegli un gruppo di CloudWatch log dal menu a discesa.
# Quote per il cambio di regione
Il cambio di regione in Amazon Application Recovery Controller (ARC) è soggetto alle seguenti quote.
| Entità | Quota |
| --- | --- |
| Numero di piani per account | 10 Puoi [richiedere un aumento della quota](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas). |
| Numero di blocchi di esecuzione per piano | 100 |
| Numero di blocchi di esecuzione del piano Region Switch per piano | 25 |
| Numero di blocchi di esecuzione parallela per fase | 20 |
| Numero di CloudWatch allarmi per condizione di attivazione | 10 |