기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# ARC의 리전 전환
ARC의 리전 스위치를 사용하여 여러 AWS 계정에서 애플리케이션 리소스에 대한 대규모의 복잡한 복구 작업을 오케스트레이션하여 비즈니스 연속성을 보장하고 운영 오버헤드를 줄일 수 있습니다. 리전 전환은 수동으로 수행하거나 Amazon CloudWatch 경보 트리거를 사용하여 자동화할 수 있는 중앙 집중식의 관찰 가능한 솔루션을 제공합니다. AWS 리전 가 손상된 경우 리전 스위치를 사용하여 장애 조치하거나 리소스를 다른 리전으로 전환하여 생성한 계획을 실행할 수 있습니다. 이렇게 하면 애플리케이션이 정상 상태의 AWS 리전에서 실행되어 계속 작동할 수 있습니다.
리전 전환은 특정 복구 요구 사항에 맞게 설계하고 구성하는 *계획* 개념을 중심으로 구축됩니다. 각 계획에는 여러 단계로 구성된 *워크플로*가 포함됩니다. 각 단계에서는 하나 이상의 *실행 블록*을 실행하며, 리전 스위치는 병렬 또는 순서대로 실행되어 애플리케이션 복구를 완료합니다. 각 실행 블록은 애플리케이션의 리소스 전환 또는 트래픽 리디렉션 관리와 같은 다양한 작업을 처리합니다. 유연성을 높이기 위해 전체 상위 계획에 하위 계획을 추가하여 상위 계획을 생성할 수 있습니다.
리전 전환에는 다음이 포함됩니다.
+ 액티브/패시브 및 액티브/액티브 구성 지원. 액티브/패시브 다중 리전 구성이 있는 경우 장애 조치 및 장애 복구가 가능하며, 애플리케이션이 여러 리전에서 액티브/액티브로 설정된 경우 이동 및 복귀가 가능합니다.
+ 애플리케이션 복구에 포함되는 애플리케이션 리소스에 대한 교차 계정 지원. 계정 간에 리전 전환 계획을 공유할 수도 있습니다.
+ Amazon CloudWatch 경보를 기반으로 계획 실행을 트리거하여 자동 장애 조치 또는 전환. 또는 리전 전환 계획을 수동으로 실행하도록 선택할 수 있습니다.
+ 복구 프로세스에 대한 실시간 가시성을 제공하는 모든 기능을 갖춘 대시보드.
+ 비활성화 AWS 리전하려는 리전에 종속되지 않고 리전 전환 계획을 실행할 수 있도록 각의 데이터 영역입니다.
리전 전환은 AWS에서 완전히 관리되는 기능입니다. 리전 전환을 사용하면 스크립트를 구축 및 유지 관리하고 복구에 대한 데이터를 수동으로 수집하는 대신 애플리케이션의 특정 요구 사항에 초점을 맞춘 복구 플랫폼의 복원력을 활용할 수 있습니다.
# 리전 전환 정보
리전 스위치를 사용하면 특정 단계를 오케스트레이션하여 다중 리전 애플리케이션이 실행 중인 AWS 리전 를 전환할 수 있습니다.
리전 전환은 특정 복구 요구 사항에 맞게 설계하고 구성하는 *계획* 개념을 중심으로 구축됩니다. 각 계획에는 여러 단계로 구성된 *워크플로*가 포함됩니다. 각 단계는 하나 이상의 *실행 블록*을 실행하며, 리전 스위치는 병렬 또는 순서대로 실행되어 애플리케이션 복구를 완료합니다. 각 실행 블록은 애플리케이션의 리소스 전환 또는 트래픽 리디렉션 관리와 같은 다양한 작업을 처리합니다. 유연성을 높이기 위해 하위 계획을 추가하여 상위 계획을 생성할 수 있습니다.
계획을 생성하거나 업데이트할 때마다 리전 전환은 계획 평가를 수행하여 IAM 권한, 리소스 구성 또는 실행 용량에 문제가 없는지 확인합니다. 리전 전환은 이러한 평가를 정기적으로 실행하고 발견된 문제에 대해 경고를 생성합니다.
또한 리전 전환은 각 계획 실행의 실제 복구 시간 값을 계산하므로 계획이 목표를 달성하고 있는지 평가하는 데 도움이 됩니다. AWS Management Console의 리전 전환 대시보드에서 계획 실행에 대한 복구 시간 및 기타 세부 정보를 볼 수 있습니다. 자세한 내용은 [리전 전환 대시보드](region-switch.dashboarding-and-reports.md) 단원을 참조하십시오.
리전 전환의 각 영역에 대한 자세한 내용은 다음 섹션을 참조하세요.
## 리전 전환 계획
리전 전환 계획은 리전 전환의 최상위 리소스입니다. 계획의 범위를 특정 다중 리전 애플리케이션으로 지정해야 합니다. 계획을 사용하면 지정한에서 애플리케이션과 교차 계정 리소스를 포함한 리소스를 활성화 또는 비활성화하는 일련의 리전 스위치 *실행 블록*을 실행하여 애플리케이션을 복구하는 *워크플로*를 구축할 AWS 리전 수 있습니다.
계획은 하나 이상의 워크플로로 구성되어 특정를 활성화하거나 비활성화할 수 있습니다 AWS 리전. 워크플로에서 순차적으로 실행되도록 실행 블록을 구성하거나 일부 블록이 병렬로 실행되도록 지정할 수 있습니다.
액티브/패시브 다중 리전 접근 방식을 위해 구성하는 계획의 경우 리전 중 하나를 활성화하는 데 사용할 수 있는 워크플로 하나 또는 리전마다 하나씩 별도의 활성화 워크플로 두 개를 생성합니다. 액티브/액티브 방식을 위해 구성하는 계획의 경우, 리전을 활성화하는 워크플로 하나와 리전을 비활성화하는 워크플로 하나를 생성합니다.
AWS 리전 는 AWS 클러스터 데이터 센터가 있는 전 세계 지리적 위치입니다. 각 영역은 다른 영역과 완전히 격리되도록 설계되어 내결함성과 안정성을 제공합니다. 리전 전환을 사용할 때는 애플리케이션이 배포되는 리전과 복구에 사용할 리전을 고려해야 합니다.
리전 스위치는 서비스를 사용할 수 AWS 리전 있는 두 가지 간의 복구를 지원합니다. 리전 전환 계획을 구성할 때 애플리케이션이 배포되는 리전과 사용하려는 복구 접근 방식을 액티브/패시브 또는 액티브/액티브로 지정합니다.
예를 들어 us-east-1을 기본 리전으로, us-west-2를 대기 리전으로 사용하는 액티브/패시브 다중 리전 접근 방식이 있을 수 있습니다. us-east-1의 애플리케이션에 영향을 미치는 운영 문제로부터 애플리케이션을 복구하려면 리전 전환 계획을 실행하여 us-west-2를 활성화할 수 있습니다. 이에 따라 애플리케이션이 us-east-1의 리소스에서 us-west-2의 리소스로 전환됩니다.
리전 전환 계획은 계획을 생성할 때 지정한 IAM 역할과 연결된 권한을 사용하여 실행됩니다.
다중 리전 애플리케이션마다 하나씩 여러 계획을 생성한 다음 *상위* 계획을 생성하여 필요한 순서대로 이러한 계획 간에 복구 과정을 오케스트레이션할 수 있습니다. 상위 계획은 리전 전환 계획 실행 블록을 단계로 사용하는 계획입니다. 계획 계층 구조는 두 가지 수준(상위 및 하위)으로 제한되지만 동일한 상위 계획에 여러 하위 계획을 포함할 수 있습니다.
## 워크플로 및 실행 블록
리전 전환 계획을 생성한 후에는 계획에 하나 이상의 워크플로를 추가하여 애플리케이션 복구를 위해 계획에서 수행할 단계를 정의해야 합니다. 각 워크플로에 대해 실행 블록이 포함된 단계를 추가합니다. 각 실행 블록은 리소스 확장 또는 트래픽 재라우팅을 위한 라우팅 제어 업데이트와 같은 특정 복구 작업을 수행합니다. 단계는 이러한 실행 블록을 구성하고 병렬 또는 순차적으로 실행되는지 여부를 제어합니다. 상위 계획을 생성하면 여러 애플리케이션이 활성화하려는 리전으로 복구되는 순서를 오케스트레이션할 수도 있습니다.
실행 블록을 워크플로 내의 단계로 구성합니다. 각 단계에는 병렬로 실행되는 실행 블록이 하나 이상 포함될 수 있으며 워크플로에서 순차적으로 실행되도록 단계를 정렬합니다. 또한 리소스에 따라 정상(계획됨) 또는 비정상(계획되지 않음) 실행으로 실행 블록을 실행할 수 있습니다.
+ 정상 실행: 계획된 실행 워크플로입니다. 환경이 정상이면 정상 워크플로를 통해 모든 단계를 수행하여 순서에 따라 계획을 실행할 수 있습니다.
+ 비정상 실행: 계획되지 않은 실행입니다. 비정상 워크플로 모드는 필요한 단계와 작업만 사용합니다. 이 모드는 워크플로에서 실행 블록의 동작을 변경하거나 특정 실행 블록을 건너뜁니다.
+ 복구 후 실행: 향후 리전 이벤트에 대비하기 위해 성공적인 복구 후 실행되는 워크플로입니다. 복구 후 실행은 읽기 전용 복제본을 생성하고, Lambda 함수를 통해 사용자 지정 로직을 실행하고, 수동 승인 게이트를 추가하고, 복잡한 오케스트레이션을 위한 하위 계획을 포함할 수 있습니다. 이러한 실행을 수행하려면 두 리전이 모두 정상이어야 하며 이전에 손상된 리전에서 실행되어야 합니다.
마지막으로 실행 블록에 대한 교차 계정 리소스를 구성할 수도 있습니다. 먼저 [리전 전환에서 교차 계정 지원](cross-account-resources-rs.md)의 지침에 따라 권한을 구성해야 합니다. 필요한 IAM 역할을 설정한 다음 계획 워크플로의 실행 블록에 교차 계정 리소스를 추가할 수 있습니다. 교차 계정 리소스를 추가하려면 단계를 추가할 때 다른의 리소스에 대한 권한이 있는 대상 IAM 역할을 지정합니다 AWS 계정. 또한 교차 계정 역할에 대한 신뢰 정책에 제공한 외부 ID를 지정해야 합니다. 필요한 IAM 역할 생성에 대한 자세한 내용은 [교차 계정 리소스 권한](security_iam_region_switch_cross_account.md) 섹션을 참조하세요.
워크플로에 대한 자세한 내용은 [리전 전환 계획 워크플로 생성](working-with-rs-workflows.md) 섹션을 참조하세요. 구성 단계, 작동 방식, 계획 평가의 일부로 평가되는 항목 등 각 실행 블록 유형에 대한 자세한 내용은 [실행 블록 추가](working-with-rs-execution-blocks.md) 섹션을 참조하세요.
## 계획 평가
계획 평가는 계획이 생성되거나 업데이트될 때, 그리고 그 후 정상 상태에서는 30분마다 리전 전환이 실행하는 자동화된 프로세스입니다. 평가 프로세스는 계획 구성 및 리소스 구성의 몇 가지 중요한 측면을 확인합니다. 평가에는 IAM 권한, 리소스 구성 및 실행 용량 확인이 포함됩니다.
리전 전환이 성공적인 계획 실행을 방해할 수 있는 문제를 발견하면 계획 평가 경고가 생성되어 콘솔의 계획 세부 정보 페이지에 강조 표시됩니다. Amazon EventBridge에서 계획 평가 경고를 사용하거나 리전 전환 API를 사용하여 경고를 볼 수도 있습니다. 계획 평가 API에 대한 자세한 내용은 Amazon Application Recovery Controller(ARC)용 *리전 스위치 API 참조 안내서*의 [GetPlanEvaluationStatus](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanEvaluationStatus.html)를 참조하세요.
계획 평가에서 발견된 문제에 대한 세부 정보와 권장 조치 사항은 계획 세부 정보 페이지의 **계획 평가** 탭에서 확인할 수 있습니다. 복구 계획이 예상대로 작동하는지 테스트하기 위해 리전 전환 계획 평가에만 의존하지 말고 리전 전환 계획을 실행하여 애플리케이션 복구를 테스트하는 것이 좋습니다.
## 자동 계획 실행 보고서
리전 전환을 통해 계획 실행에 대한 포괄적인 PDF 보고서를 자동으로 생성하여 규정 준수 요구 사항을 충족할 수 있습니다. 이러한 보고서는 자세한 실행 타임라인, 계획 구성 및 리소스 상태를 포함하여 재해 복구 테스트 및 실제 복구 이벤트에 대한 증거를 제공합니다.
계획에 대한 자동 보고서 생성을 구성하면 리전 스위치는 각 계획 실행이 완료된 후 PDF 보고서를 생성하여 지정한 Amazon S3 버킷에 전달합니다. 보고서는 일반적으로 실행 완료 후 30분 이내에 사용할 수 있습니다. S3 스토리지 비용이 적용됩니다.
각 보고서에는 다음이 포함됩니다.
+ 서비스 개요 및 보고서 생성 날짜가 포함된 실행 요약
+ 실행 시 존재하는 구성 세부 정보 계획
+ 단계, 영향을 받는 리소스 및 상태가 포함된 세부 실행 타임라인
+ 실행이 시작될 때 있었던 경고 계획
+ Amazon CloudWatch 경보 상태 및 관련 경보에 대한 경보 기록
+ 상위 계획의 경우 하위 계획의 구성 및 실행 세부 정보
+ 용어 및 개념 용어집
자동 보고서 생성을 활성화하려면 계획을 생성하거나 업데이트할 때 보고서 출력 대상을 구성합니다. 또한 계획의 실행 IAM 역할에 Amazon S3 버킷에 보고서를 작성하고 보고서 콘텐츠를 생성하는 데 필요한 리소스에 액세스하는 데 필요한 권한이 있는지 확인해야 합니다. 필요한 권한에 대한 자세한 내용은 [자동 계획 실행 보고서 권한](security_iam_region_switch_reports.md) 섹션을 참조하세요.
콘솔의 계획 실행 세부 정보 페이지에서 보고서 생성 상태를 보고 완료된 보고서를 다운로드할 수 있습니다. 보고서 생성에 권한 부족 또는 Amazon S3 버킷 구성 오류와 같은 오류가 발생하는 경우, 리전 스위치는 문제를 해결하는 데 도움이 되는 오류 세부 정보를 제공합니다.
계획 평가는 실행 역할에 필요한 IAM 권한이 있는지 확인하는 등 보고서 구성을 지속적으로 검증합니다. 리전 전환이 성공적인 보고서 생성을 방해하는 구성 문제를 감지하면 계획 세부 정보 페이지에서 볼 수 있는 경고가 생성됩니다.
## 리전 경보 및 실제 복구 시간
리전 전환은 각 계획 실행의 *실제 복구 시간* 값을 계산하며 이를 계획 실행 후 볼 수 있습니다. 실제 복구 시간은 계획 실행 세부 정보 페이지에 표시되므로 계획을 생성할 때 지정한 복구 시간 목표와 실제 시간을 비교할 수 있습니다.
실제 복구 시간은 계획 실행이 완료되는 데 걸리는 총 시간과 구성한 특정 Amazon CloudWatch 경보가 녹색 상태로 돌아갈 때까지 경과한 추가 시간으로 계산됩니다.
계획 실행을 위한 정확한 실제 복구 시간 계산을 지원하려면 각 리전의 애플리케이션 상태에 대한 신호를 제공하는 리전 전환 계획에 대해 리전 Amazon CloudWatch 경보를 구성해야 합니다. 계획이 실행될 때, 리전 전환은 이러한 애플리케이션 상태 경보를 사용하여 애플리케이션이 다시 정상 상태가 되었는지 판단합니다. 그런 다음 리전 스위치는 구성한 애플리케이션 상태 경보를 기반으로 애플리케이션이 정상 상태로 돌아가는 데 걸리는 시간에 추가된 계획을 실행하는 데 걸리는 시간을 기준으로 실제 복구 시간을 계산합니다.
리전 전환 계획에 CloudWatch 경보를 추가하기 전에 올바른 IAM 정책이 있는지 확인해야 합니다. 자세한 내용은 [애플리케이션 상태에 대한 CloudWatch 경보 권한](security_iam_region_switch_cloudwatch.md) 단원을 참조하십시오.
# AWS 리전
리전 스위치는 모든 상용 리전 AWS 리전과 AWS GovCloud(미국) 리전에서 사용할 수 있습니다.
Amazon Application Recovery Controller(ARC)의 리전 지원 및 서비스 엔드포인트에 대한 자세한 내용은 *Amazon Web Services 일반 참조*의 [Amazon Application Recovery Controller(ARC) 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/arc.html)을 참조하세요.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/r53recovery/latest/dg/aws-regions-rs.html)
# 리전 전환 구성 요소
Amazon Application Recovery Controller(ARC)의 리전 전환 기능의 구성 요소와 개념은 다음과 같습니다.
**계획**
계획은 애플리케이션의 기본 복구 프로세스입니다. 하나 이상의 워크플로를 구축하여 실행 블록을 순차적으로 또는 병렬로 실행하도록 하여 계획을 수립합니다. 그런 다음 리전별 장애가 있는 경우, 애플리케이션을 정상 리전에서 실행하도록 전환하여 애플리케이션에 대한 복구를 완료하는 계획을 실행합니다.
**하위 계획**
하위 계획은 보다 복잡한 애플리케이션 복구 시나리오를 조정하기 위해 상위 계획 내에서 실행하는 독립형 계획입니다. 리전 전환 계획은 하나의 레벨로 중첩할 수 있습니다.
**워크플로**
리전 전환 계획에는 하나 이상의 워크플로가 포함됩니다. 워크플로는 실행 블록이 포함된 단계로 구성되며, 복구 계획의 일부로 리전의 활성화 또는 비활성화를 완료하기 위해 병렬 또는 순차적으로 실행하도록 지정합니다. 액티브/패시브 방식을 사용하도록 구성한 계획의 경우, 리전 중 어느 하나를 활성화할 수 있는 단일 워크플로를 생성하거나, 각 리전별로 별도의 활성화 워크플로를 생성합니다. 액티브/액티브 방식을 위해 구성하는 계획의 경우, 리전을 활성화하는 워크플로 하나와 리전을 비활성화하는 워크플로 하나를 생성합니다.
**실행 블록**
실행 블록이 포함된 리전 전환 계획 워크플로에 단계를 추가합니다. 실행 블록을 사용하면 여러 애플리케이션 또는 리소스에 대한 복구를 활성화 리전으로 지정할 수 있습니다. 워크플로에 단계를 추가할 때 다른 단계와 순차적으로 또는 하나 이상의 다른 단계와 병렬로 추가할 수 있습니다.
**정상 및 비정상 구성**
정상(계획된) 또는 비정상(계획되지 않은) 실행으로 특정 실행 블록을 실행하도록 선택할 수 있습니다. 환경이 정상이면 정상 워크플로를 통해 모든 단계를 수행하여 순서에 따라 계획을 실행할 수 있습니다. 비정상 워크플로 모드는 필요한 단계와 작업만 사용합니다. 비정상 모드에서 계획을 실행하면 실행 블록의 유형에 따라 워크플로에서 실행 블록의 동작을 변경하거나 특정 실행 블록을 건너뜁니다.
특정 유형의 실행 블록은 비정상 모드에서 실행될 때 동작이 다릅니다. 이러한 차이에 대한 자세한 내용은 각 실행 블록 유형에 대한 세부 정보가 포함된 섹션에 설명되어 있습니다. 자세한 내용은 [실행 블록 추가](working-with-rs-execution-blocks.md) 단원을 참조하십시오.
**액티브/액티브 및 액티브/패시브 구성**
여러 리전에 걸쳐 애플리케이션의 복원력 있는 구성을 생성하는 데는 액티브/패시브 및 액티브/액티브라는 두 가지 주요 접근 방식이 있습니다. 리전 전환은 이러한 두 가지 접근 방식에 대해 애플리케이션 복구를 지원합니다.
액티브/패시브 구성을 사용하면 두 개의 서로 다른 리전에 두 개의 애플리케이션 복제본을 배포하고 고객 트래픽은 한 리전으로만 이동합니다.
액티브/액티브 구성을 사용하면 두 개의 복제본을 서로 다른 두 리전에 배포하지만 두 복제본 모두 작업을 처리하거나 트래픽을 수신합니다.
**계획 실행**
리전 전환 계획이 실행되면 애플리케이션 및 수신하는 트래픽에 대해 정상 리전을 활성화하여 리전이 손상될 때 애플리케이션에 대한 복구를 구현합니다. 액티브/액티브 구성을 사용하면 계획 실행을 실행하여 손상된 리전을 비활성화할 수도 있습니다.
**애플리케이션 상태 경보**
애플리케이션 상태 경보는 각 리전의 애플리케이션 상태를 나타내기 위해 계획에 지정하는 CloudWatch 경보입니다. 리전 전환은 애플리케이션 상태 경보를 사용하여 복구 구현을 위해 리전을 전환한 후 실제 복구 시간을 결정하는 데 도움이 됩니다.
**트리거**
리전 전환에서 트리거를 사용하여 애플리케이션 복구를 자동화할 수 있습니다. 트리거를 생성할 때 하나 이상의 Amazon CloudWatch 경보를 지정하고 계획 실행을 시작해야 하는 경보 조건(예: "빨간색" 또는 "녹색")을 정의합니다. 지정된 조건이 충족되면 리전 전환이 계획을 자동으로 실행합니다. 트리거는 애플리케이션 상태 경보와 다릅니다. 트리거는 계획 실행을 시작하는 반면, 애플리케이션 상태 경보는 리전 전환이 계획이 완료된 후 실제 복구 시간을 계산하는 데 도움이 됩니다.
**복구 후 워크플로**
복구 후 워크플로는 향후 리전 이벤트에 대비하기 위해 성공적인 복구 후 실행되는 선택적 워크플로입니다. 이러한 워크플로를 사용하려면 두 리전이 모두 정상이어야 하며 이전에 손상된 리전에서 실행되어야 합니다. 복구 후 실행은 가장 최근 복구 실행의 복구 실행 ID를 참조합니다.
복구 후 워크플로는 다음 실행 블록을 지원합니다.
+ RDS 교차 리전 복제본 생성
+ 사용자 지정 작업 Lambda
+ 수동 승인
+ 리전 전환 계획
**대시보드**
리전 전환에는 계획 실행에 대한 세부 정보를 실시간으로 추적할 수 있는 대시보드가 포함되어 있습니다.
# 리전 전환의 데이터 영역 및 컨트롤 플레인
장애 조치 및 재해 복구를 계획할 때 장애 조치 메커니즘의 복원력을 고려하세요. 재해 시나리오에서 필요할 때 사용할 수 있도록 장애 조치 중에 의존하는 메커니즘이 가용성이 높도록 하는 것이 좋습니다. 일반적으로 신뢰성과 내결함성을 극대화하려면 가능한 경우 항상 메커니즘에 데이터 영역 함수를 사용해야 합니다. 이를 염두에 두고 서비스의 기능이 컨트롤 플레인과 데이터 영역 간에 어떻게 구분되는지, 그리고 서비스의 데이터 영역에서 최상의 신뢰성을 기대할 수 있는 경우를 이해하는 것이 중요합니다.
많은 AWS 서비스와 마찬가지로 리전 전환 기능에 대한 기능은 컨트롤 플레인 및 데이터 플레인에서 지원됩니다. 두 기능 모두 신뢰할 수 있도록 구축되었지만 컨트롤 플레인은 데이터 일관성을 위해 최적화되는 반면 데이터 영역은 가용성을 위해 최적화됩니다. 데이터 영역은 복원력을 고려하여 설계되었으므로 컨트롤 플레인 사용이 불가능해질 수 있는 운영 중단에도 가용성을 유지할 수 있습니다.
일반적으로 *컨트롤 플레인*을 사용하면 서비스의 리소스 생성, 업데이트 및 삭제와 같은 기본 관리 기능을 수행할 수 있습니다. *데이터 영역*은 서비스의 핵심 기능을 제공합니다. 따라서 가용성이 중요한 경우(예: 가동 중단 중에 리전 전환 계획에 대한 정보를 얻어야 하는 경우) 데이터 영역 작업을 사용하는 것이 좋습니다.
리전 전환의 경우 컨트롤 플레인과 데이터 영역은 다음과 같이 구분됩니다.
+ 리전 스위치의 컨트롤 플레인은 미국 동부(버지니아 북부) 리전(us-east-1), AWS GovCloud(미국 서부) 리전(us-gov-west-1)에 있으며 서비스 관리, 즉 복구가 아닌 계획 생성 및 업데이트, 즉 계획 실행에만 사용됩니다. *리전 전환 구성 컨트롤 플레인 API 작업은 가용성이 높지 않습니다.*
+ 리전 전환에는 각 AWS 리전에 독립적인 데이터 영역이 있습니다. 복구 작업, 즉 리전 전환 계획을 실행하려면 데이터 영역을 사용해야 합니다. 데이터 영역 작업 목록은 섹션을 참조하세요[리전 전환 API 작업](actions.region-switch.md). *이러한 리전 전환 데이터 영역 작업은 가용성이 높습니다.*
리전 스위치는 복구 작업을 위한 데이터 영역 API 작업을 호출 AWS 리전하는 각에 독립 콘솔을 제공하므로 활성화하려는 리전의 콘솔을 사용하여 애플리케이션 복구 계획을 실행할 수 있습니다. 리전 전환을 사용하여 복구 작업을 준비하고 완료할 때의 주요 고려 사항에 대한 자세한 내용은 [ARC의 리전 전환 모범 사례](best-practices.region-switch.md) 섹션을 참조하세요.
데이터 영역, 컨트롤 플레인 및가 고가용성 목표를 충족하기 위해 서비스를 AWS 구축하는 방법에 대한 자세한 내용은 Amazon Builders' Library의 [Static stability using Availability Zones paper](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/)를 참조하세요.
# ARC 리전 전환 태깅
태그는 AWS 리소스를 식별하고 구성하는 데 사용하는 단어 또는 문구(메타 데이터)입니다. 각 리소스에 태그를 여러 개 추가할 수 있고, 각 태그는 정의되는 키와 값을 포함합니다. 예를 들어, 키는 환경이고 값은 생산일 수 있습니다. 추가되는 태그에 따라 리소스를 검색하고 필터링할 수 있습니다.
ARC의 리전 전환에서 다음 리소스에 태그를 지정할 수 있습니다.
+ 계획
ARC에서의 태그 지정은 API를 통해서만 사용할 수 있습니다(예: AWS CLI사용).
다음은 리전 전환에서 AWS CLI를 사용하여 태그를 지정하는 예제입니다.
`aws arc-region-switch --region us-east-1 create-plan --plan-name example-plan --tags Region=IAD,Stage=Prod`
자세한 내용은 *Amazon Application Recovery Controller(ARC)용 리전 전환 API 참조 안내서*의 [TagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_TagResource.html) 항목을 참조하세요.
# ARC의 리전 전환 요금
구성한 리전 전환 계획당 고정 월별 비용을 지불합니다.
ARC에 대한 자세한 요금 정보 및 요금 예제는 [ARC 요금](https://aws.amazon.com/application-recovery-controller/pricing/)을 참조하세요.
# ARC의 리전 전환 모범 사례
Amazon Application Recovery Controller(ARC)의 리전 전환에서 복구 및 장애 조치 준비를 위한 권장 모범 사례입니다.
**주제**
+ [특별히 구축되고 수명이 긴 AWS 자격 증명을 안전하고 항상 액세스할 수 있도록 유지](#RSBestPracticeCredentials)
+ [장애 조치와 관련된 DNS 레코드에 대해 더 낮은 TTL 값을 선택합니다.](#RSBestPracticeLowerTTL)
+ [중요한 애플리케이션에 필요한 용량 예약](#RSBestPracticeCapacity)
+ [매우 안정적인 데이터 영역 API 작업을 사용하여 리전 전환 계획 나열 및 정보 가져오기](#RSBestPracticeUseDataPlane)
+ [ARC를 통한 장애 조치 테스트](#RSBestPracticeTestFailover)
**특별히 구축되고 수명이 긴 AWS 자격 증명을 안전하고 항상 액세스할 수 있도록 유지**
재해 복구(DR) 시나리오에서는 복구 작업에 액세스 AWS 하고 수행하는 간단한 접근 방식을 사용하여 시스템 종속성을 최소화합니다. 특히 DR 작업을 위해 [수명이 긴 IAM 보안 인증 정보](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html)를 만들고 필요할 때 액세스할 수 있도록 보안 인증 정보를 온프레미스 물리적 금고 또는 가상 보관소에 안전하게 보관합니다. IAM을 사용하면 액세스 키와 같은 보안 자격 증명과 AWS 리소스에 대한 액세스 권한을 중앙에서 관리할 수 있습니다. DR 이외 작업의 경우 [AWS Single Sign-On](https://aws.amazon.com/single-sign-on/)과 같은 AWS 서비스를 사용하여 페더레이션 액세스를 계속 사용하는 것이 좋습니다.
**장애 조치와 관련된 DNS 레코드에 대해 더 낮은 TTL 값을 선택합니다.**
장애 조치 메커니즘의 일부로 변경해야 할 수 있는 DNS 레코드, 특히 상태 확인된 레코드의 경우 더 낮은 TTL 값을 사용하는 것이 좋습니다. 이 시나리오에서는 TTL을 60초 또는 120초로 설정하는 것이 일반적입니다.
DNS TTL(time to live) 설정은 새 레코드를 요청하기 전에 레코드를 캐시해야 하는 시간을 DNS 해석기에 알려줍니다. TTL을 선택하면 지연 시간과 신뢰성, 변화에 대한 응답성 사이의 절충을 이룰 수 있습니다. 레코드의 TTL이 짧을수록 DNS 해석기는 TTL이 더 자주 쿼리하도록 지정하기 때문에 레코드에 대한 업데이트를 더 빨리 알게 됩니다.
자세한 내용은 [Amazon Route 53 DNS 모범 사례](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-dns.html)의 *DNS 레코드에 대한 TTL 값 선택*을 참조세요.
**중요한 애플리케이션에 필요한 용량 예약**
리전 전환에는 복구의 일부로 컴퓨팅 리소스를 확장하는 데 도움이 되는 실행 블록 유형이 포함됩니다. 계획에서 이러한 실행 블록을 사용하는 경우 리전 전환은 원하는 컴퓨팅 용량 달성을 보장하지 않습니다. 중요한 애플리케이션이 있고 용량에 대한 액세스를 보장해야 하는 경우 용량을 예약하는 것이 좋습니다.
보조 리전에서 컴퓨팅 용량을 예약하는 동시에 비용을 제한하기 위해 사용할 수 있는 전략이 있습니다. 자세한 내용은 [예약 용량이 있는 파일럿 라이트: 온디맨드 용량 예약을 사용하여 DR 비용을 최적화하는 방법](https://aws.amazon.com/blogs/architecture/pilot-light-with-reserved-capacity-how-to-optimize-dr-cost-using-on-demand-capacity-reservations/)을 참조하세요.
**매우 안정적인 데이터 영역 API 작업을 사용하여 리전 전환 계획 나열 및 정보 가져오기**
데이터 영역 API 작업을 사용하여 이벤트 중에 리전 전환 계획을 작업하고 실행합니다. 리전 전환 데이터 영역 작업 목록은 [리전 전환 API 작업](actions.region-switch.md) 섹션을 참조하세요.
각 리전의 리전 전환 콘솔은 리전 전환 계획을 실행하기 위해 데이터 영역 작업을 사용합니다. 를 사용하거나 SDK 중 하나를 사용하여 작성한 코드를 실행 AWS CLI 하여 데이터 영역 API 작업을 호출할 AWS 수도 있습니다. SDKs ARC는 데이터 영역에서 API를 사용하여 최상의 신뢰성을 제공합니다.
**ARC를 사용하여 애플리케이션 복구 테스트**
ARC 리전 스위치를 사용하여 애플리케이션 복구를 정기적으로 테스트하여 다른에서 보조 애플리케이션 스택을 활성화 AWS 리전하거나 리전 스위치 계획을 실행하여 리전 중 하나를 비활성화하여 활성-활성 구성으로 전환합니다.
사용자가 생성한 리전 전환 계획이 스택의 올바른 리소스와 일치하고 모두 예상대로 작동하는지 확인하는 것이 중요합니다. 환경에 리전 전환을 설정한 후 이를 테스트하고 복구 프로세스가 올바르게 작동하는지 확인할 수 있도록 주기적으로 테스트를 계속해야 합니다. 장애 상황이 발생하기 전에 정기적으로 이 테스트를 수행하여 사용자의 가동 중지 시간을 방지합니다.
**ARC 리전 전환 DNS 장애 조치와 Route 53 가속화된 복구 비교**
가속화된 복구는이 기능에 대해 활성화된 퍼블릭 호스팅 영역 레코드를 업데이트하는 데 사용되는 APIs에 대해 60분의 목표 RTO를 제공합니다. RTO에 대한 제어를 유지하고가 필요한 APIs 복구를 AWS 완료할 때까지 기다리지 않아야 하는 경우 ARC 라우팅 제어 또는 ARC 리전 스위치 Route 53 상태 확인 실행 블록을 사용해야 합니다.
# 자습서: 액티브/패시브 리전 전환 계획 생성
이 자습서에서는 us-east-1에서 실행되고 us-west-2로 복구되는 애플리케이션에 대한 액티브/패시브 리전 전환 계획을 생성하는 방법을 안내합니다. 이 예제에는 컴퓨팅용 Amazon EC2 인스턴스, 스토리지용 Amazon Aurora Global Database, DNS용 Amazon Route 53이 포함됩니다.
이 자습서에서는 다음 단계를 완료합니다.
+ 리전 전환 계획 생성
+ 계획의 워크플로 및 실행 블록 구축
+ EC2 Auto Scaling 그룹 실행 블록 빌드
+ 두 개의 수동 승인 실행 블록 구축
+ 두 개의 사용자 지정 작업 Lambda 실행 블록 구축
+ Amazon Aurora Global Database 실행 블록 구축
+ ARC 라우팅 제어 블록 구축
+ 리전 전환 계획 실행
## 사전 조건
이 자습서를 시작하기 전에 두 리전 모두에 다음과 같은 사전 조건이 있는지 확인합니다.
+ 적절한 권한이 있는 IAM 역할.
+ EC2 Auto Scaling 그룹
+ 유지 관리 페이지 및 펜싱을 위한 Lambda 함수
+ Aurora Global Database
+ ARC 라우팅 제어
## 1단계: 리전 전환 계획 생성
1. 리전 전환 콘솔에서 **리전 전환 계획 생성**을 선택합니다.
1. 다음 세부 정보를 제공합니다.
+ **기본 리전**: us-east-1 선택
+ **대기 리전**: us-west-2 선택
+ **원하는 목표 복구 시간(RTO)**(선택 사항)
+ **IAM 역할**: 계획 실행 IAM 역할을 입력합니다. 이 IAM 역할은 리전 전환이 실행 중에 AWS 서비스를 호출하도록 허용합니다.
1. **생성(Create)**을 선택합니다.
(선택 사항) 리전 전환 계획에 다른 AWS 계정의 리소스를 추가합니다.
1. 교차 계정 역할을 생성합니다.
+ 리소스를 호스팅하는 계정에서 IAM 역할을 생성합니다.
+ 계획이 액세스할 특정 리소스에 대한 권한을 추가합니다.
+ 신뢰 정책을 추가하여 실행 역할이 새 역할을 수임할 수 있도록 허용합니다.
+ 공유 비밀로 사용할 외부 ID를 입력하고 기록해 둡니다.
1. 계획에서 리소스를 구성합니다.
+ 계획에 리소스를 추가할 때 두 개의 추가 필드를 지정합니다.
+ **crossAccountRole**: 1단계에서 생성한 역할의 ARN
+ **externalId**: 1단계에서 입력한 외부 ID
계정 987654321의 리소스에 액세스하는 EC2 Auto Scaling 실행 블록의 구성 예제:
```
{
"executionBlock": "EC2AutoScaling",
"name": "ASG",
"crossAccountRole": "arn:aws:iam::987654321:role/RegionSwitchCrossAccountRole",
"externalId": "unique-external-id-123",
"autoScalingGroupArn": "arn:aws:autoscaling:us-west-2:987654321:autoScalingGroup:*:autoScalingGroupName/CrossAccountASG"
}
```
필요한 권한:
+ 실행 역할에는 교차 계정 역할에 대한 sts:AssumeRole 권한이 있어야 합니다.
+ 교차 계정 역할에는 액세스 중인 특정 리소스에 대해서만 권한이 있어야 합니다.
+ 교차 계정 역할의 신뢰 정책에는 다음이 포함되어야 합니다.
+ 신뢰할 수 있는 엔터티로서 실행 역할의 계정.
+ 외부 ID 조건.
+ 교차 계정 역할 구성에 대한 자세한 내용은 섹션을 참조하세요[교차 계정 리소스 권한](security_iam_region_switch_cross_account.md).
계획을 실행하기 전에 리전 전환은 다음을 확인합니다.
+ 실행 역할은 교차 계정 역할을 수임할 수 있습니다.
+ 교차 계정 역할에 필요한 권한이 있습니다.
+ 외부 ID가 신뢰 정책과 일치합니다.
## 2단계: 계획의 워크플로 및 실행 블록 구축
1. 리전 전환 계획 세부 정보 페이지에서 **워크플로 구축**을 선택합니다.
1. **모든 리전에 대해 동일한 활성화 워크플로 구축**을 선택합니다.
1. 리전 활성화 워크플로 설명을 입력합니다(선택 사항). 이는 계획을 실행할 때 워크플로를 쉽게 식별하는 데 사용됩니다.
1. [**Save and continue**]를 선택합니다.
### EC2 Auto Scaling 실행 블록 추가
이 실행 블록에 대한 자세한 내용은 섹션을 참조하세요[Amazon EC2 Auto Scaling 그룹 실행 블록](ec2-auto-scaling-block.md).
1. **단계 추가**를 선택한 다음 **순서대로 실행**을 선택합니다.
1. **EC2 Auto Scaling 실행 블록**을 선택한 다음 **추가 및 편집**을 선택합니다. 이 블록을 사용하면 패시브 리전에서 용량 증가를 시작할 수 있습니다.
1. 오른쪽 패널에서 블록을 구성합니다.
+ **단계 이름**: "확장"을 입력합니다.
+ **단계 설명**(선택 사항)
+ **us-east-1용 Auto Scaling 그룹 ARN**: us-east-1에서 ASG의 ARN
+ **us-west-2용 Auto Scaling 그룹 ARN**: us-west-2에서 ASG의 ARN
+ **소스 리전 용량과 일치하는 비율**: 100을 입력합니다.
+ **용량 모니터링 접근 방식**: "최신"으로 둡니다.
+ **제한 시간**(선택 사항)
이 실행 블록에 필요한 IAM 권한에 대한 자세한 내용은 섹션을 참조하세요[EC2 Auto Scaling 실행 블록 샘플 정책](security_iam_region_switch_ec2_autoscaling.md).
1. **단계 저장**을 선택합니다.
### 수동 승인 실행 블록 추가
이 실행 블록에 대한 자세한 내용은 섹션을 참조하세요[수동 승인 실행 블록](manual-approval-block.md).
1. **단계 추가**를 선택합니다.
1. **수동 승인 실행 블록**을 선택하고 설계 창에 추가합니다. 이 블록을 사용하면 진행하기 전에 사람이 확인할 수 있습니다.
1. 오른쪽 패널에서 블록을 구성합니다.
+ **단계 이름**: "설정 전 수동 승인"을 입력합니다.
+ **단계 설명**(선택 사항)
+ **IAM 승인 역할**: 실행을 승인하기 위해 사용자가 수임해야 하는 역할
+ **제한 시간**(선택 사항) 제한 시간이 지나면 실행이 일시 중지되고 재시도, 건너뛰기 또는 취소를 선택할 수 있습니다.
이 실행 블록에 필요한 IAM 권한에 대한 자세한 내용은 섹션을 참조하세요[수동 승인 실행 블록 샘플 정책](security_iam_region_switch_manual_approval.md).
1. **단계 저장**을 선택합니다.
### 유지 관리 페이지에 사용자 지정 작업 Lambda 실행 블록 추가
이 실행 블록에 대한 자세한 내용은 섹션을 참조하세요[사용자 지정 작업 Lambda 실행 블록](custom-action-lambda-block.md).
1. **단계 추가**를 선택합니다.
1. **사용자 지정 작업 Lambda 실행 블록**을 선택한 다음 **추가 및 편집**을 선택합니다. 이 블록은 활성화 중인 리전에 유지 관리 페이지를 게시합니다.
1. 오른쪽 패널에서 블록을 구성합니다.
+ **단계 이름**: "유지 관리 페이지 표시"를 입력합니다.
+ **단계 설명**(선택 사항)
+ **us-east-1을 활성화하기 위한 Lambda ARN**: us-east-1에 배포된 유지 관리 페이지 Lambda 함수의 ARN
+ **us-west-2를 활성화하기 위한 Lambda ARN**: us-west-2에 배포된 유지 관리 페이지 Lambda 함수의 ARN
+ **Lambda 함수를 실행할 리전**: **활성화 리전에서 실행**을 선택합니다.
+ **제한 시간**(선택 사항)
+ **재시도 간격**(선택 사항)
이 실행 블록에 필요한 IAM 권한에 대한 자세한 내용은 섹션을 참조하세요[사용자 지정 작업 Lambda 실행 블록 샘플 정책](security_iam_region_switch_lambda.md).
1. **단계 저장**을 선택합니다.
### Aurora Global Database 실행 블록 추가
이 실행 블록에 대한 자세한 내용은 섹션을 참조하세요[Amazon Aurora Global Database 실행 블록](aurora-global-database-block.md).
1. **단계 추가**를 선택합니다.
1. **Aurora Global Database 실행 블록**을 선택한 다음 **추가 및 편집**을 선택합니다. 이 블록은 Aurora Global Database 전환을 트리거합니다(데이터 손실 없음). 자세한 내용은 *Aurora 사용 설명서*의 [Aurora Global Database의 전환 또는 장애 조치](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html)를 참조하세요.
1. 오른쪽 패널에서 블록을 구성합니다.
+ **단계 이름**: **Aurora 전환**을 입력합니다.
+ **단계 설명**(선택 사항)
+ **Aurora Global Database 식별자**: Aurora 클러스터의 이름
+ **us-east-1을 활성화하는 데 사용되는 클러스터 ARN**: us-east-1의 Aurora 클러스터 ARN
+ **us-west-2를 활성화하는 데 사용되는 클러스터 ARN**: us-west-2의 Aurora 클러스터 ARN
+ **Aurora 데이터베이스의 옵션 선택**: **전환**을 선택합니다.
+ **제한 시간**(선택 사항)
이 실행 블록에 필요한 IAM 권한에 대한 자세한 내용은 섹션을 참조하세요[Aurora Global Database 실행 블록 샘플 정책](security_iam_region_switch_aurora.md).
1. **단계 저장**을 선택합니다.
### ARC 라우팅 제어 실행 블록 추가
이 실행 블록에 대한 자세한 내용은 섹션을 참조하세요[ARC 라우팅 제어 실행 블록](arc-routing-controls-block.md).
1. **단계 추가**를 선택합니다.
1. **ARC 라우팅 제어 실행 블록**을 선택한 다음 **추가 및 편집**을 선택합니다. 이 블록은 DNS 장애 조치를 수행하여 트래픽을 패시브 리전으로 이동합니다.
1. 오른쪽 패널에서 블록을 구성합니다.
+ **단계 이름**: **DNS 토글**을 입력합니다.
+ **단계 설명**(선택 사항)
+ **us-east-1을 활성화하는 데 사용되는 라우팅 제어**: **라우팅 제어 추가**를 선택합니다.
+ **제한 시간**: 제한 시간 값을 입력합니다.
1. **라우팅 제어 추가**를 선택합니다.
+ **라우팅 제어 ARN**: us-east-1을 제어하는 라우팅 제어의 ARN.
+ **라우팅 제어 상태**: **켜짐**을 선택합니다.
1. **라우팅 제어 추가**를 다시 선택합니다.
+ **라우팅 제어 ARN**: us-west-2를 제어하는 라우팅 제어의 ARN
+ **라우팅 제어 상태**: **꺼짐**을 선택합니다.
1. **저장**을 선택합니다.
1. **us-west-2를 활성화하는 데 사용되는 라우팅 제어**: **라우팅 제어 추가**를 선택합니다.
1. **라우팅 제어 추가**를 선택합니다.
+ **라우팅 제어 ARN**: us-west-2를 제어하는 라우팅 제어의 ARN
+ **라우팅 제어 상태**: **켜짐**을 선택합니다.
1. **라우팅 제어 추가**를 다시 선택합니다.
+ **라우팅 제어 ARN**: us-east-1을 제어하는 라우팅 제어의 ARN.
+ **라우팅 제어 상태**: **꺼짐**을 선택합니다.
1. **저장**을 선택합니다.
1. **단계 저장**을 선택합니다.
이 실행 블록에 필요한 IAM 권한에 대한 자세한 내용은 섹션을 참조하세요[ARC 라우팅 제어 실행 블록 샘플 정책](security_iam_region_switch_arc_routing.md).
1. **저장**을 선택합니다.
## 3단계: 계획 실행
1. 리전 전환 계획 세부 정보 페이지의 오른쪽 상단에서 **실행**을 선택합니다.
1. 실행 세부 정보를 입력합니다.
+ 활성화할 리전을 선택합니다.
+ 계획 실행 모드를 선택합니다.
+ (선택 사항) 실행 단계를 봅니다.
+ 계획 실행을 확인합니다.
1. **시작**을 선택합니다.
1. 계획이 실행되는 동안 실행 세부 정보 페이지에서 단계별 상세 내용을 확인할 수 있습니다. 시작 시간, 종료 시간, 리소스 ARN 및 로그 메시지를 포함하여 계획 실행의 각 단계를 볼 수 있습니다.
손상된 리전이 복구되면 계획을 다시 실행(제공하는 파라미터 변경)하여 원래 리전을 활성화하고 애플리케이션 작업을 원래 기본 리전으로 다시 전환할 수 있습니다.
# 자습서: 계획 실행 보고서 자동 생성 구성
이 자습서에서는 리전 전환 계획에 대한 계획 실행 보고서 자동 생성을 구성하는 방법을 안내합니다. 보고서는 규정 준수를 위한 계획 실행에 대한 포괄적인 PDF 설명서를 제공합니다.
이 자습서에서는 다음 단계를 완료합니다.
+ 보고서 스토리지용 Amazon S3 버킷 생성
+ 리전 전환 계획에서 보고서 자동 생성 활성화
+ 계획을 실행하고 보고서를 다운로드합니다.
## 사전 조건
이 자습서를 시작하기 전에 다음이 있는지 확인합니다.
+ 구성된 워크플로가 있는 기존 리전 전환 계획
+ Amazon S3 버킷을 생성할 수 있는 권한
+ 필요한 권한으로 구성된 계획의 실행 IAM 역할입니다. 자세한 내용은 [자동 계획 실행 보고서 권한](security_iam_region_switch_reports.md) 단원을 참조하십시오.
## 1단계: 보고서용 Amazon S3 버킷 생성
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.
1. **버킷 생성**을 선택합니다.
1. 다음 세부 정보를 제공합니다.
+ **버킷 이름**:와 같은 고유한 이름을 입력합니다. `my-region-switch-reports`
+ **퍼블릭 액세스 차단 설정**: 모든 퍼블릭 액세스를 차단된 상태로 유지(권장)
+ **버킷 버전 관리**: 버전 관리 활성화(선택 사항이지만 권장됨)
+ **기본 암호화**: 암호화를 선택합니다. SSM-KMS를 사용하는 경우 planExecutionRole에는 s3 버킷의 기본 CMK에 대한 kms:Encrypt 및 kms:GenerateDataKey 권한이 필요합니다.
1. **버킷 생성**을 선택합니다.
1. 다음 단계에서 사용할 버킷 이름을 기록해 둡니다.
## 2단계: 계획에서 보고서 자동 생성 활성화
1. 에서 리전 스위치 콘솔을 엽니다[https://console.aws.amazon.com/route53recovery/regionswitch/home](https://console.aws.amazon.com/route53recovery/regionswitch/home).
1. 보고서를 구성할 계획을 선택합니다.
1. **탐색 모음에서 작업으로 이동하여 계획 세부 정보 편집을 선택합니다**.
1. **보고서 설정** 섹션에서 다음을 제공합니다.
+ **보고서 자동 생성 활성화**를 선택합니다.
+ **Amazon S3 URI:** 1단계에서 생성한 버킷 S3 URI를 선택하거나 입력합니다.
+ **버킷을 소유한 계정 ID:** 버킷 소유자 계정 ID를 입력합니다.
1. **저장**을 선택합니다.
1. 계획 평가가 완료될 때까지 기다립니다. 구성 문제가 있는 경우 계획 세부 정보 페이지에 경고가 표시됩니다.
## 3단계: 계획 실행 및 보고서 다운로드
1. 계획 세부 정보 페이지에서 **실행**을 선택합니다.
1. 계획 실행을 정상적으로 완료하고 활성화할 리전과 실행 모드를 선택합니다.
1. 계획 실행이 완료되면 실행 세부 정보 페이지로 이동합니다.
1. **계획 실행 보고서** 섹션에서 보고서 생성 상태를 모니터링합니다. 보고서 생성은 일반적으로 실행 완료 후 30분 이내에 완료됩니다.
1. 보고서 상태가 **완료**됨으로 표시되면 **계획 실행 보고서 다운로드**를 선택하여 PDF를 다운로드합니다.
1. 또는 Amazon S3 버킷으로 이동하여 보고서에 직접 액세스합니다. 보고서는 다음과 같은 이름 지정 패턴으로 저장됩니다. `ExecutionReport-${planVersion.ownerAccountId}-${planName}-${execution.regionTo}-${event.executionId}-${dateStr}.pdf`
생성된 보고서에는 다음이 포함됩니다.
+ 서비스 개요 및 보고서 생성 날짜가 포함된 실행 요약
+ 실행 시 존재하는 구성 세부 정보 계획
+ 단계, 영향을 받는 리소스 및 상태가 포함된 세부 실행 타임라인
+ 실행이 시작될 때 있었던 경고 계획
+ Amazon CloudWatch 경보 상태 및 관련 경보에 대한 경보 기록
+ 상위 계획의 경우 하위 계획의 구성 및 실행 세부 정보
+ 용어 및 개념 용어집
## 문제 해결
보고서 생성에 실패하면 다음을 확인합니다.
+ **권한 오류**: 실행 역할에 올바른 IAM 권한이 있는지 확인합니다. 자세한 내용은 [자동 계획 실행 보고서 권한](security_iam_region_switch_reports.md) 단원을 참조하십시오. 계획 평가 경고에서 특정 권한 문제를 확인합니다.
+ **Amazon S3 버킷 액세스**: Amazon S3 버킷이 존재하고 계획이 구성된 리전에서 액세스할 수 있는지 확인합니다. 버킷 정책이 실행 역할의 액세스를 차단하지 않는지 확인합니다.
+ **버킷 암호화**: 버킷 암호화에 고객 관리형 KMS 키를 사용하는 경우 실행 역할에 KMS 키를 사용할 권한이 있는지 확인합니다.
추가 도움이 필요하면 실행 세부 정보 페이지에서 자세한 오류 메시지를 보거나 AWS Support에 문의하세요.
# 자습서: RDS 복구 후 워크플로 실행
이 자습서에서는 성공적인 RDS 장애 조치 후 복구 후 워크플로를 실행하는 방법을 안내합니다. 이 복구 후 실행은 RDS 데이터베이스에 대한 리전 간 복제를 다시 설정하여 중복성을 복원하므로 RDS 데이터베이스가 향후 리전 이벤트에 대비할 수 있습니다.
이 자습서에서는 다음 단계를 완료합니다.
+ 복구 후 실행을 위한 사전 조건 확인
+ RDS 리전 간 복제본 생성 실행 블록을 사용하여 복구 후 워크플로 생성
+ 복구 후 워크플로 실행
## 사전 조건
이 자습서를 시작하기 전에 다음이 있는지 확인합니다.
+ RDS 승격 읽기 전용 복제본 실행 블록이 포함된 활성화 워크플로가 있는 리전 전환 액티브/패시브 계획
+ 다른 리전에서 읽기 전용 복제본을 승격한 성공적인 활성화 실행
+ 두 리전 모두 정상이고 액세스할 수 있음
+ 가장 최근 복구 실행의 실행 ID
## 1단계: 복구 후 워크플로 생성
1. 리전 스위치 콘솔에서 계획을 선택하고 **워크플로 편집**, **구성**, **계획에 복구 후 워크플로 포함** 및 저장을 선택합니다.
1. 워크플로 편집 페이지에서 **단계를 추가할 워크플로 선택** 드롭다운을 선택하고 **복구 후**를 선택합니다.
1. **단계 추가**를 선택합니다.
1. **Amazon RDS 교차 리전 복제본 생성 실행 블록**을 선택합니다.
1. 오른쪽 패널에서 블록을 구성합니다.
+ **단계 이름**: "교차 리전 읽기 전용 복제본 생성"을 입력합니다.
+ **단계 설명**(선택 사항)
+ **기본 리전의 RDS DB 인스턴스 ARN**: 기본 리전에 있는 데이터베이스의 ARN은 읽기 전용 복제본 승격 단계와 동일해야 합니다.
+ **보조 리전용 RDS DB 인스턴스 ARN**: 보조에서 승격된 데이터베이스의 ARN은 읽기 전용 복제본 승격 단계와 동일해야 합니다.
+ **제한 시간**(선택 사항): 90분과 같은 제한 시간 값을 입력합니다.
이 실행 블록에 필요한 IAM 권한에 대한 자세한 내용은 섹션을 참조하세요[Amazon RDS 실행 블록 샘플 정책](security_iam_region_switch_rds.md).
1. **단계 저장**을 선택합니다.
1. **워크플로 저장**을 선택합니다.
## 2단계: 복구 후 워크플로 실행
1. 리전 전환 계획 세부 정보 페이지의 오른쪽 상단에서 **복구 후 실행**을 선택합니다.
1. 실행 세부 정보를 입력합니다.
+ **복구 실행 ID**: 가장 최근 복구 실행의 실행 ID를 입력합니다. 이 필드는 현재 활성 상태인 리전을 식별하는 데 사용됩니다.
+ **실행할 리전**: 애플리케이션 트래픽을 수신하지 않는 비활성 리전을 선택합니다. 읽기 전용 복제본이 생성될 리전입니다.
1. 실행 단계를 검토하고 실행을 확인합니다.
1. **실행 시작**을 선택합니다.
1. 실행 세부 정보 페이지에서 실행 진행 상황을 모니터링합니다. RDS 교차 리전 복제본 생성 실행 블록은 이전 기본 인스턴스의 이름을 바꾸고 이전에 손상된 리전에 새 읽기 전용 복제본을 생성합니다.
복구 후 실행이 성공적으로 완료되면 애플리케이션이 리전 간 복제를 다시 설정하고 향후 리전 이벤트에 대비할 수 있습니다. 대상 리전의 RDS 콘솔을 확인하여 새 읽기 전용 복제본이 생성되었는지 확인할 수 있습니다. 이전 기본의 이름이 바뀌고 *renamedByRegionSwitch*로 태그가 지정됩니다.
**중요**
리전 스위치는 복구 실행 ID가 계획에 대해 마지막으로 알려진 실행과 일치하는지 확인합니다. 실행 ID가 유효하지 않거나 마지막으로 알려진 복구 실행의 ID가 아닌 경우 복구 후 실행이 실행되지 않습니다.
# 리전 전환 API 작업
다음 표에는 리전 전환에 사용할 수 있는 ARC 작업과 관련 문서 링크가 나열되어 있습니다.
| 작업 | ARC 콘솔 사용 | ARC API 사용 | 데이터 영역 API |
| --- | --- | --- | --- |
| 계획 실행 단계 승인 또는 거부 | [수동 승인 실행 블록](manual-approval-block.md) 참조 | [ApprovePlanExecutionStep](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ApprovePlanExecutionStep.html) 참조 | 예 |
| 계획 실행 취소 | [리전 전환 계획 생성](working-with-rs-create-plan.md) 섹션을 참조하세요 | [CancelPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_CancelPlanExecution.html) 참조 | 예 |
| 계획 생성 | [리전 전환 계획 생성](working-with-rs-create-plan.md) 섹션을 참조하세요 | [CreatePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_CreatePlan.html) 참조 | 아니요 |
| 계획 삭제 | [리전 전환 작업](working-with-rs.md) 섹션을 참조하세요 | [DeletePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_DeletePlan.html) 참조 | 아니요 |
| 계획 가져오기 | [리전 전환 작업](working-with-rs.md) 섹션을 참조하세요 | [GetPlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlan.html) 참조 | 아니요 |
| 계획 평가 상태 가져오기 | [계획 평가](region-switch-plans.md#region-switch-plans.plan-evaluation) 섹션을 참조하세요 | [GetPlanEvaluationStatus](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanEvaluationStatus.html) 참조 | 예 |
| 계획 실행 가져오기 | [리전 전환 대시보드](region-switch.dashboarding-and-reports.md) 섹션을 참조하세요 | [GetPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanExecution.html) 참조 | 예 |
| 리전에서 계획 가져오기 | [리전 전환 작업](working-with-rs.md) 섹션을 참조하세요 | [GetPlanInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanInRegion.html) 참조 | 예 |
| 계획 실행 이벤트 나열 | [리전 전환 계획을 실행하여 애플리케이션 복구](plan-execution-rs.md) 섹션을 참조하세요 | [ListPlanExecutionEvents](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlanExecutionEvents.html) 참조 | 예 |
| 계획 실행 나열 | [리전 전환 계획을 실행하여 애플리케이션 복구](plan-execution-rs.md) 섹션을 참조하세요 | [ListPlanExecutions](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlanExecutions.html) 참조 | 예 |
| 계획 나열 | [리전 전환 작업](working-with-rs.md) 섹션을 참조하세요 | [ListPlans](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlans.html) 참조 | 아니요 |
| 리전의 계획 나열 | [리전 전환 작업](working-with-rs.md) 섹션을 참조하세요 | [ListPlansInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlansInRegion.html) 참조 | 예 |
| 플랜에 대한 Route 53 상태 확인 나열 | [Amazon Route 53 상태 확인 실행 블록](route53-health-check-block.md) 섹션을 참조하세요 | [ListRoute53HealthChecksForPlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListRoute53HealthChecks.html) 참조 | 아니요 |
| 리전의 계획에 대한 Route 53 상태 확인 나열 | [Amazon Route 53 상태 확인 실행 블록](route53-health-check-block.md) 섹션을 참조하세요 | [ListRoute53HealthChecksForPlanInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListRoute53HealthChecksInRegion.html) 참조 | 예 |
| 리소스에 대한 태그 나열 | [ARC 리전 전환 태깅](tagging.region-switch.md) 섹션을 참조하세요 | [ListTagsForResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListTagsForResource.html) 참조 | 아니요 |
| 계획 실행 시작 | [리전 전환 계획을 실행하여 애플리케이션 복구](plan-execution-rs.md) 섹션을 참조하세요 | [StartPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_StartPlanExecution.html) 참조 | 예 |
| 리소스에 태그 지정 | [리전 전환 계획 생성](working-with-rs-create-plan.md) 섹션을 참조하세요 | [TagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_TagResource.html) 참조 | 아니요 |
| 리소스에서 태그 제거 | [ARC 리전 전환 태깅](tagging.region-switch.md) 섹션을 참조하세요 | [UntagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UntagResource.html) 참조 | 아니요 |
| 계획 업데이트 | [리전 전환 계획 생성](working-with-rs-create-plan.md) 섹션을 참조하세요 | [UpdatePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlan.html) 참조 | 아니요 |
| 계획 실행 업데이트 | [리전 전환 계획 생성](working-with-rs-create-plan.md) 섹션을 참조하세요 | [UpdatePlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlanExecution.html) 참조 | 예 |
| 계획 실행 단계 업데이트 | [리전 전환 계획 생성](working-with-rs-create-plan.md) 섹션을 참조하세요 | [UpdatePlanExecutionStep](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlanExecutionStep.html) 참조 | 예 |
# 리전 전환 작업
이 섹션에서는 다중 리전 애플리케이션을 복구하는 데 사용할 수 있는 리전 전환 계획을 단계별로 안내합니다. 리전 전환을 사용하면 액티브/패시브 및 액티브/액티브 복구 접근 방식 모두에 대한 계획을 생성할 수 있습니다.
애플리케이션에 대한 복구 계획을 생성하려면 다음을 수행합니다.
1. 리전 전환 계획을 생성합니다. 계획은 애플리케이션이 실행되는 특정와 같은 특정 속성 AWS 리전 이 있는 구조입니다. 각 계획에는 하나 이상의 *워크플로*가 포함됩니다.
선택적으로 여러 계획을 생성하고 이러한 *하위 계획*을 전체 복구 계획 내에 중첩할 수 있습니다.
1. 계획에 대한 워크플로를 생성합니다. 워크플로를 먼저 생성하지 않으면 계획을 실행할 수 없습니다.
1. 워크플로우에서 하나 이상의 단계를 추가합니다. 각 단계는 *실행 블록*입니다.
예를 들어 대상 리전에서 EC2 Auto Scaling 그룹을 확장하는 단계를 추가할 수 있습니다.
1. 워크플로에 단계를 추가한 후 Amazon Route 53에서 상태 확인 구성과 같은 추가 단계가 필요할 수 있습니다. 각 실행 블록 섹션에는 필요한 구성 정보가 포함되어 있습니다. 자세한 내용은 [실행 블록 추가](working-with-rs-execution-blocks.md) 단원을 참조하십시오.
1. 손상된에서 실행 중인 애플리케이션을 복구하려면 계획을 AWS 리전실행합니다.
글로벌 대시보드 또는 리전 대시보드에서 정보를 확인하여 계획 실행의 진행 상황을 추적할 수 있습니다.
다음 섹션에서는 계획 및 워크플로를 생성하고 워크플로에 실행 블록 단계를 추가하기 위한 자세한 정보와 단계를 설명합니다.
**Topics**
+ [계획 생성](working-with-rs-create-plan.md)
+ [워크플로 생성](working-with-rs-workflows.md)
+ [실행 블록 추가](working-with-rs-execution-blocks.md)
+ [하위 계획 생성](working-with-rs-child-plan.md)
+ [트리거 생성](working-with-rs-triggers.md)
+ [계획 실행](plan-execution-rs.md)
이 섹션의 절차에서는 AWS Management Console을 통해 계획, 워크플로, 실행 블록 및 트리거를 사용하는 방법을 설명합니다. 대신 리전 전환 API 작업을 사용하려면 [리전 전환 API 작업](actions.region-switch.md) 섹션을 참조하세요.
# 리전 전환 계획 생성
리전 전환에서 액티브/액티브 계획 또는 액티브/패시브 계획이라는 두 가지 종류의 계획을 생성할 수 있습니다. 계획을 생성할 때 장애 조치를 관리할 방법에 적용되는 유형을 지정합니다.
+ *액티브/패시브* 접근 방식은 두 개의 애플리케이션 복제본을 두 리전에 배포하고 트래픽을 액티브 리전으로만 라우팅합니다. 리전 전환 계획을 실행하여 패시브 리전에서 복제본을 활성화할 수 있습니다.
+ *액티브/액티브* 접근 방식은 두 개의 애플리케이션 복제본을 두 리전에 배포하며, 두 복제본 모두 작업을 처리하거나 트래픽을 수신합니다.
# 리전 전환 계획 생성
1. 리전 전환 콘솔에서 액티브/패시브 접근 방식을 사용하여 **리전 전환 계획 생성**을 선택합니다.
1. 다음 세부 정보를 제공합니다.
+ **계획 이름** - 계획을 설명하는 이름을 입력합니다.
+ **다중 리전 접근 방식 -** **액티브/패시브** 또는 **액티브/액티브**를 선택합니다. 이 접근 방식은 두 개의 애플리케이션 복제본을 두 개의 리전에 배포하고 트래픽을 액티브 리전으로만 라우팅하는 것을 의미합니다. 리전 전환 계획을 실행하여 패시브 리전에서 복제본을 활성화할 수 있습니다.
+ 두 개의 애플리케이션 복제본을 두 리전에 배포하고 트래픽을 액티브 리전으로만 라우팅하는 경우 **액티브/패시브**를 선택합니다. 그런 다음 *액티브/패시브*를 지정하는 리전 전환 계획을 실행하여 패시브 리전의 복제본을 활성화할 수 있습니다.
+ 두 개의 애플리케이션 복제본을 두 리전에 배포하고, 두 복제본 모두 작업을 처리하거나 트래픽을 수신하는 경우 **액티브/액티브**를 선택합니다.
+ **기본 및 대기 리전** 또는 **리전** - 애플리케이션의 기본 및 대기 리전을 선택합니다. 액티브/액티브 배포의 경우 복제본이 배포되는 리전을 선택합니다.
+ **목표 복구 시간(RTO)** - 원하는 RTO를 입력합니다. 리전 전환은 이를 사용하여 원하는 RTO와 비교하여 리전 전환 계획 실행을 완료하는 데 걸리는 시간을 파악할 수 있습니다.
+ **IAM 역할** - 리전 전환이 계획을 실행하는 데 사용할 IAM 역할을 제공합니다. 권한에 대한 자세한 내용은 [ARC 리전 전환에 대한 자격 증명 및 액세스 관리](security-iam-region-switch.md) 섹션을 참조하세요.
+ **Amazon CloudWatch 경보** - Amazon CloudWatch로 생성한 애플리케이션 상태 경보를 제공하여 각 리전의 애플리케이션 상태를 나타냅니다. 리전 전환은 이러한 애플리케이션 상태 경보를 사용하여 복구 구현을 위해 리전을 전환한 후 실제 복구 시간을 결정하는 데 도움이 됩니다.
리전 전환 계획에 CloudWatch 경보를 추가하기 전에 올바른 IAM 정책이 있는지 확인해야 합니다. 자세한 내용은 [애플리케이션 상태에 대한 CloudWatch 경보 권한](security_iam_region_switch_cloudwatch.md) 단원을 참조하십시오.
+ **자동 보고서 생성** - 선택적으로 계획 실행에 대해 자동 보고서 생성을 활성화합니다. 활성화하면 리전 스위치는 각 계획 실행이 완료된 후 포괄적인 PDF 보고서를 생성하여 지정한 Amazon S3 버킷으로 전송합니다. Amazon S3 URI와 버킷을 소유한 계정 ID를 제공합니다.
계획에 대한 자동 보고서 생성을 활성화하기 전에 올바른 IAM 정책이 있는지 확인합니다. 보고서 생성 및 필수 권한에 대한 자세한 내용은 섹션을 참조하세요[자동 계획 실행 보고서](region-switch-plans.md#region-switch-plans.plan-execution-reports).
+ **태그** - 필요에 따라 계획에 하나 이상의 태그를 추가합니다.
# 리전 전환 계획 워크플로 생성
리전 전환 계획을 생성한 후에는 애플리케이션의 복구 프로세스를 지정하는 워크플로를 정의하고 생성해야 합니다. 각 계획에 대해 애플리케이션 복구를 완료하는 하나 이상의 워크플로를 정의합니다. 각 워크플로에서 리전 전환이 애플리케이션 복구를 위해 수행할 각 작업을 정의하는 *실행 블록*이 포함된 단계를 추가합니다.
생성하는 워크플로의 수는 애플리케이션 배포 시나리오와 복구 관리 기본 설정에 따라 달라집니다. 예제:
+ 리전 전환 계획이 액티브/액티브 애플리케이션 배포용인 경우 비활성화 워크플로도 생성해야 합니다. 즉, 액티브/액티브 배포의 경우 활성화 워크플로와 비활성화 워크플로라는 최소 두 개의 워크플로가 있게 됩니다.
+ 리전 전환 계획이 액티브/패시브 애플리케이션 배포용인 경우 기본 리전과 보조 리전이 있습니다. 각 리전에 대해 별도의 활성화 워크플로를 사용하도록 선택한 경우 각 리전에 대해 하나씩 두 개의 워크플로를 생성합니다.
# 리전 전환 계획 워크플로 생성
1. 생성한 리전 전환 계획에서 **워크플로 구축**을 선택합니다.
1. 다음 워크플로 옵션 중 하나를 선택합니다.
+ **모든 리전에 대해 동일한 활성화 워크플로 구축** - 리전 간에 동일한 활성화 워크플로를 사용할 수 있습니다.
+ **각 리전에 대해 별도로 워크플로 구축** - 각 리전에 대해 개별 활성화 워크플로를 구축합니다.
1. 선택적으로 각 워크플로에 대한 설명을 제공합니다.
1. 애플리케이션을 복구하는 데 필요한 워크플로를 정의합니다. 워크플로에서 리전 전환이 복구를 위해 수행할 각 작업을 정의하는 *실행 블록*을 추가합니다. 각 실행 블록은 활성화 리전에서 애플리케이션 트래픽 재라우팅 또는 데이터베이스 복구와 같은 작업을 정의하고 다른 AWS 계정의 리소스를 지원합니다. 실행 블록은 병렬 또는 순차적으로 실행하도록 선택할 수 있습니다. 워크플로에 추가할 수 있는 특정 실행 블록에 대한 자세한 내용은 [실행 블록 추가](working-with-rs-execution-blocks.md) 섹션을 참조하세요.
1. 선택한 워크플로 옵션에 따라 다음을 수행합니다.
+ **모든 리전에 대해 동일한 활성화 워크플로 구축**을 선택한 경우 하나의 활성화 워크플로가 필요합니다.
+ **각 리전에 대해 별도로 워크플로 구축**을 선택한 경우 두 개의 활성화 워크플로가 필요합니다.
액티브/액티브 계획의 경우 활성화 워크플로와 비활성화 워크플로를 모두 정의해야 합니다.
# 실행 블록 추가
리전 전환 계획의 워크플로에 단계를 추가하여 개별 단계를 수행하여 애플리케이션의 장애 조치 또는 전환을 완료합니다. 각 실행 블록 유형의 기능 및 동작에 대한 자세한 내용은 다음 설명을 참조하세요.
리전 전환은 계획을 생성하거나 업데이트한 직후 계획 평가를 실행하며, 이후 정상 상태에서는 30분마다 실행됩니다. 리전 전환은 계획이 구성된 모든 리전에서 계획 평가에 대한 정보를 저장합니다. 이 설명서의 각 실행 블록 섹션에는 리전 전환이 계획 평가를 실행할 때 평가되는 항목에 대한 정보가 포함되어 있습니다.
리전 전환에는 복구의 일부로 컴퓨팅 리소스를 확장하는 데 도움이 되는 실행 블록 유형이 포함됩니다. 계획에서 이러한 실행 블록을 사용하는 경우 리전 전환이 원하는 컴퓨팅 용량 달성을 보장하지 않는다는 점에 유의하세요. 중요한 애플리케이션이 있고 용량에 대한 액세스를 보장해야 하는 경우 용량을 예약하는 것이 좋습니다. 보조 리전에서 컴퓨팅 용량을 예약하는 동시에 비용을 제한하기 위해 사용할 수 있는 전략이 있습니다. 자세한 내용은 [예약 용량이 있는 파일럿 라이트: 온디맨드 용량 예약을 사용하여 DR 비용을 최적화하는 방법](https://aws.amazon.com/blogs/architecture/pilot-light-with-reserved-capacity-how-to-optimize-dr-cost-using-on-demand-capacity-reservations/)을 참조하세요.
리전 전환은 다음 실행 블록을 지원합니다.
****
| 실행 블록 | 함수 | 비정상 구성 |
| --- | --- | --- |
| [ARC 리전 전환 계획 실행 블록](region-switch-plan-block.md) | 실행할 하위 계획을 지정하여 한 번의 실행으로 여러 애플리케이션에 대한 복구를 오케스트레이션합니다. | 비정상 구성으로 하위 계획을 시작합니다. |
| [Amazon EC2 Auto Scaling 그룹 실행 블록](ec2-auto-scaling-block.md) | 계획 실행의 일부로 Auto Scaling 그룹에 있는 EC2 컴퓨팅 리소스를 확장합니다. | 활성화하려는 리전에서 일치해야 하는 컴퓨팅 용량의 최소 백분율을 지정합니다. |
| [Amazon EKS 리소스 조정 실행 블록](eks-resource-scaling-block.md) | 계획 실행의 일부로 Amazon EKS 클러스터 포드를 확장합니다. | 해당 사항 없음 |
| [Amazon ECS 서비스 확장 실행 블록](ecs-service-scaling-block.md) | 계획 실행의 일부로 Amazon ECS 서비스 작업을 확장합니다. | 해당 사항 없음 |
| [ARC 라우팅 제어 실행 블록](arc-routing-controls-block.md) | 하나 이상의 ARC 라우팅 제어의 상태를 변경하는 단계를 추가하여 애플리케이션 트래픽을 대상 AWS 리전으로 리디렉션합니다. | 해당 사항 없음 |
| [Amazon Aurora Global Database 실행 블록](aurora-global-database-block.md) | Aurora Global Database에 대한 복구 워크플로를 수행합니다. | Aurora Global Database 장애 조치를 수행합니다(데이터 손실이 발생할 수 있음). |
| [Amazon DocumentDB Global Cluster 실행 블록](documentdb-global-cluster-block.md) | Amazon DocumentDB 글로벌 클러스터에 대한 복구 워크플로를 수행합니다. | Amazon DocumentDB 글로벌 클러스터 장애 조치를 수행합니다(데이터 손실이 발생할 수 있음). |
| [Amazon RDS 승격 읽기 전용 복제본 실행 블록](rds-promote-read-replica-block.md) | Amazon RDS 읽기 전용 복제본을 독립 실행형 데이터베이스 인스턴스로 승격합니다. | 해당 사항 없음 |
| [Amazon RDS 교차 리전 복제본 생성 실행 블록](rds-create-cross-region-replica-block.md) | 복구 후의 일부로 Amazon RDS 데이터베이스 인스턴스에 대한 리전 간 읽기 전용 복제본을 생성합니다. | 해당 사항 없음 |
| [수동 승인 실행 블록](manual-approval-block.md) | 계속하기 전에 실행의 승인 또는 취소가 필요하게 하려면 승인 단계를 삽입합니다. | 해당 사항 없음 |
| [사용자 지정 작업 Lambda 실행 블록](custom-action-lambda-block.md) | Lambda 함수를 실행하기 위한 사용자 지정 단계를 추가하여 사용자 지정 작업을 활성화합니다. | 단계를 건너뜁니다. |
| [Amazon Route 53 상태 확인 실행 블록](route53-health-check-block.md) | 장애 조치 중에 애플리케이션 트래픽이 리디렉션될 리전을 지정합니다. | 해당 사항 없음 |
# ARC 리전 전환 계획 실행 블록
리전 전환 계획 실행 블록을 사용하면, 다른 하위 리전 전환 계획을 참조하여 여러 애플리케이션이 활성화하려는 리전으로 전환하는 순서를 오케스트레이션할 수 있습니다. 이 상위/하위 관계를 사용하면 인프라 전체에서 여러 리소스와 종속성을 관리하는 복잡하고 조정된 복구 프로세스를 생성할 수 있습니다.
## 구성
리전 전환 계획 실행 블록을 사용하는 경우, 생성 중인 계획의 워크플로에서 실행할 특정 리전 전환 계획을 선택합니다.
**중요**
실행 블록을 구성하기 전에 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [리전 전환 계획 실행 블록 샘플 정책](security_iam_region_switch_plan_execution.md) 단원을 참조하십시오.
리전 전환 계획 실행 블록을 구성하려면 다음 값을 입력합니다.
1. **단계 이름:** 이름을 입력합니다.
1. **설명(선택 사항):** 단계에 대한 설명을 입력합니다.
1. **리전 전환 계획:** 현재 계획의 워크플로에서 실행할 계획을 선택합니다.
그런 다음 **단계 저장**을 선택합니다.
## 작동 방식
리전 전환 계획 실행 블록을 사용하여 상위/하위 관계가 있는 상위 워크플로를 생성합니다. 이 실행 블록은 하위 계획의 추가 수준을 지원하지 않으며 상위 하위 계획의 수를 제한합니다. 하위 계획은 상위 계획과 동일한 리전을 지원해야 하며 상위 계획과 동일한 복구 접근 방식(즉, 액티브/액티브 또는 액티브/패시브)이어야 합니다.
이 블록은 정상 실행 모드와 비정상 실행 모드를 모두 지원합니다. 비정상 설정은 비정상 구성으로 하위 계획을 시작합니다. 리전 전환 블록이 정상 모드로 실행된 후 비정상 실행 모드로 전환된 경우 하위 계획도 비정상 실행 모드로 전환됩니다.
## 계획 평가의 일부로 평가되는 항목
여러 계정 간에 계획을 공유하는 경우, 해당 계획이 더 이상 상위 계획의 계정과 공유되지 않으면 리전 전환 평가 시 계획이 유효하지 않다는 경고가 반환됩니다.
# Amazon EC2 Auto Scaling 그룹 실행 블록
EC2 Auto Scaling 그룹 실행 블록을 사용하면 다중 리전 복구 프로세스의 일부로 EC2 인스턴스를 조정할 수 있습니다. 나가는 리전(소스 및 대상)에 대한 용량의 백분율을 정의할 수 있습니다.
## 구성
EC2 Auto Scaling 그룹 실행 블록을 구성할 때 계획과 연결된 특정 리전의 EC2 Auto Scaling ARNs을 입력합니다. 계획 실행 중에 확장하려는 각 리전에 EC2 Auto Scaling ARNs을 입력해야 합니다.
**중요**
실행 블록을 구성하기 전에 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [EC2 Auto Scaling 실행 블록 샘플 정책](security_iam_region_switch_ec2_autoscaling.md) 단원을 참조하십시오.
EC2 Auto Scaling 그룹 실행 블록을 구성하려면 다음 값을 입력합니다.
1. **단계 이름:** 이름을 입력합니다.
1. **설명(선택 사항):** 단계에 대한 설명을 입력합니다.
1. ***리전*에 대한 EC2 Auto Scaling 그룹 ARN: ** 계획의 각 리전에 있는 EC2 Auto Scaling 그룹의 ARN을 입력합니다.
1. **활성화된 리전의 용량과 일치하는 백분율: ** Auto Scaling 그룹에서 활성화된 리전과 일치하는 실행 중인 인스턴스 수의 원하는 백분율을 입력합니다.
1. **용량 모니터링 접근 방식: ** EC2 Auto Scaling 그룹의 용량을 모니터링하려면 다음 접근 방식 중 하나를 선택합니다.
+ **24시간 동안 샘플링된 최대 실행 용량**: EC2 Auto Scaling 그룹 구성에 지정된 **원하는 용량** 값을 사용하려면이 옵션을 선택합니다. 이 옵션에는 추가 비용이 발생하지 않지만 다른 옵션인 CloudWatch 지표를 사용하는 것보다 정확도가 떨어질 수 있습니다.
리전 전환 API에서 이 옵션은 `sampledMaxInLast24Hours` 지정에 해당합니다.
자세한 내용은 Amazon EC2 [ Auto Scaling 사용 설명서의 Auto Scaling 그룹에 대한 조정 제한 설정을 참조하세요](https://docs.aws.amazon.com/autoscaling/ec2/userguide/asg-capacity-limits.html). Auto Scaling
+ **CloudWatch를 사용하여 24시간 동안 샘플링된 최대 실행 용량**: Amazon CloudWatch for EC2 Auto Scaling에 지정된 지표를 사용하려면이 옵션을 선택합니다. 옵션을 사용하면 정확성이 향상되지만 CloudWatch 지표를 사용하는 데 추가 비용이 발생합니다.
리전 전환 API에서 이 옵션은 `autoscalingMaxInLast24Hours` 지정에 해당합니다.
이 옵션을 사용하려면 먼저 Auto Scaling 그룹에 대한 그룹 지표를 활성화해야 합니다. 자세한 내용은 Amazon EC2 [ Auto Scaling 사용 설명서의 Auto Scaling 그룹 지표 활성화](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-metrics.html#as-enable-group-metrics)를 참조하세요. Auto Scaling
1. **제한 시간:** 제한 시간 값을 입력합니다.
그런 다음 **단계 저장**을 선택합니다.
## 작동 방식
EC2 Auto Scaling 실행 블록을 구성한 후 리전 스위치는 소스 Auto Scaling 그룹 하나와 대상 Auto Scaling 그룹이 하나만 있는지 확인합니다. Auto Scaling 그룹이 여러 개 있는 경우 계획 평가 중에 실행 블록이 실패합니다. 목표 용량은 상태가 `InService`로 설정된 인스턴스 개수로 정의됩니다. 자세한 내용은 [ EC2 Auto Scaling 인스턴스 수명 주기를](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-lifecycle.html) 참조하세요.
일치하는 백분율에 대해 지정하는 값(Auto Scaling 실행 블록을 구성할 때)에 따라 리전 스위치는 대상 Auto Scaling 그룹에 대해 원하는 새 용량을 계산합니다. 새 원하는 용량을 대상 Auto Scaling 그룹의 원하는 용량과 비교합니다. 리전 전환이 원하는 용량을 계산하는 데 사용하는 공식은 다음과 같습니다. `ceil(percentToMatch * Source Auto Scaling group capacity)` 여기서 ceil()은 모든 소수 결과를 올림하는 함수입니다. 대상 Auto Scaling 그룹의 현재 원하는 용량이 리전 스위치가 계산하는 새 Auto Scaling 그룹의 원하는 용량보다 크거나 같으면 실행 블록이 진행됩니다. 리전 스위치는 Auto Scaling 그룹 용량을 축소하지 않습니다.
리전 전환이 Auto Scaling 블록을 실행하면 리전 전환은 원하는 용량에 맞게 대상 리전 Auto Scaling 그룹 용량을 확장하려고 시도합니다. 그런 다음 리전 전환은 요청된 Auto Scaling 그룹 용량이 대상 리전의 Auto Scaling 그룹에서 충족될 때까지 기다린 후 리전 전환이 계획의 다음 단계로 진행됩니다.
**참고**
이 블록을 실행하면 Auto Scaling 그룹의 최소 및 원하는 용량 설정이 수정되므로 infrastructure-as-code 도구 또는 기타 자동화를 통해 이러한 값을 관리하면 구성 드리프트가 발생할 수 있습니다. 구성 관리 프로세스가 이러한 변경 사항을 고려하여 의도하지 않은 롤백을 방지하는지 확인합니다.
액티브/액티브 접근 방식을 사용하는 경우 리전 전환은 다른 구성된 리전을 소스로 사용합니다. 즉, 리전이 비활성화되는 경우 리전 전환은 다른 활성 리전을 소스로 사용하여 확장 비율에 매칭합니다.
이 블록은 정상 실행 모드와 비정상 실행 모드를 모두 지원합니다. 리전 전환이 계획의 다음 단계로 넘어가기 전에 대상 리전에서 일치시킬 컴퓨팅 용량의 최소 백분율을 지정하여 비정상 실행을 구성할 수 있습니다.
## 계획 평가의 일부로 평가되는 항목
리전 전환이 계획을 평가할 때 리전 전환은 EC2 Auto Scaling 그룹 실행 블록 구성 및 권한에 대해 몇 가지 중요한 검사를 수행합니다. 리전 전환 평가는 Auto Scaling 그룹이 두 리전에 모두 있는지 확인하고, 올바르게 구성되고 액세스할 수 있는지 확인하고, 각 리전에서 실행 중인 인스턴스 수를 기록합니다. 또한 대상 리전의 Auto Scaling 그룹의 최대 용량이 필요한 용량에 대해 지정된 비율 일치 규모를 처리하기에 충분한지 확인합니다.
리전 스위치는 또한 계획의 IAM 역할에 Auto Scaling에 대한 올바른 권한이 있는지 확인합니다. 리전 전환 실행 블록에 필요한 권한에 대한 자세한 내용은 [ARC 리전 전환에 대한 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples-region-switch.md) 섹션을 참조하세요. 검사 중 하나라도 실패하면 리전 전환은 콘솔에서 볼 수 있는 경고 메시지를 반환합니다. 또는 EventBridge를 통해 또는 API 작업을 사용하여 검증 경고를 받을 수 있습니다.
# Amazon EKS 리소스 조정 실행 블록
EKS 리소스 조정 실행 블록을 사용하면 다중 리전 복구 프로세스의 일부로 EKS 리소스를 확장할 수 있습니다. 실행 블록을 구성할 때 비활성화되는 리전의 용량을 기준으로 확장할 용량 비율을 정의합니다.
## EKS 액세스 항목 권한 구성
EKS 리소스 조정 단계를 추가하려면 먼저 리전 스위치에 EKS 클러스터의 Kubernetes 리소스에 대한 작업을 수행하는 데 필요한 권한을 제공해야 합니다. 리전 전환에 액세스를 제공하려면, 다음 리전 전환 액세스 정책을 사용하여 리전 전환이 계획 실행에 사용하는 IAM 역할에 대한 EKS 액세스 항목을 생성해야 합니다. `arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy`
### 리전 전환 EKS 액세스 정책
다음 정보는 EKS 액세스 정책에 대한 세부 정보를 제공합니다.
**이름**: `AmazonARCRegionSwitchScalingPolicy`
**정책 ARN:** `arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy`
| Kubernetes API 그룹 | Kubernetes 리소스 | Kubernetes 동사(권한) |
| --- | --- | --- |
| \$1 | \$1/scale | get, update |
| \$1 | \$1/status | get |
| autoscaling | horizontalpodautoscalers | get, patch |
### 리전 전환에 대한 EKS 액세스 항목 생성
다음 예제에서는 리전 전환이 Kubernetes 리소스에 대해 특정 작업을 수행할 수 있도록 필요한 액세스 항목 및 액세스 정책 연결을 생성하는 방법을 설명합니다. 이 예제에서 권한은 IAM 역할 `arn:aws:iam::555555555555:role/my-role`에 대한 EKS 클러스터 *my-cluster*의 네임스페이스 *my-namespace1*에 적용됩니다.
이러한 권한을 구성할 때 실행 블록의 두 EKS 클러스터 모두에 대해 이 단계를 수행해야 합니다.
**사전 조건**
시작하기 전에 클러스터의 인증 모드를 `API_AND_CONFIG_MAP` 또는 `API`로 변경합니다. 권한 부여 모드를 변경하면 액세스 항목에 대한 API가 추가됩니다. 자세한 내용은 Amazon EKS 사용 설명서의 [액세스 항목을 사용하도록 인증 모드 변경](https://docs.aws.amazon.com/eks/latest/userguide/setting-up-access-entries.html)을 참조하세요.
**액세스 항목 생성**
첫 번째 단계는 다음과 유사한 AWS CLI 명령을 사용하여 액세스 항목을 생성하는 것입니다.
```
aws eks create-access-entry --cluster-name my-cluster --principal-arn
arn:aws:iam::555555555555:user/my-user --type STANDARD
```
자세한 내용은 Amazon EKS 사용 설명서의 [액세스 항목 생성](https://docs.aws.amazon.com/eks/latest/userguide/creating-access-entries.html)을 참조하세요.
**액세스 항목 연결 생성**
그런 다음 다음과 유사한 AWS CLI 명령을 사용하여 리전 스위치 액세스 정책에 대한 연결을 생성합니다.
```
aws eks associate-access-policy --cluster-name my-cluster --principal-arn arn:aws:iam::555555555555:role/my-role \
--access-scope type=namespace,namespaces=my-namespace1 --policy-arn
arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy
```
자세한 내용은 Amazon EKS 사용 설명서의 [액세스 정책을 액세스 항목과 연결](https://docs.aws.amazon.com/eks/latest/userguide/access-policies.html)을 참조하세요.
리전 전환으로 두 클러스터 모두에 액세스할 수 있도록 다른 리전에서 실행 블록에 있는 두 번째 EKS 클러스터로 이 단계를 반복해야 합니다.
## 구성
**중요**
EKS 리소스 조정 단계를 추가하기 전에 먼저가 올바른 권한을 구성했는지 확인합니다. 자세한 내용은 [EKS 액세스 항목 권한 구성](#eks-resource-scaling-block-permissions) 단원을 참조하십시오. 또한 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [Amazon EKS 리소스 조정 실행 블록 샘플 정책](security_iam_region_switch_eks.md) 단원을 참조하십시오.
리전 전환은 현재 apps/v1, 배포 및 apps/v1과 같은 ReplicaSet 리소스를 지원합니다.
실행 블록 구성에 다음 값을 입력합니다.
1. **단계 이름:** 이름을 입력합니다.
1. **설명(선택 사항):** 단계에 대한 설명을 입력합니다.
1. **애플리케이션 이름:** *myApplication*과 같은 EKS 애플리케이션의 이름을 입력합니다.
1. **Kubernetes 리소스 종류:** 애플리케이션의 리소스 종류, 예를 들어 *배포*를 입력합니다.
1. ***리전* 리소스: **각 리전에 대해 EKS 클러스터 ARN, 리소스 네임스페이스 등을 포함하여 EKS 클러스터에 대한 정보를 입력합니다.
1. **활성화된 리전의 용량에 맞추기 위한 비율: ** 활성화된 리전에 맞추기 위해 소스 리전의 실행 중인 포드의 원하는 비율을 입력합니다.
1. **용량 모니터링 접근 방식: **용량 모니터링에 대한 유일한 옵션이 이미 선택되어 있습니다(**24시간 동안 샘플링된 최대 실행 용량**).
이 용량 모니터링 접근 방식은 EKS 서비스 요청에 `ReplicaCount` 값을 사용합니다. 자세한 내용은 Amazon Elastic Kubernetes Service 사용 설명서의 [Amazon EKS에서 ARC 영역 전환에 대해 알아보기](https://docs.aws.amazon.com/eks/latest/userguide/zone-shift.html)를 참조하세요.
1. **제한 시간:** 제한 시간 값을 입력합니다.
그런 다음 **단계 저장**을 선택합니다.
## 작동 방식
계획 실행 중에 리전 전환은 활성화 중인 리전의 대상 리소스에 대해 지난 24시간 동안 샘플링된 최대 복제본 수를 검색합니다. 그런 다음 다음 공식을 사용하여 대상 리소스에 대해 원하는 복제본 수를 계산합니다. `ceil(percentToMatch * Source replica count)`
대상 준비 복제본 수가 원하는 값보다 낮으면 리전 전환은 대상 리소스 복제본 값을 원하는 용량으로 조정합니다. 필요한 경우 노드 오토 스케일러를 활용하여 노드 용량을 늘리면서 복제본이 준비될 때까지 기다립니다.
선택적 `hpaName` 필드가 비어 있지 않은 경우, 리전 전환은 다음 패치를 사용하여 실행 중 또는 실행 후에 자동 스케일 다운을 방지하기 위해 HorizontalPodAutoscaler를 패치합니다. `{"spec":{"behavior":{"scaleDown":{"selectPolicy":"Disabled"}}}}`
패치의 리소스에 대한 복제본 필드와 HorizontalPodAutoscaler 필드를 무시하도록 GitOps 도구와 같은 드리프트 수정 도구를 구성해야 합니다.
## 계획 평가의 일부로 평가되는 항목
리전 전환은 계획을 평가할 때 구성된 EKS 실행 블록 및 권한에 대해 여러 검사를 수행합니다. 리전 전환은 계획의 IAM 역할에 EKS 클러스터를 설명하고 연결된 액세스 항목 정책을 나열할 수 있는 올바른 권한이 있는지 확인합니다. 또한 리전 전환은 IAM 역할이 올바른 액세스 항목 정책에 연결되어 있는지 확인하여 리전 전환에 Kubernetes 리소스에 대해 작업하는 데 필요한 권한이 있는지 확인합니다. 마지막으로 리전 전환은 구성된 EKS 클러스터와 Kubernetes 리소스가 존재하는지 확인합니다.
또한 리전 전환은 필요한 모니터링 데이터(Kubernetes 복제본 수)를 성공적으로 수집 및 저장했는지 확인하고 리전 전환 계획을 실행하는 데 필요한 실행 중인 포드 수를 캡처합니다.
# Amazon ECS 서비스 확장 실행 블록
ECS 서비스 조정 실행 블록을 사용하면 다중 리전 복구 프로세스의 일부로 대상 리전에서 ECS 서비스를 조정할 수 있습니다. 리전 전환이 장애 조치 또는 비활성화하는 리전을 기준으로 용량 비율을 정의할 수 있습니다.
## 구성
ECS 서비스 조정 실행 블록을 구성하려면 다음 값을 입력합니다.
**중요**
실행 블록을 구성하기 전에 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [Amazon ECS 서비스 조정 실행 블록 샘플 정책](security_iam_region_switch_ecs.md) 단원을 참조하십시오.
1. **단계 이름:** 이름을 입력합니다.
1. **설명(선택 사항):** 단계에 대한 설명을 입력합니다.
1. ***리전* 리소스: **각 리전에 대해 ECS 클러스터 ARN과 ECS 서비스 ARN을 입력합니다.
1. **소스 리전의 작업 수에 맞추기 위한 비율: ** 활성화된 리전에 맞추기 위해 소스 리전의 실행 중인 작업의 원하는 비율을 입력합니다.
1. **용량 모니터링 접근 방식: **Amazon ECS의 용량을 모니터링하려면 다음 접근 방식 중 하나를 선택합니다.
+ **24시간 동안 샘플링된 최대 실행 용량**: Amazon ECS 서비스에서 **실행 중인 작업 수** 값을 사용하려면 이 옵션을 선택합니다. 이 옵션에는 추가 비용이 발생하지 않지만 다른 옵션인 CloudWatch 지표를 사용하는 것보다 정확도가 떨어질 수 있습니다.
리전 전환 API에서 이 옵션은 `sampledMaxInLast24Hours` 지정에 해당합니다.
자세한 내용을 알아보려면 Amazon Elastic Container Service 개발자 안내서의 [Amazon ECS 서비스 자동 조정](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-auto-scaling.html)을 참조하세요.
+ **Container Insights를 통해 24시간 동안 샘플링된 최대 실행 용량**: Amazon ECS Container Insights 지표를 사용하려면 이 옵션을 선택합니다. 옵션을 사용하면 정확성이 향상되지만 Container Insights 지표를 사용하는 데 추가 비용이 발생합니다.
리전 전환 API에서 이 옵션은 `autoscalingMaxInLast24Hours` 지정에 해당합니다.
이 옵션을 사용하려면 먼저 Container Insights를 활성화해야 합니다. 자세한 내용은 Amazon CloudWatch 사용 설명서의 [Container Insights 설정](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS-cluster.html#set-container-insights-ECS-cluster) 단원을 참조하세요.
1. **제한 시간:** 제한 시간 값을 입력합니다.
그런 다음 **단계 저장**을 선택합니다.
## 작동 방식
계획에서 실행 블록을 구성한 후 리전 전환은 소스 ECS 서비스와 대상 서비스가 하나만 있는지 확인합니다. 서비스가 여러 개 있는 경우 리전 전환은 실행 블록에 대한 경고를 반환합니다. 리전 전환은 계획이 구성된 모든 리전에 이 데이터를 저장합니다. 목표 용량은 ECS 서비스에 설정된 원하는 수로 정의됩니다.
액티브/패시브 접근 방식의 경우 리전 전환은 대상(활성화) 리전의 ECS 서비스에 대해 원하는 새 용량을 계산합니다. 새 원하는 용량을 대상 ECS 서비스의 원하는 용량과 비교합니다. 리전 전환이 원하는 용량을 계산하는 데 사용하는 공식은 다음과 같습니다. `ceil(percentToMatch * Source Auto Scaling group capacity)` 여기서 ceil()은 모든 소수 결과를 올림하는 함수입니다. 대상 ECS 서비스의 현재 원하는 수가 ECS 서비스에 대해 계산된 새 원하는 용량보다 많으면 계획 실행이 진행됩니다. 리전 전환은 ECS 서비스 용량을 스케일 다운하지 않습니다.
ECS 서비스에 Application Autoscaling이 활성화된 경우 리전 전환은 Application Autoscaling의 최소 용량을 업데이트하고 ECS 서비스의 원하는 개수도 업데이트합니다.
리전 전환이 ECS 서비스 블록을 실행하면 리전 전환은 원하는 용량에 맞게 대상 리전 ECS 용량을 스케일 업하려고 시도합니다. 그런 다음 리전 전환은 대상 리전의 ECS 서비스에서 요청된 ECS 서비스 용량이 충족될 때까지 대기한 후 계획의 다음 단계로 진행합니다. 원하는 경우 리전 전환이 용량 충족을 기다리는 시간 제한을 설정하여 용량 충족이 완료되기 전에 해당 단계를 완료하도록 구성할 수 있습니다.
액티브/액티브 접근 방식을 사용하는 경우 리전 전환은 다른 구성된 리전을 소스로 사용합니다. 즉, 리전이 비활성화되는 경우 리전 전환은 다른 활성 리전을 소스로 사용하여 확장 비율에 매칭합니다.
## 계획 평가의 일부로 평가되는 항목
리전 전환은 계획을 평가할 때 ECS 서비스 실행 블록 구성 및 권한에 대해 여러 검사를 수행합니다. 리전 전환은 소스 리전과 대상 리전 모두에 ECS 서비스가 있는지 확인하고 대상 리전의 ECS 서비스에 설정된 최대 용량이 대상 리전 용량의 지정된 비율의 확장을 처리하기에 충분한지 확인합니다. 리전 전환은 또한 계획의 IAM 역할에 ECS 서비스에 대한 올바른 권한이 있는지 확인합니다. 리전 전환 실행 블록에 필요한 권한에 대한 자세한 내용은 [ARC 리전 전환에 대한 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples-region-switch.md) 섹션을 참조하세요.
또한 리전 전환은 `ResourceMonitor`가 ECS 서비스에 필요한 모니터링 데이터를 성공적으로 수집 및 저장했는지 확인하고 실행 중인 작업 수를 캡처합니다.
검사 중 하나라도 실패하면 리전 전환은 콘솔에서 볼 수 있는 경고 메시지를 반환합니다. 또는 EventBridge를 통해 또는 API 작업을 사용하여 검증 경고를 받을 수 있습니다.
# ARC 라우팅 제어 실행 블록
애플리케이션에 대해 Amazon Application Recovery Controller(ARC) 라우팅 제어를 구성한 경우 ARC 라우팅 제어 단계를 추가하여 애플리케이션 트래픽을 리디렉션할 수 있습니다. 이 단계를 사용하면 하나 이상의 ARC 라우팅 제어의 상태를 변경하여 애플리케이션 트래픽을 대상으로 리디렉션할 수 있습니다 AWS 리전. ARC 라우팅 제어는 라우팅 제어와 연결된 DNS 레코드로 구성된 Amazon Route 53의 상태 확인을 사용하여 트래픽을 리디렉션합니다.
**중요**
Amazon Application Recovery Controller(ARC) 라우팅 제어는 AWS 상용 파티션에서만 사용할 수 있습니다.
## 구성
라우팅 제어 실행 블록을 구성하려면 다음 값을 입력합니다.
**중요**
실행 블록을 구성하기 전에 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [ARC 라우팅 제어 실행 블록 샘플 정책](security_iam_region_switch_arc_routing.md) 단원을 참조하십시오.
1. **단계 이름:** 이름을 입력합니다.
1. **설명(선택 사항):** 단계에 대한 설명을 입력합니다.
1. **원하는 라우팅 제어: **활성화하거나 비활성화하려는 각 리전에 대해 라우팅 제어 ARN과 라우팅 제어의 초기 상태인 켜짐 또는 꺼짐을 입력합니다.
1. **제한 시간:** 제한 시간 값을 입력합니다.
그런 다음 **단계 저장**을 선택합니다.
이 실행 블록의 예상 패턴은 특정에서 애플리케이션을 설정한 방식에 맞는 라우팅 제어 및 초기 상태를 지정하는 것입니다 AWS 리전. 예를 들어 애플리케이션에 대해 리전 A 및 리전 B를 활성화할 수 있는 계획이 있는 경우, 켜짐 상태로 설정한 리전 A에 대한 라우팅 제어와 켜짐 상태로 설정한 리전 B에 대한 라우팅 제어가 있을 수 있습니다.
그런 다음 계획을 실행하고 리전 A를 활성화하도록 지정하면 이 실행 블록을 포함하는 워크플로가 지정된 라우팅 제어를 켜짐 상태로 업데이트하여 트래픽을 리전 A로 보냅니다.
## 작동 방식
ARC 라우팅 제어 실행 블록을 구성하여 애플리케이션 트래픽을 대상으로 다시 라우팅 AWS 리전하거나 활성/활성 접근 방식의 경우 비활성화하려는 리전으로 트래픽이 라우팅되지 않도록 할 수 있습니다. 계획에 여러 워크플로가 포함된 경우 사용하는 모든 라우팅 제어 실행 블록의 DNS 레코드에 대해 입력이 동일하도록 해야 합니다.
이 블록은 비정상 실행 모드를 지원하지 않습니다.
## 계획 평가의 일부로 평가되는 항목
리전 전환은 계획을 평가할 때 라우팅 제어 실행 블록 구성 및 권한에 대해 여러 검사를 수행합니다. 리전 전환은 지정된 라우팅 제어가 올바르게 구성되고 액세스할 수 있는지 확인합니다.
리전 전환은 또한 계획의 IAM 역할에 라우팅 제어 상태에 액세스하고 업데이트하는 데 필요한 권한이 있는지 확인합니다. 리전 전환 실행 블록에 필요한 권한에 대한 자세한 내용은 [ARC 리전 전환에 대한 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples-region-switch.md) 섹션을 참조하세요.
라우팅 제어 실행 블록이 제대로 작동하려면 올바른 IAM 권한이 필요합니다. 이러한 검증 중 하나라도 실패하면 리전 전환은 문제가 있다는 경고를 반환하고, 권한 또는 구성 문제를 해결하는 데 도움이 되는 특정 오류 메시지를 제공합니다. 이렇게 하면 계획 실행 중에 이 단계가 실행되는 동안 계획에 ARC 라우팅 제어를 관리하고 상호 작용하는 데 필요한 액세스 권한이 있도록 보장할 수 있습니다.
## ARC 라우팅 제어와 Route 53 상태 확인 실행 블록 비교
리전 스위치의 Amazon Route 53 상태 확인 실행 블록은 DNS 기반 트래픽 관리를 위한 저렴한 대안을 제공합니다. 그러나이 실행 블록은 활성화 중인에 AWS 리전 따라 달라지므로 리전을 사용할 수 있어야 합니다. 이는 정상 리전을 활성화하고 있기 때문에 대부분의 고객의 요구 사항을 충족합니다.
ARC 라우팅 제어는 100% 가용성 SLA로 매우 안정적인 DNS 기반 트래픽 관리를 제공합니다. 라우팅 제어를 사용하면 운영 팀이 안전 가드레일을 사용하여 리전 간에 트래픽을 이동할 수 있습니다. 라우팅 제어는 100% SLA를 갖춘 단일 테넌트 솔루션을 제공합니다. 라우팅 제어 클러스터는 5개의 리전에 분산되어 있으며 2개의 리전이 오프라인 상태가 되도록 허용할 수 있습니다. 매우 중요한 애플리케이션이 있는 경우 라우팅 제어를 사용하는 것이 좋습니다.
리전 스위치를 사용하는 데 라우팅 제어가 필요하지 않습니다. 리전 스위치를 사용하여 라우팅 제어 없이 Route 53 상태 확인 실행 블록을 사용하여 트래픽 리디렉션을 관리할 수 있습니다.
라우팅 제어는 다음과 같은 상황에서 리전 전환으로 값을 추가합니다.
+ 트래픽 제어 메커니즘 자체에는 100% 가용성 SLA가 필요합니다.
+ 조직에서는 중요한 애플리케이션에 대한 안전 규칙을 사용하여 수동 운영 제어가 필요합니다.
+ 필요한 경우 운영 팀이 자동 트래픽 라우팅을 수동으로 재정의할 수 있도록 defense-in-depth를 원합니다.
Route 53 상태 확인 실행 블록은 컨트롤 플레인에 의존하지 않습니다. 상태 확인 레코드 변경 사항은 데이터 영역을 사용하므로 구성 업데이트를 처리하는 데 활성화 리전이 필요하지 않습니다. Route 53 상태 확인 실행 블록은 다음과 같은 상황에서 충분합니다.
+ 애플리케이션은 활성화 AWS 리전 중인에 따라 달라질 수 있습니다.
+ 복구 워크플로의 일부로 자동화된 트래픽 리디렉션은 요구 사항을 충족합니다.
+ 비용 최적화가 우선 순위입니다. Route 53 상태 확인 실행 블록은 라우팅 제어보다 비용이 저렴합니다.
대부분의 고객은 Route 53 상태 확인 실행 블록을 기본 트래픽 라우팅 메커니즘으로 시작하고 트래픽 관리 메커니즘에 가장 높은 신뢰성이 필요한 가장 중요한 애플리케이션에 대해서만 라우팅 제어를 추가합니다.
# Amazon Aurora Global Database 실행 블록
Amazon Aurora Global Database 실행 블록을 사용하면 글로벌 데이터베이스에 대한 *장애 조치* 또는 *전환* 복구 워크플로를 수행할 수 있습니다.
+ 장애 조치 – 이 접근 방식을 사용하면 예상치 못한 중단으로부터 서비스를 복구할 수 있습니다. 이 접근 방식을 사용하면 리전 간 장애 조치를 Aurora Global Database의 보조 DB 클러스터 중 하나에 수행합니다. 이 접근 방식의 목표 복구 시점(RPO)은 일반적으로 초 단위로 측정되는 0을 제외한 값입니다. 데이터 손실량은 장애 발생 시의 Aurora 글로벌 데이터베이스 복제 지연 AWS 리전 에 따라 달라집니다. 자세한 내용은 Amazon Aurora 사용 설명서의 [계획되지 않은 중단으로부터 Amazon Aurora Global Database 복구](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-failover)를 참조하세요.
+ 전환 – 이 작업의 이전 명칭은 *계획된 관리형 장애 조치*입니다. 모든 Aurora 클러스터 및 상호 작용하는 기타 서비스가 정상 상태인 운영 유지 관리 및 기타 계획된 운영 절차와 같은 제어된 시나리오에는 이 접근 방식을 사용합니다. 이 기능은 다른 변경 작업을 수행하기 전에 보조 DB 클러스터를 기본 DB 클러스터와 동기화하므로 RPO는 0입니다(데이터 손실 없음). 자세한 내용은 Amazon Aurora 사용 설명서의 [Amazon Aurora Global Database에서 전환 수행](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-disaster-recovery.managed-failover)을 참조하세요.
## 구성
Aurora Global Database 실행 블록을 구성하려면 다음 값을 입력합니다.
**중요**
실행 블록을 구성하기 전에 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [Aurora Global Database 실행 블록 샘플 정책](security_iam_region_switch_aurora.md) 단원을 참조하십시오.
1. **단계 이름:** 이름을 입력합니다.
1. **설명(선택 사항):** 단계에 대한 설명을 입력합니다.
1. **Aurora Global Database 클러스터 이름: **글로벌 데이터베이스의 식별자를 입력합니다.
1. ***리전*의 클러스터 ARN: **계획의 각 리전에서 사용할 클러스터 ARN을 입력합니다.
1. **Aurora 데이터베이스의 옵션 지정: **원하는 방식에 따라 **전환** 또는 **장애 조치(데이터 손실)**를 선택합니다.
1. **Aurora Global Database 클러스터 이름: **
1. **제한 시간:** 제한 시간 값을 입력합니다.
그런 다음 **단계 저장**을 선택합니다.
## 작동 방식
Aurora Global Databases 실행 블록을 구성하면 애플리케이션 복구의 일부로 글로벌 데이터베이스를 장애 조치하거나 전환할 수 있습니다. 액티브/액티브 접근 방식을 사용하는 경우 리전 전환은 다른 구성된 리전을 소스로 사용합니다. 즉, 리전이 비활성화되는 경우 리전 전환은 다른 활성 리전을 소스로 사용하여 확장 비율에 매칭합니다.
이 블록은 정상 실행 모드와 비정상 실행 모드를 모두 지원합니다. 비정상 설정에서는 Aurora Global Database *장애 조치*가 수행되며 데이터가 손실될 수 있습니다.
장애 조치 및 전환을 포함한 Aurora Global Database 재해 복구에 대한 자세한 내용은 Amazon Aurora 사용 설명서의 [Amazon Aurora Global Database에서 전환 또는 장애 조치 사용](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html)을 참조하세요.
## 계획 평가의 일부로 평가되는 항목
리전 전환은 계획을 평가할 때 Aurora 실행 블록 구성 및 권한에 대해 여러 검사를 수행합니다. 리전 전환은 다음이 올바른지 확인합니다.
+ 구성에 지정된 Aurora 글로벌 클러스터가 있습니다.
+ 소스 리전과 대상 리전 모두에 Aurora DB 클러스터가 있습니다.
+ 소스 및 대상 DB 클러스터는 글로벌 데이터베이스 전환을 허용하는 상태입니다.
+ 소스 클러스터와 대상 클러스터 모두에 DB 인스턴스가 있습니다.
+ 전환 작업의 글로벌 클러스터 엔진 버전은 호환됩니다. 여기에는 클러스터가 동일한 메이저, 마이너 및 패치 버전에 있는지 확인하는 작업이 포함되며, Aurora 설명서에 나열된 몇 가지 예외가 있습니다.
리전 전환은 또한 계획의 IAM 역할에 Aurora 장애 조치 및 전환에 필요한 권한이 있는지 확인합니다. 리전 전환 실행 블록에 필요한 권한에 대한 자세한 내용은 [ARC 리전 전환에 대한 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples-region-switch.md) 섹션을 참조하세요.
Aurora 실행 블록이 제대로 작동하려면 올바른 IAM 권한이 필요합니다. 이러한 검증 중 하나라도 실패하면 리전 전환은 문제가 있다는 경고를 반환하고, 권한 또는 구성 문제를 해결하는 데 도움이 되는 특정 오류 메시지를 제공합니다. 이렇게 하면 계획 실행 중에 이 단계가 실행되는 동안 계획에 Aurora를 관리하고 상호 작용하는 데 필요한 액세스 권한이 있도록 보장할 수 있습니다.
# Amazon DocumentDB Global Cluster 실행 블록
Amazon DocumentDB 글로벌 클러스터 실행 블록을 사용하면 글로벌 클러스터에 대한 *장애 조치* 또는 *전환* 복구 워크플로를 수행할 수 있습니다.
+ 장애 조치 – 이 접근 방식을 사용하면 예상치 못한 중단으로부터 서비스를 복구할 수 있습니다. 이 접근 방식을 사용하면 Amazon DocumentDB 글로벌 클러스터의 보조 클러스터 중 하나로 리전 간 장애 조치를 수행할 수 있습니다. 이 접근 방식의 목표 복구 시점(RPO)은 일반적으로 초 단위로 측정되는 0을 제외한 값입니다. 데이터 손실량은 장애 AWS 리전 발생 시의 Amazon DocumentDB 글로벌 클러스터 복제 지연에 따라 달라집니다.
+ 전환 - 모든 Amazon DocumentDB 클러스터가 정상 상태인 운영 유지 관리 및 기타 계획된 운영 절차와 같은 제어된 시나리오에이 접근 방식을 사용합니다. 이 기능은 다른 변경을 수행하기 전에 보조 클러스터를 기본 클러스터와 동기화하므로 RPO는 0(데이터 손실 없음)입니다.
## 구성
Amazon DocumentDB Global Cluster 실행 블록을 구성하려면 다음 값을 입력합니다.
**중요**
실행 블록을 구성하기 전에 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [Amazon DocumentDB Global Cluster 실행 블록 샘플 정책](security_iam_region_switch_documentdb.md) 단원을 참조하십시오.
1. **단계 이름:** 이름을 입력합니다.
1. **설명(선택 사항):** 단계에 대한 설명을 입력합니다.
1. **Amazon DocumentDB 글로벌 클러스터 식별자: **글로벌 클러스터의 식별자를 입력합니다.
1. ***리전*의 클러스터 ARN: **계획의 각 리전에서 사용할 클러스터 ARN을 입력합니다.
1. **Amazon DocumentDB 클러스터에 대한 옵션 지정: ** **전환** 또는 **장애 조치(데이터 손실)**를 선택합니다.
1. **제한 시간:** 제한 시간 값을 입력합니다.
그런 다음 **단계 저장**을 선택합니다.
## 작동 방식
Amazon DocumentDB 글로벌 클러스터 실행 블록을 구성하면 애플리케이션 복구의 일부로 글로벌 클러스터를 장애 조치하거나 전환할 수 있습니다. 액티브/액티브 접근 방식을 사용하는 경우 리전 스위치는 구성된 다른 리전을 소스로 사용합니다. 즉, 리전이 비활성화되는 경우 리전 전환은 다른 활성 리전을 소스로 사용하여 확장 비율에 매칭합니다.
이 블록은 정상 실행 모드와 비정상 실행 모드를 모두 지원합니다. 잘못된 설정은 Amazon DocumentDB Global Cluster *장애 조치를* 수행하므로 데이터가 손실될 수 있습니다.
전환 또는 장애 조치 작업 중에 고객이 쓰는 데 사용하는 DNS 엔드포인트가 변경됩니다. 고객은 작업이 완료된 후 올바른 엔드포인트를 사용하고 있는지 확인할 책임이 있습니다.
## 계획 평가의 일부로 평가되는 항목
리전 전환이 계획을 평가할 때 리전 전환은 Amazon DocumentDB 실행 블록 구성 및 권한을 여러 번 확인합니다. 리전 전환은 다음이 올바른지 확인합니다.
+ 구성에 지정된 Amazon DocumentDB 글로벌 클러스터가 있습니다.
+ 소스 리전과 대상 리전 모두에 Amazon DocumentDB 클러스터가 있습니다.
+ 소스 및 대상 클러스터가 사용 가능한 상태입니다.
+ 소스 클러스터와 대상 클러스터 모두에 인스턴스가 있습니다.
+ 글로벌 클러스터 엔진 버전은 호환됩니다.
리전 전환은 또한 계획의 IAM 역할에 Amazon DocumentDB 장애 조치 및 전환에 필요한 권한이 있는지 확인합니다. 리전 전환 실행 블록에 필요한 권한에 대한 자세한 내용은 [ARC 리전 전환에 대한 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples-region-switch.md) 섹션을 참조하세요.
Amazon DocumentDB 실행 블록이 제대로 작동하려면 올바른 IAM 권한이 필요합니다. 이러한 검증 중 하나라도 실패하면 리전 전환은 문제가 있다는 경고를 반환하고, 권한 또는 구성 문제를 해결하는 데 도움이 되는 특정 오류 메시지를 제공합니다. 이렇게 하면 계획 실행 중에이 단계가 실행되는 동안 Amazon DocumentDB를 관리하고 상호 작용하는 데 필요한 액세스 권한이 계획에 부여됩니다.
# Amazon RDS 승격 읽기 전용 복제본 실행 블록
Amazon RDS 승격 읽기 전용 복제본 실행 블록을 사용하면 다중 리전 복구 프로세스의 일부로 Amazon RDS 읽기 전용 복제본을 독립 실행형 데이터베이스 인스턴스로 승격할 수 있습니다. 이렇게 하면 해당 리전의 읽기 전용 복제본을 새 기본 데이터베이스로 승격하여 정상 리전으로 장애 조치할 수 있습니다.
## 구성
Amazon RDS 승격 읽기 전용 복제본 실행 블록을 구성하려면 다음 값을 입력합니다.
**중요**
실행 블록을 구성하기 전에 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [Amazon RDS 실행 블록 샘플 정책](security_iam_region_switch_rds.md) 단원을 참조하십시오.
1. **단계 이름:** 이름을 입력합니다.
1. **설명(선택 사항):** 단계에 대한 설명을 입력합니다.
1. **리전용 RDS DB 인스턴스 ARN: **계획의 각 리전에 있는 읽기 전용 복제본의 데이터베이스 인스턴스 ARN을 입력합니다.
1. **제한 시간:** 제한 시간 값을 입력합니다.
그런 다음 **단계 저장**을 선택합니다.
## 작동 방식
Amazon RDS 승격 읽기 전용 복제본 실행 블록을 구성하면 애플리케이션 복구의 일부로 읽기 전용 복제본을 독립 실행형 데이터베이스 인스턴스로 승격할 수 있습니다. 계획을 실행하면 리전 전환이 활성화하려는 리전에서 읽기 전용 복제본을 승격하여 독립 데이터베이스 인스턴스가 됩니다.
**참고**
이 블록은 액티브/패시브 계획만 지원합니다.
승격 중에 데이터베이스에 연결하는 데 사용하는 DNS 엔드포인트는 동일하게 유지됩니다. 그러나 승격된 인스턴스는 더 이상 원래 기본 데이터베이스에서 복제되지 않습니다. 작업이 완료된 후 애플리케이션이 올바른 엔드포인트를 사용하도록 구성되어 있는지 확인하는 것은 사용자의 책임입니다.
승격 후 승격된 인스턴스는 원래 기본 인스턴스에서 다음 백업 설정을 상속합니다.
+ 백업 보관 기간
+ 기본 백업 기간
## 계획 평가의 일부로 평가되는 항목
리전 전환이 계획을 평가할 때 리전 전환은 Amazon RDS 실행 블록 구성 및 권한에 대해 몇 가지 검사를 수행합니다. 리전 전환은 다음이 올바른지 확인합니다.
+ 구성에 지정된 Amazon RDS 데이터베이스 인스턴스가 있습니다.
+ 기본이 아닌 리전의 데이터베이스 인스턴스는 읽기 전용 복제본입니다.
+ 읽기 전용 복제본이 사용 가능한 상태입니다.
+ 데이터베이스 인스턴스가 교차 리전 복제를 위해 올바르게 구성되어 있습니다.
리전 전환은 또한 계획의 IAM 역할에 Amazon RDS 읽기 전용 복제본 승격에 필요한 권한이 있는지 확인합니다. 리전 전환 실행 블록에 필요한 권한에 대한 자세한 내용은 [ARC 리전 전환에 대한 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples-region-switch.md) 섹션을 참조하세요.
Amazon RDS 실행 블록이 제대로 작동하려면 올바른 IAM 권한이 필요합니다. 이러한 검증 중 하나라도 실패하면 리전 전환은 문제가 있다는 경고를 반환하고, 권한 또는 구성 문제를 해결하는 데 도움이 되는 특정 오류 메시지를 제공합니다. 이렇게 하면 계획 실행 중에이 단계가 실행되는 동안 Amazon RDS를 관리하고 상호 작용하는 데 필요한 액세스 권한이 계획에 부여됩니다.
# Amazon RDS 교차 리전 복제본 생성 실행 블록
Amazon RDS 교차 리전 복제본 생성 실행 블록을 사용하면 복구 후 프로세스의 일부로 Amazon RDS 데이터베이스 인스턴스에 대한 교차 리전 읽기 전용 복제본을 생성할 수 있습니다. 이 실행 블록은 일반적으로 읽기 전용 복제본을 승격하여 리전 간 복제를 다시 설정한 후 사용되므로 애플리케이션이 향후 리전 이벤트에 대비할 수 있습니다.
## 구성
Amazon RDS 교차 리전 복제본 생성 실행 블록을 구성하려면 다음 값을 입력합니다.
**중요**
실행 블록을 구성하기 전에 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [Amazon RDS 실행 블록 샘플 정책](security_iam_region_switch_rds.md) 단원을 참조하십시오.
1. **단계 이름:** 이름을 입력합니다.
1. **설명(선택 사항):** 단계에 대한 설명을 입력합니다.
1. **리전의 소스 DB 인스턴스 ARN: **계획의 각 리전에 있는 소스 데이터베이스의 데이터베이스 인스턴스 ARN을 입력합니다. 실행 블록은 활성화되는 리전의 식별자를 리전 간 읽기 전용 복제본을 생성하기 위한 소스 데이터베이스로 사용합니다.
1. **복제본 DB 인스턴스 ARN: **새 읽기 전용 복제본에 사용할 인스턴스 ARN을 입력합니다.
1. **제한 시간:** 제한 시간 값을 입력합니다.
그런 다음 **단계 저장**을 선택합니다.
## 작동 방식
Amazon RDS 교차 리전 복제본 생성 실행 블록을 구성하여 복구 후 프로세스의 일부로 다른 리전에 읽기 전용 복제본을 생성할 수 있습니다. 이 실행 블록은 성공적인 장애 조치 후 실행되어 리전 간 복제를 다시 설정하도록 설계되었습니다.
이 블록은 액티브/패시브 계획에만 추가할 수 있습니다.
실행 중에 이전 기본 인스턴스의 이름이 변경되고 *renamedByRegionSwitch*로 태그가 지정됩니다. 그러면 이전 기본 인스턴스에서 복사한 다음 설정을 사용하여 새 읽기 전용 복제본 인스턴스가 생성됩니다.
+ 인스턴스 식별자
+ DB 파라미터 그룹
+ DB 서브넷 그룹
+ KMS 키
+ VPC 보안 그룹
+ 옵션 그룹 수
+ 다중 AZ 구성
+ 도메인 인증 보안 암호 ARN
**중요**
이름이 변경된 기본 인스턴스는 계속 실행되며 요금이 계속 발생합니다. 리전 스위치는 식별을 위해 *renamedByRegionSwitch*로 태그를 지정하지만, 그렇지 않으면 수정하거나 삭제하지 않습니다. 운영 및 비용 요구 사항에 따라 인스턴스를 계속 실행할지, 중지할지 또는 삭제할지 결정하는 등 이름이 변경된 인스턴스를 관리할 책임은 사용자에게 있습니다.
**참고**
이 실행 블록은 복구 후 워크플로를 위해 설계되었으며 소스 리전이 정상이고 액세스 가능해야 합니다. 장애 조치가 성공한 후 교차 리전 복제를 다시 설정하는 데 사용해야 합니다.
## 계획 평가의 일부로 평가되는 항목
리전 전환이 계획을 평가할 때 리전 전환은 Amazon RDS 실행 블록 구성 및 권한에 대해 몇 가지 검사를 수행합니다. 리전 전환은 다음이 올바른지 확인합니다.
+ 구성의 데이터베이스 인스턴스 ARNs이 유효하고 올바른 형식입니다.
+ 소스 데이터베이스 인스턴스는 해당 리전에 있습니다.
+ 소스 데이터베이스 인스턴스가 사용 가능한 상태입니다.
리전 스위치는 또한 계획의 IAM 역할에 Amazon RDS 읽기 전용 복제본을 생성하는 데 필요한 권한이 있는지 확인합니다. 리전 전환 실행 블록에 필요한 권한에 대한 자세한 내용은 [ARC 리전 전환에 대한 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples-region-switch.md) 섹션을 참조하세요.
Amazon RDS 실행 블록이 제대로 작동하려면 올바른 IAM 권한이 필요합니다. 이러한 검증 중 하나라도 실패하면 리전 전환은 문제가 있다는 경고를 반환하고, 권한 또는 구성 문제를 해결하는 데 도움이 되는 특정 오류 메시지를 제공합니다. 이렇게 하면 계획 실행 중에이 단계가 실행되는 동안 Amazon RDS를 관리하고 상호 작용하는 데 필요한 액세스 권한이 계획에 부여됩니다.
# 수동 승인 실행 블록
수동 승인 실행 블록을 사용하면 IAM 역할과 연결하는 승인 단계를 삽입할 수 있습니다. 역할에 액세스할 수 있는 사용자는 단계 실행을 승인 또는 거부하거나, 승인이 부여될 때까지 단계를 일시 중지하거나, 가능한 경우 계획이 진행되지 않도록 할 수 있습니다.
계획 실행 중에 수동 승인이 필요하게 하려면 워크플로의 특정 위치에 수동 승인 단계를 입력한 다음 단계를 승인할 수 있는 사용자를 지정하도록 IAM 역할을 구성합니다.
## 구성
수동 승인 실행 블록을 구성하려면 다음 값을 입력합니다.
**중요**
실행 블록을 구성하기 전에 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [수동 승인 실행 블록 샘플 정책](security_iam_region_switch_manual_approval.md) 단원을 참조하십시오.
1. **단계 이름:** 이름을 입력합니다.
1. **설명(선택 사항):** 단계에 대한 설명을 입력합니다.
1. **IAM 승인 역할: **리전 전환 계획에 대해 계속 실행되도록 수동으로 승인할 수 있는 권한이 있는 IAM 역할의 ARN을 입력합니다. IAM 역할은 계획의 소유자인 계정 내에 있어야 합니다.
1. **제한 시간:** 제한 시간 값을 입력합니다.
그런 다음 **단계 저장**을 선택합니다.
## 작동 방식
수동 승인 실행 블록을 구성하면 애플리케이션 복구 프로세스의 일부로 승인을 요구할 수 있습니다. 수동 실행 블록의 경우 리전 전환은 다음을 수행합니다.
+ 리전 전환이 수동 실행 블록을 실행하면 실행을 일시 중지하고 계획의 실행 상태를 승인 보류 중으로 설정합니다.
+ 실행 블록에 정의된 역할에 액세스할 수 있는 사용자는 누구나 단계의 실행을 승인하거나 거부할 수 있습니다.
+ 사용자가 단계 실행을 승인하면 리전 전환이 계획 실행을 진행합니다. 거부하면 리전 전환이 계획 실행을 취소합니다.
이 블록은 비정상 실행 모드를 지원하지 않습니다.
## 계획 평가의 일부로 평가되는 항목
리전 전환은 수동 승인 실행 블록에 대한 평가를 완료하지 않습니다.
# 사용자 지정 작업 Lambda 실행 블록
사용자 지정 작업 Lambda 실행 블록을 사용하면 Lambda 함수를 사용하여 계획에 사용자 지정 단계를 추가할 수 있습니다.
## 구성
Lambda 실행 블록을 구성하려면 다음 값을 입력합니다.
**중요**
실행 블록을 구성하기 전에 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [사용자 지정 작업 Lambda 실행 블록 샘플 정책](security_iam_region_switch_lambda.md) 단원을 참조하십시오.
1. **단계 이름:** 이름을 입력합니다.
1. **설명(선택 사항):** 단계에 대한 설명을 입력합니다.
1. ***리전*을 활성화하거나 비활성화할 때 호출할 Lambda 함수 ARN**: 이 단계에서 실행할 Lambda 함수의 ARN을 지정합니다.
1. **Lambda 함수를 실행할 리전: **드롭다운 메뉴에서 Lambda 함수를 실행할 리전을 선택합니다.
1. **제한 시간:** 제한 시간 값을 입력합니다.
1. **재시도 간격: **이 간격 내에 성공하지 못하면 Lambda 함수를 다시 실행하는 재시도 간격을 입력합니다.
그런 다음 **단계 저장**을 선택합니다.
## 작동 방식
+ 사용자 지정 작업 Lambda 실행 블록을 생성할 때 실행할 단계에 대해 각 계획의 리전에 하나씩 두 개의 Lambda 함수를 지정해야 합니다.
+ 어느 리전에서 Lambda를 실행할지 구성할 수 있습니다(예: 활성화 리전 또는 비활성화 리전에서 실행). 그러나 비활성화 리전에서 실행하는 경우 해당 리전에 종속됩니다. 비활성화 리전에 종속하지 않는 것이 좋습니다.
이 블록은 정상 실행 모드와 비정상 실행 모드를 모두 지원합니다. 비정상 실행 모드에서 리전 전환은 Lambda 실행 블록 단계를 건너뜁니다.
## 계획 평가의 일부로 평가되는 항목
리전 전환은 계획을 평가할 때 Lambda 실행 블록 구성 및 권한에 대해 여러 검사를 수행합니다. 리전 전환은 다음이 올바른지 확인합니다.
+ 구성에 지정된 Lambda 함수가 있습니다.
+ Lambda 함수의 동시성 설정은 제한되지 않으며, 다음 사항을 확인하는 것을 포함합니다.
+ 동시성이 0으로 설정되어 있지 않습니다.
+ 하나 이상의 동시 실행을 사용할 수 있거나 예약되지 않은 동시성이 있습니다.
리전 전환은 실제 함수 로직을 실행하지 않고 Lambda 함수의 모의 실행을 수행하여 지정된 파라미터와 권한을 검증합니다. 모의 실행을 수행할 때 기본 Lambda 비용이 발생합니다.
리전 전환은 또한 계획의 IAM 역할에 Lambda 실행에 필요한 권한이 있는지 확인합니다. 리전 전환 실행 블록에 필요한 권한에 대한 자세한 내용은 [ARC 리전 전환에 대한 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples-region-switch.md) 섹션을 참조하세요.
Lambda 실행 블록이 제대로 작동하려면 올바른 IAM 권한이 필요합니다. 이러한 검증 중 하나라도 실패하면 리전 전환은 문제가 있다는 경고를 반환하고, 권한 또는 구성 문제를 해결하는 데 도움이 되는 특정 오류 메시지를 제공합니다. 이렇게 하면 계획 실행 중에 이 단계가 실행되는 동안 계획에 Lambda를 관리하고 상호 작용하는 데 필요한 액세스 권한이 있도록 보장할 수 있습니다.
# Amazon Route 53 상태 확인 실행 블록
Amazon Route 53 상태 확인 실행 블록을 사용하면 장애 조치 중에 애플리케이션의 트래픽이 리디렉션될 리전을 지정할 수 있습니다. 실행 블록은 Amazon Route 53 상태 확인을 생성한 다음, 계정의 Route 53 DNS 레코드에 연결합니다. 리전 전환 계획을 실행하면 Route 53 상태 확인 상태가 업데이트되고 DNS 구성에 따라 트래픽이 리디렉션됩니다.
**중요**
Route 53 호스팅 영역은 리전 전환 계획과 동일한 파티션에 있어야 합니다.
## 구성
Route 53 상태 확인 실행 블록을 구성하려면 다음 값을 입력합니다.
**중요**
실행 블록을 구성하기 전에 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [Route 53 상태 확인 실행 블록 샘플 정책](security_iam_region_switch_route53.md) 단원을 참조하십시오.
1. **단계 이름:** 이름을 입력합니다.
1. **설명(선택 사항):** 단계에 대한 설명을 입력합니다.
1. **Hosted zone ID: **Route 53에서 도메인 및 DNS 레코드를 위한 호스팅 영역 ID
1. **레코드 이름: **애플리케이션의 트래픽을 리디렉션하기 위해 사용 중인 레코드의 레코드 이름(도메인 이름)을 관련 상태 확인과 함께 입력합니다. 리전 전환은 레코드 이름에 대한 Route 53 레코드 세트를 찾고 레코드 세트의 **값** 또는 **세트 식별자** 내의 리전 이름을 기반으로 각 레코드 세트를 리전에 매핑하려고 시도합니다.
1. **레코드 세트 식별자(선택 사항): **계획을 생성한 후 4단계에 제공된 레코드 이름에서 리전 전환이 레코드 세트를 리전에 자동으로 매핑할 수 없는 경우 레코드 세트 식별자를 수동으로 제공할 수 있습니다. 계획 평가에서 추가 정보가 필요함을 나타내는 경고를 반환하는 경우, 각 리전에 대해 다음을 포함하여 레코드 세트 식별자로 계획을 업데이트합니다.
+ **레코드 세트 식별자: **레코드 세트에 대해 **설정 식별자** 또는 **값/트래픽 라우팅 대상**을 입력합니다.
+ **리전: **레코드 세트 식별자 정보가 있는 레코드 세트와 연결된 리전을 입력합니다.
1. **단계 저장**을 선택합니다.
1. Route 53에서 상태 확인을 구성합니다.
리전 전환은 실행 블록에 정의된 호스팅 영역 내의 각 레코드 이름에 대해 각 리전에 대한 상태 확인 ID를 제공합니다. 계획 실행 중에 리전 전환이 애플리케이션의 트래픽을 올바르게 리디렉션할 수 있도록 Route 53의 계정에서 해당 레코드 세트에 대한 상태 확인을 구성해야 합니다. 계획 세부 정보 페이지의 **상태 확인** 탭에서 모든 실행 블록 및 리전에 대한 상태 확인을 볼 수 있습니다.
## 작동 방식
활성/수동 구성의 경우 트래픽을 보조 리전으로 리디렉션하거나 활성/활성 구성의 경우 비활성화된 리전에서 리디렉션할 수 있도록 리전 스위치 워크플로에 상태 확인 단계를 추가합니다. 계획에 여러 워크플로를 추가하는 경우 동일한 DNS 레코드를 사용하는 모든 상태 확인 실행 블록에 대해 동일한 구성 값을 제공해야 합니다.
실행 블록을 구성할 때 제공한 정보를 바탕으로 리전 전환은 계획의 각 리전에 대한 올바른 레코드 세트를 확인하려고 시도합니다. 일반적으로 호스팅 영역 ID와 레코드 이름은 레코드 세트 및 관련 리전을 결정하기에 충분한 정보입니다. 그렇지 않은 경우 계획을 생성한 후 리전 전환이 자동 계획 평가를 실행하면 추가 정보가 필요하다고 알리는 경고가 반환됩니다.
리전 전환은 각 Route 53 상태 확인 실행 블록에 대해 상태 확인을 제공합니다. 액티브/패시브 복구 접근 방식을 사용하는 계획의 경우 기본 리전의 상태 확인은 정상으로 시작되고 대기 리전의 상태 확인은 처음에 비정상으로 설정됩니다. 액티브/액티브 복구 접근 방식을 사용하는 계획의 경우 모든 리전의 상태 확인은 정상 상태로 시작됩니다.
리전 전환을 활성화하여 계획에 대해 이 실행 블록을 성공적으로 실행하려면 DNS 레코드에 상태 확인을 추가해야 합니다.
액티브/액티브 계획의 경우 실행 단계는 다음과 같은 방식으로 작동합니다.
+ 리전에 대해 비활성화 워크플로가 실행되는 경우, 상태 확인이 비정상으로 설정되고 트래픽이 더 이상 리전으로 전달되지 않습니다.
+ 리전에 대해 활성화 워크플로가 실행되는 경우, 상태 확인이 정상으로 설정되고 트래픽이 리전으로 라우팅됩니다.
액티브/패시브 계획의 경우 실행 단계는 다음과 같은 방식으로 작동합니다.
+ 리전에 대해 활성화 워크플로가 실행되는 경우, 해당 리전의 상태 확인이 정상으로 설정되고 트래픽이 리전으로 라우팅됩니다. 동시에 계획의 다른 리전에 대한 상태 확인이 비정상으로 설정되고 트래픽이 해당 리전으로 전달되지 않습니다.
## 계획 평가의 일부로 평가되는 항목
리전 전환은 계획을 평가할 때 Route 53 상태 확인 실행 블록 구성 및 권한에 대해 여러 검사를 수행합니다. 리전 전환은 상태 확인이 실행 블록 구성에 지정된 DNS 레코드에 연결되어 있는지 확인합니다. 즉, 리전 전환은 특정 AWS 리전 에 대한 DNS 레코드가 해당 리전에 대한 상태 확인을 사용하도록 구성되어 있는지 확인합니다.
## ARC 라우팅 제어와 Route 53 상태 확인 실행 블록 비교
리전 스위치의 Amazon Route 53 상태 확인 실행 블록은 DNS 기반 트래픽 관리를 위한 저렴한 대안을 제공합니다. 그러나이 실행 블록은 활성화 중인에 AWS 리전 따라 달라지므로 리전을 사용할 수 있어야 합니다. 이는 정상 리전을 활성화하고 있기 때문에 대부분의 고객의 요구 사항을 충족합니다.
ARC 라우팅 제어는 100% 가용성 SLA로 매우 안정적인 DNS 기반 트래픽 관리를 제공합니다. 라우팅 제어를 사용하면 운영 팀이 안전 가드레일이 있는 리전 간에 트래픽을 이동할 수 있습니다. 라우팅 제어는 100% SLA를 갖춘 단일 테넌트 솔루션을 제공합니다. 라우팅 제어 클러스터는 5개의 리전에 분산되어 있으며 2개의 리전이 오프라인 상태가 되도록 허용할 수 있습니다. 매우 중요한 애플리케이션이 있는 경우 라우팅 제어를 사용하는 것이 좋습니다.
리전 스위치를 사용하는 데 라우팅 제어가 필요하지 않습니다. 리전 스위치를 사용하여 라우팅 제어 없이 Route 53 상태 확인 실행 블록을 사용하여 트래픽 리디렉션을 관리할 수 있습니다.
라우팅 제어는 다음과 같은 상황에서 리전 전환으로 값을 추가합니다.
+ 트래픽 제어 메커니즘 자체에는 100% 가용성 SLA가 필요합니다.
+ 조직에서는 중요한 애플리케이션에 대한 안전 규칙을 사용하는 수동 운영 제어가 필요합니다.
+ 필요한 경우 운영 팀이 자동 트래픽 라우팅을 수동으로 재정의할 수 있도록 defense-in-depth를 원합니다.
Route 53 상태 확인 실행 블록은 컨트롤 플레인에 종속되지 않습니다. 상태 확인 레코드 변경 사항은 데이터 영역을 사용하므로 구성 업데이트를 처리하는 데 활성화 리전이 필요하지 않습니다. Route 53 상태 확인 실행 블록은 다음과 같은 상황에서 충분합니다.
+ 애플리케이션은 활성화 AWS 리전 중인에 따라 달라질 수 있습니다.
+ 복구 워크플로의 일부로 자동화된 트래픽 리디렉션은 요구 사항을 충족합니다.
+ 비용 최적화가 우선 순위입니다. Route 53 상태 확인 실행 블록은 라우팅 제어보다 비용이 저렴합니다.
대부분의 고객은 Route 53 상태 확인 실행 블록을 기본 트래픽 라우팅 메커니즘으로 시작하고 트래픽 관리 메커니즘에 가장 높은 신뢰성이 필요한 가장 중요한 애플리케이션에 대해서만 라우팅 제어를 추가합니다.
# 하위 계획 생성
보다 복잡한 복구 시나리오를 지원하기 위해 리전 전환 계획 실행 블록과 함께 하위 계획을 추가하여 하위 계획을 생성할 수 있습니다. 계층 구조는 두 가지 수준으로 제한되지만 상위 계획 하나에 여러 하위 계획이 포함될 수 있습니다.
**중요**
하위 계획을 생성하기 전에 올바른 IAM 정책이 있는지 확인합니다. 자세한 내용은 [리전 전환 계획 실행 블록 샘플 정책](security_iam_region_switch_plan_execution.md) 단원을 참조하십시오.
호환성을 위해 하위 계획은 상위 계획이 지원하는 모든 리전을 지원해야 합니다. 또한 복구 접근 방식(액티브/액티브 또는 액티브/패시브)이 상위 계획과 하위 계획에서 동일해야 합니다.
상위 계획 및 상위 계획 시나리오의 변경 사항에 하위 계획이 반응하는 다음과 같은 방법을 염두에 두어야 합니다.
+ 상위 실행 블록은 모든 하위 계획 및 해당 블록 내의 기타 실행 블록이 완료되면 완료된 것으로 표시됩니다.
+ 하위 계획에서 어떤 단계라도 실패하면 상위 계획에서 리전 전환 계획 실행 블록이 실패합니다.
+ 리전 전환 단계 중에 상위 계획에서 시작된 일시 중지, 정상 또는 비정상 전환 또는 취소와 같은 제어 작업은 하위 계획의 현재 단계에 관계없이 하위 계획에서 자동으로 시도됩니다.
+ 건너뛰기 작업에는 상위 계획을 건너뛰지만 하위 계획은 계속 실행된다는 특별한 동작이 있습니다.
+ 하위 계획이 리전 전환 블록에서 이미 실행 중인 경우 계속 실행될지 여부를 결정하기 위해 리전 전환은 하위 계획과 상위 계획 간의 호환성을 평가합니다. 하위 계획의 구성이 상위 계획의 요구 사항과 일치하는 경우 리전 전환은 하위 계획을 상위 계획에 의해 시작된 것처럼 취급합니다.
+ 하위 계획이 다음과 같은 호환되지 않는 구성 파라미터와 함께 실행 중인 경우 상위 계획 단계가 실패합니다.
+ 하위 계획이 다른 리전에서 운영되고 있습니다.
+ 하위 계획이 활성화 작업을 실행할 것으로 리전 전환이 예상할 때 비활성화 작업을 실행하고 있습니다.
+ 상위 계획이 일시 중지된 시간 동안 하위 계획이 성공적으로 완료되면 상위 계획이 재개될 때 상위 계획이 성공합니다.
# 리전 전환 계획의 트리거 생성
리전 전환에서 애플리케이션의 복구를 자동화하려는 경우 리전 전환 계획에 대해 하나 이상의 트리거를 생성할 수 있습니다. 트리거는 사용자가 선택한 CloudWatch 경보 조건에 따라 리전 전환 계획 실행을 자동으로 시작합니다.
# 리전 전환 계획의 트리거 생성
1. 계획을 생성한 후 **계획 세부 정보** 페이지에서 **트리거** 탭을 선택합니다.
1. **트리거 관리**를 선택합니다.
1. 실행을 자동화하려는 워크플로를 선택한 다음 **트리거 추가**를 선택합니다.
1. 트리거에 대한 설명을 제공합니다.
1. CloudWatch 경보를 선택한 다음 최대 10개의 CloudWatch 경보를 선택하여 트리거 조건을 생성합니다.
조건을 두 개 이상 선택하면 계획의 자동 실행이 시작되기 전에 모든 조건을 충족해야 합니다.
트리거는 CloudWatch 경보가 트리거 조건을 충족하기 위해 전환될 때 계획 실행을 시작합니다. 트리거가 계획에 추가되면 조건이 이미 충족되면 계획이 실행되지 않아 의도하지 않은 장애 조치 이벤트를 방지합니다.
# 리전 전환 계획을 실행하여 애플리케이션 복구
AWS 리전 이 손상된 경우 애플리케이션을 복구하려면 Amazon Application Recovery Controller(ARC)에서 리전 전환 계획을 실행합니다.
+ 애플리케이션이 액티브/액티브 접근 방식으로 배포된 경우 계획의 워크플로가 손상된 리전을 비활성화하며 다른 액티브 리전이 적절하게 확장되고 모든 애플리케이션 트래픽을 수신하기 시작합니다.
+ 애플리케이션이 액티브/패시브 접근 방식으로 배포된 경우 계획의 워크플로는 필요한 경우 리소스를 확장하고 애플리케이션 트래픽을 대기 리전으로 리디렉션하여 손상된 리전을 비활성화하고 대기 리전을 활성화합니다.
애플리케이션 복구를 수동으로 수행하려면 다음을 수행하여 리전 전환 계획을 실행합니다.
또 다른 옵션은 계획 실행을 시작하도록 지정한 특정 Amazon CloudWatch 경보를 사용하여 실행을 자동으로 트리거하는 것입니다. 계획을 생성하거나 업데이트할 때 계획 실행의 트리거를 지정할 수 있습니다. 자세한 내용은 [리전 전환 계획의 트리거 생성](working-with-rs-triggers.md) 단원을 참조하십시오.
# 리전 전환 계획 실행
1. 에서 애플리케이션에 대해 활성화하려는 AWS 리전 로 AWS Management Console이동합니다.
1. Amazon Application Recovery Controller(ARC) 콘솔에서 **리전 전환**을 선택한 다음 실행하려는 계획을 선택합니다.
1. **계획 실행**을 선택합니다.
1. 계획에 수동 승인 단계가 포함된 경우 메시지가 표시되면 각 단계를 승인합니다.
계획이 실행되는 동안, 계획 실행을 선택하면 열리는 실행 세부 정보 페이지에서 진행 상황을 추적할 수 있습니다.
리전 전환 대시보드에서 진행 중인 애플리케이션 복구에 대한 정보를 볼 수도 있습니다. 리전 전환 콘솔의 왼쪽 탐색 창에 있는 **리전 전환**에서 다음 중 하나를 선택합니다.
+ **글로벌 대시보드**
+ ***리전 이름*에서 실행**
리전에 장애가 발생한 경우 글로벌 대시보드에 모든 계획 데이터가 표시되지 않을 수 있다는 점에 유의하십시오. 따라서 운영 이벤트 중에는 리전 실행 대시보드만 사용하는 것이 좋습니다. 리전 실행 대시보드는 로컬 리전 전환 데이터 영역을 사용하기 때문에 복원력이 더 뛰어납니다.
계획 실행이 완료되면 **계획 실행 기록** 탭의 **계획 세부 정보** 페이지에서 계획 실행에 대한 정보와 리전 전환이 실행된 기타 계획을 볼 수 있습니다.
# 리전 전환 대시보드
리전 전환에는 조직 및 리전 전체의 리전 전환 계획 상태를 관찰하는 데 사용할 수 있는 글로벌 대시보드가 포함되어 있습니다. 또한 리전 전환에는 현재 AWS Management Console에 로그인한 리전의 계획 실행만 표시하는 리전 실행 대시보드가 있습니다.
리전에 장애가 발생한 경우 글로벌 대시보드에 모든 계획 데이터가 표시되지 않을 수 있다는 점에 유의하십시오. 따라서 운영 이벤트 중에는 리전 실행 대시보드만 사용하는 것이 좋습니다. 리전 실행 대시보드는 로컬 리전 전환 데이터 영역을 사용하기 때문에 복원력이 더 뛰어납니다.
# 리전 전환 글로벌 대시보드 열기
1. [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)에서 ARC 콘솔을 엽니다.
1. **리전 전환**에서 **글로벌 대시보드**를 선택합니다.
# 리전 전환 리전 대시보드 열기
1. [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)에서 ARC 콘솔을 엽니다.
1. **리전 전환**에서 **리전 대시보드**를 선택합니다.
# 리전 전환에서 교차 계정 지원
리전 전환에서는 다른 계정의 리소스를 계획에 추가할 수 있습니다. 리전 전환 계획을 다른 계정과 공유할 수도 있습니다. 자세한 내용은 다음 섹션을 참조하세요.
## 교차 계정 리소스
리전 전환을 사용하면 리전 전환 계획이 포함된 계정과 별도의 계정에서 리소스를 호스팅할 수 있습니다. 리전 전환이 계획을 실행할 때 executionRole을 수임합니다. 계획이 계획을 호스팅하는 계정이 아닌 계정의 리소스를 사용하는 경우 리전 전환은 executionRole을 사용하여 crossAccountRole을 수임하여 해당 리소스에 액세스합니다.
리전 전환 계획의 각 리소스에는 crossAccountRole과 externalId라는 두 가지 선택적 필드가 있습니다.
+ crossAccountRole: 이 역할은 리전 전환 계획을 호스팅하는 계정이 아닌 계정의 리소스에 대한 액세스를 허용합니다. 이 역할은 계정 내의 리소스에 대해 작업할 수 있는 권한만 필요합니다. 리전 전환 계획을 호스팅하는 계정의 리소스에 대해 작업할 수 있는 권한은 필요하지 않습니다.
+ ExternalId: 작업이 필요한 리소스가 포함된 계정의 신뢰 정책의 STS 외부 ID입니다. 두 계정 간의 공유 비밀인 영숫자 문자열입니다.
## 리전 전환 계획 공유
리전 스위치는 AWS Resource Access Manager (AWS RAM)와 통합되어 계획을 공유할 수 있습니다 AWS 계정. 계획을 공유하면 지정한 계정이 계획 세부 정보를 보고, 계획을 실행하고, 계획의 실행을 볼 수 있으므로 여러 팀에서 복구 기능을 더 잘 제어하고 유연하게 사용할 수 있습니다.
리전 전환에서 교차 계정 공유를 시작하려면 AWS RAM에서 리소스 공유를 생성합니다. 리소스 공유는 계정이 소유한 계획을 공유할 권한이 있는 참여자를 지정합니다. 참가자는 콘솔, CLI 또는 AWS SDKs.
중요: 공유하려는 계획을에서 소유해야 AWS 계정 합니다. 자신에게 공유된 계획은 공유할 수 없습니다. AWS Organizations에서 조직 또는 조직 단위와 계획을 공유하려면 조직과 공유를 활성화해야 합니다.
에 대한 자세한 내용은 단원을 AWS RAM참조하십시오[ARC 리전 전환을 위한 계정 간 계획 공유 지원](resource-sharing.region-switch.md).
# ARC 리전 전환을 위한 계정 간 계획 공유 지원
Amazon Application Recovery Controller(ARC)는와 통합되어 리소스 공유 AWS Resource Access Manager 를 활성화합니다. AWS RAM 는 다른 AWS 계정 또는를 통해 리소스를 공유할 수 있는 서비스입니다 AWS Organizations. ARC 리전 전환의 경우 리전 전환 계획을 공유할 수 있습니다. (계획의 다른 계정에서 리소스를 사용하려면 crossAccount 역할을 사용합니다. 자세한 내용은 [교차 계정 리소스](cross-account-resources-rs.md#cross-account-resources-rs-in-plan) 섹션을 참조하세요.)
를 사용하면 리소스 AWS RAM공유를 생성하여 소유한 *리소스를 공유할* 수 있습니다. 리소스 공유는 공유할 리소스 및 공유할 *참여자*를 지정합니다. 참여자에는 다음이 포함될 수 있습니다.
+ 의 소유자 조직 AWS 계정 내부 또는 외부에 특정 AWS Organizations
+ 의 조직 내 조직 단위 AWS Organizations
+ 의 전체 조직 AWS Organizations
에 대한 자세한 내용은 *[AWS RAM 사용 설명서를](https://docs.aws.amazon.com/ram/latest/userguide/)* AWS RAM참조하세요.
AWS Resource Access Manager 를 사용하여 ARC의 계정 간에 계획을 공유하면 하나의 계획을 여러 가지 다른 계획과 함께 사용할 수 있습니다 AWS 계정. 계획을 공유하기로 선택하면 지정한 다른 AWS 계정 가 계획을 실행하여 애플리케이션 복구를 수행할 수 있습니다.
AWS RAM 는 AWS 고객이 리소스를 안전하게 공유할 수 있도록 지원하는 서비스입니다 AWS 계정. AWS RAM를 사용하면 IAM 역할 및 사용자를 AWS Organizations사용하여의 조직 또는 조직 단위(OUs) 내에서 리소스를 공유할 수 있습니다. AWS RAM 는 계획을 공유하는 중앙 집중식 제어 방법입니다.
계획을 공유하면 조직에 필요한 전체 계획 수를 줄일 수 있습니다. 공유 계획을 사용하면 계획을 실행하는 데 드는 총 비용을 여러 팀에 할당하여 더 낮은 비용으로 ARC의 이점을 극대화할 수 있습니다. 계정 간에 계획을 공유하면 여러 애플리케이션을 ARC에 쉽게 온보딩할 수 있으며, 특히 여러 계정 및 운영 팀에 분산된 애플리케이션 수가 많은 경우 더욱 그렇습니다.
ARC에서 교차 계정 공유를 시작하려면 AWS RAM에서 *리소스 공유*를 생성합니다. 리소스 공유는 계정이 소유한 계획을 공유할 권한이 있는 *참여자*를 지정합니다.
이 항목에서는 소유한 리소스를 공유하는 방법과 공유 리소스를 사용하는 방법을 설명합니다.
**Topics**
+ [계획 공유를 위한 사전 조건](#sharing-prereqs-rs)
+ [계획 공유](#sharing-share-rs)
+ [공유된 계획의 공유 해제](#sharing-unshare-rs)
+ [공유 계획 식별](#sharing-identify-rs)
+ [공유 계획에 대한 책임 및 권한](#sharing-perms-rs)
+ [청구 비용](#sharing-billing-rs)
+ [할당량](#sharing-quotas-rs)
## 계획 공유를 위한 사전 조건
+ 계획을 공유하려면에서 계획을 소유해야 합니다 AWS 계정. 즉, 계정에서 리소스를 할당하거나 프로비저닝해야 합니다. 자신에게 공유된 계획은 공유할 수 없습니다.
+ AWS Organizations의 조직 또는 조직 단위와 계획을 공유하려면, AWS Organizations와의 공유를 활성화해야 합니다. 자세한 내용은 *AWS RAM 사용 설명서*에서 [AWS Organizations를 사용하여 공유 사용](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)을 참조하세요.
## 계획 공유
계획을 공유하는 경우, 계획을 공유하도록 지정한 참가자가 계획을 보고, 사용자가 추가 권한을 부여하면 계획을 실행할 수 있습니다.
계획을 공유하려면 리소스 공유에 추가해야 합니다. 리소스 공유는 AWS 계정전반에서 리소스를 공유할 수 있게 해주는 AWS RAM 리소스입니다. 리소스 공유는 공유할 리소스 및 공유할 참여자를 지정합니다. 계획을 공유하기 위해 새 리소스 공유를 생성하거나 리소스를 기존 리소스 공유에 추가할 수 있습니다. 새 리소스 공유를 생성하려면 [AWS RAM 콘솔](https://console.aws.amazon.com/ram)을 사용하거나 API AWS RAM 작업을 AWS Command Line Interface AWS SDKs.
의 조직에 속 AWS Organizations 해 있고 조직 내 공유가 활성화된 경우 조직의 참가자에게 공유 계획에 대한 액세스 권한이 자동으로 부여됩니다. 그렇지 않으면 참여자는 리소스 공유에 참여하라는 초대장을 받고 초대를 수락한 후 공유 계획의 액세스 권한을 받습니다.
AWS RAM 콘솔을 사용하거나 또는 AWS CLI SDK에서 AWS RAM API 작업을 사용하여 소유한 계획을 공유할 수 있습니다. SDKs
**AWS RAM 콘솔을 사용하여 소유한 계획을 공유하려면**
*AWS RAM 사용 설명서*의 [리소스 공유 생성](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)을 참조하세요.
**를 사용하여 소유한 계획을 공유하려면 AWS CLI**
[create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 명령을 사용합니다.
**계획을 공유할 수 있는 권한 부여**
계정 간에 계획을 공유하려면 AWS RAM를 사용하여 계획을 공유하는 IAM 보안 주체에 대해 다음과 같은 추가 권한이 필요합니다.
```
# read and execute plan permissions
"arc-region-switch:GetPlan",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:StartPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:UpdatePlanExecutionStep"
```
계획을 공유하는 소유자에게는 다음과 같은 권한이 있어야 합니다. 이러한 권한 AWS RAM 없이를 통해 계획을 공유하려고 하면 오류가 반환됩니다.
```
"arc-region-switch:PutResourcePolicy" # Permission only apis
"arc-region-switch:DeleteResourcePolicy" # Permission only apis
"arc-region-switch:GetResourcePolicy" # Permission only apis
```
IAM을 AWS Resource Access Manager 사용하는 방법에 대한 자세한 내용은 *AWS RAM 사용 설명서*의 [ IAM을 AWS Resource Access Manager 사용하는 방법을](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-policies.html) 참조하세요.
## 공유된 계획의 공유 해제
계획 공유를 해제하면 참여자와 소유자에게 다음이 적용됩니다.
+ 참여자는 더 이상 공유되지 않은 계획을 보거나 실행할 수 없습니다.
소유하고 있는 공유 계획의 공유를 해제하려면 리소스 공유에서 제거합니다. AWS RAM 콘솔을 사용하거나 또는 AWS CLI SDK와 함께 AWS RAM API 작업을 사용하여이 작업을 수행할 수 있습니다. SDKs
**AWS RAM 콘솔을 사용하여 소유한 공유 플랜을 공유 해제하려면**
*AWS RAM 사용 설명서*에서 [리소스 공유 업데이트](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)를 참조하세요.
**를 사용하여 소유한 공유 플랜을 공유 해제하려면 AWS CLI**
[disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) 명령을 사용합니다.
## 공유 계획 식별
소유자와 참여자는 AWS RAM에서 정보를 확인하여 공유 계획을 식별할 수 있습니다. ARC 콘솔 및 AWS CLI를 사용하여 공유 리소스에 대한 정보를 얻을 수도 있습니다.
일반적으로 공유했거나 공유한 리소스에 대해 자세히 알아보려면 사용 AWS Resource Access Manager 설명서의 정보를 참조하세요.
+ 소유자는 AWS RAM을 사용하여 다른 사람과 공유하고 있는 모든 리소스를 볼 수 있습니다. 자세한 내용은 [에서 공유 리소스 보기를 참조하세요 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-view-sr.html).
+ 참가자는를 사용하여 공유된 모든 리소스를 볼 수 있습니다 AWS RAM. 자세한 내용은 [에서 공유 리소스 보기를 참조하세요 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-view-sr.html).
소유자는에서 정보를 보거나 ARC API 작업과 AWS Command Line Interface 함께를 AWS Management Console 사용하여 계획을 공유하고 있는지 확인할 수 있습니다.
**콘솔을 사용하여 소유하고 있는 계획이 공유되어 있는지 확인**
AWS Management Console의 계획 세부 정보 페이지에서 **계획 공유 상태를** 확인합니다.
계획이 공유되면 참여자는 일반적으로 공유를 수락해야 해당 계획에 접근할 수 있습니다.
## 공유 계획에 대한 책임 및 권한
### 소유자에 대한 권한
참가자는 계획을 보거나 실행할 수 있습니다(올바른 권한이 있는 경우).
### 참여자에 대한 권한
소유한 계획을 다른 사람과 공유하면 AWS 계정참가자가 계획을 보거나 실행할 수 있습니다(올바른 권한이 있는 경우).
를 사용하여 계획을 공유하는 경우 참가자 AWS RAM는 기본적으로 읽기 전용 권한을 갖습니다. 리전 전환에 대한 읽기 전용 권한 목록을 검토하려면 [읽기 전용 권한](security_iam_region_switch_read_only.md) 섹션을 참조하세요. 참가자는 리전 전환 계획을 실행하려면 추가 권한이 필요합니다. 계획을 실행해야 하는 참가자는 추가 권한이 필요합니다. 다음 작업에 대해서는 AWS RAM 참가자에게 권한을 부여할 수 없습니다.
+ ` ApprovePlanExecutionStep`
+ ` UpdatePlan`
## 청구 비용
ARC의 계획 소유자에게는 계획과 관련된 비용이 청구됩니다. 계획에서 호스팅되는 리소스를 생성하는 데는 계획 소유자 또는 참여자에게 추가 비용이 들지 않습니다.
자세한 요금 정보 및 예제는 [Amazon Application Recovery Controller(ARC) 요금을](https://aws.amazon.com/application-recovery-controller/pricing/) 참조하세요.
## 할당량
공유 계획에서 생성된 모든 리소스는 계획 소유자의 할당량에 포함됩니다.
리전 전환 계획 할당량 목록은 [리전 전환 할당량](quotas.region-switch.md) 섹션을 참조하세요.
# ARC 리전 전환에 대한 자격 증명 및 액세스 관리
AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 AWS 서비스 되는 입니다. IAM 관리자는 누가 ATC 리소스를 사용하도록 *인증*되고(로그인됨) *권한이 부여*되는지(권한 있음)를 제어합니다. IAM은 추가 비용 없이 사용할 수 AWS 서비스 있는 입니다.
**Topics**
+ [리전 전환이 IAM과 작동하는 방식](security_iam_service-with-iam-region-switch.md)
+ [ID 기반 정책 예시](security_iam_id-based-policy-examples-region-switch.md)
# ARC 리전 전환이 IAM과 작동하는 방식
IAM을 사용하여 ARC에 대한 액세스를 관리하기 전에 ARC와 함께 사용할 수 있는 IAM 기능을 알아보세요.
IAM을 사용하여 Amazon Application Recovery Controller(ARC)에서 리전 전환에 대한 액세스를 관리하기 전에 리전 전환과 함께 사용할 수 있는 IAM 기능에 대해 알아봅니다.
**Amazon Application Recovery Controller(ARC) 리전 전환에서 사용할 수 있는 IAM 기능**
| IAM 특성 | 리전 전환 지원 |
| --- | --- |
| [자격 증명 기반 정책](#security_iam_service-with-iam-region-switch-id-based-policies) | 예 |
| [리소스 기반 정책](#security_iam_service-with-iam-region-switch-resource-based-policies) | 예 |
| [정책 작업](#security_iam_service-with-iam-region-switch-id-based-policies-actions) | 예 |
| [정책 리소스](#security_iam_service-with-iam-region-switch-id-based-policies-resources) | 예 |
| [정책 조건 키](#security_iam_service-with-iam-region-switch-id-based-policies-conditionkeys) | 예 |
| [ACL](#security_iam_service-with-iam-region-switch-acls) | 예 |
| [ABAC(정책의 태그)](#security_iam_service-with-iam-region-switch-tags) | 예 |
| [임시 보안 인증](#security_iam_service-with-iam-region-switch-roles-tempcreds) | 예 |
| [엔터티 권한](#security_iam_service-with-iam-region-switch-principal-permissions) | 예 |
| [서비스 역할](#security_iam_service-with-iam-region-switch-roles-service) | 아니요 |
| [서비스 연결 역할](#security_iam_service-with-iam-region-switch-roles-service-linked) | 아니요 |
AWS 서비스가 대부분의 IAM 기능과 작동하는 방식을 전체적으로 전체적으로 알아보려면 *IAM 사용 설명서*의 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하세요.
## 리전 전환에 대한 자격 증명 기반 정책
**ID 기반 정책 지원:** 예
ID 기반 정책은 IAM 사용자, 사용자 그룹 또는 역할과 같은 ID에 연결할 수 있는 JSON 권한 정책 문서입니다. 이러한 정책은 사용자 및 역할이 어떤 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 제어합니다. 자격 증명 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.
IAM ID 기반 정책을 사용하면 허용되거나 거부되는 작업과 리소스뿐 아니라 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다. JSON 정책에서 사용할 수 있는 모든 요소에 대해 알아보려면 *IAM 사용 설명서*의 [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)를 참조하세요.
ARC 자격 증명 기반 정책의 예를 보려면 [Amazon Application Recovery Controller(ARC)의 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples.md) 섹션을 참조하세요.
## 리전 전환 내 리소스 기반 정책
**리소스 기반 정책 지원:** 예
리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 리소스 기반 정책의 예제는 IAM 역할 신뢰 정책과 Amazon S3 버킷 정책입니다. 리소스 기반 정책을 지원하는 서비스에서 서비스 관리자는 이러한 정책을 사용하여 특정 리소스에 대한 액세스를 통제할 수 있습니다.
## 리전 전환에 대한 정책 작업
**정책 작업 지원:** 예
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
JSON 정책의 `Action`요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함하세요.
ARC의 리전 전환 정책 작업은 작업 앞에 다음 접두사를 사용합니다.
```
arc-region-switch
```
단일 문에서 여러 작업을 지정하려면 쉼표로 구분합니다. 예를 들어, 다음을 수행합니다.
```
"Action": [
"arc-region-switch:action1",
"arc-region-switch:action2"
]
```
와일드카드(\$1)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, `Describe`라는 단어로 시작하는 모든 작업을 지정하려면 다음 작업을 포함합니다.
```
"Action": "arc-region-switch:Describe*"
```
리전 전환에 대한 ARC 자격 증명 기반 정책의 예를 보려면 [ARC 리전 전환에 대한 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples-region-switch.md) 섹션을 참조하세요.
## 리전 전환에 대한 정책 리소스
**정책 리소스 지원:** 예
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Resource` JSON 정책 요소는 작업이 적용되는 하나 이상의 객체를 지정합니다. 모범 사례에 따라 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 사용하여 리소스를 지정합니다. 리소스 수준 권한을 지원하지 않는 작업의 경우, 와일드카드(\$1)를 사용하여 해당 문이 모든 리소스에 적용됨을 나타냅니다.
```
"Resource": "*"
```
리전 전환에 대한 ARC 자격 증명 기반 정책의 예를 보려면 [ARC 리전 전환에 대한 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples-region-switch.md) 섹션을 참조하세요.
## 리전 전환에 사용되는 정책 조건 키
**서비스별 정책 조건 키 지원:** 예
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Condition` 요소는 정의된 기준에 따라 문이 실행되는 시기를 지정합니다. 같음(equals) 또는 미만(less than)과 같은 [조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다. 모든 AWS 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 참조하세요.
리전 전환에 대한 ARC 자격 증명 기반 정책의 예를 보려면 [ARC 리전 전환에 대한 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples-region-switch.md) 섹션을 참조하세요.
## 리전 전환의 액세스 제어 목록(ACLs)
**ACL 지원:** 예
액세스 제어 목록(ACL)은 어떤 보안 주체(계정 멤버, 사용자 또는 역할)가 리소스에 액세스할 수 있는 권한을 가지고 있는지를 제어합니다. ACL은 JSON 정책 문서 형식을 사용하지 않지만 리소스 기반 정책과 유사합니다.
## 리전 전환과 속성 기반 액세스 제어(ABAC)
**ABAC 지원(정책의 태그):** 예
속성 기반 액세스 제어(ABAC)는 태그라고 불리는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다. IAM 엔터티 및 AWS 리소스에 태그를 연결한 다음 보안 주체의 태그가 리소스의 태그와 일치할 때 작업을 허용하는 ABAC 정책을 설계할 수 있습니다.
태그에 근거하여 액세스를 제어하려면 `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`또는 `aws:TagKeys`조건 키를 사용하여 정책의 [조건 요소](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)에 태그 정보를 제공합니다.
서비스가 모든 리소스 유형에 대해 세 가지 조건 키를 모두 지원하는 경우, 값은 서비스에 대해 **예**입니다. 서비스가 일부 리소스 유형에 대해서만 세 가지 조건 키를 모두 지원하는 경우, 값은 **부분적**입니다.
ABAC에 대한 자세한 내용은 *IAM 사용 설명서*의 [ABAC 권한 부여를 통한 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)를 참조하세요. ABAC 설정 단계가 포함된 자습서를 보려면 *IAM 사용 설명서*의 [속성 기반 액세스 제어(ABAC) 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)을 참조하세요.
## 리전 전환에서 임시 자격 증명 사용
**임시 자격 증명 지원:** 예
임시 자격 증명은 AWS 리소스에 대한 단기 액세스를 제공하며 페더레이션 또는 전환 역할을 사용할 때 자동으로 생성됩니다. 장기 액세스 키를 사용하는 대신 임시 자격 증명을 동적으로 생성하는 것이 AWS 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM의 임시 보안 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 및 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 섹션을 참조하세요.
## 리전 전환에 대한 서비스 간 보안 주체 권한
**전달 액세스 세션(FAS) 지원:** 예
IAM 엔터티(사용자 또는 역할)를 사용하여에서 작업을 수행하는 경우 AWS보안 주체로 간주됩니다. 정책은 보안 주체에게 권한을 부여합니다. 일부 서비스를 사용할 때는 다른 서비스에서 다른 작업을 트리거하는 작업을 수행할 수 있습니다. 이 경우 두 작업을 모두 수행할 수 있는 권한이 있어야 합니다.
## 리전 전환에 대한 서비스 역할
**서비스 역할 지원:** 아니요
서비스 역할은 서비스가 사용자를 대신하여 작업을 수행하는 것으로 가정하는 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)입니다. IAM 관리자는 IAM 내에서 서비스 역할을 생성, 수정 및 삭제할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스 AWS에 권한을 위임할 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)을 참조하세요.
## 리전 전환에 대한 서비스 연결 역할
**서비스 연결 역할 지원:** 아니요
서비스 연결 역할은에 연결된 서비스 역할의 한 유형입니다 AWS 서비스. 서비스는 사용자를 대신하여 작업을 수행하기 위해 역할을 수임할 수 있습니다. 서비스 연결 역할은에 나타나 AWS 계정 며 서비스가 소유합니다. IAM 관리자는 서비스 연결 역할의 권한을 볼 수 있지만 편집은 할 수 없습니다.
서비스 연결 역할 생성 또는 관리에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조하세요. **서비스 연결 역할** 열에서 `Yes`가 포함된 서비스를 테이블에서 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
# ARC 리전 전환에 대한 자격 증명 기반 정책 예제
기본적으로 사용자 및 역할에는 ARC 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)을 참조하세요.
각 리소스 유형에 대한 ARN 형식을 비롯하여 ARC에 의해 정의되는 작업 및 리소스 유형에 대한 자세한 내용은 *서비스 권한 부여 참조*의 [Amazon Application Recovery Controller(ARC)에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)를 참조하세요.
**Topics**
+ [정책 모범 사례](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [계획 실행 역할 신뢰 정책](security_iam_region_switch_trust_policy.md)
+ [전체 액세스 권한](security_iam_region_switch_full_access.md)
+ [읽기 전용 권한](security_iam_region_switch_read_only.md)
+ [실행 블록 권한](security_iam_region_switch_execution_blocks.md)
+ [애플리케이션 상태에 대한 CloudWatch 경보 권한](security_iam_region_switch_cloudwatch.md)
+ [자동 계획 실행 보고서 권한](security_iam_region_switch_reports.md)
+ [교차 계정 리소스 권한](security_iam_region_switch_cross_account.md)
+ [전체 계획 실행 역할 권한](security_iam_region_switch_complete_policy.md)
## 정책 모범 사례
자격 증명 기반 정책에 따라 계정에서 사용자가 ARC 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책을 시작하고 최소 권한으로 전환 -** 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 *AWS 관리형 정책을* 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS 직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. AWS 서비스와 같은 특정를 통해 사용되는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 CloudFormation. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요 -**에서 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 MFA를 AWS 계정켭니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.
IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
# 계획 실행 역할 신뢰 정책
이는 ARC가 리전 전환 계획을 실행할 수 있도록 계획의 실행 역할에 필요한 신뢰 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "arc-region-switch.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# 전체 액세스 권한
다음 IAM 정책은 모든 리전 전환 API에 대한 전체 액세스 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "arc-region-switch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:CreatePlan",
"arc-region-switch:UpdatePlan",
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:DeletePlan",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:ApprovePlanExecutionStep",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:StartPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource",
"arc-region-switch:TagResource",
"arc-region-switch:UntagResource",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:UpdatePlanExecutionStep"
],
"Resource": "*"
}
]
}
```
------
# 읽기 전용 권한
다음 IAM 정책은 리전 전환에 대한 읽기 전용 액세스 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
# 실행 블록 권한
다음 섹션에서는 리전 전환 계획에 추가하는 특정 실행 블록에 필요한 권한을 제공하는 샘플 IAM 정책을 설명합니다.
**Topics**
+ [EC2 Auto Scaling 실행 블록 샘플 정책](security_iam_region_switch_ec2_autoscaling.md)
+ [Amazon EKS 리소스 조정 실행 블록 샘플 정책](security_iam_region_switch_eks.md)
+ [Amazon ECS 서비스 조정 실행 블록 샘플 정책](security_iam_region_switch_ecs.md)
+ [ARC 라우팅 제어 실행 블록 샘플 정책](security_iam_region_switch_arc_routing.md)
+ [Aurora Global Database 실행 블록 샘플 정책](security_iam_region_switch_aurora.md)
+ [Amazon DocumentDB Global Cluster 실행 블록 샘플 정책](security_iam_region_switch_documentdb.md)
+ [Amazon RDS 실행 블록 샘플 정책](security_iam_region_switch_rds.md)
+ [수동 승인 실행 블록 샘플 정책](security_iam_region_switch_manual_approval.md)
+ [사용자 지정 작업 Lambda 실행 블록 샘플 정책](security_iam_region_switch_lambda.md)
+ [Route 53 상태 확인 실행 블록 샘플 정책](security_iam_region_switch_route53.md)
+ [리전 전환 계획 실행 블록 샘플 정책](security_iam_region_switch_plan_execution.md)
# EC2 Auto Scaling 실행 블록 샘플 정책
다음은 EC2 Auto Scaling 그룹의 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"autoscaling:UpdateAutoScalingGroup"
],
"Resource": [
"arn:aws:autoscaling:us-east-1:123456789012:autoScalingGroup:123d456e-123e-1111-abcd-EXAMPLE22222:autoScalingGroupName/app-asg-primary",
"arn:aws:autoscaling:us-west-2:123456789012:autoScalingGroup:1234a321-123e-1234-aabb-EXAMPLE33333:autoScalingGroupName/app-asg-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Amazon EKS 리소스 조정 실행 블록 샘플 정책
다음은 Amazon EKS 리소스 조정을 위한 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:cluster/app-eks-primary",
"arn:aws:eks:us-west-2:123456789012:cluster/app-eks-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"eks:ListAssociatedAccessPolicies"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:access-entry/app-eks-primary/*",
"arn:aws:eks:us-west-2:123456789012:access-entry/app-eks-secondary/*"
]
}
]
}
```
------
참고:이 IAM 정책 외에도 `AmazonArcRegionSwitchScalingPolicy` 액세스 정책을 사용하여 Amazon EKS 클러스터의 액세스 항목에 계획 실행 역할을 추가해야 합니다. 자세한 내용은 [EKS 액세스 항목 권한 구성](eks-resource-scaling-block.md#eks-resource-scaling-block-permissions) 단원을 참조하십시오.
# Amazon ECS 서비스 조정 실행 블록 샘플 정책
다음은 Amazon ECS 서비스 조정에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeServices",
"ecs:UpdateService"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/app-cluster-primary/app-service",
"arn:aws:ecs:us-west-2:123456789012:service/app-cluster-secondary/app-service"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeClusters"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:cluster/app-cluster-primary",
"arn:aws:ecs:us-west-2:123456789012:cluster/app-cluster-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:ListServices"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# ARC 라우팅 제어 실행 블록 샘플 정책
참고: Amazon ARC 라우팅 제어 실행 블록을 사용하려면 계획의 실행 역할에 적용된 모든 서비스 제어 정책(SCPs)이 이러한 서비스에 대해 다음 리전에 대한 액세스를 허용해야 합니다.
+ `route53-recovery-control-config: us-west-2`
+ `route53-recovery-cluster: us-west-2, us-east-1, eu-west-1, ap-southeast-2, ap-northeast-1`
다음은 ARC 라우팅 제어에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-control-config:DescribeControlPanel",
"route53-recovery-control-config:DescribeCluster"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/abcd1234abcd1234abcd1234abcd1234",
"arn:aws:route53-recovery-control::123456789012:cluster/4b325d3b-0e28-4dcf-ba4a-EXAMPLE11111"
]
},
{
"Effect": "Allow",
"Action": [
"route53-recovery-cluster:GetRoutingControlState",
"route53-recovery-cluster:UpdateRoutingControlStates"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/abcdef1234567890",
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/1234567890abcdef"
]
}
]
}
```
------
CLI를 사용하여 라우팅 컨트롤 패널 ID와 클러스터 ID를 검색할 수 있습니다. 자세한 내용은 [라우팅 제어 구성 요소 설정](getting-started-cli-routing-config.md) 단원을 참조하십시오.
# Aurora Global Database 실행 블록 샘플 정책
다음은 Aurora 데이터베이스에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": [
"arn:aws:rds::123456789012:global-cluster:app-global-db",
"arn:aws:rds:us-east-1:123456789012:cluster:app-db-primary",
"arn:aws:rds:us-west-2:123456789012:cluster:app-db-secondary"
]
}
]
}
```
------
# Amazon DocumentDB Global Cluster 실행 블록 샘플 정책
다음은 Amazon DocumentDB 글로벌 클러스터의 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters",
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": "*"
}
]
}
```
# Amazon RDS 실행 블록 샘플 정책
다음은 Amazon RDS 읽기 전용 복제본 승격 또는 리전 간 복제본 생성을 위한 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:PromoteReadReplica",
"rds:CreateDBInstanceReadReplica",
"rds:ModifyDBInstance"
],
"Resource": "*"
}
]
}
```
# 수동 승인 실행 블록 샘플 정책
다음은 수동 승인에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:ApprovePlanExecutionStep"
],
"Resource": "arn:aws:arc-region-switch::123456789012:plan/sample-plan:0123abc"
}
]
}
```
------
# 사용자 지정 작업 Lambda 실행 블록 샘플 정책
다음은 Lambda 함수에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:app-recovery-primary",
"arn:aws:lambda:us-west-2:123456789012:function:app-recovery-secondary"
]
}
]
}
```
------
# Route 53 상태 확인 실행 블록 샘플 정책
다음은 Route 53 상태 확인에 대해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:ListResourceRecordSets"
],
"Resource": [
"arn:aws:route53:::hostedzone/Z1234567890ABCDEFGHIJ"
]
}
]
}
```
------
# 리전 전환 계획 실행 블록 샘플 정책
다음은 하위 계획을 실행하기 위해 리전 전환 계획에 실행 블록을 추가하는 경우 연결할 샘플 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:StartPlanExecution",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": [
"arn:aws:arc-region-switch::123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch::123456789012:plan/child-plan-2/fghij2"
]
}
]
}
```
------
# 애플리케이션 상태에 대한 CloudWatch 경보 권한
다음은 애플리케이션 상태에 대한 CloudWatch 경보에 액세스하기 위해 연결하는 샘플 정책으로, 실제 복구 시간을 결정하는 데 사용됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary",
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
]
}
]
}
```
------
# 자동 계획 실행 보고서 권한
다음은 리전 전환 계획에 대한 자동 보고서 생성을 구성하는 경우 연결할 샘플 정책입니다. 이 정책에는 Amazon S3에 보고서를 작성하고, CloudWatch 경보 데이터에 액세스하고, 상위 계획에 대한 하위 계획 정보를 검색할 수 있는 권한이 포함되어 있습니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your-bucket-name/*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeAlarmHistory"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary"
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
],
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutionEvents"
],
"Resource": [
"arn:aws:arc-region-switch:us-east-1:123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch:us-west-2:123456789012:plan/child-plan-2/fghij2"
],
}
]
}
```
참고: Amazon S3 버킷 암호화를 위해 고객 관리형 AWS KMS 키를 구성하는 경우 키에 대한 `kms:GenerateDataKey` 및 `kms:Encrypt` 권한도 추가해야 합니다.
# 교차 계정 리소스 권한
리소스가 다른 계정에 있는 경우 교차 계정 역할이 필요합니다. 다음은 교차 계정 역할에 대한 샘플 신뢰 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
다음은 계획 실행 역할이 이 교차 계정 역할을 수임할 수 있는 권한입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::987654321098:role/RegionSwitchCrossAccountRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
# 전체 계획 실행 역할 권한
모든 실행 블록에 대한 권한이 포함된 포괄적인 정책을 생성하려면 상당히 큰 정책이 필요합니다. 실제 적용 시에는 특정 실행 계획에서 사용하는 실행 블록에 대한 권한만 포함해야 합니다.
다음은 계획 실행 역할 정책의 시작점으로 사용할 수 있는 정책 예제입니다. 계획에 포함하는 특정 실행 블록에 필요한 추가 정책을 반드시 추가하십시오. 최소 권한 원칙을 따르려면 계획에서 사용하는 특정 실행 블록에 필요한 권한만 포함하십시오.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:SimulatePrincipalPolicy",
"Resource": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": "*"
}
]
}
```
------
# ARC 리전 전환에 대한 로깅 및 모니터링
Amazon Application Recovery Controller(ARC)에서 리전 전환을 모니터링하기 위해 Amazon CloudWatch AWS CloudTrail및 Amazon EventBridge를 사용하여 알림을 받고, 패턴을 분석하고, 문제를 해결할 수 있습니다.
**Topics**
+ [를 사용하여 리전 전환 API 호출 로깅 AWS CloudTrail](cloudtrail-region-switch.md)
+ [Amazon EventBridge와 함께 ARC 리전 전환 사용](eventbridge-region-switch.md)
# 를 사용하여 리전 전환 API 호출 로깅 AWS CloudTrail
Amazon Application Recovery Controller(ARC) 리전 스위치는 ARC에서 사용자 AWS CloudTrail, 역할 또는 서비스가 수행한 작업에 대한 레코드를 제공하는 AWS 서비스와 통합됩니다. CloudTrail은 ARC에 대한 모든 API 직접 호출을 이벤트로 캡처합니다. 캡처되는 호출에는 ARC 콘솔로부터의 직접 호출과 ARC API 작업에 대한 코드 호출이 포함됩니다.
추적을 생성하면 ARC 이벤트를 포함하여 CloudTrail 이벤트를 Amazon S3 버킷으로 지속적으로 전달하도록 설정할 수 있습니다. 추적을 구성하지 않은 경우에도 **이벤트 기록**에서 CloudTrail 콘솔의 최신 이벤트를 볼 수 있습니다.
CloudTrail에서 수집한 정보를 사용하여 ARC에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다.
CloudTrail에 대한 자세한 내용은 [AWS CloudTrail 사용 설명서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)를 참조하세요.
## CloudTrail의 ARC 정보
CloudTrail은 계정을 생성할 AWS 계정 때에서 활성화됩니다. ARC에서 활동이 발생하면 해당 활동이 **이벤트 기록**의 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. 에서 최근 이벤트를 보고 검색하고 다운로드할 수 있습니다 AWS 계정. 자세한 설명은 [CloudTrail 이벤트 기록 작업](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)을 참조하세요.
ARC에 대한 이벤트를 AWS 계정포함하여에 이벤트를 지속적으로 기록하려면 추적을 생성합니다. CloudTrail은 *추적*을 사용하여 Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 콘솔에서 트레일을 생성하면 기본적으로 모든 AWS 리전에 트레일이 적용됩니다. 추적은 AWS 파티션의 모든 리전에서 이벤트를 로깅하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 또한 CloudTrail 로그에서 수집된 이벤트 데이터를 추가로 분석하고 조치를 취하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 내용은 다음 자료를 참조하세요.
+ [추적 생성 개요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 지원 서비스 및 통합](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [CloudTrail에 대한 Amazon SNS 알림 구성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [여러 리전에서 CloudTrail 로그 파일 수신](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) 및 [여러 계정에서 CloudTrail 로그 파일 수신](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
모든 ARC 작업은 CloudTrail에서 로깅되며 API 참조(링크 추후 추가)에 설명되어 있습니다. 예를 들어 `TBD`, `TBD`, `TBD` 작업을 직접 호출하면 CloudTrail 로그 파일에 항목이 생성됩니다.
모든 이벤트 또는 로그 항목에는 요청을 생성했던 사용자에 관한 정보가 포함됩니다. ID 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.
+ 요청이 루트 또는 AWS Identity and Access Management (IAM) 사용자 자격 증명으로 이루어졌는지 여부입니다.
+ 역할 또는 페더레이션 사용자의 임시 자격 증명을 사용하여 요청이 생성되었는지 여부.
+ 요청이 다른 AWS 서비스에서 이루어졌는지 여부입니다.
자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하세요.
## 이벤트 기록에서 리전 전환 이벤트 보기
CloudTrail에서는 **이벤트 기록**에서 최근 이벤트를 볼 수 있습니다. 리전 전환 API 요청에 대한 대부분의 이벤트는 리전 전환 계획으로 작업하는 리전에 있습니다. 예를 들어 계획을 생성하거나 계획을 실행하는 리전입니다. 그러나 ARC 콘솔에서 실행하는 일부 리전 전환 작업은 데이터 영역 작업 대신 제어 계획 API 작업을 사용하여 수행됩니다. 컨트롤 플레인 작업의 경우 미국 동부(버지니아 북부)에서 이벤트를 볼 수 있습니다. 어떤 API 직접 호출이 컨트롤 플레인 작업인지 알아보려면 [리전 전환 API 작업](actions.region-switch.md) 섹션을 참조하세요.
## ARC 로그 파일 항목 이해
트레일이란 지정한 S3 버킷에 이벤트를 로그 파일로 입력할 수 있게 하는 구성입니다. CloudTrail 로그 파일에는 하나 이상의 로그 항목이 포함될 수 있습니다. 이벤트는 모든 소스로부터의 단일 요청을 나타내며 요청 작업, 작업 날짜와 시간, 요청 파라미터 등에 대한 정보가 들어 있습니다. CloudTrail 로그 파일은 퍼블릭 API 직접 호출의 주문 스택 트레이스가 아니므로 특정 순서로 표시되지 않습니다.
다음은 리전 전환에 대한 `StartPlanExecution` 작업을 보여주는 CloudTrail 로그 항목 예시입니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2025-07-06T17:38:05Z"
}
}
},
"eventTime": "2025-07-06T18:08:03Z",
"eventSource": "arc-region-switch.amazonaws.com",
"eventName": "StartPlanExecution",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": {
"planArn": "arn:aws:arc-region-switch::555555555555:plan/CloudTrailIntegTestPlan:bbbbb",
"targetRegion": "us-east-1",
"action": "activate" }
"responseElements": {
"executionId": "us-east-1/dddddddEXAMPLE",
"plan": "arn:aws:arc-region-switch::555555555555:plan/CloudTrailIntegTestPlan:bbbbb",
"planVersion": "1",
"activateRegion": "us-east-1" },
"requestID": "fd42dcf7-6446-41e9-b408-d096example",
"eventID": "4b5c42df-1174-46c8-be99-d67aexample",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.arc.amazon.aws"
}
```
# Amazon EventBridge와 함께 ARC 리전 전환 사용
Amazon EventBridge를 사용하면 Amazon Application Recovery Controller(ARC)에서 리전 전환 리소스를 모니터링하는 이벤트 기반 규칙을 설정한 다음 다른 AWS 서비스를 사용하는 대상 작업을 시작할 수 있습니다. 예를 들어 리전 전환 계획 실행이 완료될 때마다 Amazon SNS 주제에 신호를 보내 이메일 알림을 보내는 규칙을 설정할 수 있습니다.
Amazon EventBridge에서 규칙을 생성하여 다음 ARC 리전 전환 이벤트에 적용할 수 있습니다.
+ *리전 전환 계획 실행.* 이벤트는 리전 전환 계획이 실행되었음을 명시합니다.
+ *리전 전환 계획 평가.* 이벤트는 리전 전환 계획 평가가 완료되었음을 명시합니다.
관심 있는 특정 ARC 이벤트를 캡처하려면 EventBridge가 이벤트를 감지하는 데 사용할 수 있는 이벤트별 패턴을 정의합니다. 이벤트 패턴은 일치하는 이벤트와 동일한 구조를 갖습니다. 패턴은 일치시키려는 필드를 인용하고 찾고 있는 값을 제공합니다.
이벤트는 최선의 작업을 기반으로 발생됩니다. 이는 일반적인 운영 환경에서 거의 실시간으로 ARC에서 EventBridge로 전달됩니다. 하지만 이벤트 전달을 지연하거나 방해하는 상황이 발생할 수 있습니다.
EventBridge 규칙이 이벤트 패턴을 사용하여 작동하는 방법에 대한 자세한 내용은 [EventBridge의 이벤트 및 이벤트 패턴](https://docs.aws.amazon.com//eventbridge/latest/userguide/eventbridge-and-event-patterns.html)을 참조하세요.
## EventBridge를 사용하여 리전 전환 리소스 모니터링
EventBridge를 사용하면 ARC가 리전 전환 리소스에 대한 이벤트를 내보낼 때 수행할 작업을 정의하는 규칙을 생성할 수 있습니다.
EventBridge 콘솔에 이벤트 패턴을 입력하거나 복사하여 붙여 넣으려는 경우, 콘솔에서 **직접 입력** 옵션을 선택할 수 있습니다. 이 주제에는 유용할 수 있는 이벤트 패턴을 결정하는 데 도움이 되도록 [리전 전환 패턴 예제](#arc-eventbridge-examples-region-switch)가 포함되어 있습니다.
**리소스 이벤트에 대한 규칙을 만들려면**
1. Amazon EventBridge 콘솔([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/))을 엽니다.
1. 에서 규칙을 생성 AWS 리전 하려면 이벤트를 모니터링하려는 계획을 생성한 리전을 선택합니다.
1. **Create rule**을 선택합니다.
1. 규칙의 **이름**을 입력하고 선택적으로 설명을 입력합니다.
1. **이벤트 버스**의 경우 **기본값**을 그대로 두세요.
1. **다음**을 선택합니다.
1. **이벤트 패턴 빌드** 단계에서 **이벤트 소스**의 경우 기본값인 **AWS 이벤트**를 그대로 두세요.
1. **샘플 이벤트**에서 **직접 입력**을 선택합니다.
1. **샘플 이벤트**에 이벤트 패턴을 입력하거나 복사하여 붙여넣습니다. 예를 들어, 다음 섹션을 참조하세요.
## 리전 전환 패턴 예
이벤트 패턴은 일치하는 이벤트와 동일한 구조를 갖습니다. 패턴은 일치시키려는 필드를 인용하고 찾고 있는 값을 제공합니다.
이 섹션의 이벤트 패턴을 복사하여 EventBridge에 붙여넣으면 ARC 작업 및 리소스를 모니터링하는 데 사용할 수 있는 규칙을 생성할 수 있습니다.
다음 이벤트 패턴은 ARC의 리전 전환 기능을 위해 EventBridge에서 사용할 수 있는 예를 제공합니다.
+ *PlanExecution의 리전 전환에서 모든 이벤트를 선택합니다*.
```
{
"source": [ "aws.arc-region-switch" ],
"detail-type": [ "ARC Region switch Plan Execution" ]
}
```
+ *PlanEvaluation의 리전 전환에서 모든 이벤트를 선택합니다*.
```
{
"source": [ "aws.arc-region-switch" ],
"detail-type": [ "ARC Region Switch Plan Evaluation" ]
}
```
다음은 *리전 전환 계획 실행*에 대한 ARC 이벤트의 예입니다.
```
{
"version": "0",
"id": "1111111-bbbb-aaaa-cccc-dddddEXAMPLE", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/aaaaaExample"], # planArn
"detail": {
"version": "0.0.1",
"eventType": "ExecutionStarted",
"executionId": "bbbbbbEXAMPLE",
"executionAction": "activating/deactivating {region}",
"idempotencyKey": "1111111-2222-3333-4444-5555555555", # As there is a possibility of dual logging
}
}
```
다음은 *리전 전환 계획 단계 수준 실행*에 대한 ARC 이벤트의 예입니다.
```
{
"version": "0",
"id": "1111111-bbbb-aaaa-cccc-dddddEXAMPLE", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/aaaaaExample"], # planArn
"detail": {
"version": "0.0.1",
"eventType": "StepStarted",
"executionId": "bbbbbbEXAMPLE",
"executionAction": "activating/deactivating {region}",
"idempotencyKey": "1111111-2222-3333-4444-5555555555", # As there is a possibility of dual logging
"stepDetails" : {
"stepName": "Routing control step",
"resource": ["arn:aws:route53-recovery-control::111122223333:controlpanel/abcdefghiEXAMPLE/routingcontrol/jklmnopqrsEXAMPLE"]
}
}
}
```
다음은 *리전 전환 계획 평가 경고*에 대한 ARC 이벤트의 예입니다.
리전 전환 계획 평가의 경우 경고가 반환되면 이벤트가 발생합니다. 경고가 지워지지 않으면 24시간마다 한 번만 경고에 대한 이벤트가 발생합니다. 이벤트가 지워지면 해당 경고에 대한 추가 이벤트가 발생하지 않습니다.
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/a2b89be4821bfd1d"],
"detail": {
"version": "0.0.1",
"idempotencyKey": "1111111-2222-3333-4444-5555555555",
"metadata": {
"evaluationTime" : "timestamp",
"warning" : "There is a plan evaluation warning for arn:aws:arc-region-switch::111122223333:plan/a2b89be4821bfd1d. Navigate to the Region switch console to resolve."
}
}
}
```
## 대상으로 사용할 CloudWatch 로그 그룹 지정
EventBridge 규칙을 생성할 때 규칙과 일치하는 이벤트가 전송되는 대상을 지정해야 합니다. EventBridge에서 사용 가능한 대상의 목록은 [EventBridge 콘솔에서 사용할 수 있는 대상](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html#eb-console-targets)을 참조하세요. EventBridge 규칙에 추가할 수 있는 대상 중 하나는 Amazon CloudWatch 로그 그룹입니다. 이 섹션에서는 CloudWatch 로그 그룹을 대상으로 추가하기 위한 요구 사항을 설명하고 규칙을 생성할 때 로그 그룹을 추가하는 절차를 설명합니다.
CloudWatch 로그 그룹을 대상으로 추가하려면 다음 중 하나를 수행할 수 있습니다.
+ 새 로그 그룹 생성
+ 기존 로그 그룹을 선택합니다.
규칙을 생성할 때 콘솔을 사용하여 새 로그 그룹을 지정하면 EventBridge가 자동으로 로그 그룹을 생성합니다. EventBridge 규칙의 대상으로 사용하는 로그 그룹이 `/aws/events`로 시작하는지 확인합니다. 기존 로그 그룹을 선택하려는 경우, `/aws/events`로 시작하는 로그 그룹만 드롭다운 메뉴에 옵션으로 표시된다는 점에 유의합니다. 자세한 내용은 *Amazon CloudWatch 사용 설명서*의 [새 로그 그룹 생성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)을 참조하세요.
콘솔 외부에서 CloudWatch 작업을 사용하여 대상으로 사용할 CloudWatch 로그 그룹을 생성하거나 사용하는 경우 권한을 올바르게 설정해야 합니다. 콘솔을 사용하여 EventBridge 규칙에 로그 그룹을 추가하면 로그 그룹에 대한 리소스 기반 정책이 자동으로 업데이트됩니다. 그러나 AWS Command Line Interface 또는 AWS SDK를 사용하여 로그 그룹을 지정하는 경우 로그 그룹에 대한 리소스 기반 정책을 업데이트해야 합니다. 다음 예제 정책은 로그 그룹에 대한 리소스 기반 정책에서 정의해야 하는 권한을 보여줍니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com",
"delivery.logs.amazonaws.com"
]
},
"Resource": "arn:aws:logs:us-east-1:222222222222:log-group:/aws/events/*:*",
"Sid": "TrustEventsToStoreLogEvent"
}
]
}
```
------
로그 그룹에 대한 리소스 기반 정책은 콘솔을 사용하여 구성할 수 없습니다. 리소스 기반 정책에 필요한 권한을 추가하려면 CloudWatch [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) API 작업을 사용합니다. 그런 다음 [describe-resource-policies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/logs/describe-resource-policies.html) CLI 명령을 사용하여 정책이 올바르게 적용되었는지 확인할 수 있습니다.
**리소스 이벤트에 대한 규칙을 생성하고 CloudWatch 로그 그룹 대상 지정**
1. Amazon EventBridge 콘솔([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/))을 엽니다.
1. 규칙을 AWS 리전 생성할를 선택합니다.
1. **규칙 생성**을 선택한 다음 이벤트 패턴 또는 일정 세부 정보와 같은 해당 규칙에 대한 정보를 입력합니다.
준비 상태에 대한 EventBridge 규칙 생성에 대한 자세한 내용은 [EventBridge를 사용하여 준비 확인 리소스 모니터링](eventbridge-readiness.md#RCEventBridgeCreateRule)을 참조하세요.
1. **대상 선택** 페이지에서 **CloudWatch**를 대상으로 선택합니다.
1. 드롭다운 메뉴에서 CloudWatch 로그 그룹을 선택합니다.
# 리전 전환 할당량
Amazon Application Recovery Controller(ARC)의 리전 전환에는 다음 할당량이 적용됩니다.
| 개체 | 할당량 |
| --- | --- |
| 계정당 계획 수 | 10 [할당량 증가를 요청](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas)할 수 있습니다. |
| 계획당 실행 블록 수 | 100 |
| 계획당 리전 전환 계획 실행 블록 수 | 25 |
| 단계당 병렬 실행 블록 수 | 20 |
| 트리거 조건당 CloudWatch 경보 수 | 10 |