翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ARC のゾーンオートシフト
ゾーンオートシフトでは、ユーザーに代わって、イベント中にアプリケーションのリソーストラフィック AWS をアベイラビリティーゾーン (AZ) から遠ざけることを に許可します。これにより、復旧までの時間を短縮できます。 は、内部テレメトリが、顧客に影響を与える可能性のあるアベイラビリティーゾーンの障害があることを示すと、オートシフト AWS を開始します。がオートシフト AWS を開始すると、ゾーンオートシフト用に設定したリソースへのアプリケーショントラフィックがアベイラビリティーゾーンから移行し始めます。
ARC は個々のリソースの状態を検査しないことに注意してください。 は、顧客に影響を与える可能性のあるアベイラビリティーゾーンの障害が AWS テレメトリによって検出されたときにオートシフト AWS を開始します。場合によっては、影響が及んでいないリソースのトラフィックがシフトされることもあります。
ゾーンオートシフトでは、通常の練習実行のために、ユーザーに代わってアプリケーションのリソーストラフィック AWS をアベイラビリティーゾーンから遠ざけることを に許可します。ゾーンオートシフトには練習実行が必要です。ARC が練習実行として開始するゾーンシフトは、オートシフト中にアベイラビリティーゾーンからトラフィックをシフトすることがアプリケーションにとって安全であることを保証するのに役立ちます。練習実行では、リソースのトラフィックをアベイラビリティーゾーンから遠ざけるゾーンシフトを開始することによって、1 つのアベイラビリティーゾーンがなくてもアプリケーションが正常に動作することを定期的にテストします。練習実行は毎週行われ、アプリケーションが期待どおりに動作するかどうかの判断に役立つ結果 (`SUCCEEDED` や `FAILED` など) が表示されます。
**重要**
練習実行を設定したり、ゾーンオートシフトを有効にしたりする前に、アプリケーションリソースがデプロイされているリージョンのすべてのアベイラビリティーゾーンで、アプリケーションリソースの容量をプリスケールすることを強くお勧めします。オートシフトまたは練習実行が開始されるとき、オンデマンドでのスケーリングに頼るべきではありません。練習実行を含むゾーンオートシフトは独立して動作し、自動スケーリングアクションの完了を待ちません。プレスケーリングの代わりに自動スケーリングを使用すると、アプリケーションの復旧に時間がかかる可能性があります。
自動スケーリングを使用して定期的なトラフィックサイクルを処理する場合は、アベイラビリティーゾーンが失われても正常に動作し続けるように、自動スケーリングの最小容量を設定することを強くお勧めします。
ゾーンオートシフトを有効にしたり、練習実行を設定したりする予定がある場合は、アプリケーションのリソース容量をプレスケーリングした後、1 つのアベイラビリティーゾーンがなくてもアプリケーションが正常に動作することをテストしてください。これをテストするには、ゾーンシフトを開始して、リソースのトラフィックをアベイラビリティーゾーンから遠ざけます。
ゾーンオートシフトを有効にした後は、オンデマンドの練習実行のゾーンシフトを開始し評価することにより、アベイラビリティーゾーンからシフトしたトラフィックでアプリケーションが正常な動作を継続できることを確認するようお勧めします。ARC が実行する通常の練習実行は、オートシフトに十分な容量があることを継続的に確認するために役立ちます。
ゾーンシフトによるテストが有効であることを確認するには、トラフィックが想定どおりにシフト元の AZ からドレインすることを検証することが重要です。例えば、Application Load Balancer と Network Load Balancer の両方とも、この監視に使用可能な Amazon CloudWatch による AZ ごとのメトリクスを提供します。サービスやクライアントが接続を再利用する時間によっては、シフトした AZ へのトラフィックが想定よりも長く続く場合があります。詳細については、「[クライアントがエンドポイントに接続したままになる時間を制限する](arc-zonal-autoshift.considerations.md#ZAConsiderationsCurrentConnections)」を参照してください。
ARC コンソールでは、サポートされるリソースのゾーンオートシフトを有効にできます。または、Amazon EC2 コンソールには、特定のロードバランサーリソースのゾーンオートシフトを有効にするオプションがあります。Elastic Load Balancing でゾーンオートシフトを有効にする方法の詳細については、Elastic Load Balancing ユーザーガイド」の[「ゾーンシフト](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/zonal-shift.html)」を参照してください。
オートシフトと練習実行のゾーンシフトは一時的なものです。オートシフトでは、影響を受けるアベイラビリティーゾーンが回復すると、 はアベイラビリティーゾーンからリソースのトラフィックの移行を AWS 停止します。顧客のアプリケーショントラフィックは、リージョン内のすべてのアベイラビリティーゾーンに戻ります。練習実行では、トラフィックは 1 つのリソースについて 1 つのアベイラビリティーゾーンから約 30 分間遠ざけられ、その後、リージョン内のすべてのアベイラビリティーゾーンに戻されます。
Amazon EventBridge 通知を設定して、オートシフトや練習実行についてアラートを受け取ることができます。詳細については、「[Amazon EventBridge でのゾーンオートシフトの使用](eventbridge-zonal-autoshift.md)」を参照してください。
# ゾーンオートシフトと練習実行の仕組み
Amazon Application Recovery Controller (ARC) のゾーンオートシフト機能を使用すると、 がアベイラビリティーゾーンの顧客に影響を与える可能性のある障害がある AWS と判断した場合、ユーザーに代わってリソースのトラフィックをアベイラビリティーゾーンから AWS 遠ざけることができます。ゾーンオートシフトは、 のすべてのアベイラビリティーゾーンで事前にスケーリングされたリソース用に設計されているため AWS リージョン、アプリケーションは 1 つのアベイラビリティーゾーンが失われても正常に動作します。
ゾーンオートシフトでは、ARC がリソースのトラフィックを定期的に 1 つのアベイラビリティーゾーンから遠ざけるようにする練習実行を設定する必要があります。ARC は、練習実行設定が関連付けられているリソースにつき、約 1 週間ごとに練習実行をスケジュールします。各リソースの練習実行は個別にスケジュールされます。
各練習実行について、ARC は結果を記録します。練習実行がブロック条件によって中断された場合、練習実行の結果は成功としてマークされません。練習実行の結果の詳細については、「[練習実行の結果](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes)」を参照してください。
Amazon EventBridge 通知を設定して、オートシフトや練習実行についてアラートを受け取ることができます。詳細については、「[Amazon EventBridge でのゾーンオートシフトの使用](eventbridge-zonal-autoshift.md)」を参照してください。
**Topics**
+ [ゾーンオートシフトについて](arc-zonal-autoshift.how-it-works.about.md)
+ [がオートシフト AWS を開始および停止する場合](arc-zonal-autoshift.how-it-works.start-stop-auto.md)
+ [ARC が練習実行をスケジュール、開始、終了するタイミング](arc-zonal-autoshift.how-it-works.scheduled-practice-runs.md)
+ [練習実行の容量チェック](arc-zonal-autoshift.how-it-works.capacity-check.md)
+ [練習実行とオートシフトの通知](arc-zonal-autoshift.how-it-works.notifications.md)
+ [ゾーンシフトの優先順位](arc-zonal-autoshift.how-it-works.precedence.md)
+ [アクティブなオートシフトまたは練習実行を停止する](arc-zonal-autoshift.how-it-works.stop-shift.md)
+ [トラフィックを遠ざける方法](arc-zonal-autoshift.how-it-works.how-traffic-shifted.md)
+ [練習実行のアラーム](arc-zonal-autoshift.how-it-works.alarms.md)
+ [ブロックされた時間枠と許可された時間枠 (UTC)](arc-zonal-autoshift.how-it-works.blocked-windows.md)
# ゾーンオートシフトについて
ゾーンオートシフトは、ユーザーに代わってアプリケーションリソーストラフィックをアベイラビリティーゾーンから AWS 遠ざける機能です。 は、内部テレメトリが、顧客に影響を与える可能性のあるアベイラビリティーゾーンの障害があることを示すと、オートシフト AWS を開始します。内部テレメトリには、 AWS ネットワーク、Amazon EC2、Elastic Load Balancing サービスなど、複数のソースからのメトリクスが組み込まれています。
サポートされている AWS リソースに対してゾーンオートシフトを手動で有効にする必要があります。
リージョン内の複数の (通常は 3 つの) AZs のロードバランサーに AWS アプリケーションをデプロイして実行し、静的安定性をサポートするように事前スケーリングすると、 はトラフィックをオートシフトで移行することで、AZ 内の顧客アプリケーションをすばやく復旧 AWS できます。リソーストラフィックをリージョン内の他の AZs に移行することで、 は、停電、AZ のハードウェアまたはソフトウェアの問題、またはその他の障害による潜在的な影響の期間と重大度を減らす AWS ことができます。
ARC がサポートするリソースは、指定した AZ を異常としてマークするための連携機能を備えており、その結果として、障害のある AZ からトラフィックがシフトされます。
リソースのゾーンオートシフトを有効にする場合は、そのリソースの練習実行も設定する必要があります。リージョンのアベイラビリティーゾーンの 1 つがなくてもアプリケーションを実行するのに十分な容量があることを確認できるように、 AWS は約 1 週間ごとに 30 分間の練習実行を実施します。
ゾーンシフトと同様に、ゾーンオートシフトによってトラフィックが AZ から遠ざけられない特定のシナリオがいくつかあります。例えば、AZ 内のロードバランサーのターゲットグループにインスタンスが含まれていない場合や、すべてのインスタンスが「異常」である場合、ロードバランサーはフェイルオープン状態であり、AZ の 1 つをシフトできません。
ゾーンオートシフトの詳細については、「[ARC のゾーンオートシフト](arc-zonal-autoshift.md)」を参照してください。
# がオートシフト AWS を開始および停止する場合
リソースのゾーンオートシフトを有効にすると、 AWS がユーザーに代わってイベント中にアプリケーションのリソーストラフィックをアベイラビリティーゾーンから遠ざけることを承認し、復旧までの時間を短縮できます。
これを実現するために、ゾーンオートシフトは AWS テレメトリを使用して、顧客に影響を与える可能性のあるアベイラビリティーゾーンの障害をできるだけ早く検出します。 AWS がオートシフトを開始すると、設定済みリソースへのトラフィックは、顧客に影響を与える可能性のある障害のあるアベイラビリティーゾーンからただちに遠ざけられます。
ゾーンオートシフトは、 AWS リージョン内のすべてのアベイラビリティーゾーンのアプリケーションリソースをあらかじめスケールされたお客様向けに設計された機能です。オートシフトまたは練習実行が開始されるとき、オンデマンドでのスケーリングに頼るべきではありません。
AWS は、アベイラビリティーゾーンが回復したと判断されると、オートシフトを終了します。
# ARC が練習実行をスケジュール、開始、終了するタイミング
ARC は、1 つのリソースについて、毎週約 30 分間の練習実行をスケジュールします。ARC は、各リソースの練習実行を個別にスケジュール、開始、および管理します。ARC は、同じアカウントの複数のリソースの練習実行をまとめることはありません。ゾーンオートシフトイベントのセットアップが安全であることを確認するために、オンデマンドの練習実行を自分で開始することもできます。
練習実行が予想された時間だけ中断されずに続行すると、`SUCCESSFUL` という結果でマークされます。他にも可能性のある結果として、`FAILED`、`INTERRUPTED`、`CAPACITY_CHECK_FAILED`、`PENDING` があります。結果の値と説明は、「[練習実行の結果](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes)」セクションに記載されています。
ARC が練習実行を中断して終了するシナリオがいくつかあります。例えば、練習実行中にオートシフトが開始した場合、ARC は練習実行を中断して終了します。別の例として、練習実行に対してリソースが不利な反応を示し、練習実行を監視するために指定したアラームが `ALARM` 状態になったとします。このシナリオでも、ARC は練習実行を中断して終了します。
さらに、ARC がリソースについてスケジュールされた練習実行を開始しないシナリオもいくつかあります。
リソースの練習実行が中断またはブロックされた場合に対応して、ARC は次のことを行います。
+ リソースの練習実行が進行中に中断された場合、ARC は毎週の練習実行が終了したとみなし、そのリソースの新しい練習実行を次の週にスケジュールします。このシナリオでは、毎週の練習の結果は `FAILED` ではなく `INTERRUPTED` です。練習実行の結果が `FAILED` に設定されるのは、練習実行を監視する結果アラームが練習実行中に `ALARM` 状態になった場合のみです。
+ リソースの練習実行の開始が予定されているときにブロッキング制約がある場合、ARC は練習実行を開始しません。ARC は引き続き定期的な監視を行い、ブロッキング制約が 1 つ以上あるかどうかを判断します。ブロッキング制約がない場合、ARC はリソースの練習実行を開始します。
以下は、ARC がリソースの練習実行を開始または続行することを禁止するブロック制約の例です。
+ ARC は、進行中の AWS Fault Injection Service 実験がある場合、練習実行を開始または続行しません。ARC が練習実行の開始をスケジュールしたときに AWS FIS イベントがアクティブな場合、ARC は練習実行を開始しません。ARC は、 AWS FIS イベントを含むブロック制約について練習実行全体を監視します。練習実行がアクティブな間に AWS FIS イベントが開始された場合、ARC は練習実行を終了し、リソースに対して次に定期的にスケジュールされた練習実行まで別のイベントを開始しようとしません。
+ リージョンに現在の AWS イベントがある場合、ARC はリソースの練習実行を開始せず、リージョンでアクティブな練習実行を終了します。
練習実行が中断されずに終了すると、ARC は通常どおり 1 週間後に次の練習実行をスケジュールします。指定した AWS FIS 実験やブロックされた時間枠などのブロック制約が原因で練習実行が開始されない場合、ARC は練習実行が開始されるまで練習実行の開始を試行し続けます。
# 練習実行の容量チェック
練習実行が開始されると、一時的にトラフィックをアベイラビリティーゾーンから遠ざけるため、ARC は他のアベイラビリティーゾーンにトラフィックを安全に AZ から遠ざけるのに十分な容量があることをチェックします。十分な容量がない場合は、練習実行のトラフィックシフトは開始されず、練習実行が終了します。
さらに、ゾーンオートシフトが完了すると、オートシフトによって開始されたトラフィックシフトを ARC が終了する前に、ARC はロードバランサーリソースの容量チェックを実行します。オートシフトの終了時に容量チェックに失敗する場合、トラフィックは移動元のアベイラビリティーゾーンにシフトされません。
バランス容量のチェックは、ロードバランサーと Auto Scaling グループに対してのみ完了します。
ロードバランサーリソースの場合、容量チェックは、ロードバランサーに関連付けられた正常なホストがアベイラビリティーゾーンに分散されていることを検証します。特に、容量チェックでは、リソースが登録されているすべてのアベイラビリティーゾーンで、正常なホストの数のバランスが取れていることを確認します。容量チェックにおけるバランスとは、各アベイラビリティーゾーンの正常な容量が他のゾーンと同等であり、差異がわずかであることを意味します。
容量チェックは、Lambda タイプであるターゲットグループのロードバランサーにも、Application Load Balancer にも適用されないことに注意してください。これらのターゲットはゾーンに設定されていないためです。
Auto Scaling グループのキャパシティチェックも完了します。Auto Scaling グループの場合、キャパシティチェックは、Auto Scaling グループの正常なゾーン容量の合計、つまりすべてのアベイラビリティーゾーンにわたる正常なホストの合計数が、その Auto Scaling グループに必要な容量セットを満たしていることを確認します。
**容量チェックが失敗する場合**
リソースで使用可能な容量のバランスが取れていないことが容量チェックでわかった場合、練習実行の結果は `CAPACITY_CHECK_FAILED` になります。容量チェックが失敗する理由の詳細については、`ZonalShiftSummary` のコメントフィールドを参照してください。練習実行ゾーンシフトのコメントフィールドを見つけるには、以下を実行してください。
1. を使用して AWS CLI、[ListZonalShifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListZonalShifts.html) API オペレーションを使用して練習実行で指定したリソースのゾーンシフトを一覧表示します。
例えば、ゾーンシフトを返すために、次のようなコマンドを実行できます。
```
aws arc-zonal-shift start-practice-run
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890"
```
1. 返された `ZonalShiftSummary` オブジェクトの配列を確認して、容量チェックのために失敗した練習実行のゾーンシフトを見つけます。
1. 該当するゾーンシフトに関して、`Comment` フィールドの情報を確認してください。
# 練習実行とオートシフトの通知
Amazon EventBridge 通知を設定すると、リソースの練習実行とオートシフトに関する通知の受信を選択できます。*オートシフトオブザーバー通知*と呼ばれるリソースに対してゾーンオートシフトを有効にしていない場合でも、EventBridge 通知を設定できます。オートシフトオブザーバー通知では、アベイラビリティーゾーンに障害が発生する可能性があるときに ARC が開始するすべてのオートシフトについて通知されます。このオプションは、通知 AWS リージョン を受信する各 で設定する必要があることに注意してください。
オートシフトのオブザーバー通知を有効にする手順については、「[オートシフトのオブザーバー通知の有効化または無効化](arc-zonal-autoshift.enable-autoshift-observer.md)」を参照してください。通知オプションの詳細と EventBridge での構成方法については、「[Amazon EventBridge でのゾーンオートシフトの使用](eventbridge-zonal-autoshift.md)」を参照してください。
# ゾーンシフトの優先順位
一度に適用できるゾーンシフトは 1 つのみです。つまり、リソースに対してゾーンシフト、お客様が開始したゾーンシフト、オートシフト、または AWS FIS 実験を実行する練習は 1 つだけです。2 番目のゾーンシフトが開始されると、ARC は優先順位に従いリソースに有効なゾーンシフトタイプを判断します。
優先順位の一般的な原則は、顧客として開始するゾーンシフトを他のシフトタイプよりも優先することです。ただし、現在実行中 AWSの練習実行では、オンデマンドの練習実行を開始できないことに注意してください。
ARC における優先順位について説明するために、シナリオ例における優先順位の仕組みを以下に示します。
| 適用されるゾーンシフトタイプ | 開始されるゾーンシフトタイプ | 結果 |
| --- | --- | --- |
| AWS FIS 実験 | 練習実行 | AWS FIS 実験が優先されるため、練習実行は開始されません。 |
| AWS FIS 実験 | 手動ゾーンシフト | AWS FIS 実験はキャンセルされ、手動ゾーンシフトが適用されます。 |
| AWS FIS 実験 | ゾーンオートシフト | AWS FIS 実験はキャンセルされ、ゾーンオートシフトが適用されます。 |
| AWS FIS 実験 | AWS FIS 実験 | 自動 AWS FIS シフトアクションをトリガーした既存の AWS FIS 実験が実行されているため、開始された実験は開始できません。 |
| 練習実行 | 手動ゾーンシフト | 練習実行がキャンセルされて結果が INTERRUPTED に設定され、ゾーンシフトが適用されます。 |
| 練習実行 | AWS FIS 実験 | 練習実行がキャンセルされて結果が INTERRUPTED に設定され、 AWS FIS 実験が適用されます。 |
| 練習実行 | ゾーンオートシフト | 練習実行がキャンセルされて結果が INTERRUPTED に設定され、ゾーンオートシフトが適用されます。 |
| 手動ゾーンシフト | 練習実行 | 練習実行の開始が失敗します。 |
| 手動ゾーンシフト | AWS FIS 実験 | AWS FIS 実験は開始に失敗するか、すでに進行中の場合は失敗します。 |
| 手動ゾーンシフト | ゾーンオートシフト | ゾーンオートシフトは ACTIVE ですが、リソースに APPLIED されません。手動ゾーンシフトが優先されます。 |
| ゾーンオートシフト | AWS FIS 実験 | AWS FIS 実験は開始に失敗するか、進行中の場合は失敗します。 |
| ゾーンオートシフト | 手動ゾーンシフト | ゾーンオートシフトは ACTIVE ですが、リソースに APPLIED されません。手動ゾーンシフトが優先されます。 |
| ゾーンオートシフト | 練習実行 | ゾーンオートシフトが優先されるため、練習実行の開始が失敗します。 |
リソースで現在実施されているトラフィックシフトは、適用されたゾーンシフトステータスが `APPLIED` に設定されています。一度に `APPLIED` に設定できるシフトは 1 つだけです。進行中の他のシフトは `NOT_APPLIED` に設定されますが、`ACTIVE` ステータスのままです。
# リソースのアクティブなオートシフトまたは練習実行を停止する
リソースの進行中のオートシフトを停止するには、ゾーンシフトをキャンセルする必要があります。
そのリソースについては、これまでと同じスケジュールで定期的に練習実行が行われます。オートシフトを無効にするだけでなく、練習実行も停止したい場合は、リソースに関連付けられている練習実行設定を削除する必要があります。
練習実行設定を削除すると、 はリソースのトラフィックを毎週アベイラビリティーゾーンから遠ざける練習実行を AWS 停止します。さらに、ゾーンオートシフトには練習実行が必要なため、ARC コンソールを使用して練習実行設定を削除すると、このアクションによりリソースのゾーンオートシフトも無効になります。ただし、ゾーンオートシフト API を使用して練習実行を削除する場合は、まずリソースのゾーンオートシフトを無効にする必要があることに注意してください。
詳細については、「[ゾーンオートシフトのキャンセル](arc-zonal-autoshift.canceling-an-autoshift.md)」および「[ゾーンオートシフトの有効化と操作](arc-zonal-autoshift.start-cancel.md)」を参照してください。
# トラフィックを遠ざける方法
オートシフトと練習実行のゾーンシフトの場合、ARC が顧客によって開始されたゾーンシフトに使用するのと同じメカニズムを使用して、トラフィックはアベイラビリティーゾーンから遠ざけられます。ヘルスチェックに異常があると、Amazon Route 53 は、リソースの対応する IP アドレスを DNS から削除します。それにより、トラフィックはアベイラビリティーゾーンからリダイレクトされます。新しい接続は、 AWS リージョン 代わりに の他のアベイラビリティーゾーンにルーティングされるようになりました。
オートシフトでは、アベイラビリティーゾーンが回復してオートシフトを終了する AWS と、ARC はヘルスチェックプロセスを元に戻して、Route 53 ヘルスチェックの元に戻すようリクエストします。その後、元のゾーン IP アドレスが復元され、ヘルスチェックが引き続き正常であれば、そのアベイラビリティーゾーンはアプリケーションのルーティングに再び含まれます。
オートシフトは、ロードバランサーやアプリケーションの基本的な状態を監視するヘルスチェックに基づくものではないことに注意することが重要です。ARC は、ヘルスチェックを「異常」に設定し、オートシフトまたはゾーンシフトを終了したときにヘルスチェックを再び「正常」に戻すようにリクエストすることにより、ヘルスチェックを使用してトラフィックをアベイラビリティーゾーンから遠ざけます。
# 練習実行のアラーム
ゾーンオートシフトでは、練習実行に CloudWatch アラームを 2 つ指定できますが、それは結果アラームとブロッキングアラームです。
**結果アラーム (必須)**
最初のタイプのアラームである*結果アラーム*では、少なくとも 1 つのアラームを指定する必要があります。30 分間の練習実行中にトラフィックがアベイラビリティーゾーンから遠ざけられるときに、結果アラームを設定して、アプリケーションの状態を監視する必要があります。
練習実行を有効にするには、結果アラームとして、次の両方の基準を満たす CloudWatch アラームを少なくとも 1 つ指定します。
アラームは、リソースまたはアプリケーションのメトリクスをモニタリングします。
AND
1 つのアベイラビリティーゾーンを失ってアプリケーションに悪影響が及ぶと、アラームは `ALARM` 状態で応答します。
詳細については、「[ゾーンオートシフトを設定する際のベストプラクティス](arc-zonal-autoshift.considerations.md)」の「**練習実行について指定するアラーム**」セクションを参照してください。
結果アラームには、ARC が各練習実行について報告する*練習実行結果*の情報も表示されます。結果アラームが `ALARM` 状態になると、ARC は練習実行を終了し、`FAILED` の練習実行の結果を返します。練習実行が 30 分間のテスト期間を完了しても指定した結果アラームが `ALARM` 状態にならない場合、返される結果は `SUCCEEDED` です。すべての結果値のリストと説明は、「[練習実行の結果](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes)」セクションに記載されています。
**ブロッキングアラーム (オプション)**
オプションで、2 種類目のアラーム、*ブロッキングアラーム*を指定できます。1 つ以上のアラームが `ALARM` 状態のとき、ブロッキングアラームは練習実行の開始または続行をブロックします。ブロッキングアラームは、少なくとも 1 つのアラームが `ALARM` 状態になると、練習実行のトラフィックシフトの開始をブロックし、進行中の練習実行を停止します。
例えば、複数のマイクロサービスを使用する大規模なアーキテクチャでは、1 つのマイクロサービスに問題が発生すると、通常、アプリケーション環境内の他のすべての変更を停止する必要があり、これにはブロッキング練習実行も含まれます。ARC にブロッキングアラームを追加してこれを実行できます。
# ブロックされた時間枠と許可された時間枠 (UTC)
特定の歴日、または特定の時間枠 (つまり UTC の日時) について練習実行を*ブロック*または*許可*するオプションがあります。
例えば、2024 年 5 月 1 日にアプリケーションの更新を開始する予定があり、その時点で練習実行によってトラフィックが遠ざけられないようにしたい場合は、`2024-05-01` をブロック日に設定できます。
または、ビジネスレポートの概要を週に 3 日作成するとします。このシナリオでは、次のような定期的な曜日と時刻をブロックされる時間枠として設定できます (例: UTC: `MON-20:30-21:30 WED-20:30-21:30 FRI-20:30-21:30`)。
または、ARC が練習実行を開始してセットアップをテストするには、水曜日と金曜日の正午から 5:00 までが最適だと思うかもしれません。このシナリオでは、次のような定期的な曜日と時刻を許可される時間枠として設定できます (例: UTC: `WED-12:00-17:00 FRI-12:00-17:00`)。
# AWS リージョン ゾーンオートシフトの可用性
ゾーンシフトとゾーンオートシフトは現在 AWS リージョン、中国リージョン、つまり中国 (北京) リージョンと中国 (寧夏) リージョンで利用可能です。
Amazon Application Recovery Controller (ARC) を使用するリソースには、追加の考慮事項が含まれる場合があります。詳細については、「[サポートされているリソース](arc-zonal-shift.resource-types.md)」を参照してください。
リージョンの一覧および ARC のリージョンサポートとリージョンサービスエンドポイントに関する詳細は、「*Amazon Web Services 全般のリファレンス*」にある「[Amazon Application Recovery Controller (ARC) のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/r53arc.html)」を参照してください。
# ゾーンオートシフトのコンポーネント
次の図は、トラフィックをアベイラビリティーゾーンから遠ざけるオートシフトの例を示しています。顧客に影響を与える可能性のあるアベイラビリティーゾーンの障害が内部テレメトリによって示された場合、 AWS はオートシフトを開始します。
![\[3 つのアベイラビリティーゾーンでのオートシフトの図\]](http://docs.aws.amazon.com/ja_jp/r53recovery/latest/dg/images/ZonalAutoshiftDiagram.png)
以下は、ARC におけるゾーンオートシフト機能のコンポーネントです。
**ゾーンオートシフト**
ゾーンオートシフトは、何も操作しなくても、リソースのトラフィックを遠ざけます。ゾーンオートシフトは、カスタマーに影響を与える可能性のあるアベイラビリティーゾーンの障害が内部テレメトリによって示されると、 がオートシフト AWS を開始する ARC の機能です。場合によっては、影響が及んでいないリソースがシフトされることもあります。
**練習実行**
リソースのゾーンオートシフトを有効にする場合は、リソースのゾーンオートシフト*練習実行*も設定する必要があります。 は、練習実行のゾーンシフトを約毎週約 30 分間 AWS 実行します。練習実行は、オンデマンドでもスケジュールできます。
練習実行により、1 つのアベイラビリティーゾーンが失われても、アプリケーションが正常に動作することを確認できます。練習実行では、 はリソースのトラフィックをゾーン AWS シフトのある 1 つのアベイラビリティーゾーンからシフトし、練習実行が終了したらトラフィックをシフトバックします。
**練習実行設定**
練習実行設定を使用すると、ARC がゾーンオートシフトでリソースの練習実行を開始できる時間枠 (ブロックまたは許可される時間枠) を定義できます。また、 AWS 練習実行の CloudWatch アラームも定義します。練習実行設定はいつでも編集でき、ブロックまたは許可される時間枠を追加または変更したり、練習実行のアラームを更新したりできます。
ゾーンオートシフトを有効にするには、リソース用の練習実行設定が必要です。
練習実行は削除できますが、まず、ゾーンオートシフトを無効にする必要があります。
**練習実行アラーム**
練習実行を設定するときには、リソースとアプリケーションの要件に基づいて、(CloudWatch で最初に作成する) CloudWatch アラームを指定します。指定したアラームは、アプリケーションが練習実行によって悪影響を受けた場合に、練習実行の開始をブロックしたり、進行中の練習実行を停止したりできます。
指定したアラームが `ALARM` 状態になると、ARC は練習実行のゾーンシフトを終了します。これにより、リソースのトラフィックはアベイラビリティーゾーンから遠ざけられなくなります。
練習実行用に指定するアラームには 2 種類あります。1 つは練習実行中にリソースとアプリケーションの状態を監視する*結果*アラームです。もう 1 つは*ブロッキング*アラームであり、練習実行の開始を妨げたり、進行中の練習実行を停止したりするように設定できます。少なくとも 1 つの結果アラームが必須です。ブロッキングアラームはオプションです。
**練習実行の結果**
ARC は各練習実行の結果を報告します。可能な練習実行の結果は以下のとおりです。
+ **PENDING:** 練習実行のゾーンシフトはアクティブ (進行中) です。まだ結果は戻されていません。
+ **SUCCEEDED:** 練習実行中、結果アラームは `ALARM` 状態にならず、練習実行は 30 分間のテスト期間をすべて完了しました。
+ **INTERRUPTED:** 結果アラームが `ALARM` 状態になったのではない理由で、練習実行は終了しました。練習実行は、以下のようなさまざまな理由で中断されることがあります。例えば、練習実行について指定されたブロッキングアラームが `ALARM` 状態になったために終了した練習走行は、`INTERRUPTED` の結果になります。`INTERRUPTED` 結果の理由の詳細については、「[練習実行の結果](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes)」を参照してください。
+ **FAILED:** 練習実行中に結果アラームが `ALARM` 状態になりました。
+ **CAPACITY\$1CHECK\$1FAILED:** アベイラビリティーゾーン間におけるロードバランシングと Auto Scaling グループリソースとのバランスの取れたキャパシティのチェックに失敗しました。
**組み込みの安全ルール**
ARC に組み込まれている安全ルールにより、1 つのリソースについて一度に複数のトラフィックシフトが行われることはありません。つまり、アベイラビリティーゾーンからトラフィックをアクティブにシフトできるのは、そのリソースについて、顧客が開始したゾーンシフト、( AWS または顧客が開始した) 練習実行のゾーンシフト、またはオートシフトの 1 つのみです。例えば、あるリソースがオートシフトで遠ざけられているときにゾーンシフトを開始した場合は、ゾーンシフトが優先されます。詳細については、「[ゾーンシフトの優先順位](arc-zonal-autoshift.how-it-works.precedence.md#ZAShiftPrecedence)」を参照してください。
**リソース識別子**
ゾーンオートシフトを有効にするリソースの識別子で、リソースの Amazon リソースネーム (ARN) です。ゾーンシフトには、ARC がサポートする AWS サービスにあるアカウント内のリソース用ゾーンオートシフトのみを有効にできます。
**マネージドリソース**
Application Load Balancer は、ゾーンオートシフトの ARC でリソースを自動的に登録します。ゾーンオートシフトの他のリソースは、手動でオプトインする必要があります。
**リソース名**
ARC のマネージドリソースの名前です。
**適用ステータス**
適用ステータスは、リソースに対してトラフィックシフトが適用されているかどうかを示します。ゾーンオートシフトを設定すると、1 つのリソースに複数のアクティブなトラフィックシフト、つまり、練習実行ゾーンシフト、顧客によって開始されたゾーンシフト、またはオートシフトが発生する可能性があります。ただし、リソースに*適用*される、つまり有効になるのは一度に 1 つのみです。ステータス `APPLIED` のシフトによって、リソースについてアプリケーショントラフィックが遠ざけられたアベイラビリティーゾーンと、そのトラフィックシフトが終了するタイミングが決まります。
**シフトタイプ**
ゾーンシフトタイプを定義します。ゾーンシフトは、次のいずれかのタイプになります。
+ **ZONAL\$1SHIFT**
+ **ZONAL\$1AUTOSHIFT**
+ **PRACTICE\$1RUN**
+ **FIS\$1EXPERIMENT**
# ゾーンオートシフトのデータプレーンとコントロールプレーン
フェイルオーバーとディザスタリカバリを計画する際は、フェイルオーバーメカニズムの耐障害性を考慮してください。フェイルオーバー中に依存するメカニズムは、可用性が高く、災害シナリオで必要なときに使用できるようにすることをお勧めします。信頼性と耐障害性を最大限に高めるため、可能であれば通常、データプレーン機能をメカニズムに使用する必要があります。そのことを念頭に置いて、サービス機能がコントロールプレーンとデータプレーンにどのように分けられているのか、また、サービスのデータプレーンで非常に高い信頼性が期待できるのはどのような場合なのかを理解することが重要です。
一般に、コントロールプレーンを使用すると、サービス内のリソースの作成、更新、削除などの基本的な管理機能を実行できます。**データプレーンはサービスのコア機能を提供します。**
データプレーン、コントロールプレーン、および が高可用性目標を達成するためのサービス AWS を構築する方法の詳細については、Amazon Builders' Library の「ア[ベイラビリティーゾーンを使用した静的安定性」を参照してください](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/)。
# ARC のゾーンオートシフトの料金
ゾーンオートシフトの場合、 は、顧客アプリケーションに悪影響を及ぼす可能性のある潜在的な問題があると AWS が判断した場合、サポートされているリソースのためにユーザーに代わってアベイラビリティーゾーンからトラフィックを AWS シフトします。ゾーンオートシフトは追加料金なしで使用できます。
ARC の料金および料金例の詳細については、「[ARC の料金](https://aws.amazon.com/application-recovery-controller/pricing/)」を参照してください。
# ゾーンオートシフトを設定する際のベストプラクティス
Amazon Application Recovery Controller (ARC) でゾーンオートシフトを有効にする際は、次のベストプラクティスと考慮事項に注意してください。
ゾーンオートシフトには、オートシフトと練習実行ゾーンシフトの 2 種類のトラフィックシフトがあります。
+ *オートシフト* AWS を使用すると、ユーザーに代わってイベント中にアプリケーションリソーストラフィックをアベイラビリティーゾーンから遠ざけることで、復旧までの時間を短縮できます。
+ *練習実行*では、ARC がユーザーに代わってゾーンシフトを開始、またはユーザーがゾーンシフトの練習実行を開始します。 AWS 練習実行ゾーンシフトは、トラフィックをリソースのアベイラビリティーゾーンから遠ざけ、毎週の頻度で再度シフトします。練習実行は、リージョンのアベイラビリティーゾーンの容量を十分にスケールアップして、1 つのアベイラビリティーゾーンが失われてもアプリケーションの正常な動作を確保できます。
オートシフトと練習実行では、ベストプラクティスと考慮すべき点がいくつかあります。ゾーンオートシフトを有効にしたり、リソースの練習実行を設定したりする前に、以下のトピックを確認してください。
**トピック**
+ [クライアントがエンドポイントに接続したままになる時間を制限する](#ZAConsiderationsCurrentConnections)
+ [リソース容量の事前スケーリングとトラフィックの移行のテスト](#ZAConsiderationsCapacityPrescaling)
+ [リソースタイプと制約を理解する](#ZAConsiderationsResourceRequirements)
+ [練習実行のアラームを指定する](#ZAConsiderationsPracticeRunAlarms)
+ [練習実行の結果を評価する](#ZAConsiderationsPracticeRunOutcomes)
**クライアントがエンドポイントに接続したままになる時間を制限する**
Amazon Application Recovery Controller (ARC) がゾーンシフトやゾーンオートシフトなどを使用してトラフィックを障害から遠ざける場合、ARC がアプリケーショントラフィックを移動するために使用するメカニズムは DNS 更新です。DNS 更新により、すべての新しい接続が障害のある場所から遠ざけられます。ただし、既存のオープン接続を持つクライアントは、クライアントが再接続するまで、障害が発生したロケーションに対してリクエストを引き続き行う場合があります。迅速な復旧を確保するために、クライアントがエンドポイントに接続し続ける時間を制限することをお勧めします。
Application Load Balancer を使用する場合は、`keepalive` オプションを使用して接続の継続期間を設定できます。アプリケーションの目標復旧時間に合わせて、例えば 300 秒のように `keepalive` 値を小さくすることをお勧めします。`keepalive` 時間を設定する際は、一般的に再接続が増えてレイテンシーに影響が出ることと、障害のある AZ やリージョンからすべてのクライアントをより早く切り替えられることとのトレードオフである点を考慮してください。
Application Load Balancer の `keepalive` のオプション設定の詳細については、「Application Load Balancer ユーザーガイド」の「[ HTTP クライアントのキープアライブ期間](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#http-client-keep-alive-duration)」を参照してください。
**リソース容量の事前スケーリングとトラフィックの移行のテスト**
がゾーン AWS シフトまたはオートシフトのためにトラフィックを 1 つのアベイラビリティーゾーンから遠ざける場合、残りのアベイラビリティーゾーンがリソースのリクエストレートの増加に対応できることが重要です。このパターンは*静的安定性*と呼ばれます。詳細については、The Amazon Builder's Library のホワイトペーパー「[アベイラビリティーゾーンを使用した静的安定性](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/)」を参照してください。
例えば、アプリケーションがクライアントにサービスを提供するために 30 個のインスタンスを必要とする場合、3 つのアベイラビリティーゾーンに 15 個のインスタンスをプロビジョニングして、合計 45 個のインスタンスをプロビジョニングする必要があります。これにより、 がオートシフトまたは練習実行中に 1 つのアベイラビリティーゾーンからトラフィックを遠ざ AWS ける場合でも、2 つのアベイラビリティーゾーンにまたがる残りの 30 個のインスタンスをアプリケーションのクライアントに提供AWS できます。
ARC のゾーンオートシフト機能は、1 つのアベイラビリティーゾーンが失われても正常に動作するように事前にスケーリングされたリソースを持つアプリケーションがある場合に、アベイラビリティーゾーンの AWS イベントから迅速に復旧するのに役立ちます。リソースのゾーンオートシフトを有効にする前に、 AWS リージョン内の設定済みのすべてのアベイラビリティーゾーンのリソース容量をスケーリングしてください。次に、リソースのゾーンシフトを開始して、トラフィックがアベイラビリティーゾーンから遠ざけられても、アプリケーションが正常に動作することをテストします。
ゾーンシフトでテストした後、ゾーンオートシフトを有効にして、アプリケーションリソースの練習実行を設定します。独自のオンデマンド練習実行を実行して、設定が適切にスケールされるようにします。ゾーンオートシフトを使った定期的な練習実行は、容量が引き続き適切にスケーリングされていることを継続的に確認するのに役立ちます。複数のアベイラビリティーゾーンにまたがって十分な容量があれば、アプリケーションはオートシフト中も中断することなくクライアントにサービスを提供し続けることができます。
リソースのゾーンシフトを開始する方法の詳細については、「[ARC のゾーンシフト](arc-zonal-shift.md)」を参照してください。
**リソースタイプと制約を理解する**
ゾーンオートシフトは、ゾーンシフトによってサポートされるすべてのリソースについて、アベイラビリティーゾーン外へのトラフィックのシフトをサポートします。一部の特定のリソースシナリオでは、ゾーンオートシフトではオートシフトのためにアベイラビリティーゾーンからトラフィックがシフトされません。
例えば、アベイラビリティーゾーン内のロードバランサーのターゲットグループにインスタンスが含まれていない場合や、すべてのインスタンスが「異常」である場合、ロードバランサーはフェイルオープン状態になります。がこのシナリオでロードバランサーのオートシフト AWS を開始した場合、ロードバランサーがすでにフェイルオープン状態になっているため、ロードバランサーが使用するアベイラビリティーゾーンはオートシフトによって変更されません。これは想定される動作です。Autoshift では、すべてのアベイラビリティーゾーンがオープンに失敗 (異常) AWS リージョン した場合、1 つのアベイラビリティーゾーンが異常になり、トラフィックを の他のアベイラビリティーゾーンにシフトすることはできません。
すべての要件や注意すべき例外など、サポートされているリソースの詳細を確認するには、「[サポートされているリソース](arc-zonal-shift.resource-types.md)」を参照してください。
**練習実行のアラームを指定する**
ゾーンオートシフトによる練習実行には、少なくとも 1 つのタイプのアラーム (結果アラーム) を設定する必要があります。オプションで、2 番目のタイプのアラーム (ブロッキングアラーム) も設定できます。
リソースの練習実行に対して設定する CloudWatch アラームについて検討するときには、次の点に注意してください。
+ 練習実行設定には、少なくとも 1 つの結果アラームを設定する必要があります。結果アラームについては、リソースまたはアプリケーションのメトリクスが、アベイラビリティーゾーンからトラフィックを遠ざけるとパフォーマンスに悪影響があることを示したときには、CloudWatch アラームを `ALARM` 状態になるように設定することをお勧めします。例えば、リソースのリクエストレートのしきい値を決定して、そのしきい値を超えたときには `ALARM` 状態になるようにアラームを設定できます。 AWS が練習実行を終了して `FAILED` 結果を返すように、適切なアラームを設定する必要があります。
+ 重要業績評価指標 (KPI) を CloudWatch アラームとして実装することを推奨している「[AWS Well Architected フレームワーク](https://docs.aws.amazon.com/wellarchitected/2022-03-31/framework/perf_monitor_instances_post_launch_establish_kpi.html)」に従うことをお勧めします。その場合、これらのアラームを使用して、安全トリガーとして使用する複合アラームを作成し、アプリケーションが KPI を見逃す可能性がある場合には練習実行が開始されないようにすることができます。アラームが `ALARM` 状態でなくなると、ARC はそのリソースに対して次回の練習実行がスケジュールされている時点で練習実行を開始します。
+ 練習実行のブロックアラームでは、1 つ (または複数) を設定することを選択した場合、 AWS 練習実行を開始しないことを示すために使用する特定のメトリクスを追跡することを選択できます。たとえば、アラームが進行中のインシデントがあることを示す場合などです。
+ 練習実行アラームでは、各アラームの Amazon リソースネーム (ARN) を指定します。そのため、まず Amazon CloudWatch でアラームを設定する必要があります。指定する CloudWatch アラームは複合アラームでもかまいません。これにより、アラームの `ALARM` 状態への移行をトリガーできるアプリケーションとリソースの複数のメトリクスとチェックを含めることができます。または、個別のアラームを設定してから、練習実行設定で各タイプの複数のアラームを指定できます。詳細については、「Amazon CloudWatch ユーザーガイド」の「[アラームの結合](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Composite_Alarm.html)」を参照してください。
+ 練習実行について指定する CloudWatch アラームが、練習実行を設定しているリソースと同じリージョンにあることを確認してください。
**練習実行の結果を評価する**
ARC は各練習実行の結果を報告します。練習実行の後、結果を評価し、アクションを実行する必要があるかどうかを判断します。例えば、容量のスケーリングやアラーム設定の調整が必要になる場合があります。
可能な練習実行の結果は以下のとおりです。
+ **SUCCEEDED:** 練習実行中に結果アラームが `ALARM` 状態にならず、練習実行は 30 分間のテスト期間をすべて完了しました。
+ **FAILED:** 練習実行中に少なくとも 1 つの結果アラームが `ALARM` 状態になりました。
+ **INTERRUPTED:** 結果アラームが `ALARM` 状態になったのではない理由で、練習実行は終了しました。練習実行は、以下のようなさまざまな理由で中断される可能性があります。
+ でオートシフト AWS が開始された AWS リージョン か、リージョンにアラーム条件が発生したため、練習実行が終了しました。
+ 練習実行は、リソースの練習実行設定が削除されたために、終了しました。
+ 練習実行は、練習実行ゾーンシフトでトラフィックが遠ざけられたアベイラビリティーゾーンのリソースについて、顧客開始のゾーンシフトが開始されたために終了しました。
+ 練習実行は、練習実行設定に指定された CloudWatch アラームにアクセスできなくなったために終了しました。
+ 練習実行に指定されたブロッキングアラームが `ALARM` 状態に入ったため、練習実行は終了しました。
+ 練習実行は未知の理由で終了しました。
+ 優先されるゾーンオートシフトが開始されたため、練習実行が終了しました。「[ゾーンシフトの優先順位](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-autoshift.how-it-works.html#ZAShiftPrecedence)」を参照してください。
+ **CAPACITY\$1CHECK\$1FAILED:** アベイラビリティーゾーン間におけるロードバランシングと Auto Scaling グループリソースとのバランスの取れたキャパシティのチェックに失敗しました。
+ **PENDING:** 練習実行はアクティブ (進行中) です。まだ結果は戻されていません。
# ゾーンオートシフト API オペレーション
次の表に、ゾーンオートシフトで使用できる ARC API オペレーションを示します。でゾーンオートシフト API オペレーションを使用する例については AWS CLI、「」を参照してください。
AWS Command Line Interfaceで一般的なゾーンオートシフト API オペレーションを使用する方法の例については、「[ゾーンオートシフト AWS CLI で を使用する例](getting-started-cli-zonal-autoshift.md)」を参照してください。
| Action | ARC コンソールの使用 | ARC API の使用 |
| --- | --- | --- |
| 練習実行設定を作成する | 「[ゾーンオートシフトの有効化または無効化](arc-zonal-autoshift.start-cancel.md#arc-zonal-autoshift.configure)」を参照してください。 | 「[CreatePracticeRunConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CreatePracticeRunConfiguration.html)」を参照してください。 |
| 練習実行設定を削除する | 「[練習実行設定の設定、編集、または削除](arc-zonal-autoshift.edit-delete-practice-run.md)」を参照してください。 | 「[DeletePracticeRunConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_DeletePracticeRunConfiguration.html)」を参照してください。 |
| オートシフトを一覧表示する | 「[ARC のゾーンオートシフト](arc-zonal-shift.md)」を参照してください。 | 「[ListAutoshifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListAutoshifts.html)」を参照してください。 |
| ゾーンオートシフト用のリソースを一覧表示する | 「[サポートされているリソース](arc-zonal-shift.resource-types.md)」を参照してください。 | 「[ListManagedResources](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListManagedResources.html)」を参照 |
| ゾーンオートシフト用のリソースを取得する | 「[サポートされているリソース](arc-zonal-shift.resource-types.md)」を参照してください。 | 「[GetManagedResource](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_GetManagedResource.html)」を参照 |
| 練習実行設定を編集する | 「[練習実行設定の設定、編集、または削除](arc-zonal-autoshift.edit-delete-practice-run.md)」を参照してください。 | 「[UpdatePracticeRunConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdatePracticeRunConfiguration.html)」を参照してください。 |
| ゾーンオートシフトを有効化または無効化する | 「[ゾーンオートシフトの有効化または無効化](arc-zonal-autoshift.start-cancel.md#arc-zonal-autoshift.configure)」を参照してください。 | 「[UpdateZonalAutoshiftConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalAutoshiftConfiguration.html)」を参照してください。 |
| オートシフトのオブザーバー通知を有効または無効にする | 「[ゾーンオートシフトの有効化と操作](arc-zonal-autoshift.start-cancel.md)」を参照してください。 | 「[UpdateAutoshiftObserverNotificationStatus](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateAutoshiftObserverNotificationStatus.html)」を参照してください。 |
| 練習実行を開始する | 「[練習実行ゾーンシフトの開始](arc-zonal-autoshift.start-cancel.md)」を参照してください。 | 「[StartPracticeRun](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartPracticeRun.html)」を参照してください。 |
| 練習実行をキャンセルする | 「[練習実行のゾーンシフトのキャンセル](arc-zonal-autoshift.start-cancel.md)」を参照 | 「[CancelPracticeRun](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelPracticeRun.html)」を参照してください。 |
# ゾーンオートシフト AWS CLI で を使用する例
このセクションでは、 を使用して、API オペレーションを使用して Amazon Application Recovery Controller (ARC) のゾーンオートシフト機能 AWS Command Line Interface を操作する、ゾーンオートシフトを使用する簡単なアプリケーション例について説明します。これらの例は、CLI を使用したゾーンオートシフトの操作方法の基本的な理解を深めることを目的としています。
ゾーンオートシフトは ARC の機能です。ゾーンオートシフトを使用すると、ユーザーに代わって、イベント中にサポートされているアプリケーションリソーストラフィック AWS をアベイラビリティーゾーンから遠ざけることを に許可し、復旧までの時間を短縮できます。ゾーンオートシフトで使用できるリソースの詳細については、「[サポートされているリソース](arc-zonal-shift.resource-types.md)」を参照してください。
ゾーンオートシフトには、トラフィックをアベイラビリティーゾーンから遠ざける練習実行が含まれており、オートシフトがアプリケーションにとって安全であることを確認するのに役立ちます。
ゾーンオートシフト API アクションのリストと詳細情報へのリンクについては、「[ゾーンオートシフト API オペレーション](actions.zonalautoshift.md)」を参照してください。の使用の詳細については AWS CLI、[AWS CLI 「 コマンドリファレンス](https://docs.aws.amazon.com/cli/latest/reference/arc-zonal-shift/index.html)」を参照してください。
**Topics**
+ [練習実行設定を作成する](getting-started-cli-update-zonal_autoshift.create-practice-run.md)
+ [オートシフトを有効または無効にする](getting-started-cli-zonal-autoshift.update-autoshift.md)
+ [オンデマンド練習実行を開始する](getting-started-cli-zonal-autoshift.start-practice-run.md)
+ [進行中の練習実行をキャンセルする](getting-started-cli-zonal-autoshift.cancel-practice-run.md)
+ [進行中のオートシフトをキャンセルする](getting-started-cli-zonal-autoshift.cancel-autoshift.md)
+ [練習実行設定を編集する](getting-started-cli-zonal_autoshift.edit-practice-run-config.md)
+ [練習実行設定を削除する](getting-started-cli-zonal-autoshift.delete-practice-run-config.md)
# 練習実行設定を作成する
リソースのゾーンオートシフトを有効にする前に、リソースの練習実行設定を作成し、必要な練習実行のオプションを選択する必要があります。`create-practice-run-configuration` コマンドを使用して CLI でリソースの練習実行設定を作成します。
リソースの練習実行設定を作成するときは、次の点に注意してください。
+ 現時点でサポートされているアラームタイプは `CLOUDWATCH` のみです。
+ リソースがデプロイされている AWS リージョン のと同じ にあるアラームを使用する必要があります。
+ 結果アラームを指定する必要があります。ブロッキングアラームの指定はオプションです。
+ ブロックまたは許可する日付または時間枠の指定はオプションです。
`create-practice-run-configuration` コマンドを使用して CLI で練習実行設定を作成します。
例えば、リソースの練習実行設定を作成するには、次のようなコマンドを使用します。
```
aws arc-zonal-shift create-practice-run-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--outcome-alarms type=CLOUDWATCH,alarmIdentifier=arn:aws:cloudwatch:Region:111122223333:alarm:Region-MyAppHealthAlarm \
--blocking-alarms type=CLOUDWATCH,alarmIdentifier=arn:aws:cloudwatch:Region:111122223333:alarm:Region-BlockWhenALARM \
--blocked-dates 2023-12-01 --blocked-windows Mon:10:00-Mon:10:30
```
```
{
"arn": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"name": "zonal-shift-elb"
"zonalAutoshiftStatus": "DISABLED",
"practiceRunConfiguration": {
"blockingAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-BlockWhenALARM"
}
]
"outcomeAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-MyAppHealthAlarm"
}
],
"blockedWindows": [
"Mon:10:00-Mon:10:30"
],
"blockedDates": [
"2023-12-01"
]
}
```
# オートシフトを有効または無効にする
リソースのオートシフトを有効または無効にするには、CLI でゾーンオートシフトのステータスを更新します。ゾーンオートシフトのステータスを変更するには、`update-zonal-autoshift-configuration` コマンドを使用します。
例えば、リソースのオートシフトを有効にするには、次のようなコマンドを使用します。
```
aws arc-zonal-shift update-zonal-autoshift-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--zonal-autoshift-status="ENABLED"
```
```
{
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"zonalAutoshiftStatus": "ENABLED"
}
```
# オンデマンド練習実行を開始する
CLI で `start-practice-run` コマンドを使用して、オンデマンド練習実行のゾーンシフトを開始できます。
例えば、リソースの練習実行を開始するには、次のようなコマンドを使用します。
```
aws arc-zonal-shift start-practice-run
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
"awayFrom": "usw2-az1",
```
```
{
"awayFrom": "usw2-az1",
"comment": "Practice run started. Shifting traffic away from Availability Zone usw2-az1.",
}
```
# 進行中の練習実行をキャンセルする
CLI で `cancel-practice-run` コマンドを使用すると、進行中の練習実行をキャンセルできます。
例えば、リソースの練習実行をキャンセルするには、次のようなコマンドを使用します。
```
aws arc-zonal-shift cancel-practice-run \
--zonal-shift-id="="arn:aws:testservice::111122223333:ExampleALB123456890"
```
```
{
"zonalShiftId": "2222222-3333-444-1111",
"resourceIdentifier": "arn:aws:testservice::111122223333:ExampleALB123456890",
"awayFrom": "usw2-az1",
"expiryTime": 2024-11-15T10:35:42+00:00,
"startTime": 2024-11-15T09:35:42+00:00,
"status": "CANCELED",
"comment": "Practice run canceled"
}
```
# 進行中のオートシフトをキャンセルする
リソースのゾーンオートシフトをキャンセルすると、CLI で進行中のオートシフトをキャンセルできます。ゾーンオートシフトをキャンセルするには、`cancel-zonal-shift command` を使用します。
```
aws arc-zonal-shift cancel-zonal-shift --zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38
```
```
{
"awayFrom": "usw2-az1",
"comment": "Zonal autoshift started. Shifting traffic away from Availability Zone usw2-az1.",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "CANCELED",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
# 練習実行設定を編集する
ARC が練習実行を開始しない場合、CLI を使用してリソースの練習実行設定を編集し、さまざまな設定オプションを更新できます。例えば、練習実行のアラームを変更したり、ブロックされた日付やブロックされた時間枠を更新したりできます。練習実行設定を編集するには、`update-practice-run-configuration` コマンドを使用します。
リソースの練習実行設定を編集するときには、次の点に注意してください。
+ 現時点でサポートされているアラームタイプは `CLOUDWATCH` のみです。
+ リソースがデプロイされている AWS リージョン のと同じ にあるアラームを使用する必要があります。
+ 結果アラームを指定する必要があります。ブロッキングアラームの指定はオプションです。
+ ブロックする日付またはブロックする時間枠の指定はオプションです。
+ ブロックする日付またはブロックする時間枠を指定すると、、既存の値は置き換えられます。
例えば、リソースの練習実行設定を編集して、新しいブロックする日付を指定するには、次のようなコマンドを使用します。
```
aws arc-zonal-shift update-practice-run-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--blocked-dates 2024-03-01
```
```
{
"arn": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"name": "zonal-shift-elb"
"zonalAutoshiftStatus": "DISABLED",
"practiceRunConfiguration": {
"blockingAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-BlockWhenALARM"
}
]
"outcomeAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-MyAppHealthAlarm"
}
],
"blockedWindows": [
"Mon:10:00-Mon:10:30"
],
"blockedDates": [
"2024-03-01"
]
}
```
# 練習実行設定を削除する
リソースの練習実行設定を削除できますが、まず、リソースのゾーンオートシフトを無効にする必要があります。ゾーンオートシフトを有効にするには、リソースに練習実行設定が必要です。定期的な練習実行により、1 つのアベイラビリティーゾーンがなくてもアプリケーションが正常に動作することを確認できます。
CLI を使用して練習実行設定を削除するには、まず、必要に応じて `update-zonal-autoshift` コマンドを使用してゾーンオートシフトを無効にします。次に、練習実行設定を削除するには、`delete-practice-run-configuration` コマンドを使用します。
まず、次のようなコマンドを使用して、リソースのゾーンオートシフトを無効にします。
```
aws arc-zonal-shift update-zonal-autoshift-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--zonal-autoshift-status="DISABLED"
```
```
{
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"zonalAutoshiftStatus": "DISABLED"
}
```
次に、次のようなコマンドを使用して、練習実行設定を削除します。
```
aws arc-zonal-shift delete-practice-run-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890"
```
```
{
"arn": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"name": "TestResource",
"zonalAutoshiftStatus": "DISABLED"
}
```
# ゾーンオートシフトの有効化と操作
このセクションでは、Amazon Application Recovery Controller (ARC) でゾーンオートシフトを操作する手順について説明します。ゾーンオートシフトを有効にすると、練習実行設定の変更、オンデマンド練習実行の開始、練習実行を含む進行中シフトのキャンセル、またはオートシフトのオブザーバー通知の有効化を実行できます。
## ゾーンオートシフトの有効化または無効化
この手順では、Amazon Application Recovery Controller (ARC) のコンソールからゾーンオートシフトを有効化または無効化する手順について説明します。ゾーンオートシフトをプログラムで操作する方法については、「[ゾーンシフトおよびゾーンオートシフト API リファレンスガイド](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)」を参照してください。
ゾーンオートシフトを有効にすると、 がユーザーに代わってイベント中にアプリケーションリソーストラフィックをアベイラビリティーゾーンから遠ざけることを承認 AWS し、復旧までの時間を短縮できます。
## ゾーンオートシフトを有効化または無効化するには
1. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift) で ARC コンソールを開きます。
1. **[リソースのゾーンオートシフト設定]** で、リソースを選択します。
1. **[アクション]** メニューで、**[ゾーンオートシフトを有効化]** を選択してから、手順に従って更新を完了します。
リソースに練習実行設定がない場合、**[ゾーンオートシフトを有効化]** は使用できません。練習実行設定を構成して、ゾーンオートシフトを有効にするには、**[ゾーンオートシフトを設定]** を選択します。
**Topics**
+ [ゾーンオートシフトの有効化または無効化](#arc-zonal-autoshift.configure)
+ [練習実行設定の設定、編集、または削除](arc-zonal-autoshift.edit-delete-practice-run.md)
+ [ゾーンオートシフトのキャンセル](arc-zonal-autoshift.canceling-an-autoshift.md)
+ [練習実行ゾーンシフトの開始](arc-zonal-autoshift.start-practice-run.md)
+ [練習実行のゾーンシフトのキャンセル](arc-zonal-autoshift.cancel-practice-run.md)
+ [オートシフトのオブザーバー通知の有効化または無効化](arc-zonal-autoshift.enable-autoshift-observer.md)
# 練習実行設定の設定、編集、または削除
このセクションの手順では、Amazon Application Recovery Controller (ARC) のコンソールから練習実行設定を編集または削除する手順について説明します。ゾーンオートシフトをプログラムで操作する方法については、「[ゾーンシフトおよびゾーンオートシフト API リファレンスガイド](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)」を参照してください。
コンソールで練習実行設定を削除すると、ゾーンオートシフトは無効になります。API オペレーションで練習実行設定を削除するには、その前に、ゾーンオートシフトを無効にする必要があります。ゾーンオートシフトを有効にしなくても練習実行を設定できます。ただし、ゾーンオートシフトがリソースについて有効であるためには、そのリソースに対して練習実行を設定してある必要があります。
# 練習実行を設定するには
1. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift) で ARC コンソールを開きます。
1. **[ゾーンオートシフトを設定]** を選択します。
1. ゾーンオートシフトを設定するリソースを選択します。
1. AWS イベントが発生したときにリソースのオートシフト AWS を開始しない場合は、ゾーンオートシフトを無効にすることを選択します。必要に応じて、ウィザードを続行して、オートシフトを有効にせずに練習実行設定を構成できます。
1. リソースの練習実行のオプションを選択します。アラームの場合は、以下のことができます。
+ (必須) このリソースの練習実行を監視する結果アラームを少なくとも 1 つ指定します。
+ (オプション) このリソースの練習実行のブロッキングアラームを 1 つまたは複数指定します。
詳細については、「[ゾーンオートシフトを設定する際のベストプラクティス](arc-zonal-autoshift.considerations.md)」の「**練習実行について指定するアラーム**」セクションを参照してください。
1. オプションとして、ブロックされた時間枠または許可された時間枠を指定して、ARC による練習実行の開始をブロック、または ARC によるこのリソースの練習実行の開始を許可します。すべての日付と時刻は UTC で表示されます。
1. チェックボックスを選択して、確認メモを読んだことを確認します。
1. **[作成]** を選択します。
# 練習実行設定を編集するには
1. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift) で ARC コンソールを開きます。
1. **[リソースのゾーンオートシフト設定]** で、リソースを選択します。
1. **[アクション]** メニューで、**[練習実行設定を編集]** を選択します。
1. 練習実行設定に変更を加えて、次の 1 つ以上の操作を行います。
+ 例えば、以下のことができます。
+ ブロッキングアラームでは、1 つまたは複数のアラームを追加、またはアラームを削除できます。
+ 結果アラームでは、1 つまたは複数のアラームを追加、またはアラームを削除できます。少なくとも 1 つの結果アラームが必須であるため、設定内のすべての結果アラームを削除することはできません。
+ ブロックされる時間枠や許可される時間枠については、新しい日付や曜日と時刻を追加したり、既存の日付や曜日と時刻を削除または更新したりできます。すべての日付と時刻は UTC で表示されます。
1. **[保存]** を選択します。
# 練習実行設定を削除するには
1. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift) で ARC コンソールを開きます。
1. **[リソースのゾーンオートシフト設定]** で、リソースを選択します。
1. **[アクション]** メニューで、**[練習実行設定を削除]** を選択します。
1. 確認ダイアログボックスで、`Delete` と入力し、**[削除]** を選択します。
コンソールで練習実行設定を削除すると、リソースのゾーンオートシフトも無効になることに注意してください。ゾーンオートシフトでは、リソースの練習実行を設定する必要があります。
# ゾーンオートシフトのキャンセル
リソースの進行中のゾーンオートシフトを停止するには、ゾーンオートシフトをキャンセルする必要があります。
# 進行中のゾーンオートシフトを停止するには
1. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/) で ARC コンソールを開きます。
1. キャンセルするゾーンオートシフトを選択してから、**[ゾーンシフトをキャンセル]** を選択します。
1. ダイアログボックスで、**[確認]** を選択します。
# 練習実行ゾーンシフトの開始
このセクションの手順では、ARC コンソールでオンデマンドの練習実行ゾーンシフトを開始する方法について説明します。ゾーンシフトとゾーンオートシフトをプログラムで操作する方法については、「[ゾーンシフトおよびゾーンオートシフト API リファレンスガイド](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)」を参照してください。
ゾーンオートシフトを設定してから練習実行設定を作成すると、練習実行ゾーンシフトを開始できます。
# 練習実行ゾーンシフトを開始するには
1. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/) で ARC コンソールを開きます。
1. **[ゾーンオートシフトのリソース]** で、ゾーンオートシフトが設定された個々のリソースを参照します。
1. **[リソース概要]** ページで、**[練習実行を開始する]** を選択します。
1. アベイラビリティーゾーンを選択してから、練習実行のコメントを入力します。練習実行は、選択したアベイラビリティーゾーンからトラフィックを遠ざけます。
1. **[開始]** を選択します。
# 練習実行のゾーンシフトのキャンセル
このセクションの手順では、ARC コンソールでゾーンシフトをキャンセルする方法について説明します。ゾーンシフトとゾーンオートシフトをプログラムで操作する方法については、「[ゾーンシフトおよびゾーンオートシフト API リファレンスガイド](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)」を参照してください。
自分で開始したゾーンシフトまたは練習実行はキャンセルできます。ゾーンオートシフトの練習実行のリソースに対して AWS 開始されるゾーンシフトをキャンセルすることもできます。
# 練習実行のゾーンシフトをキャンセルするには
1. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/) で ARC コンソールを開きます。
1. キャンセルする練習実行のゾーンシフトを選択してから、**[ゾーンシフトをキャンセル]** または **[練習実行をキャンセル]** を選択します。
1. ダイアログボックスで、**[確認]** を選択します。
# オートシフトのオブザーバー通知の有効化または無効化
がオートシフト AWS を開始して、障害の可能性があるアベイラビリティーゾーンからトラフィックを遠ざけるたびに、Amazon EventBridge を介して通知するようにゾーンオートシフトを設定できます。このオプションは、通知 AWS リージョン を受信する各 で設定する必要があります。これらの個別の通知を有効にするために、ゾーンオートシフトで特定のリソースを設定する必要はありません。詳細については、「[Amazon EventBridge でのゾーンオートシフトの使用](eventbridge-zonal-autoshift.md)」を参照してください。
このセクションの手順では、Amazon Application Recovery Controller (ARC) のコンソールを使用してオートシフトのオブザーバー通知を有効化する手順について説明します。ゾーンオートシフトをプログラムで操作する方法については、「[ゾーンシフトおよびゾーンオートシフト API リファレンスガイド](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)」を参照してください。
# オートシフトのオブザーバー通知を有効または無効にするには
1. [https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/) で ARC コンソールを開きます。
1. **[利用開始]** で、**[オートシフトオブザーバー通知を有効にする]** を選択します。
1. 確認ダイアログボックスで、**[オブザーバー通知を有効にする]** を選択します。
# を使用したゾーンオートシフトのテスト AWS FIS
AWS Fault Injection Service を使用して、AZ ア[ベイラビリティー: 電源中断](https://docs.aws.amazon.com//fis/latest/userguide/az-availability-scenario.html)シナリオなどの実際の条件をシミュレートする実験をセットアップして実行できます。このシナリオは、AZ の障害が広範囲にまたがる可能性がある場合に、オートシフトが有効なリソースでゾーンオートシフトを開始したときに AWS 何が起こるかを示します。
`aws:arc:start-zonal-autoshift` 復旧の開始アクションを使用すると、 AWS がゾーンオートシフトが有効なリソースのトラフィックを、障害の可能性がある AZ から自動的に移行し、AZs 可用性シナリオの実行 AWS リージョン 中に同じ 内の正常な AZ に再ルーティングする方法を示すことができます。
たとえば、 AWS FIS シナリオライブラリを使用して、停電によって発生した AZ の障害をシミュレートできます。この実験では、AZ の電源中断が始まってから 5 分後に、復旧アクション `aws:arc:start-zonal-autoshift` によってリソーストラフィックが指定の AZ から自動的にシフトします。AZ の障害が広範囲に及ぶ可能性がある場合にオートシフトがどのようにトリガーされるかを示すため、トラフィックは停電の残りの 25 分間シフトされます。実験が完了すると、トラフィックのシフトが終了し、トラフィックはすべての AZ に再び流れ始めます。このプロセスは、AZ に影響を与える電力イベントからの完全な復旧を示します。
## 実験とゾーンオートシフト練習実行の違い
AWS FIS 実験は、通常のプロセスの一環として ARC がリソースのトラフィックを 1 つの AZ から移行し、アプリケーションが AZ の損失を許容できるという点で、ゾーンオートシフトの練習実行とは異なります。ただし、実験中に AWS FIS 、 はユーザーに代わってオートシフトが有効なリソースに対して AZ の障害とオートシフトがどのようにトリガーされるか AWS FIS を示し、障害が解決されるとオートシフトをキャンセルします。
実行中に AWS FIS 開始ゾーンシフトを更新することはできません。さらに、 の外部でゾーンシフトをキャンセルすると AWS FIS、 AWS FIS 実験は終了します。
## AWS FIS 有効期限ベースの安全メカニズム
AWS FIS は、[StartZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartZonalShift.html)、[UpdateZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalShift.html)、および [CancelZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelZonalShift.html) API オペレーションを使用してゾーンシフトを管理します。これらのリクエストの `expiresIn`フィールドは安全メカニズムとして 1 分に設定されています。これにより AWS FIS 、ネットワークの停止やシステムの問題などの予期しないイベントが発生した場合に、 はゾーンシフトを迅速にロールバックできます。ARC コンソールでは、有効期限フィールドが AWS FIS管理され、実際の予想される有効期限はゾーンシフトアクションで指定された期間によって決まります。練習実行の詳細については、「[ゾーンオートシフトと練習実行の仕組み](https://docs.aws.amazon.com//r53recovery/latest/dg/arc-zonal-autoshift.how-it-works.html)」を参照してください。
一度に適用できるゾーンシフトは 1 つのみです。つまり、1 つの練習のみが、リソースに対してゾーンシフト、お客様が開始したゾーンシフト、オートシフト、または AWS FIS 実験を実行します。2 番目のゾーンシフトが開始されると、ARC は優先順位に従いリソースに有効なゾーンシフトタイプを判断します。ゾーンシフトの優先順位の詳細については、「[ゾーンシフトの優先順位](arc-zonal-autoshift.how-it-works.precedence.md)」を参照してください。
AWS FIS 復旧アクションの詳細については、「 *AWS Fault Injection Service ユーザーガイド*」の[AWS FIS 「復旧アクション](https://docs.aws.amazon.com//fis/latest/userguide/fis-actions-reference.html#fis-actions-recovery.html)」を参照してください。
# Amazon Application Recovery Controller (ARC) のゾーンオートシフトのログ記録とモニタリング
AWS CloudTrail と Amazon EventBridge を使用して、Amazon Application Recovery Controller (ARC) でゾーンオートシフトをモニタリングし、パターンを分析し、問題のトラブルシューティングに役立てることができます。
**Topics**
+ [AWS CloudTrail を使用したゾーンオートシフト API コールのログ記録](cloudtrail-zonal-autoshift.md)
+ [Amazon EventBridge でのゾーンオートシフトの使用](eventbridge-zonal-autoshift.md)
# AWS CloudTrail を使用したゾーンオートシフト API コールのログ記録
ARC のゾーンオートシフトは、AWS CloudTrail と統合されています。これは、ARC のユーザー、ロール、または AWS のサービスで実行されたアクションを記録するためのサービスです。CloudTrail は、ゾーンシフトに対するすべての API コールをイベントとしてキャプチャします。キャプチャされたコールには、ARC コンソールからのコールと、ゾーンシフトの ARC API オペレーションへのコードコールが含まれます。
証跡を作成する場合は、ゾーンシフトのイベントを含む、Amazon S3 バケットへの CloudTrail イベントの継続的デリバリーを有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの **[イベント履歴]** で最新のイベントを表示できます。
CloudTrail で収集した情報を使用して、ゾーンシフトの ARC に対するリクエスト、リクエスト元の IP アドレス、リクエストした人、リクエストが行われた日時などの詳細を確認できます。
CloudTrail の詳細については、「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)」を参照してください。
## CloudTrail のゾーンオートシフト情報
CloudTrail は、AWS アカウントを作成すると、その中で有効になります。ゾーンオートシフトの ARC でアクティビティが発生すると、そのアクティビティは他の AWS サービスイベントと共に、**[イベント履歴]** 内で CloudTrail イベントに記録されます。最近のイベントは、AWS アカウント で表示、検索、ダウンロードできます。詳細については、「[CloudTrail イベント履歴の操作](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)」を参照してください。
ゾーンオートシフトの ARC のイベントなど、AWS アカウントで継続しているイベントの記録については、証跡を作成します。*証跡*により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョン に適用されます。証跡は、AWS パーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づいて対応するため、他の AWS サービスを構成できます。詳細については、次を参照してください:
+ [追跡を作成するための概要](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail がサポートされているサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [CloudTrail の Amazon SNS 通知の設定](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [複数のリージョンから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)および[複数のアカウントから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
すべての ARC アクションは CloudTrail によってログに記録され、「[Amazon Application Recovery Controller のルーティングコントロール API リファレンスガイド](https://docs.aws.amazon.com/routing-control/latest/APIReference/)」に記載されています。例えば、`StartZonalShift` および `ListManagedResources` の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。
各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます:
+ リクエストが、ルート認証情報と AWS Identity and Access Management (IAM) ユーザー認証情報のどちらを使用して送信されたか。
+ リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
+ リクエストが別の AWS サービスによって行われたかどうか。
詳細については、「[CloudTrail userIdentity エレメント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)」を参照してください。
## イベント履歴での ARC イベントの表示
CloudTrail では、[**イベント履歴**] に最近のイベントが表示されます。詳細については、「*AWS CloudTrail ユーザーガイド*」の「[CloudTrail イベント履歴の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)」を参照してください。
## ゾーンオートシフトログファイルエントリについて
「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントは任意ソースからの単一リクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどの情報を含みます。CloudTrail ログファイルは、パブリック API 呼び出しの順序付けられたスタックトレースではないため、特定の順序では表示されません。
次の例は、ゾーンオートシフトの `ListManagedResources` アクションを実行する CloudTrail ログエントリです。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:14:41Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "ListManagedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": null,
"responseElements": null,
"requestID": "VGXG4ZUE7UZTVCMTJGIAF_EXAMPLE",
"eventID": "4b5c42df-1174-46c8-be99-d67_EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
# Amazon EventBridge でのゾーンオートシフトの使用
Amazon EventBridge を使用すると、ゾーンオートシフトリソースをモニタリングし、他の AWS サービスを使用するターゲットアクションを開始するイベント駆動型ルールを設定できます。例えば、ゾーンオートシフトの練習実行が開始されたとき、Amazon SNS トピックに信号を伝達すると、E メール通知を送信するルールを設定できます。
Amazon EventBridge でゾーンオートシフトに関するルールを作成できます。ゾーンオートシフトのイベントは、練習実行が開始するときなどに、練習実行またはオートシフトに関するステータス情報を指定します。ゾーンオートシフトを設定して、サービスに対して有効にしたリソースのゾーンオートシフトイベントを通知できます。
他の通知に加えて、または他の通知の代わりに、オートシフトオブザーバー通知を有効にすることもできます。オートシフトオブザーバー通知は、 がアベイラビリティーゾーンのオートシフト AWS を開始するたびに通知イベントを提供します。オートシフトのオブザーバー通知は、ゾーンオートシフトで有効にしたリソースのトラフィックがアベイラビリティーゾーンから遠ざけられたときに受け取る通知とは異なります。オートシフトのオブザーバー通知を有効にするために、ゾーンオートシフトでリソースを設定する必要はありません。詳細については、「[ゾーンオートシフトの有効化と操作](arc-zonal-autoshift.start-cancel.md)」を参照してください。
関心のある特定のゾーンオートシフトイベントをキャプチャするには、そのイベント固有のパターンを定義し、イベントを検出する EventBridge がそれを使用できるようにします。イベントパターンは、一致するイベントと同じ構造をしています。イベントのパターンでは、照合する対象のフィールドを引用符で囲み、検出したい値を指定します。
イベントは、ベストエフォートベースで出力されます。通常の運用状況下では、ARC から EventBridge にほぼリアルタイムで配信されます。ただし、イベントの配信を遅らせたり妨げたりする状況が発生する場合もあります。
EventBridge ルールがイベントパターンでどのように機能するかについては、「[EventBridge のイベントとイベントパターン](https://docs.aws.amazon.com//eventbridge/latest/userguide/eventbridge-and-event-patterns.html)」を参照してください。
## EventBridge でゾーンオートシフトリソースをモニタリングする
EventBridge でルールを作成すると、ARC がリソースに対してイベントを発生したときに実行されるアクションを定義できます。例えば、練習実行がゾーンオートシフトを開始したときに E メールメッセージを送信するルールを作成できます。
EventBridge コンソールにイベントパターンを入力またはコピーするには、コンソールの **[独自のサンプルイベントを入力]** オプションを選択します。有用なイベントパターンを決める際の参考になるように、このトピックでは、使用できる[ゾーンオートシフトイベントマッチングパターン](#ZAEventBridgePatterns)と[ゾーンオートシフトイベント](#ZAEventBridgeEventSamples)の両方の例を紹介します。
**リソースイベントのルールを作成するには**
1. Amazon EventBridge コンソールの [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) を開いてください。
1. ルール AWS リージョン を作成する 、つまりイベントを視聴するリージョンを選択します。
1. [**Create rule**] を選択します。
1. ルールの [**Name (名前)**] を入力し、必要に応じて説明を入力します。
1. **[イベントバス]** については、デフォルト値の **[デフォルト]** のままにします。
1. [**次へ**] を選択します。
1. **[イベントパターンを構築]** ステップでは、**[イベントソース]** はデフォルト値の **[AWS イベント]** のままにします。
1. **[サンプルイベント]** で **[独自のサンプルイベントを入力]** を選択します。
1. **[サンプルイベント]** には、イベントパターンを入力するか、コピーして貼り付けます。
## ゾーンオートシフトイベントパターンの例
イベントパターンは、一致するイベントと同じ構造をしています。イベントのパターンでは、照合する対象のフィールドを引用符で囲み、検出したい値を指定します。
このセクションのイベントパターンをコピーして EventBridge に貼り付け、ゾーンオートシフトのアクションとリソースの監視に使用できるルールを作成できます。
ゾーンオートシフトイベントのイベントパターンを作成するときには、`detail-type` に以下のいずれかを指定できます。
+ `Autoshift In Progress`
+ `Autoshift Completed`
+ `Practice Run Started`
+ `Practice Run Succeeded`
+ `Practice Run Interrupted`
+ `Practice Run Failed`
+ `FIS Experiment Autoshift In Progress`
+ `FIS Experiment Autoshift Completed`
+ `FIS Experiment Autoshift Canceled`
+ `Manual Shift Started`
+ `Manual Shift Updated`
+ `Manual Shift Canceled`
練習実行が中断されたとき、中断の原因について詳しくは、`additionalFailureInfo` フィールドを参照してください。
AWS Autoshift オブ*ザーバー通知を有効にすることで、すべての Autoshift* をモニタリングすることを選択できます。オートシフトのオブザーバー通知を有効にした後、通知を受信するには、ゾーンオートシフトの詳細タイプ `Autoshift In Progress` の通知を受け取ることを選択します。オートシフトのオブザーバー通知を有効にする手順については、「[ゾーンオートシフトの有効化と操作](arc-zonal-autoshift.start-cancel.md)」を参照してください。
例については、「[ゾーンオートシフトイベントの例](#ZAEventBridgeEventSamples)」セクションを参照してください。
+ *オートシフトが開始されたゾーンオートシフトからすべてのイベントを選択します。*
次の点に注意してください。
+ オートシフトのオブザーバー通知を有効にした場合、ARC はすべてのオートシフトイベントを返します。
+ オートシフトのオブザーバー通知を有効にしていない場合、ゾーンオートシフト用に設定したリソースがオートシフトに含まれている場合にのみ、ARC はオートシフトイベントを返します。
```
{
"source": [
"aws.arc-zonal-shift"
],
"detail-type": [
"Autoshift In Progress"
]
}
```
+ *練習実行が開始されたゾーンオートシフトからすべてのイベントを選択します。*
```
{
"source": [
"aws.arc-zonal-shift"
],
"detail-type": [
"Practice Run Started"
]
}
```
+ *練習実行が失敗したゾーンオートシフトからすべてのイベントを選択します。*
```
{
"source": [
"aws.arc-zonal-shift"
],
"detail-type": [
"Practice Run Failed"
]
}
```
## ゾーンオートシフトイベントの例
このセクションでは、*ゾーンオートシフト*アクションのイベント例について説明します。
以下は、`Autoshift In Progress` アクションのイベント例です。1) オートシフトのオブザーバー通知が*有効*である場合。2) オートシフトに含まれるゾーンオートシフトでリソースを設定していない場合。
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Autoshift In Progress",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":"AWS has started an autoshift for an impaired Availability Zone. This notification
is separate from autoshift notifications for resources, if any, that you have configured for
zonal autoshift. For details, see the Developer Guide."
}
}
}
```
以下は、`Autoshift In Progress` アクションのイベント例です。1) オートシフトのオブザーバー通知が*無効*である場合。2) オートシフトに含まれるゾーンオートシフトでリソースを設定している場合。
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Autoshift In Progress",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":""
}
}
}
```
以下は、`Practice Run Interrupted` アクションのイベント例です。
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Practice Run Interrupted",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": {
"additionalFailureInfo": "Practice run interrupted. The blocking alarm entered ALARM state."
},
"metadata": {
"awayFrom": "use1-az2"
}
}
}
```
以下は、`FIS Experiment Autoshift In Progress` アクションのイベント例です。
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "FIS Experiment Autoshift In Progress",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":""
}
}
}
```
以下は、 `Manual Shift Started`アクションのイベント例です。これは、`StartZonalShift`API がリソースで呼び出されたときに出力されます。
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Manual Shift Started",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":""
}
}
}
```
## ターゲットとして使用する CloudWatch ロググループを指定する
EventBridge ルールを作成するときは、ルールに一致するイベントの送信先のターゲットを指定する必要があります。EventBridge で利用できるターゲットの一覧については、「[EventBridge コンソールで使用可能なターゲット](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html#eb-console-targets)」を参照してください。EventBridge ルールに追加できるターゲットの 1 つは、Amazon CloudWatch ロググループです。このセクションでは、CloudWatch ロググループをターゲットとして追加するための要件と、ルール作成時にロググループを追加する手順について説明します。
CloudWatch ロググループをターゲットとして追加するには、次のいずれかを実行します。
+ 新しいロググループを作成する
+ 既存のロググループを選択する
ルールの作成時にコンソールを使用して新しいロググループを指定する場合は、EventBridge によって自動的にロググループが作成されます。EventBridge ルールのターゲットとして使用するロググループが `/aws/events` で始まることを確認します。既存のロググループを選択する場合は、`/aws/events` で始まるロググループのみがドロップダウンメニューのオプションとして表示されることに注意してください。詳細については、「*Amazon CloudWatch ユーザーガイド*」の「[新しいロググループを作成する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)」を参照してください。
コンソール外で CloudWatch オペレーションを使用して CloudWatch ロググループを作成またはターゲットとして使用する場合は、アクセス許可を正しく設定していることを確認してください。コンソールを使用して EventBridge ルールにロググループを追加すると、ロググループのリソースベースのポリシーが自動的に更新されます。ただし、 AWS Command Line Interface または AWS SDK を使用してロググループを指定する場合は、ロググループのリソースベースのポリシーを更新する必要があります。次のポリシー例は、ロググループのリソースベースのポリシーで定義する必要があるアクセス許可を示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com",
"delivery.logs.amazonaws.com"
]
},
"Resource": "arn:aws:logs:us-east-1:222222222222:log-group:/aws/events/*:*",
"Sid": "TrustEventsToStoreLogEvent"
}
]
}
```
------
コンソールを使用してロググループのリソースベースのポリシーを設定することはできません。必要なアクセス許可をリソースベースのポリシーに追加するには、CloudWatch [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) API オペレーションを使用します。次に、[describe-resource-policies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/logs/describe-resource-policies.html) CLI コマンドを使用して、ポリシーが正しく適用されたことを確認できます。
**リソースイベントのルールを作成して CloudWatch ロググループターゲットを指定するには**
1. Amazon EventBridge コンソールの [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) を開いてください。
1. ルール AWS リージョン を作成する を選択します。
1. **[ルールの作成]** を選択して、イベントパターンまたはスケジュールの詳細など、そのルールに関する情報を入力します。
ARC の EventBridge ルール作成の詳細については、このトピックの前半のセクションを参照してください。
1. **[ターゲットを選択]** ページで、ターゲットとして **[CloudWatch]** を選択します。
1. ドロップダウンメニューから CloudWatch ロググループを選択します。
# ARC でのゾーンオートシフトの Identity and Access Management
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰が*認証* (サインイン) でき、誰が ARC リソースの使用を*許可される* (権限を持つ) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [ゾーンオートシフトを IAM と連携させる方法](security_iam_service-with-iam-zonalautoshift.md)
+ [アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples-zonalautoshift.md)
+ [サービスリンクロール](using-service-linked-roles-zonal-autoshift.md)
+ [AWS マネージドポリシー](security-iam-awsmanpol-zonal-autoshift.md)
# ARC のゾーンオートシフトを IAM と連携させる方法
IAM を使用して Amazon Application Recovery Controller (ARC) のゾーンオートシフトへのアクセスを管理する前に、ゾーンオートシフトで使用できる IAM 機能について説明します。
**ARC のゾーンオートシフトで使用できる IAM の機能**
| IAM 機能 | ゾーンオートシフトのサポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-zonalautoshift-id-based-policies) | あり |
| [リソースベースのポリシー](#security_iam_service-with-iam-zonalautoshift-resource-based-policies) | なし |
| [ポリシーアクション](#security_iam_service-with-iam-zonalautoshift-id-based-policies-actions) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-zonalautoshift-id-based-policies-resources) | あり |
| [ポリシー条件キー](#security_iam_service-with-iam-zonalautoshift-id-based-policies-conditionkeys) | あり |
| [ACL](#security_iam_service-with-iam-zonalautoshift-acls) | なし |
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-zonalautoshift-tags) | 部分的 |
| [一時認証情報](#security_iam_service-with-iam-zonalautoshift-roles-tempcreds) | あり |
| [プリンシパルアクセス権限](#security_iam_service-with-iam-zonalautoshift-principal-permissions) | あり |
| [サービスロール](#security_iam_service-with-iam-zonalautoshift-roles-service) | いいえ |
| [サービスリンクロール](#security_iam_service-with-iam-zonalautoshift-roles-service-linked) | はい |
AWS サービスがほとんどの IAM 機能と連携する方法の概要を把握するには、「IAM *ユーザーガイド*」の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## ARC のアイデンティティベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
ARC のアイデンティティベースのポリシーの例を表示するには、「[Amazon Application Recovery Controller (ARC) のアイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## ARC 内のリソースベースのポリシー
**リソースベースのポリシーのサポート:** なし
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM ロールの信頼ポリシーや Amazon S3 バケットポリシーがあげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。
## ARC のポリシーアクション
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
ゾーンオートシフトにおける ARC アクションのリストを確認するには、「[サービス認証リファレンス](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)」の「*Amazon Route 53 - ゾーンシフトで定義されるアクション*」を参照してください。
ARC におけるゾーンオートシフト用ポリシーのアクションでは、アクションの前に次のプレフィックスを使用しています。
```
arc-zonal-shift
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。例えば、次のようになります。
```
"Action": [
"arc-zonal-shift:action1",
"arc-zonal-shift:action2"
]
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "arc-zonal-shift:Describe*"
```
ゾーンオートシフトにおける ARC のアイデンティティベースのポリシーの例を表示するには、「[ARC でのゾーンオートシフトのアイデンティティベースのポリシー例](security_iam_id-based-policy-examples-zonalautoshift.md)」を参照してください。
## ARC のゾーンオートシフトのポリシーリソース
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
リソースタイプとその ARN のリスト、および各リソースの ARN で指定できるアクションについては、「*サービス認証リファレンス*」の以下のトピックを参照してください。
+ [Amazon Route 53 - ゾーンシフトで定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
条件キーで使用できるアクションとリソースについては、「*サービス認証リファレンス*」の以下のトピックを参照してください。
+ [Amazon Route 53 - ゾーンシフトで定義される条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
ゾーンオートシフトにおける ARC のアイデンティティベースのポリシーの例を表示するには、「[ARC でのゾーンオートシフトのアイデンティティベースのポリシー例](security_iam_id-based-policy-examples-zonalautoshift.md)」を参照してください。
## ARC のゾーンオートシフトのポリシー条件キー
**サービス固有のポリシー条件キーのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
ARC の条件キーのリストについては、「*サービス認証リファレンス*」の以下のトピックを参照してください。
+ [Amazon Route 53 ゾーンシフトの条件キー](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
条件キーで使用できるアクションとリソースについては、「サービス認証リファレンス」の以下のトピックを参照してください。**
+ [Amazon Route 53 ゾーンシフトで定義されるアクション](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
ゾーンオートシフトにおける ARC のアイデンティティベースのポリシーの例を表示するには、「[ARC でのゾーンオートシフトのアイデンティティベースのポリシー例](security_iam_id-based-policy-examples-zonalautoshift.md)」を参照してください。
## ARC のアクセスコントロールリスト (ACL)
**ACL のサポート:** なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## ARC での属性ベースのアクセス制御 (ABAC)
**ABAC (ポリシー内のタグ) のサポート:** 一部
属性ベースのアクセスコントロール (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
ARC のゾーンオートシフトには、ABAC に対する以下の部分的なサポートが含まれています。
+ ゾーンオートシフトは、ゾーンシフト用に ARC に登録されている、マネージドリソースの ABAC をサポートしています。Network Load Balancer と Application Load Balancer マネージドリソースにおける ABAC の詳細については、「Elastic Load Balancing ユーザーガイド」の「[Elastic Load Balancing での ABAC](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-tags)」を参照してください。
## ARC での一時的な認証情報の使用
**一時的な認証情報のサポート:** あり
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## ARC のクロスサービスプリンシパル権限
**転送アクセスセッション (FAS) のサポート:** あり
IAM エンティティ (ユーザーまたはロール) を使用して でアクションを実行すると AWS、プリンシパルと見なされます。ポリシーによって、プリンシパルに許可が付与されます。一部のサービスを使用する際に、アクションを実行することで、別サービスの別アクションがトリガーされることがあります。この場合、両方のアクションを実行するためのアクセス許可が必要です。
アクションにポリシーで追加の依存アクションが必要かどうかを確認するには、「*サービス認証リファレンス*」の以下のトピックを参照してください。
+ [ Amazon Route 53 ゾーンシフト](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html)
## ARC のサービスロール
**サービスロールのサポート:** なし
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
## ARC のサービスにリンクされたロール
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
ARC サービスにリンクされたロールの作成または管理の詳細については、「[ARC でのゾーンオートシフトのサービスにリンクされたロールの使用](using-service-linked-roles-zonal-autoshift.md)」を参照してください。
サービスにリンクされたロールの作成または管理の詳細については、「[IAM と提携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。表の「**サービスリンクロール**」列に `Yes` と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[はい]** リンクを選択します。
# ARC でのゾーンオートシフトのアイデンティティベースのポリシー例
デフォルトでは、ユーザーおよびロールには、ARC リソースを作成または変更する権限はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
ARC が定義するアクションとリソースタイプの詳細 (各リソースタイプの ARN の形式を含む) については、「*サービス認証リファレンス*」の「[Amazon Application Recovery Controller (ARC) のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [例: ゾーンオートシフトコンソールアクセス](#security_iam_id-based-policy-examples-console-zonalautoshift)
+ [例: ARC API アクション](#security_iam_id-based-policy-examples-api-zonalautoshift)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、ユーザーのアカウントで誰かが ARC リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## 例: ゾーンオートシフトコンソールアクセス
Amazon Application Recovery Controller (ARC) コンソールにアクセスするには、最小限のアクセス許可セットが必要です。これらのアクセス許可により、 の ARC リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
一部のタスクを実行するには、ユーザーは ARC のゾーンオートシフトに関連付けられているサービスにリンクされたロールを作成するアクセス許可を持っている必要があります。詳細については[ARC でのゾーンオートシフトのサービスにリンクされたロールの使用](using-service-linked-roles-zonal-autoshift.md)を参照してください。
でゾーンオートシフトを使用するためのフルアクセスをユーザーに付与するには AWS マネジメントコンソール、次のようなポリシーをユーザーにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift",
"arc-zonal-shift:CreatePracticeRunConfiguration",
"arc-zonal-shift:DeletePracticeRunConfiguration",
"arc-zonal-shift:ListAutoshifts",
"arc-zonal-shift:UpdatePracticeRunConfiguration",
"arc-zonal-shift:UpdateZonalAutoshiftConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloudwatch:DescribeAlarms",
"Resource": "*"
}
]
}
```
------
## 例: ARC API アクション
ポリシーを使用して、ユーザーがゾーンオートシフトの ARC API アクションを使用してゾーンオートシフトを設定し、 がユーザーに代わってアプリケーションリソーストラフィックをアベイラビリティーゾーンから の正常な AZs AWS にシフトして AWS リージョン、イベント中の復旧時間を短縮できるようにします。これらのアクセス許可を付与するには、以下で説明するように、ユーザーが操作する必要がある API オペレーションに対応するポリシーをアタッチします。
一部のタスクを実行するには、ユーザーは ARC に関連付けられているサービスにリンクされたロールのアクセス許可を持っている必要があります。サービスにリンクされたロールの作成に必要なアクセス許可は、次のポリシー例に含まれています。詳細については[ARC でのゾーンオートシフトのサービスにリンクされたロールの使用](using-service-linked-roles-zonal-autoshift.md)を参照してください。
ゾーンオートシフト用の API オペレーションを使用するには、次のようなポリシーをユーザーにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift",
"arc-zonal-shift:CreatePracticeRunConfiguration",
"arc-zonal-shift:DeletePracticeRunConfiguration",
"arc-zonal-shift:ListAutoshifts",
"arc-zonal-shift:UpdatePracticeRunConfiguration",
"arc-zonal-shift:UpdateZonalAutoshiftConfiguration"
],
"Resource": "*"
},
{
"Effect" : "Allow",
"Action" : [
"cloudwatch:DescribeAlarms",
"health:DescribeEvents"
],
"Resource" : "*"
},
{
"Effect" : "Allow",
"Action" : [
"arc-zonal-shift:CancelZonalShift",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift"
],
"Resource" : "*"
}
]
}
```
------
# ARC でのゾーンオートシフトのサービスにリンクされたロールの使用
Amazon Application Recovery Controller のゾーンオートシフトは、 AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、サービスに直接リンクされた一意のタイプの IAM ロールです。この場合は ARC です。サービスにリンクされたロールは ARC によって事前定義されており、特定の目的でサービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、ARC の設定が簡単になります。ARC はサービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、ARC のみがそのロールを引き受けることができます。定義されるアクセス許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースへのアクセス許可を誤って削除できないため、ARC ゾーンオートシフトリソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**はい**リンクを選択します。
## AWSServiceRoleForZonalAutoshiftPracticeRun のサービスリンクロールアクセス許可
ARC は、**AWSServiceRoleForZonalAutoshiftPracticeRun** という名前のサービスにリンクされたロールを使用して以下を実行します。
+ お客様が用意した Amazon CloudWatch アラームと顧客 Health Dashboard イベントをモニタリングして、練習実行を行います。
+ 練習実行 (練習のゾーンシフト) を管理します。
このセクションでは、サービスリンクロールのアクセス許可と、ロールの作成、編集、および削除に関して説明します。
### AWSServiceRoleForZonalAutoshiftPracticeRun のサービスリンクロールアクセス許可
このサービスリンクロールは、マネージドポリシーである `AWSZonalAutoshiftPracticeRunSLRPolicy` を使用します。
**AWSServiceRoleForZonalAutoshiftPracticeRun** サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `practice-run.arc-zonal-shift.amazonaws.com`
このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンス*」の[AWSZonalAutoshiftPracticeRunSLRPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSZonalAutoshiftPracticeRunSLRPolicy.html)」を参照してください。
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、*「IAM User Guide」*(IAM ユーザーガイド) の[「Service-linked role permissions」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)(サービスにリンクされたロールのアクセス権限) を参照してください。
### ARC 用の **AWSServiceRoleForZonalAutoshiftPracticeRun** サービスリンクロールの作成
**AWSServiceRoleForZonalAutoshiftPracticeRun** サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS SDK で最初の練習実行設定を作成すると、ARC によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。最初の練習実行設定を作成すると、ARC はサービスにリンクされたロールを再度作成します。
### ARC の **AWSServiceRoleForZonalAutoshiftPracticeRun** サービスにリンクされたロールの編集
ARC では、**AWSServiceRoleForZonalAutoshiftPracticeRun** サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、他のエンティティがロールを参照する可能性があるため、ロールの名前を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
### ARC の **AWSServiceRoleForZonalAutoshiftPracticeRun** サービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
オートシフトを無効にした後、**AWSServiceRoleForZonalAutoshiftPracticeRun** サービスリンクロールを削除できます。オートシフト機能の詳細については、「[ARC のゾーンシフト](arc-zonal-shift.md)」を参照してください。
**注記**
リソースを削除しようとしたときに ARC サービスがロールを使用している場合、サービスロールの削除が失敗する可能性があります。失敗した場合は、数分待ってからロールの削除をもう一度試してください。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForZonalAutoshiftPracticeRun サービスにリンクされたロールを削除します。詳細については、 IAM ユーザーガイド の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## ゾーンオートシフトの ARC サービスにリンクされたロールの更新
ARC サービスにリンクされたロールの AWS マネージドポリシーの更新については、ARC の [AWS マネージドポリシーの更新表](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates)を参照してください。ARC [ドキュメント履歴ページで](doc-history.md)自動 RSS アラートをサブスクライブすることもできます。
# AWS ARC でのゾーンオートシフトの マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS マネージドポリシー: AWSZonalAutoshiftPracticeRunSLRPolicy
IAM エンティティに `AWSZonalAutoshiftPracticeRunSLRPolicy` をアタッチすることはできません。このポリシーは、Amazon Application Recovery Controller (ARC) がゾーンオートシフトに対して以下を実行できるようにする、サービスにリンクされたロールにアタッチされます。
+ 顧客提供の Amazon CloudWatch アラームと顧客 Health Dashboard イベントをモニタリングして練習実行を行う
+ 練習実行 (練習のゾーンシフト) を管理します。
+ 練習実行とオートシフトのバランスの取れた容量チェックを管理する
詳細については、「[ARC でのゾーンオートシフトのサービスにリンクされたロールの使用](using-service-linked-roles-zonal-autoshift.md)」を参照してください。
## ゾーンオートシフトの AWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始してからの ARC でのゾーンオートシフトの AWS マネージドポリシーの更新の詳細については、「」を参照してください[Amazon Application Recovery Controller (ARC) の AWS マネージドポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates)。このページの変更に関する自動通知については、ARC の「[ドキュメント履歴ページ](doc-history.md)」で RSS フィードをサブスクライブしてください。
# ゾーンオートシフトのクォータ
Amazon Application Recovery Controller (ARC) のゾーンオートシフトには、次のクォータが必要です。
| エンティティ | クォータ |
| --- | --- |
| 練習実行設定あたりの結果アラーム数 | 10 [クォータの引き上げをリクエスト](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas)できます。 |
| 練習実行設定あたりのブロッキングアラーム数 | 10 [クォータの引き上げをリクエスト](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas)できます。 |