本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# ARC 中的就绪检查
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
借助 Amazon 应用程序恢复控制器(ARC)中的就绪检查,您可以深入了解您的应用程序和资源是否已准备好恢复。在 ARC 中对 AWS 应用程序进行建模并创建就绪检查后,这些检查会持续监控有关您的应用程序的信息,例如 AWS 资源配额、容量和网络路由策略。然后,您可以选择接收通知,了解哪些变更会影响您将应用程序失效转移到副本的能力,以便从事件中恢复。就绪检查有助于持续确保您能够将跨区域应用程序保持在可扩展且配置妥当的状态,以处理失效转移流量。
本章介绍如何通过创建恢复组和描述应用程序的单元格在 ARC 中对应用程序进行建模,以设置可使就绪检查起作用的结构。然后,您可以按照步骤添加就绪检查和就绪范围,以便 ARC 可以审计您的应用程序的就绪情况。
创建就绪检查后,您可以监控资源的就绪状态。就绪检查可帮助您确保备用应用程序副本及其资源持续与生产副本相匹配,可反映生产应用程序的容量、路由策略和其他配置细节。如果副本不匹配,您可以增加容量或更改配置,使应用程序副本再次保持一致。
**重要**
就绪检查非常有助于持续验证应用程序副本配置和运行时状态是否一致。您不该使用就绪检查来指示生产副本是否正常,也不该依赖就绪检查作为灾难事件期间失效转移的主要触发条件。
# Amazon 应用程序恢复控制器(ARC)中的就绪检查是什么?
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
ARC 中的准备情况检查持续(每隔一分钟),审核检查中包含的资源的 AWS 预配置容量、服务配额、油门限制以及配置和版本差异方面的不匹配情况。就绪检查可以将这些差异通知给您,这样您就可以确保每个副本具有相同的配置设置和相同的运行时状态。尽管就绪检查可确保您在副本之间配置的容量一致,但不应期待就绪检查能代表您决定副本的容量应该是多少。例如,您应该了解应用程序需求,在设定自动扩缩组的大小时在每个副本中留足缓冲容量,以应对另一个单元格不可用的情况。
当 ARC 通过就绪检查检测到配额不匹配时,它可以采取措施调整副本的配额,通过增加较低的配额,使之与较高的配额相匹配。当限额匹配时,就绪检查状态显示 `READY`。(请注意,这个过程不是立即更新的,总时间取决于特定的资源类型和其他因素。)
第一步是设置就绪检查,以创建代表应用程序的[恢复组](recovery-readiness.recovery-groups.md)。每个恢复组都包括应用程序的每个故障控制单位或*副本*的对应单元格。接下来,为应用程序中的每种资源类型创建[资源集](recovery-readiness.recovery-groups.readiness-scope.md),并将*就绪检查*与资源集关联起来。最后,将资源与*就绪范围*相关联,这样您就可以获得恢复组(您的应用程序)或单个单元(副本,即区域或可用区(AZs))中资源的就绪状态。
就绪状态(即 `READY` 或 `NOT READY`)基于就绪检查范围内的资源和某一资源类型的规则集。每种资源类型都有[一组就绪规则](recovery-readiness.rules-resources.md#recovery-readiness.list-rules),ARC 检查使用这些规则来审计资源的就绪情况。资源是否 `READY` 取决于每条就绪规则的定义方式。所有就绪规则都会评估资源,但有些规则会对资源进行比较,有些则会查看有关资源集中每种资源的具体信息。
通过添加就绪检查,您可以通过以下几种方式之一监控就绪状态:使用 EventBridge、在 ARC API 操作中或使用 ARC API 操作。 AWS 管理控制台您还可以在不同的上下文中监控资源的就绪状态,包括单元格的就绪情况和应用程序的就绪情况。使用 ARC 中的[跨账户授权](recovery-readiness.cross-account.md)功能,可以更轻松地设置和监控来自单个 AWS 账户的分布式资源。
## 通过就绪检查监控应用程序副本
ARC 使用*就绪检查*审计应用程序副本,以确保每个副本有相同的配置设置和相同的运行时状态。就绪性检查会持续审核应用程序的 AWS 资源容量、配置、 AWS 配额和路由策略,这些信息可用于帮助确保副本已准备好进行故障转移。就绪检查有助于确保您的恢复环境经过扩展和配置,可在需要时进行失效转移。
以下各部分提供了有关就绪检查工作原理的更多详细信息。
### 就绪检查和应用程序副本
为了做好恢复准备,您必须始终保持足够的备用容量,以吸收来自其他可用区或区域的失效转移流量。ARC 会持续(每分钟一次)检查您的应用程序,以确保所有可用区或区域上的预调配容量相匹配。
例如,ARC 检查的容量包括 Amazon EC2 实例数量、Aurora 读取和写入容量单位以及 Amazon EBS 卷大小。如果您在主副本中纵向扩展资源的容量值,但忘记同时增加备用副本中的相应值,ARC 会检测到不匹配情况,以便您可以增加备用副本中的值。
**重要**
就绪检查非常有助于持续验证应用程序副本配置和运行时状态是否一致。您不该使用就绪检查来指示生产副本是否正常,也不该依赖就绪检查作为灾难事件期间失效转移的主要触发条件。
在主动-备用配置中,您应该根据监控和运行状况检查系统来确定是否从某单元格或向某单元格进行失效转移,并考虑将就绪检查作为这些系统的补充服务。ARC 就绪检查的可用性不高,因此您不应在中断期间依赖检查的可用性。此外,在灾难事件发生期间,所检查的资源也可能不可用。
您可以监控特定单元(AWS 区域或可用区)中应用程序资源的就绪状态,也可以监控整个应用程序的就绪状态。例如,通过在中创建规则,您可以在准备检查状态更改时收到通知 EventBridge。`Not ready`有关更多信息,请参阅 [在 Amazon 上使用 ARC 中的准备情况检查 EventBridge](eventbridge-readiness.md)。您还可以在中查看就绪状态 AWS 管理控制台,或者使用 API 操作(例如)来查看就绪状态`get-recovery-readiness`。有关更多信息,请参阅 [就绪检查 API 操作](actions.readiness.md)。
### 就绪检查的工作原理
ARC 使用*就绪检查*审计应用程序副本,以确保每个副本有相同的配置设置和相同的运行时状态。
例如,为了做好恢复准备,您必须始终保持足够的备用容量,以吸收来自其他可用区或区域的失效转移流量。ARC 会持续(每分钟一次)检查您的应用程序,以确保所有可用区或区域上的预调配容量相匹配。例如,ARC 检查的容量包括 Amazon EC2 实例数量、Aurora 读取和写入容量单位以及 Amazon EBS 卷大小。如果您在主副本中纵向扩展资源的容量值,但忘记同时增加备用副本中的相应值,ARC 会检测到不匹配情况,以便您可以增加备用副本中的值。
**重要**
就绪检查非常有助于持续验证应用程序副本配置和运行时状态是否一致。您不该使用就绪检查来指示生产副本是否正常,也不该依赖就绪检查作为灾难事件期间失效转移的主要触发条件。
在主动-备用配置中,您应该根据监控和运行状况检查系统来确定是否从某单元格或向某单元格进行失效转移,并考虑将就绪检查作为这些系统的补充服务。ARC 就绪检查的可用性不高,因此您不应在中断期间依赖检查的可用性。此外,在灾难事件发生期间,所检查的资源也可能不可用。
您可以监控特定单元(AWS 区域或可用区)中应用程序资源的就绪状态,也可以监控整个应用程序的就绪状态。例如,通过在中创建规则,您可以在准备检查状态更改时收到通知 EventBridge。`Not ready`有关更多信息,请参阅 [在 Amazon 上使用 ARC 中的准备情况检查 EventBridge](eventbridge-readiness.md)。您还可以在中查看就绪状态 AWS 管理控制台,或者使用 API 操作(例如)来查看就绪状态`get-recovery-readiness`。有关更多信息,请参阅 [就绪检查 API 操作](actions.readiness.md)。
# 就绪规则如何确定就绪状态
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
ARC 就绪检查根据每种资源类型的预定义规则以及这些规则的定义方式来确定就绪状态。对于支持的每种资源类型,ARC 都包含一组对应的规则。例如,ARC 有针对 Amazon Aurora 集群、Auto Scaling 群组等的准备规则组。有些就绪规则会对一个资源集里的资源进行比较,有些则会查看有关资源集中每种资源的具体信息。
您无法添加、编辑或删除就绪规则或规则组。但是,您可以创建 Amazon CloudWatch 警报并创建准备情况检查以监控警报的状态。例如,您可以创建自定义 CloudWatch 警报来监控 Amazon EKS 容器服务,并创建就绪检查以审计警报的就绪状态。
您可以在创建资源集 AWS 管理控制台 时查看每种资源类型的所有就绪规则,也可以稍后通过导航到资源集的详细信息页面来查看就绪规则。您还可以在以下部分中查看就绪规则:[ARC 中的就绪规则](recovery-readiness.rules-resources.md#recovery-readiness.list-rules)。
当就绪检查使用一组规则审计一组资源时,每条规则的定义方式将决定所有资源的检查结果都是 `READY` 或 `NOT READY`,还是结果因资源而异。此外,您还可以通过多种方式查看就绪状态。例如,您可以查看资源集中一组资源的就绪状态,也可以查看恢复组或单元(即 AWS 区域或可用区,具体取决于恢复组的设置方式)的就绪状态摘要。
每条规则的描述语言将说明在应用该规则时,它如何评估资源以确定就绪状态。规则定义为检查资源集中的*每个资源*或*所有资源*以确定就绪情况。具体而言,规则的工作原理如下:
+ 规则检查资源集中的*每个资源*,以确保符合条件。
+ 如果所有资源都符合条件,则所有资源都设置为 `READY`。
+ 如果一个资源不符合,则该资源设置为 `NOT READY`,其他单元格仍然是 `READY`。
例如:**MskClusterState:** 检查每个 Amazon MSK 集群以确保其处于 `ACTIVE` 状态。
+ 该规则检查资源集中的*所有资源*,以确保符合条件。
+ 如果符合条件,则所有资源都设置为 `READY`。
+ 如果有任何资源不符合条件,所有资源都设置为 `NOT READY`。
例如:**VpcSubnetCount:** 检查所有 VPC 子网,以确保它们的子网数量相同。
+ 非关键条件:该规则检查资源集中的所有资源,以确保符合条件。
+ 如果有任何资源不符合,就绪状态保持不变。有此行为的规则会在描述中包含一个注释。
例如:**ElbV2CheckAzCount:** 检查每个网络负载均衡器,确保其仅连接到一个可用区。注意:该规则不影响就绪状态。
此外,ARC 在配额方面采取了额外措施。如果就绪检查检测到各单元格之间任何受支持资源的服务配额(资源创建和操作的最大值)存在不匹配之处,ARC 会自动提高低配额资源的配额。这仅适用于限额(限制)。对于容量,您应该根据应用程序需求添加额外的容量。
您还可以为准备情况检查设置 Amazon EventBridge 通知,例如,当任何准备情况检查状态更改为时`NOT READY`。然后,当检测到配置不匹配时, EventBridge 会向您发送通知,您可以采取更正措施来确保您的应用程序副本已对齐并做好恢复准备。有关更多信息,请参阅 [在 Amazon 上使用 ARC 中的准备情况检查 EventBridge](eventbridge-readiness.md)。
# 就绪检查、资源集和就绪范围如何协同工作
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
就绪检查始终会审计*资源集*中的资源组。您可以创建资源集(单独或在创建就绪检查时),以对 ARC 恢复组中单元(可用区或 AWS 区域)中的资源进行分组,以便可以定义就绪检查。资源集通常是一组相同类型的资源(如网络负载均衡器),但也可以是 DNS 目标资源(用于架构就绪检查)。
一般为应用程序中的每种资源创建一个资源集和就绪检查。对于架构就绪检查,您可以为其创建顶级 DNS 目标资源和全局(恢复组级别)资源集,然后为单独的资源集创建单元格级 DNS 目标资源。
下图显示了一个包含三个单元格(可用区)的恢复组示例,每个单元格都有一个网络负载均衡器 (NLB) 和自动扩缩组 (ASG)。
![\[ARC 的恢复组示例。它有三个单元格 (AZ),每个单元格都有一个 NLB 和一个 EC2 自动扩缩组。\]](http://docs.aws.amazon.com/zh_cn/r53recovery/latest/dg/images/Sample3AZRecoveryGroup.png)
在这种情况下,您将为三个网络负载均衡器创建资源集和就绪检查,并为三个自动扩缩组创建资源集和就绪检查。现在,您可以按资源类型对恢复组的每个资源集进行就绪检查了。
通过为资源创建*就绪范围*,您可以为单元格或恢复组添加就绪检查摘要。要为资源指定就绪范围,请将单元格或恢复组的 ARN 与资源集中的每个资源关联起来。您可以在为资源集创建就绪检查时执行此操作。
例如,当您为该恢复组的网络负载均衡器资源集添加就绪检查时,可以同时向每个 NLB 添加就绪范围。在这种情况下,您可以将 AZ 1a 的 ARN 关联到 AZ 1a 中的 NLB,将 `AZ 1b` 的 ARN 关联到 `AZ 1b` 中的 NLB,将 `AZ 1c` 的 ARN 关联到 `AZ 1c` 中的 NLB。为自动扩缩组创建就绪检查时,您也要这样做,在为自动扩缩组资源集创建就绪检查时,为每个组分配就绪范围。
创建就绪检查时,关联就绪范围是可选操作,但是我们强烈建议您设置范围。就绪范围可以让 ARC 在恢复组就绪检查摘要和单元格级就绪检查摘要中显示正确的就绪状态 `READY` 或 `NOT READY`。如果不设置就绪范围,ARC 无法提供这些摘要。
请注意,在添加应用程序级资源或全局资源(例如 DNS 路由策略)时,不能为就绪范围选择恢复组或单元格,而是选择**全局资源(不含单元格)**。
# DNS 目标资源就绪检查:审计弹性就绪
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
通过 ARC 中的 DNS 目标资源就绪检查,您可以审计应用程序的架构和弹性就绪情况。这种就绪检查会持续扫描应用程序架构和 Amazon Route 53 路由策略,以审计跨可用区和跨区域的依赖关系。
以恢复为导向的应用程序有多个副本,这些副本孤立在可用区或 AWS 区域中,因此副本可以相互独立地发生故障。如果您的应用程序需要调整以正确隔离起来,ARC 将根据需要提供更改建议,以更新应用程序架构,确保它具有弹性并可以进行失效转移。
ARC 会自动检测应用程序中单元格(代表副本或故障控制单位)的数量和范围,以及这些单元格是否按可用区或区域隔离起来。然后,ARC 会识别单元格中的应用程序资源并向您提供相关信息,以确定它们是否正确地隔离到可用区或区域中。例如,如果单元格范围限定在特定可用区中,则就绪检查可以监控负载均衡器及其后面的目标是否也隔离到这些可用区。
利用这些信息,您可以确定是否需要进行更改,以使单元格中的资源对应到正确的可用区或区域。
首先,您需要为应用程序创建 DNS 目标资源及其资源集和就绪检查。有关更多信息,请参阅 [获取 ARC 中的架构建议](recovery-readiness.evaluate-arch.md)。
# 就绪检查和灾难恢复场景
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
ARC 就绪检查通过帮助您确保应用程序和资源经过扩展可处理失效转移流量,让您清晰地了解应用程序和资源是否已准备好恢复。不应使用就绪检查状态作为指示生产副本是否正常的信号。但是,您可以使用就绪检查作为应用程序和基础架构监控或运行状况检查系统的补充,以确定是否从某副本或向某副本进行失效转移。
在紧急情况下或发生中断时,结合使用运行状况检查和其他信息来确定备用单元格是否已扩展、运行状况良好,并且准备好进行生产流量的失效转移。例如,除了验证备用单元格的就绪检查状态为 `READY` 之外,还要检查备用单元格上运行的金丝雀是否符合您的成功标准。
请注意,ARC 就绪检查托管在美国西部(俄勒冈州) AWS 区域中,在中断或灾难期间,就绪检查信息可能会过时或无法执行检查。有关更多信息,请参阅 [路由控制的数据面板和控制面板](data-and-control-planes.md)。
# AWS 区域可用性以进行准备情况检查
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
有关 Amazon 应用程序恢复控制器(ARC)的区域支持和服务端点的详细信息,请参阅《Amazon Web Services 一般参考》**中的 [Amazon 应用程序恢复控制器端点和配额](https://docs.aws.amazon.com/general/latest/gr/r53arc.html)。
**注意**
Amazon 应用程序恢复控制器(ARC)中的就绪检查是一项全球功能。但是,就绪检查资源位于美国西部(俄勒冈)区域,因此在创建资源集和就绪检查等资源时,您必须在区域 ARC AWS CLI 命令中指定美国西部(俄勒冈`--region us-west-2`)区域(指定参数)。
# 就绪检查组件
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
下图展示了配置为支持就绪检查功能的恢复组示例。本例中的资源组合到恢复组中的单元格(按 AWS 区域划分)和嵌套单元格(按可用区划分)中。这里有恢复组(应用程序)的总体就绪状态,以及每个单元格(区域)和嵌套单元格(可用区)的个体就绪状态。
![\[ARC 的恢复组示例。它有两个单元格(按区域划分),每个区域内有 2 个嵌套单元格(按可用区划分)。第一个区域单元格的状态全部为就绪,第二个区域单元格的状态为未就绪,因为其中一个可用区单元格尚未就绪。恢复组总体上尚未就绪。\]](http://docs.aws.amazon.com/zh_cn/r53recovery/latest/dg/images/GS_ReacoveryReadinessDiagram.png)
以下是 ARC 中就绪检查功能的组件。
**单元格**
单元格定义了应用程序的副本或独立的失效转移单位。它将应用程序在副本中独立运行所需的所有 AWS 资源进行分组。例如,您的主单元格中可能有一组资源,备用单元格中可能有另一组资源。您可以确定单元格所含内容的边界,但单元格通常代表可用区或区域。一个单元格中可以有多个单元格(嵌套单元格),例如 AZs 在一个区域内。每个嵌套单元格代表一个孤立的失效转移单位。
**恢复组**
单元格组合成一个恢复组。恢复组代表您要检查失效转移就绪情况的一个或一组应用程序。它由功能上彼此匹配的两个或多个单元格或副本组成。例如,如果您有一个在 us-east-1a 和 us-east-1b 之间复制的 Web 应用程序(其中 us-east-1b 是失效转移环境),则可以在 ARC 中将该应用程序表示为恢复组,它包含两个单元格:一个在 us-east-1a 中,一个在 us-east-1b 中。恢复组还可以包括全局资源,例如 Route 53 运行状况检查。
**资源和资源标识符**
在 ARC 中创建就绪检查组件时,您可以使用资源标识符指定资源,例如 Amazon DynamoDB 表、网络负载均衡器或 DNS 目标资源。资源标识符是资源的 Amazon 资源名称(ARN),而对于 DNS 目标资源,则是 ARC 在创建资源时生成的标识符。
**DNS 目标资源**
DNS 目标资源是应用程序的域名和其他 DNS 信息(例如该域所指向的 AWS 资源)的组合。您可以选择是否包含 AWS 资源,但如果提供该资源,它必须是 Route 53 资源记录或网络负载均衡器。当您提供 AWS 资源时,您可以获得更详细的架构建议,这些建议可以帮助您提高应用程序的恢复弹性。您可以在 ARC 中为 DNS 目标资源创建资源集,然后为资源集创建就绪检查,以便获得应用程序架构建议。就绪检查还会根据 DNS 目标资源的就绪规则监控应用程序的 DNS 路由策略。
**资源集**
资源集是一组跨越多个单元的 AWS 资源,包括资源或 DNS 目标资源。例如,您可能有一个负载均衡器在 us-east-1a 中,还有一个在 us-east-1b 中。要监控负载均衡器的恢复就绪情况,您可以创建一个包含两个负载均衡器的资源集,然后为该资源集创建就绪检查。ARC 将持续检查集合中资源的就绪情况。您还可以添加就绪范围,将资源集中的资源与您为应用程序创建的恢复组相关联。
**就绪规则**
就绪规则是 ARC 对资源集中的一组资源执行的审计规则。在 ARC 中,支持就绪检查的每种资源都有一组就绪规则。每个规则都包含一个 ID 和一个描述,描述中解释了 ARC 检查资源的目的。
**就绪检查**
就绪检查监控应用程序中的资源集(例如一组 Amazon Aurora 实例),ARC 将审计它的恢复就绪情况。准备情况检查可以包括审计,例如容量配置、 AWS 配额或路由策略。例如,如果您想审核跨两个可用区的 Amazon EC2 Auto Scaling 组的准备情况,则可以为包含两个资源的资源集创建准备情况检查ARNs,每个 Auto Scaling 组对应一个资源。然后,为了确保每个组同等扩展,ARC 会持续监控两个组中的实例类型和数量。
**就绪范围**
就绪范围标识特定就绪检查所包含的资源分组。就绪检查的范围可以是恢复组(即整个应用程序全局)或单元格(即区域或可用区)。如果资源属于 ARC 全球资源,将就绪范围设置到恢复组或全球资源级别。例如,Route 53 运行状况检查是 ARC 中的一项全球资源,因为它不是特定于某个区域或可用区的。
# 用于就绪检查的数据面板和控制面板
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
在规划失效转移和灾难恢复时,请考虑失效转移机制的弹性。建议您确保在失效转移期间所依赖的机制高度可用,这样在灾难场景中有需要时就能使用它们。通常,应尽可能在机制中使用数据面板功能,以获得较高的可靠性和容错能力。考虑到这一点,请务必了解服务的功能如何在控制面板和数据面板之间划分,以及何时可以依赖服务的数据面板可预期的极高可靠性。
与大多数 AWS 服务一样,控制平面和数据平面支持就绪检查功能。虽然两种面板均可靠,但控制面板已针对数据一致性进行优化,而数据面板已针对可用性进行优化。数据面板专为弹性而设计,因此即使在中断事件期间,当控制面板可能不可用时,它也能保持可用性。
一般而言,*控制面板*允许您执行基本的管理功能,例如在服务中创建、更新和删除资源。*数据面板*提供服务的核心功能。
对于就绪检查,控制面板和数据面板都有一个 API,即[恢复就绪 API](https://docs.aws.amazon.com/recovery-readiness/latest/api/what-is-recovery-readiness.html)。就绪检查和就绪资源仅位于美国西部(俄勒冈州)区域 (us-west-2)。*就绪检查控制面板和数据面板是可靠的,但不是高度可用的。*
有关数据平面、控制平面以及如何 AWS 构建服务以满足高可用性目标的更多信息,请参阅 Amazon Builders Library 中的 “[使用可用区的静态稳定性” 论文](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/)。
# Amazon 应用程序恢复控制器(ARC)中的就绪检查的标记
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
标签是您用来识别和组织 AWS 资源的单词或短语(元数据)。您可以为每个资源添加多个标签,每个标签都包含一个密钥和一个您定义的值。例如,键可能是环境,值可能是生产。您可以根据添加的标签搜索和筛选资源。
在 ARC 中,您可以标记就绪检查中的以下资源:
+ 资源集
+ 就绪检查
ARC 中的标记只能通过 API 使用,例如,通过使用 AWS CLI。
以下是使用 AWS CLI在就绪检查中进行标记的示例。
`aws route53-recovery-readiness --region us-west-2 create-resource-set --resource-set-name dynamodb_resource_set --resource-set-type AWS::DynamoDB::Table --resources ReadinessScopes=arn:aws:aws-recovery-readiness::111122223333:cell/PDXCell,ResourceArn=arn:aws:dynamodb:us-west-2:111122223333:table/PDX_Table ReadinessScopes=arn:aws:aws-recovery-readiness::111122223333:cell/IADCell,ResourceArn=arn:aws:dynamodb:us-east-1:111122223333:table/IAD_Table --tags Stage=Prod`
`aws route53-recovery-readiness --region us-west-2 create-readiness-check --readiness-check-name dynamodb_readiness_check --resource-set-name dynamodb_resource_set --tags Stage=Prod`
有关更多信息,请参阅 [TagResource](https://docs.aws.amazon.com/recovery-readiness/latest/api/tags-resource-arn.html)Amazon 应用程序*恢复控制器 (ARC) 的恢复就绪 API 参考指南*。
# ARC 中就绪检查的定价
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
您为配置的每项就绪检查支付每小时费用。
有关 ARC 的详细定价信息和定价示例,请参阅 [ARC 定价](https://aws.amazon.com/application-recovery-controller/pricing/)。
## 为您的应用程序设置弹性恢复流程
要将 Amazon Application Recovery Controller (ARC) 用于多个 AWS 区域的应用程序,需要遵循一些指导方针来设置应用程序的弹性,以便您可以有效地支持恢复就绪。 AWS 然后,您可以创建应用程序就绪检查,并设置路由控制以重新路由流量,进行失效转移。您还可以查看 ARC 提供的应用程序架构建议,这些建议可以提高恢复能力。
**注意**
如果您的应用程序被可用区隔开,请考虑使用可用区转移或可用区自动转移进行失效转移恢复。无需进行任何设置即可使用可用区转移或可用区自动转移从受影响的可用区可靠地恢复应用程序。
要将流量从可用区域移出负载均衡器资源,请在 ARC 控制台或 Elastic Load Balancing 控制台中开始区域切换。或者,您可以将 AWS Command Line Interface 或 AWS SDK 与区域移动 API 操作配合使用。有关更多信息,请参阅 [ARC 中的可用区转移](arc-zonal-shift.md)。
要了解有关弹性失效转移配置入门的更多信息,请参阅[开始使用 Amazon 应用程序恢复控制器(ARC)中的多区域恢复](getting-started.md)。
# ARC 中的就绪检查最佳实践
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
我们建议在 Amazon 应用程序恢复控制器(ARC)中采用以下最佳实践进行就绪检查。
**添加就绪状态变更通知**
在 Amazon 中设置规则, EventBridge 以便在准备情况检查状态发生变化时发送通知,例如从变`READY`为`NOT READY`。收到通知后,您可以调查并解决问题,以确保您的应用程序和资源按照预期准备好进行失效转移。
您可以设置 EventBridge 规则以发送多项就绪检查状态更改的通知,包括恢复组(针对您的应用程序)、单元(例如 AWS 区域)或资源集的就绪性检查的通知。
有关更多信息,请参阅 [在 Amazon 上使用 ARC 中的准备情况检查 EventBridge](eventbridge-readiness.md)。
# 就绪检查 API 操作
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
下表列出了可用于恢复就绪(就绪检查)的 ARC 操作以及相关文档的链接。
有关如何在 AWS Command Line Interface中使用常见恢复就绪 API 操作的示例,请参阅[使用 ARC 就绪检查 API 操作的示例 AWS CLI](getting-started-cli-readiness.md)。
| Action | 使用 ARC 控制台 | 使用 ARC API |
| --- | --- | --- |
| 创建单元格 | 请参阅 [在 ARC 中创建、更新和删除恢复组](recovery-readiness.recovery-groups.md)。 | 请参阅 [CreateCell](https://docs.aws.amazon.com/recovery-readiness/latest/api/cells.html) |
| 获取单元格 | 请参阅 [在 ARC 中创建、更新和删除恢复组](recovery-readiness.recovery-groups.md)。 | 请参阅 [GetCell](https://docs.aws.amazon.com/recovery-readiness/latest/api/cells-cellname.html) |
| 删除单元格 | 请参阅 [在 ARC 中创建、更新和删除恢复组](recovery-readiness.recovery-groups.md)。 | 请参阅 [DeleteCell](https://docs.aws.amazon.com/recovery-readiness/latest/api/cells-cellname.html) |
| 更新单元格 | 不适用 | 请参阅 [UpdateCell](https://docs.aws.amazon.com/recovery-readiness/latest/api/cells-cellname.html)。 |
| 列出账户的单元格 | 请参阅 [在 ARC 中创建、更新和删除恢复组](recovery-readiness.recovery-groups.md)。 | 请参阅 [ListCells](https://docs.aws.amazon.com/recovery-readiness/latest/api/cells.html) |
| 创建恢复组 | 请参阅 [在 ARC 中创建、更新和删除恢复组](recovery-readiness.recovery-groups.md)。 | 请参阅 [CreateRecoveryGroup](https://docs.aws.amazon.com/recovery-readiness/latest/api/recoverygroups.html) |
| 获取恢复组 | 请参阅 [在 ARC 中创建、更新和删除恢复组](recovery-readiness.recovery-groups.md)。 | 请参阅 [GetRecoveryGroup](https://docs.aws.amazon.com/recovery-readiness/latest/api/recoverygroups-recoverygroupname.html) |
| 更新恢复组 | 请参阅 [在 ARC 中创建、更新和删除恢复组](recovery-readiness.recovery-groups.md)。 | 请参阅 [UpdateRecoveryGroup](https://docs.aws.amazon.com/recovery-readiness/latest/api/recoverygroups-recoverygroupname.html) |
| 删除恢复组 | 请参阅 [在 ARC 中创建、更新和删除恢复组](recovery-readiness.recovery-groups.md)。 | 请参阅 [DeleteRecoveryGroup](https://docs.aws.amazon.com/recovery-readiness/latest/api/recoverygroups-recoverygroupname.html) |
| 列出恢复组 | 请参阅 [在 ARC 中创建、更新和删除恢复组](recovery-readiness.recovery-groups.md)。 | 请参阅 [ListRecoveryGroups](https://docs.aws.amazon.com/recovery-readiness/latest/api/recoverygroups.html) |
| 创建资源集 | 请参阅 [在 ARC 中创建和更新就绪检查](recovery-readiness.create-readiness-check-or-set.md)。 | 请参阅 [CreateResourceSet](https://docs.aws.amazon.com/recovery-readiness/latest/api/resourcesets.html) |
| 获取资源集 | 请参阅 [在 ARC 中创建和更新就绪检查](recovery-readiness.create-readiness-check-or-set.md)。 | 请参阅 [GetResourceSet](https://docs.aws.amazon.com/recovery-readiness/latest/api/resourcesets-resourcesetname.html) |
| 更新资源集 | 请参阅 [在 ARC 中创建和更新就绪检查](recovery-readiness.create-readiness-check-or-set.md)。 | 请参阅 [UpdateResourceSet](https://docs.aws.amazon.com/recovery-readiness/latest/api/resourcesets-resourcesetname.html) |
| 删除资源集 | 请参阅 [在 ARC 中创建和更新就绪检查](recovery-readiness.create-readiness-check-or-set.md)。 | 请参阅 [DeleteResourceSet](https://docs.aws.amazon.com/recovery-readiness/latest/api/resourcesets-resourcesetname.html) |
| 列出资源集 | 请参阅 [在 ARC 中创建和更新就绪检查](recovery-readiness.create-readiness-check-or-set.md)。 | 请参阅 [ListResourceSets](https://docs.aws.amazon.com/recovery-readiness/latest/api/resourcesets.html) |
| 创建就绪检查 | 请参阅 [在 ARC 中创建和更新就绪检查](recovery-readiness.create-readiness-check-or-set.md)。 | 请参阅 [CreateReadinessCheck](https://docs.aws.amazon.com/recovery-readiness/latest/api/readinesschecks.html) |
| 获取就绪检查 | 请参阅 [在 ARC 中创建和更新就绪检查](recovery-readiness.create-readiness-check-or-set.md)。 | 请参阅 [GetReadinessCheck](https://docs.aws.amazon.com/recovery-readiness/latest/api/readinesschecks-readinesscheckname.html) |
| 更新就绪检查 | 请参阅 [在 ARC 中创建和更新就绪检查](recovery-readiness.create-readiness-check-or-set.md)。 | 请参阅 [UpdateReadinessCheck](https://docs.aws.amazon.com/recovery-readiness/latest/api/readinesschecks-readinesscheckname.html) |
| 删除就绪检查 | 请参阅 [在 ARC 中创建和更新就绪检查](recovery-readiness.create-readiness-check-or-set.md)。 | 请参阅 [DeleteReadinessCheck](https://docs.aws.amazon.com/recovery-readiness/latest/api/readinesschecks-readinesscheckname.html) |
| 列出就绪检查 | 请参阅 [在 ARC 中创建和更新就绪检查](recovery-readiness.create-readiness-check-or-set.md)。 | 请参阅 [ListReadinessChecks](https://docs.aws.amazon.com/recovery-readiness/latest/api/readinesschecks.html) |
| 列出就绪规则 | 请参阅 [ARC 中的就绪规则描述](recovery-readiness.rules-resources.md)。 | 请参阅 [ListRules](https://docs.aws.amazon.com/recovery-readiness/latest/api/rules.html) |
| 检查整个就绪检查的状态 | 请参阅 [监控 ARC 中的就绪状态](recovery-readiness.status.md)。 | 请参阅 [GetReadinessCheckStatus](https://docs.aws.amazon.com/recovery-readiness/latest/api/readinesschecks-readinesscheckname-status.html) |
| 检查资源的状态 | 请参阅 [监控 ARC 中的就绪状态](recovery-readiness.status.md)。 | 请参阅 [GetReadinessCheckResourceStatus](https://docs.aws.amazon.com/recovery-readiness/latest/api/readinesschecks-readinesscheckname-resource-resourceidentifier-status.html) |
| 检查单元格的状态 | 请参阅 [监控 ARC 中的就绪状态](recovery-readiness.status.md)。 | 请参阅 [GetCellReadinessSummary](https://docs.aws.amazon.com/recovery-readiness/latest/api/cellreadiness-cellname.html) |
| 检查恢复组的状态 | 请参阅 [监控 ARC 中的就绪状态](recovery-readiness.status.md)。 | 请参阅 [GetRecoveryGroupReadinessSummary](https://docs.aws.amazon.com/recovery-readiness/latest/api/recoverygroupreadiness-recoverygroupname.html) |
# 使用 ARC 就绪检查 API 操作的示例 AWS CLI
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
本节介绍简单的应用程序示例,使用使用 Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能,使用 API 操作。 AWS Command Line Interface 这些示例旨在帮助您基本了解如何通过 CLI 使用就绪检查功能。
ARC 中的就绪检查会审计应用程序副本中的资源不匹配问题。要为应用程序设置就绪性检查,您必须在 ARC *单元*中设置或建模您的应用程序资源,使其与您为应用程序创建的副本保持一致。然后,您可以设置就绪检查以审计这些副本,以帮助您确保备用应用程序副本及其资源持续与生产副本相匹配
我们来看一个简单的案例。您有一个名为 Simple-Service 的应用程序目前在美国东部(弗吉尼亚州北部)区域 (us-east-1) 运行。您还在美国西部(俄勒冈州)区域 (us-west-2) 有一个应用程序备用副本。在本例中,我们将配置就绪检查,以比较应用程序的这两个版本。这样,我们就可以确保美国西部(俄勒冈州)区域的备用副本在失效转移场景中能够准备好接收流量。
有关使用的更多信息 AWS CLI,请参阅[AWS CLI 命令参考](https://docs.aws.amazon.com/cli/latest/reference/route53-recovery-readiness/index.html)。有关就绪 API 操作的列表和指向更多信息的链接,请参阅[就绪检查 API 操作](actions.readiness.md)。
ARC 中的*单元格*代表故障边界(如可用区或区域),并集合到*恢复组*中。恢复组代表您要检查失效转移就绪情况的应用程序。有关就绪检查组成部分的更多信息,请参阅[就绪检查组件](introduction-components-readiness.md)。
**注意**
ARC 是一项支持多个终端节点的全球服务, AWS 区域 但您必须在大多数 ARC CLI 命令中指定美国西部(俄勒冈`--region us-west-2`)区域(即指定参数)。例如,创建恢复组或就绪检查等资源。
在我们的应用程序示例中,首先要为拥有资源的每个区域创建一个单元格。然后,创建一个恢复组,接着完成就绪检查的设置。
## 1. 创建单元格
1a. 创建 us-east-1 单元格。
```
aws route53-recovery-readiness --region us-west-2 create-cell \
--cell-name east-cell
```
```
{
"CellArn": "arn:aws:route53-recovery-readiness::111122223333:cell/east-cell",
"CellName": "east-cell",
"Cells": [],
"ParentReadinessScopes": [],
"Tags": {}
}
```
1b. 创建 us-west-1 单元格。
```
aws route53-recovery-readiness --region us-west-2 create-cell \
--cell-name west-cell
```
```
{
"CellArn": "arn:aws:route53-recovery-readiness::111122223333:cell/west-cell",
"CellName": "west-cell",
"Cells": [],
"ParentReadinessScopes": [],
"Tags": {}
}
```
1c. 现在,我们有了两个单元格。您可以通过调用 `list-cells` API 来验证它们是否存在。
```
aws route53-recovery-readiness --region us-west-2 list-cells
```
```
{
"Cells": [
{
"CellArn": "arn:aws:route53-recovery-readiness::111122223333:cell/east-cell",
"CellName": "east-cell",
"Cells": [],
"ParentReadinessScopes": [],
"Tags": {}
},
{
"CellArn": "arn:aws:route53-recovery-readiness::111122223333:cell/west-cell",
"CellName": "west-cell"
"Cells": [],
"ParentReadinessScopes": [],
"Tags": {}
}
]
}
```
## 2. 创建恢复组
恢复组是 ARC 中恢复就绪的顶级资源。恢复组代表整个应用程序。在该步骤中,我们将创建一个恢复组,对整个应用程序进行建模,然后添加我们创建的两个单元格。
2a. 创建恢复组。
```
aws route53-recovery-readiness --region us-west-2 create-recovery-group \
--recovery-group-name simple-service-recovery-group \
--cells "arn:aws:route53-recovery-readiness::111122223333:cell/east-cell"\
"arn:aws:route53-recovery-readiness::111122223333:cell/west-cell"
```
```
{
"Cells": [],
"RecoveryGroupArn": "arn:aws:route53-recovery-readiness::111122223333:recovery-group/simple-service-recovery-group",
"RecoveryGroupName": "simple-service-recovery-group",
"Tags": {}
}
```
2b. (可选)您可以通过调用 `list-recovery-groups ` API 来验证恢复组是否已正确创建。
```
aws route53-recovery-readiness --region us-west-2 list-recovery-groups
```
```
{
"RecoveryGroups": [
{
"Cells": [
"arn:aws:route53-recovery-readiness::111122223333:cell/east-cell",
"arn:aws:route53-recovery-readiness::111122223333:cell/west-cell"
],
"RecoveryGroupArn": "arn:aws:route53-recovery-readiness::111122223333:recovery-group/simple-service-recovery-group",
"RecoveryGroupName": "simple-service-recovery-group",
"Tags": {}
}
]
}
```
现在我们已经有了应用程序模型,接着添加要监控的资源。在 ARC 中,您要监控的一组资源称为资源集。资源集包含全部属于相同类型的资源。我们对资源集中的资源进行相互比较,以帮助确定单元格是否准备好进行失效转移。
## 3. 创建资源集
假设我们的 Simple-Service 应用程序非常简单,只使用 DynamoDB 表。它在 us-east-1 中有一张 DynamoDB 表,在 us-west-2 中也有一张。资源集还包含就绪范围,用于标识每个资源包含在哪个单元格中。
3a. 创建反映 Simple-Service 应用程序资源的资源集。
```
aws route53-recovery-readiness --region us-west-2 create-resource-set \
--resource-set-name ImportantInformationTables \
--resource-set-type AWS::DynamoDB::Table \
--resources
ResourceArn="arn:aws:dynamodb:us-west-2:111122223333:table/TableInUsWest2",ReadinessScopes="arn:aws:route53-recovery-readiness::111122223333:cell/west-cell"
ResourceArn="arn:aws:dynamodb:us-west-2:111122223333:table/TableInUsEast1",ReadinessScopes="arn:aws:route53-recovery-readiness::111122223333:cell/east-cell"
```
```
{
"ResourceSetArn": "arn:aws:route53-recovery-readiness::111122223333:resource-set/sample-resource-set",
"ResourceSetName": "ImportantInformationTables",
"Resources": [
{
"ReadinessScopes": [
"arn:aws:route53-recovery-readiness::111122223333:cell/west-cell"
],
"ResourceArn": "arn:aws:dynamodb:us-west-2:111122223333:table/TableInUsWest2"
},
{
"ReadinessScopes": [
"arn:aws:route53-recovery-readiness::111122223333:cell/east-cell"
],
"ResourceArn": "arn:aws:dynamodb:us-west-2:111122223333:table/TableInUsEast1"
}
],
"Tags": {}
}
```
3b. (可选)您可以通过调用 `list-resource-sets` API 来验证资源集中包含的资源。这列出了 AWS 账户的所有资源集。在这里,您可以看到我们只有上面创建的一个资源集。
```
aws route53-recovery-readiness --region us-west-2 list-resource-sets
```
```
{
"ResourceSets": [
{
"ResourceSetArn": "arn:aws:route53-recovery-readiness::111122223333:resource-set/ImportantInformationTables",
"ResourceSetName": "ImportantInformationTables",
"Resources": [
{
"ReadinessScopes": [
"arn:aws:route53-recovery-readiness::111122223333:cell/west-cell"
],
"ResourceArn": "arn:aws:dynamodb:us-west-2:111122223333:table/TableInUsWest2"
},
{
"ReadinessScopes": [
"arn:aws:route53-recovery-readiness::111122223333:cell/east-cell"
],
"ResourceArn": "arn:aws:dynamodb:us-west-2:111122223333:table/TableInUsEast1"
}
],
"Tags": {}
}
]
}{
"ResourceSets": [
{
"ResourceSetArn": "arn:aws:route53-recovery-readiness::111122223333:resource-set/ImportantInformationTables",
"ResourceSetName": "ImportantInformationTables",
"Resources": [
{
"ReadinessScopes": [
"arn:aws:route53-recovery-readiness::111122223333:cell/west-cell"
],
"ResourceArn": "arn:aws:dynamodb:us-west-2:111122223333:table/TableInUsWest2"
},
{
"ReadinessScopes": [
"arn:aws:route53-recovery-readiness::&ExampleAWSAccountNo1;:cell/east-cell"
],
"ResourceArn": "arn:aws:dynamodb:us-west-2:111122223333:table/TableInUsEast1"
}
],
"Tags": {}
}
]
}
```
现在,我们已经创建了单元格、恢复组和资源集,以便在 ARC 中对 Simple-Service 应用程序进行建模。接下来,我们将设置就绪检查,以监控资源是否准备好进行失效转移。
## 4. 创建就绪检查
就绪检查将一组规则应用于附加到检查的资源集中的每个资源。规则特定于每种资源类型。也就是说,`AWS::DynamoDB::Table`、`AWS::EC2::Instance` 等有不同的规则。规则会从各个维度检查资源,包括配置、容量(如果可用而且适用)、限制(如果可用而且适用)和路由配置。
**注意**
要查看就绪检查中应用于资源的规则,可以使用 `get-readiness-check-resource-status` API,如步骤 5 中所述。要查看 ARC 中所有就绪规则的列表,请使用 `list-rules` 或参阅[ARC 中的就绪规则描述](recovery-readiness.rules-resources.md)。ARC 有一组针对每种资源类型运行的特定规则;这些规则目前不能自定义。
4a. 为资源集 ImportantInformationTables 创建就绪检查。
```
aws route53-recovery-readiness --region us-west-2 create-readiness-check \
--readiness-check-name ImportantInformationTableCheck --resource-set-name ImportantInformationTables
```
```
{
"ReadinessCheckArn": "arn:aws:route53-recovery-readiness::111122223333:readiness-check/ImportantInformationTableCheck",
"ReadinessCheckName": "ImportantInformationTableCheck",
"ResourceSet": "ImportantInformationTables",
"Tags": {}
}
```
4b. (可选)要验证是否已成功创建就绪检查,请运行 `list-readiness-checks` API。该 API 显示账户中的所有就绪检查。
```
aws route53-recovery-readiness --region us-west-2 list-readiness-checks
```
```
{
"ReadinessChecks": [
{
"ReadinessCheckArn": "arn:aws:route53-recovery-readiness::111122223333:readiness-check/ImportantInformationTableCheck",
"ReadinessCheckName": "ImportantInformationTableCheck",
"ResourceSet": "ImportantInformationTables",
"Tags": {}
}
]
}
```
## 5. 监控就绪检查
现在,我们已经对应用程序进行了建模并添加了就绪检查,接下来可以监控资源了。您可以在四个级别上对应用程序的就绪情况进行建模:就绪检查级别(一组资源)、单个资源级别、单元格级别(可用区或区域中的所有资源)和恢复组级别(整个应用程序)。下面提供了获取上述每种类型的就绪状态的命令。
5a. 查看就绪检查的状态。
```
aws route53-recovery-readiness --region us-west-2 get-readiness-check-status\
--readiness-check-name ImportantInformationTableCheck
```
```
{
"Readiness": "READY",
"Resources": [
{
"LastCheckedTimestamp": "2021-01-07T00:53:39Z",
"Readiness": "READY",
"ResourceArn": "arn:aws:dynamodb:us-west-2:111122223333:table/TableInUsWest2"
},
{
"LastCheckedTimestamp": "2021-01-07T00:53:39Z",
"Readiness": "READY",
"ResourceArn": "arn:aws:dynamodb:us-west-2:111122223333:table/TableInUsEast2"
]
}
```
5b. 查看就绪检查中单个资源的详细就绪状态,包括检查的每条规则的状态。
```
aws route53-recovery-readiness --region us-west-2 get-readiness-check-resource-status \
--readiness-check-name ImportantInformationTableCheck \
--resource-identifier "arn:aws:dynamodb:us-west-2:111122223333:table/TableInUsWest2"
```
```
{"Readiness": "READY",
"Rules": [
{
"LastCheckedTimestamp": "2021-01-07T00:55:41Z",
"Messages": [],
"Readiness": "READY",
"RuleId": "DynamoTableStatus"
},
{
"LastCheckedTimestamp": "2021-01-07T00:55:41Z",
"Messages": [],
"Readiness": "READY",
"RuleId": "DynamoCapacity"
},
{
"LastCheckedTimestamp": "2021-01-07T00:55:41Z",
"Messages": [],
"Readiness": "READY",
"RuleId": "DynamoPeakRcuWcu"
},
{
"LastCheckedTimestamp": "2021-01-07T00:55:41Z",
"Messages": [],
"Readiness": "READY",
"RuleId": "DynamoGSIsPeakRcuWcu"
},
{
"LastCheckedTimestamp": "2021-01-07T00:55:41Z",
"Messages": [],
"Readiness": "READY",
"RuleId": "DynamoGSIsConfig"
},
{
"LastCheckedTimestamp": "2021-01-07T00:55:41Z",
"Messages": [],
"Readiness": "READY",
"RuleId": "DynamoGSIsStatus"
},
{
"LastCheckedTimestamp": "2021-01-07T00:55:41Z",
"Messages": [],
"Readiness": "READY",
"RuleId": "DynamoGSIsCapacity"
},
{
"LastCheckedTimestamp": "2021-01-07T00:55:41Z",
"Messages": [],
"Readiness": "READY",
"RuleId": "DynamoReplicationLatency"
},
{
"LastCheckedTimestamp": "2021-01-07T00:55:41Z",
"Messages": [],
"Readiness": "READY",
"RuleId": "DynamoAutoScalingConfiguration"
},
{
"LastCheckedTimestamp": "2021-01-07T00:55:41Z",
"Messages": [],
"Readiness": "READY",
"RuleId": "DynamoLimits"
}
]
}
```
5c. 查看单元格的总体就绪情况。
```
aws route53-recovery-readiness --region us-west-2 get-cell-readiness-summary \
--cell-name west-cell
```
```
{
"Readiness": "READY",
"ReadinessChecks": [
{
"Readiness": "READY",
"ReadinessCheckName": "ImportantTableCheck"
}
]
}
```
5d. 最后,查看恢复组级别上应用程序的顶级就绪情况。
```
aws route53-recovery-readiness --region us-west-2 get-recovery-group-readiness-summary \
--recovery-group-name simple-service-recovery-group
```
```
{
"Readiness": "READY",
"ReadinessChecks": [
{
"Readiness": "READY",
"ReadinessCheckName": "ImportantTableCheck"
}
]
}
```
# 使用恢复组和就绪检查
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
本节描述并提供了恢复组和就绪检查的操作流程,包括创建、更新和删除这些资源。
# 在 ARC 中创建、更新和删除恢复组
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
恢复组在 Amazon 应用程序恢复控制器(ARC)中代表您的应用程序。它通常由两个或多个*单元格*组成,这些单元格在资源和功能上是彼此的副本,因此您可以从一个单元格向另一个单元格进行失效转移。每个单元格都包含一个 AWS 区域或可用区域的活跃资源的 Amazon 资源名称 (ARNs)。资源可能是 Elastic Load Balancing 负载均衡器、自动扩缩组或其他资源。代表另一个可用区或区域的相应单元格包含与活动单元格类型相同的备用资源(负载均衡器、自动扩缩组等)。
单元格代表应用程序的副本。ARC 中的就绪检查可帮助您确定应用程序是否已准备好从一个副本失效转移到另一个副本。但是,您应该根据监控和运行状况检查系统来确定是否从某副本或向某副本进行失效转移,并考虑将就绪检查作为这些系统的补充服务。
就绪检查会审计资源,根据该类型资源的一组预定义规则来确定其就绪情况。创建包含副本的恢复组后,为应用程序中的资源添加 ARC 就绪检查,因此 ARC 可以帮助确保副本长期拥有相同的设置和配置。
**Topics**
+ [创建恢复组](#recovery-readiness.recovery-groups.create)
+ [更新和删除恢复组和单元](#recovery-readiness.recovery-groups.edit-delete)
## 创建恢复组
本节中的步骤说明了如何在 ARC 控制台中创建恢复组。要了解如何在 Amazon 应用程序恢复控制器(ARC)中使用恢复就绪 API 操作,请参阅[就绪检查 API 操作](actions.readiness.md)。
## 创建恢复组的步骤
1. 访问 [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard),打开 ARC 控制台。
1. 选择**就绪检查**。
1. 在**恢复就绪**页面上,选择**创建**,然后选择**恢复组**。
1. 输入恢复组的名称,然后选择**下一步**。
1. 选择**创建单元格**,然后选择**添加单元格**。
1. 输入单元格名称。例如,如果您在美国西部(北加利福尼亚)中有一个应用程序副本,则可以添加一个名为 `MyApp-us-west-1` 的单元格。
1. 选择**添加单元格**,然后为第二个单元格添加名称。例如,如果您在美国东部(俄亥俄州)中有一个副本,则可以添加一个名为 ` MyApp-us-east-2` 的单元格。
1. 如果要添加嵌套单元格(区域内可用区中的副本),请选择**操作**,再选择**添加嵌套单元格**,然后输入名称。
1. 为应用程序副本添加了所有单元格和嵌套单元格后,请选择**下一步**。
1. 查看您的恢复组,然后选择**创建恢复组**。
## 更新和删除恢复组和单元
本节中的步骤说明了如何在 ARC 控制台中更新和删除恢复组并删除单元格。要了解如何在 Amazon 应用程序恢复控制器(ARC)中使用恢复就绪 API 操作,请参阅[就绪检查 API 操作](actions.readiness.md)。
## 更新或删除恢复组或删除单元格的步骤
1. 访问 [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard),打开 ARC 控制台。
1. 选择**就绪检查**。
1. 在**恢复就绪**页面上,选择一个恢复组。
1. 要操作恢复组,请选择**操作**,然后选择**编辑恢复组**或**删除恢复组**。
1. 编辑恢复组时,可以添加或删除单元格或嵌套单元格。
+ 要添加单元格,请选择**添加单元格**。
+ 要删除单元格,请在单元格旁边的**操作**标签下,选择**删除单元格**。
# 在 ARC 中创建和更新就绪检查
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
本节提供了就绪检查和资源集的操作流程,包括创建、更新和删除这些资源。
## 创建和更新就绪检查
本节中的步骤说明了如何在 ARC 控制台中创建就绪检查。要了解如何在 Amazon 应用程序恢复控制器(ARC)中使用恢复就绪 API 操作,请参阅[就绪检查 API 操作](actions.readiness.md)。
要更新就绪检查,您可以编辑就绪检查的资源集,以添加或删除资源或者更改资源的就绪范围。
## 创建就绪检查的步骤
1. 访问 [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard),打开 ARC 控制台。
1. 选择**就绪检查**。
1. 在**就绪**页面上,选择**创建**,然后选择**就绪检查**。
1. 输入就绪检查的名称,选择要检查的资源类型,然后选择**下一步**。
1. 为就绪检查添加资源集。资源集是不同副本中相同类型的一组资源。选择下列选项之一:
+ 使用已创建资源集中的资源创建就绪检查。
+ 创建新的资源集。
如果您选择创建新的资源集,请输入资源集的名称并选择**添加**。
1. 为要包含在集合中的每种资源逐一复制并粘贴 Amazon 资源名称 (ARNs),然后选择 “**下一步**”。
**提示**
有关 ARC 对每种资源类型所要求的 ARN 格式的示例和更多信息,请参阅[ARC 中的资源类型和 ARN 格式](recovery-readiness.resource-types-arns.md)。
1. 如果您愿意,请查看 ARC 检查该就绪检查中所包含的资源类型时将会使用的就绪规则。然后选择**下一步**。
1. (可选)在**恢复组名称**下,选择要与就绪检查关联的恢复组,然后从资源所在的下拉菜单中为每个资源 ARN 选择一个单元格(区域或可用区)。如果它是应用程序级资源,比如 DNS 路由策略,请选择**全局资源(不含单元格)**。
*这一步为就绪检查中的资源指定了就绪范围。*
**重要**
尽管该步骤是可选的,但必须添加就绪范围才能获取恢复组和单元格的就绪摘要信息。如果跳过该步骤,没有通过在此处选择就绪范围将就绪检查与恢复组的资源相关联,那么 ARC 将无法返回恢复组或单元格的就绪摘要信息。
1. 选择**下一步**。
1. 检查确认页面上的信息,然后选择**创建就绪检查**。
## 删除就绪检查的步骤
1. 访问 [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard),打开 ARC 控制台。
1. 选择**就绪检查**。
1. 选择就绪检查,然后在**操作**下选择**删除**。
## 创建和编辑资源集
通常情况下,在创建就绪检查的过程中创建资源集,但也可以单独创建资源集。您也可以编辑资源集,以添加或删除资源。本节中的步骤说明了如何在 ARC 控制台中创建或编辑资源集。要了解如何在 Amazon 应用程序恢复控制器(ARC)中使用恢复就绪 API 操作,请参阅[就绪检查 API 操作](actions.readiness.md)。
## 创建资源集的步骤
1. 在[https://console.aws.amazon.com/route53/家](https://console.aws.amazon.com/route53/home)中打开 Route 53 控制台。
1. 在**应用程序恢复控制器**下,选择**资源集**。
1. 选择**创建**。
1. 输入资源集的名称,然后选择要包含在资源集中的资源类型。
1. 选择**添加**,然后输入要添加到资源集的资源的 Amazon 资源名称 (ARN)。
1. 添加完资源后,选择**创建资源集**。
## 编辑资源集的步骤
1. 访问 [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard),打开 ARC 控制台。
1. 选择**就绪检查**。
1. 在**资源集**下,选择**操作**,然后选择**编辑**。
1. 请执行以下操作之一:
+ 要从资源集中删除资源,请选择**删除**。
+ 要向资源集中添加资源,请选择**添加**,然后输入该资源的 Amazon 资源名称 (ARN)。
1. 您还可以编辑资源的就绪范围,以便将资源与其他单元格关联起来,进行就绪检查。
1. 选择**保存**。
# 监控 ARC 中的就绪状态
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
在 Amazon 应用程序恢复控制器(ARC)中,您可以按以下级别查看应用程序就绪情况:
+ 资源集中资源的就绪检查级别
+ 单个资源级别
+ 可用区或 AWS 区域中所有资源的单元(应用程序副本)级别
+ 整个应用程序的恢复组级别
您可以收到有关就绪状态变化的通知,也可以在 Route 53 控制台中或使用 ARC CLI 命令监控就绪状态的变化。
## 就绪状态通知
您可以使用 Amazon EventBridge 设置事件驱动的规则,以监控 ARC 资源并通知您有关就绪状态的变化。有关更多信息,请参阅 [在 Amazon 上使用 ARC 中的准备情况检查 EventBridge](eventbridge-readiness.md)。
## 在 ARC 控制台中监控就绪状态
以下过程将介绍如何在 AWS 管理控制台中监控恢复就绪。
1. 访问 [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard),打开 ARC 控制台。
1. 选择**就绪检查**。
1. 在**就绪**页面的**恢复组**下,查看每个恢复组(应用程序)的**恢复组就绪状态**。
您还可以查看特定单元格或单个资源的就绪情况。
## 使用 CLI 命令监控就绪状态
本节提供了用于查看不同级别应用程序和资源的就绪状态的 AWS CLI 命令示例。
**资源集的就绪情况**
您为资源集(一组资源)创建的就绪检查的状态。
`aws route53-recovery-readiness --region us-west-2 get-readiness-check-status --readiness-check-name ReadinessCheckName `
**单个资源的就绪情况**
要在就绪检查中获取单个资源的状态,包括检查的每条就绪规则的状态,请指定就绪检查名称和资源 ARN。例如:
`aws route53-recovery-readiness --region us-west-2 get-readiness-check-status --readiness-check-name ReadinessCheckName --resource-arn "arn:aws:dynamodb:us-west-2:111122223333:table/TableName"`
**单元格的就绪情况**
一个单元格(即区域或可用区)的状态。
`aws route53-recovery-readiness --region us-west-2 get-cell-readiness-summary --cell-name CellName `
**应用程序的就绪情况**
整个应用程序(恢复组级别)的状态。
`aws route53-recovery-readiness --region us-west-2 get-recovery-group-readiness-summary --recovery-group-name RecoveryGroupName `
# 获取 ARC 中的架构建议
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
如果您有现成的应用程序,Amazon 应用程序恢复控制器(ARC)可以评估应用程序架构和路由策略,提供修改设计的建议,以提高应用程序的恢复弹性。在 ARC 中创建代表应用程序的恢复组后,请按照本节中的步骤获取有关应用程序架构的建议。
如果您尚未为恢复组 DNS 目标资源指定目标资源,我们建议您指定一个,以便我们提供更详细的建议。当您提供更多信息时,ARC 可以为您提供更好的建议。例如,如果您输入 Amazon Route 53 资源记录或网络负载均衡器作为目标资源,ARC 可以提供有关您是否为恢复组创建了最佳数量的单元格的信息。
对于 DNS 目标资源,请注意以下几点:
+ 仅为目标资源指定 Route 53 资源记录或网络负载均衡器。
+ 仅为每个恢复组创建一个 DNS 目标资源。
+ 建议:为每个单元格创建一个 DNS 目标资源。
+ 在就绪检查中,将 DNS 目标资源组成一个资源集。
以下步骤说明了如何创建 DNS 目标资源以及如何获取适用于应用程序的架构建议。
# 获取架构更新建议的步骤
1. 访问 [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard),打开 ARC 控制台。
1. 选择**就绪检查**。
1. 在**恢复组名称**下,选择代表应用程序的恢复组。
1. 在**恢复组的详细信息**页面的**操作**菜单上,选择**获取该恢复组的架构建议**。
1. 如果您尚未创建 DNS 目标资源就绪检查,请创建一个,以便 ARC 提供架构建议。选择**创建 DNS 目标资源**。
有关 DNS 目标资源的更多信息,请参阅[就绪检查组件](introduction-components-readiness.md)。
1. 要为 DNS 目标资源创建资源集,请创建就绪检查。输入就绪检查的名称,然后对于就绪检查类型,选择 **DNS 目标资源**。
1. 输入资源集的名称。
1. 输入应用程序的属性,包括 DNS 名称、托管区 ARN 和记录集 ID。
**提示**
要查看托管区 ARN 的格式,请参阅[ARC 中的资源类型和 ARN 格式](recovery-readiness.resource-types-arns.md)中**托管区的 ARN 格式**。
可选但强烈推荐的步骤是,选择**添加可选属性**,然后提供网络负载均衡器 ARN 或域的 Route 53 资源记录。
1. (可选)在**恢复组配置**中,为您的 DNS 目标资源选择一个单元格,以设置就绪范围。
1. 选择**创建资源集**。
1. 在**恢复组**的详细信息页面上,选择**获取架构建议**。ARC 在页面上显示了一组建议。
查看建议列表。然后,您可以决定是否以及如何进行更改,以提高应用程序的恢复弹性。
# 在 ARC 中创建跨账户授权
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
您的资源可能分布在多个 AWS 账户中,这使得全面了解应用程序的运行状况变得困难。这也可能导致难以获取做出快速决策所需的信息。为了在 Amazon 应用程序恢复控制器(ARC)中简化就绪检查,您可以使用*跨账户授权*。
ARC 中的跨账户授权会与就绪检查功能结合使用。通过跨账户授权,您可以使用一个中央 AWS 账户来监控位于多个 AWS 账户中的资源。在包含要监控的资源的每个账户中,您可以授权中央账户访问这些资源。然后,该中央账户可以为所有账户中的资源创建就绪检查,并且您可以从该中央账户监控失效转移就绪情况。
**注意**
在控制台中不能设置跨账户授权。请使用 ARC API 操作来设置和使用跨账户授权。为了帮助您入门,本节提供了 AWS CLI 命令示例。
假设某个应用程序有一个账户在美国西部(俄勒冈州)区域 (us-west-2) 拥有资源,还有一个账户在美国东部(弗吉尼亚州北部)区域 (us-east-1) 拥有您想要监控的资源。借助跨账户授权,您可以通过 ARC 从一个账户 us-west-2 访问这两组资源。
例如,假设您有以下 AWS 账户:
+ 美国西部账户:999999999999
+ 美国东部账户:111111111111
在 us-east-1 账户 (111111111111) 中,我们可以启用跨账户授权,并为 us-west-2 IAM 账户中的(根)用户指定 Amazon 资源名称 (ARN):`arn:aws:iam::999999999999:root`,从而允许 us-west-2 账户 (999999999999) 访问。创建授权后,us-west-2 账户便可将 us-east-1 拥有的资源添加到资源集中,并创建要对该资源集运行的就绪检查。
以下示例说明了如何为一个账户设置跨账户授权。您必须在每个拥有要在 ARC 中添加和监控的 AWS 资源的额外账户中启用跨账户授权。
**注意**
ARC 是一项全球服务,支持多个 AWS 区域的终端节点,但您必须在大多数 ARC CLI 命令中指定美国西部(俄勒冈`--region us-west-2`)区域(即指定参数)。
以下 AWS CLI 命令显示如何为此示例设置跨账户授权:
```
aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
create-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root
```
要禁用该授权,请执行以下操作:
```
aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
delete-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root
```
要在一个特定账户中查看所有您已提供跨账户授权的账户,请使用 `list-cross-account-authorizations` 命令。请注意,目前无法反向检查。也就是说,您无法在某账户资料中使用 API 操作来列出它已获得跨账户授权(以添加和监控资源)的所有账户。
```
aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
list-cross-account-authorizations
```
```
{
"CrossAccountAuthorizations": [
"arn:aws:iam::999999999999:root"
]
}
```
# 就绪规则、资源类型和 ARNS
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
本节包含有关准备规则描述、支持的资源类型以及您用于资源集的 Amazon 资源名称 (ARNs) 格式的参考信息。
# ARC 中的就绪规则描述
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
本节列出了 Amazon 应用程序恢复控制器(ARC)支持的所有资源类型的就绪规则描述。要查看 ARC 支持的资源类型列表,请参阅[ARC 中的资源类型和 ARN 格式](recovery-readiness.resource-types-arns.md)。
您还可以通过执行以下操作,在 ARC 控制台上或使用 API 操作查看就绪规则描述:
+ 要在控制台中查看就绪规则,请按照以下过程中的步骤操作:[在控制台上查看就绪规则](#recovery-readiness.list-rules-console)。
+ 要使用 API 查看就绪规则,请参阅[ListRules](https://docs.aws.amazon.com/recovery-readiness/latest/api/rules.html)操作。
**Topics**
+ [ARC 中的就绪规则](#recovery-readiness.list-rules)
+ [在控制台上查看就绪规则](#recovery-readiness.list-rules-console)
## ARC 中的就绪规则
本节列出了 ARC 支持的每种资源类型的一组就绪规则。
在浏览规则描述时,您可以看到大部分都包含词语**检查所有**或**检查每个**。要了解这些词语如何说明在就绪检查背景下规则的工作原理,以及有关 ARC 如何设置就绪状态的其他详细信息,请参阅[就绪规则如何确定就绪状态](recovery-readiness.rules.md)。
### 就绪规则
ARC 使用以下就绪规则审计资源。
**Amazon API Gateway 版本 1 阶段**
+ **ApiGwV1ApiKeyCount**:检查所有 API Gateway 阶段,确保它们关联的 API 密钥数量相同。
+ **ApiGwV1ApiKeySource**:检查所有 API Gateway 阶段,确保它们的 `API Key Source` 值相同。
+ **ApiGwV1BasePath**:检查所有 API Gateway 阶段,确保它们链接到相同的基本路径。
+ **ApiGwV1BinaryMediaTypes**:检查所有 API Gateway 阶段,确保它们支持相同的二进制媒体类型。
+ **ApiGwV1CacheClusterEnabled**:检查所有 API Gateway 阶段,确保全部启用或都没启用 `Cache Cluster`。
+ **ApiGwV1CacheClusterSize**:检查所有 API Gateway 阶段,确保它们的 `Cache Cluster Size` 相同。如果有一个的值比较大,则其他标记为 NOT READY。
+ **ApiGwV1CacheClusterStatus**:检查所有 API Gateway 阶段,确保 `Cache Cluster` 处于 AVAILABLE 状态。
+ **ApiGwV1DisableExecuteApiEndpoint**:检查所有 API Gateway 阶段,确保全部禁用或都没禁用 `Execute API Endpoint`。
+ **ApiGwV1DomainName**:检查所有 API Gateway 阶段,确保它们链接到相同的域名。
+ **ApiGwV1EndpointConfiguration**:检查所有 API Gateway 阶段,确保它们链接到具有相同端点配置的域。
+ **ApiGwV1EndpointDomainNameStatus**:检查所有 API Gateway 阶段,确保它们关联的域名处于 AVAILABLE 状态。
+ **ApiGwV1MethodSettings**:检查所有 API Gateway 阶段,确保它们的 `Method Settings` 值相同。
+ **ApiGwV1MutualTlsAuthentication**:检查所有 API Gateway 阶段,确保它们的 `Mutual TLS Authentication` 值相同。
+ **ApiGwV1Policy**:检查所有 API Gateway 阶段,确保全部使用或都不使用 API 级别策略。
+ **ApiGwV1RegionalDomainName**:检查所有 API Gateway 阶段,确保它们链接到相同的区域域名。注意:该规则不影响就绪状态。
+ **ApiGwV1ResourceMethodConfigs**:检查所有 API Gateway 阶段,确保它们具有相似的资源层次结构,包括相关配置。
+ **ApiGwV1SecurityPolicy**:检查所有 API Gateway 阶段,确保它们的 `Security Policy` 值相同。
+ **ApiGwV1Quotas**:检查所有 API Gateway 组,确保它们符合由 Service Quotas 管理的限额(限制)。
+ **ApiGwV1UsagePlans**:检查所有 API Gateway 阶段,确保它们链接到具有相同配置的 `Usage Plans`。
**Amazon API Gateway 版本 2 阶段**
+ **ApiGwV2ApiKeySelectionExpression**:检查所有 API Gateway 阶段,确保它们的 `API Key Selection Expression` 值相同。
+ **ApiGwV2ApiMappingSelectionExpression**:检查所有 API Gateway 阶段,确保它们的 `API Mapping Selection Expression` 值相同。
+ **ApiGwV2CorsConfiguration**:检查所有 API Gateway 阶段,确保它们具有相同的 CORS 相关配置。
+ **ApiGwV2DomainName**:检查所有 API Gateway 阶段,确保它们链接到相同的域名。
+ **ApiGwV2DomainNameStatus**:检查所有 API Gateway 阶段,确保域名处于 AVAILABLE 状态。
+ **ApiGwV2EndpointType**:检查所有 API Gateway 阶段,确保它们的 `Endpoint Type` 值相同。
+ **ApiGwV2Quotas**:检查所有 API Gateway 组,确保它们符合由 Service Quotas 管理的限额(限制)。
+ **ApiGwV2MutualTlsAuthentication**:检查所有 API Gateway 阶段,确保它们的 `Mutual TLS Authentication` 值相同。
+ **ApiGwV2ProtocolType**:检查所有 API Gateway 阶段,确保它们的 `Protocol Type` 值相同。
+ **ApiGwV2RouteConfigs**:检查所有 API Gateway 阶段,确保它们具有相同的路由层次结构和相同的配置。
+ **ApiGwV2RouteSelectionExpression**:检查所有 API Gateway 阶段,确保它们的 `Route Selection Expression` 值相同。
+ **ApiGwV2RouteSettings**:检查所有 API Gateway 阶段,确保它们的 `Default Route Settings` 值相同。
+ **ApiGwV2SecurityPolicy**:检查所有 API Gateway 阶段,确保它们的 `Security Policy` 值相同。
+ **ApiGwV2StageVariables**: 检查所有 API Gateway 阶段,确保它们的 `Stage Variables` 都与其他阶段相同。
+ **ApiGwV2ThrottlingBurstLimit**:检查所有 API Gateway 阶段,确保它们的 `Throttling Burst Limit` 值相同。
+ **ApiGwV2ThrottlingRateLimit**:检查所有 API Gateway 阶段,确保它们的 `Throttling Rate Limit` 值相同。
**Amazon Aurora 集群**
+ **RdsClusterStatus**:检查每个 Aurora 集群,以确保其状态为 `AVAILABLE` 或 `BACKING-UP`。
+ **RdsEngineMode**:检查所有 Aurora 集群,确保它们的 `Engine Mode` 值相同。
+ **RdsEngineVersion**:检查所有 Aurora 集群,确保它们的 `Major Version` 值相同。
+ **RdsGlobalReplicaLag**:检查每个 Aurora 集群,确保其 `Global Replica Lag` 小于 30 秒。
+ **RdsNormalizedCapacity**:检查所有 Aurora 集群,确保其标准化容量占资源集中最大容量的 15% 以内。
+ **RdsInstanceType**:检查所有 Aurora 集群,确保它们有相同的实例类型。
+ **RdsQuotas**:检查所有 Aurora 集群,确保它们符合由 Service Quotas 管理的限额(限制)。
**自动扩缩组**
+ **AsgMinSizeAndMaxSize**:检查所有自动扩缩组,确保它们的组大小下限和上限相同。
+ **AsgAZCount**:检查所有自动扩缩组,确保其可用区数量相同。
+ **AsgInstanceTypes**:检查所有自动扩缩组,确保它们有相同的实例类型。注意:该规则不影响就绪状态。
+ **AsgInstanceSizes**:检查所有自动扩缩组,确保它们的实例大小相同。
+ **AsgNormalizedCapacity**:检查所有自动扩缩组,确保其标准化容量占资源集中最大容量的 15% 以内。
+ **AsgQuotas**:检查所有自动扩缩组,确保它们符合由 Service Quotas 管理的限额(限制)。
**CloudWatch 警报**
+ **CloudWatchAlarmState**:检查 CloudWatch 警报以确保每个警报都未处于`ALARM`或`INSUFFICIENT_DATA`状态。
**客户网关**
+ **CustomerGatewayIpAddress**:检查所有客户网关,确保它们的 IP 地址相同。
+ **CustomerGatewayState**: 检查客户网关,确保每个网关都处于 `AVAILABLE` 状态。
+ **CustomerGatewayVPNType**:检查所有客户网关,确保它们的 VPN 类型相同。
**DNS target resources**
+ **DnsTargetResourceHostedZoneConfigurationRule**:检查所有 DNS 目标资源,确保它们具有相同的 Amazon Route 53 托管区 ID,并且每个托管区都不是私有的。注意:该规则不影响就绪状态。
+ **DnsTargetResourceRecordSetConfigurationRule**:检查所有 DNS 目标资源,确保它们的资源记录缓存存活时间 (TTL) 相同, TTLs 并且小于或等于 300。
+ **DnsTargetResourceRoutingRule**:检查每个与别名资源记录集关联的 DNS 目标资源,确保其将流量路由到目标资源上配置的 DNS 名称。注意:该规则不影响就绪状态。
+ **DnsTargetResourceHealthCheckRule**:检查所有 DNS 目标资源,确保运行状况检查在适当时与其资源记录集相关联,而非相反情况。注意:该规则不影响就绪状态。
**Amazon DynamoDB 表**
+ **DynamoConfiguration**:检查所有 DynamoDB 表,确保它们具有相同的密钥、属性、服务器端加密和流配置。
+ **DynamoTableStatus**:检查每个 DynamoDB 表,确保其状态为 ACTIVE。
+ **DynamoCapacity**:检查所有 DynamoDB 表,确保其预配置的读取容量和写入容量占资源集中最大容量的 20% 以内。
+ **DynamoPeakRcuWcu**:检查每个 DynamoDB 表,确保其峰值流量与其他表类似,以保证预配置的容量。
+ **DynamoGsiPeakRcuWcu**:检查每个 DynamoDB 表,确保其最大读取和写入容量与其他表类似,以保证预配置的容量。
+ **DynamoGsiConfig**:检查所有具有全局二级索引的 DynamoDB 表,确保这些表使用相同的索引、键架构和投影。
+ **DynamoGsiStatus**:检查所有具有全局二级索引的 DynamoDB 表,确保全局二级索引处于 ACTIVE 状态。
+ **DynamoGsiCapacity**:检查所有具有全局二级索引的 DynamoDB 表,确保这些表的预配置 GSI 读取容量和 GSI 写入容量占资源集中最大容量的 20% 以内。
+ **DynamoReplicationLatency**:检查所有作为全局表的 DynamoDB 表,确保它们的复制延迟相同。
+ **DynamoAutoScalingConfiguration**:检查所有启用了自动扩缩的 DynamoDB 表,确保它们具有相同的最小容量、最大容量及目标读取和写入容量。
+ **DynamoQuotas**:检查所有 DynamoDB 表,确保它们符合由 Service Quotas 管理的限额(限制)。
**Elastic Load Balancing(经典负载均衡器)**
+ **ElbV1CheckAzCount**:检查每个经典负载均衡器,确保其仅连接到一个可用区。注意:该规则不影响就绪状态。
+ **ElbV1AnyInstances**: 检查所有经典负载均衡器,确保它们至少有一个 EC2 实例。
+ **ElbV1AnyInstancesHealthy**: 检查所有经典负载均衡器,确保它们至少有一个运行正常的 EC2 实例。
+ **ElbV1Scheme**:检查所有经典负载均衡器,确保它们采用相同的负载均衡器方案。
+ **ElbV1HealthCheckThreshold**:检查所有经典负载均衡器,确保它们的运行状况检查阈值相同。
+ **ElbV1HealthCheckInterval**:检查所有经典负载均衡器,确保它们的运行状况检查间隔值相同。
+ **ElbV1CrossZoneRoutingEnabled**:检查所有经典负载均衡器,确保它们具有相同的跨区域负载均衡值(ENABLED 或 DISABLED)。
+ **ElbV1AccessLogsEnabledAttribute**:检查所有经典负载均衡器,确保它们的访问日志值相同(ENABLED 或 DISABLED)。
+ **ElbV1ConnectionDrainingEnabledAttribute**:检查所有经典负载均衡器,确保它们的连接耗尽值相同(ENABLED 或 DISABLED)。
+ **ElbV1ConnectionDrainingTimeoutAttribute**:检查所有经典负载均衡器,确保它们的连接耗尽超时值相同。
+ **ElbV1IdleTimeoutAttribute**:检查所有经典负载均衡器,确保它们的空闲超时值相同。
+ **ElbV1ProvisionedCapacityLcuCount**:检查所有预配置的 LCU 大于 10 的经典负载均衡器,确保它们占资源集中最高预配置 LCU 的 20% 以内。
+ **ElbV1ProvisionedCapacityStatus**:检查每个经典负载均衡器的预配置容量状态,确保其值不是 DISABLED 或 PENDING。
**Amazon EBS 卷**
+ **EbsVolumeEncryption**:检查所有 EBS 卷,确保它们的加密值相同(ENABLED 或 DISABLED)。
+ **EbsVolumeEncryptionDefault**:检查所有 EBS 卷,确保它们的默认加密值相同(ENABLED 或 DISABLED)。
+ **EbsVolumeIops**:检查所有EBS卷以确保它们的每秒 input/output 操作数 (IOPS) 相同。
+ **EbsVolumeKmsKeyId**:检查所有EBS卷以确保它们的默认 AWS KMS 密钥 ID 相同。
+ **EbsVolumeMultiAttach**:检查所有 EBS 卷,确保它们的多重挂载值相同(ENABLED 或 DISABLED)。
+ **EbsVolumeQuotas**:检查所有 EBS 卷,确保它们符合 Service Quotas 设置的限额(限制)。
+ **EbsVolumeSize**:检查所有 EBS 卷,确保它们的可读大小相同。
+ **EbsVolumeState**:检查所有 EBS 卷,确保它们的卷状态相同。
+ **EbsVolumeType**:检查所有 EBS 卷,确保它们的卷类型相同。
**AWS Lambda 函数**
+ **LambdaMemorySize**:检查所有 Lambda 函数,确保它们的内存大小相同。如果有一个内存比较多,则其他标记为 `NOT READY`。
+ **LambdaFunctionTimeout**:检查所有 Lambda 函数,确保它们的超时值相同。如果有一个的值比较大,则其他标记为 `NOT READY`。
+ **LambdaFunctionRuntime**:检查所有 Lambda 函数,确保它们都具有相同的运行时间。
+ **LambdaFunctionReservedConcurrentExecutions**:检查所有 Lambda 函数,确保它们都具有相同的 `Reserved Concurrent Executions` 值。如果有一个的值比较大,则其他标记为 `NOT READY`。
+ **LambdaFunctionDeadLetterConfig**:检查所有 Lambda 函数,确保它们全都定义或都没定义 `Dead Letter Config`。
+ **LambdaFunctionProvisionedConcurrencyConfig**:检查所有 Lambda 函数,确保它们的 `Provisioned Concurrency` 值相同。
+ **LambdaFunctionSecurityGroupCount**:检查所有 Lambda 函数,确保它们的 `Security Groups` 值相同。
+ **LambdaFunctionSubnetIdCount**:检查所有 Lambda 函数,确保它们的 `Subnet Ids` 值相同。
+ **LambdaFunctionEventSourceMappingMatch**:检查所有 Lambda 函数,确保它们之间所有选定的 `Event Source Mapping ` 属性都匹配。
+ **LambdaFunctionLimitsRule**:检查所有 Lambda 函数,确保它们符合由 Service Quotas 管理的限额(限制)。
**网络负载均衡器和应用程序负载均衡器**
+ **ElbV2CheckAzCount**:检查每个网络负载均衡器,确保其仅连接到一个可用区。注意:该规则不影响就绪状态。
+ **ElbV2TargetGroupsCanServeTraffic**:检查每个网络负载均衡器和应用程序负载均衡器,确保其至少有一个运行正常的 Amazon EC2 实例。
+ **ElbV2State**:检查每个网络负载均衡器和应用程序负载均衡器,确保其处于 `ACTIVE` 状态。
+ **ElbV2IpAddressType**:检查所有网络负载均衡器和应用程序负载均衡器,确保它们的 IP 地址类型相同。
+ **ElbV2Scheme**:检查所有网络负载均衡器和应用程序负载均衡器,确保它们的方案相同。
+ **ElbV2Type**:检查所有网络负载均衡器和应用程序负载均衡器,确保它们的类型相同。
+ **ElbV2S3LogsEnabled**:检查所有网络负载均衡器和应用程序负载均衡器,确保它们的 Amazon S3 服务器访问日志值相同(ENABLED 或 DISABLED)。
+ **ElbV2DeletionProtection**:检查所有网络负载均衡器和应用程序负载均衡器,确保它们的删除保护值相同(ENABLED 或 DISABLED)。
+ **ElbV2IdleTimeoutSeconds**:检查所有网络负载均衡器和应用程序负载均衡器,确保它们的空闲时间秒数值相同。
+ **ElbV2HttpDropInvalidHeaders**:检查所有网络负载均衡器和应用程序负载均衡器,确保它们的 HTTP 丢弃无效标题值相同。
+ **ElbV2Http2Enabled**:检查所有网络负载均衡器和应用程序负载均衡器,确保它们的值相同 HTTP2 (启用或禁用)。
+ **ElbV2CrossZoneEnabled**:检查所有网络负载均衡器和应用程序负载均衡器,确保它们具有相同的跨区域负载均衡值(ENABLED 或 DISABLED)。
+ **ElbV2ProvisionedCapacityLcuCount**:检查所有预配置的 LCU 大于 10 的网络负载均衡器和应用程序负载均衡器,确保它们占资源集中最高预配置 LCU 的 20% 以内。
+ **ElbV2ProvisionedCapacityEnabled**:检查所有网络负载均衡器和应用程序负载均衡器的预配置容量状态,确保其值不是 DISABLED 或 PENDING。
**Amazon MSK 集群**
+ **MskClusterClientSubnet**:检查每个 MSK 集群,确保它只有两个或只有三个客户端子网。
+ **MskClusterInstanceType**:检查所有 MSK 集群,确保它们具有相同的 Amazon EC2 实例类型。
+ **MskClusterSecurityGroups**:检查所有 MSK 集群,确保它们具有相同的安全组。
+ **MskClusterStorageInfo**:检查所有 MSK 集群,确保它们的 EBS 存储卷大小相同。如果有一个的值比较大,则其他标记为 NOT READY。
+ **MskClusterACMCertificate**:检查所有 MSK 集群,确保它们具有相同的客户端授权证书列表。 ARNs
+ **MskClusterServerProperties**:检查所有 MSK 集群,确保它们的 `Current Broker Software Info` 值相同。
+ **MskClusterKafkaVersion**:检查所有 MSK 集群,确保它们的 Kafka 版本相同。
+ **MskClusterEncryptionInTransitInCluster**:检查所有 MSK 集群,确保它们的 `Encryption In Transit In Cluster` 值相同。
+ **MskClusterEncryptionInClientBroker**:检查所有 MSK 集群,确保它们的 `Encryption In Transit Client Broker` 值相同。
+ **MskClusterEnhancedMonitoring**:检查所有 MSK 集群,确保它们的 `Enhanced Monitoring` 值相同。
+ **MskClusterOpenMonitoringInJmx**:检查所有 MSK 集群,确保它们的 `Open Monitoring JMX Exporter` 值相同。
+ **MskClusterOpenMonitoringInNode**: 检查所有 MSK 集群,确保它们的 `Open Monitoring Not Exporter.` 值相同。
+ **MskClusterLoggingInS3**:检查所有 MSK 集群,确保它们的 `Is Logging in S3` 值相同。
+ **MskClusterLoggingInFirehose**:检查所有 MSK 集群,确保它们的 `Is Logging In Firehose` 值相同。
+ **MskClusterLoggingInCloudWatch**:检查所有 MSK 集群,确保它们的 `Is Logging Available In CloudWatch Logs` 值相同。
+ **MskClusterNumberOfBrokerNodes**:检查所有 MSK 集群,确保它们的 `Number of Broker Nodes` 值相同。如果有一个的值比较大,则其他标记为 NOT READY。
+ **MskClusterState**:检查每个 MSK 集群,确保其处于 ACTIVE 状态。
+ **MskClusterLimitsRule**:检查所有 Lambda 函数,确保它们符合由 Service Quotas 管理的限额(限制)。
**Amazon Route 53 运行状况检查**
+ **R53HealthCheckType**:检查每个 Route 53 运行状况检查,确保其类型不是 CALCULATED,并且所有检查的类型都相同。
+ **R53HealthCheckDisabled**:检查每个 Route 53 运行状况检查,确保其不处于 DISABLED 状态。
+ **R53HealthCheckStatus**:检查每个 Route 53 运行状况检查,确保其处于 SUCCESS 状态。
+ **R53HealthCheckRequestInterval**:检查所有 Route 53 运行状况检查,确保它们都具有相同的 `Request Interval` 值。
+ **R53HealthCheckFailureThreshold**:检查所有 Route 53 运行状况检查,确保它们都具有相同的 `Failure Threshold.` 值。
+ **R53HealthCheckEnableSNI**:检查所有 Route 53 运行状况检查,确保它们都具有相同的 `Enable SNI.` 值。
+ **R53HealthCheckSearchString**:检查所有 Route 53 运行状况检查,确保它们都具有相同的 `Search String.` 值。
+ **R53HealthCheckRegions**:检查所有 Route 53 运行状况检查,确保它们都有相同的 AWS 区域列表。
+ **R53HealthCheckMeasureLatency**:检查所有 Route 53 运行状况检查,确保它们都具有相同的 `Measure Latency` 值。
+ **R53HealthCheckInsufficientDataHealthStatus**:检查所有 Route 53 运行状况检查,确保它们都具有相同的 `Insufficient Data Health Status` 值。
+ **R53HealthCheckInverted**:检查所有 Route 53 运行状况检查,确保它们全都倒置或全未倒置。
+ **R53HealthCheckResourcePath**:检查所有 Route 53 运行状况检查,确保它们都具有相同的 `Resource Path` 值。
+ **R53HealthCheckCloudWatchAlarm**:检查所有 Route 53 运行状况检查,确保与之关联的 CloudWatch 警报具有相同的设置和配置。
**Amazon SNS 订阅**
+ **SnsSubscriptionProtocol**:检查所有 SNS 订阅,确保它们的协议相同。
+ **SnsSubscriptionSqsLambdaEndpoint**:检查所有包含 Lambda 或 SQS 端点的 SNS 订阅,确保它们包含不同的端点。
+ **SnsSubscriptionNonAwsEndpoint**:检查所有具有非AWS 服务端点类型(例如电子邮件)的 SNS 订阅,以确保订阅具有相同的终端节点。
+ **SnsSubscriptionPendingConfirmation**:检查所有 SNS 订阅,确保它们的“待确认”值相同。
+ **SnsSubscriptionDeliveryPolicy**:检查所有使用的 SNS 订阅, HTTP/S 以确保它们的 “有效交付期” 值相同。
+ **SnsSubscriptionRawMessageDelivery**:检查所有 SNS 订阅,确保它们的“原始消息传输”值相同。
+ **SnsSubscriptionFilter**:检查所有 SNS 订阅,确保它们的“筛选策略”值相同。
+ **SnsSubscriptionRedrivePolicy**:检查所有 SNS 订阅,确保它们的“重新驱动政策”值相同。
+ **SnsSubscriptionEndpointEnabled**:检查所有 SNS 订阅,确保它们的“端点已启用”的值相同。
+ **SnsSubscriptionLambdaEndpointValid**:检查所有包含 Lambda 端点的 SNS 订阅,确保它们包含有效的 Lambda 端点。
+ **SnsSubscriptionSqsEndpointValidRule**:检查所有使用 SQS 端点的 SNS 订阅,确保它们包含有效的 SQS 端点。
+ **SnsSubscriptionQuotas**:检查所有 SNS 订阅,确保它们符合由 Service Quotas 管理的限额(限制)。
**Amazon SNS 主题**
+ **SnsTopicDisplayName**:检查所有 SNS 主题,确保它们的 `Display Name` 值相同。
+ **SnsTopicDeliveryPolicy**:检查所有拥有 HTTPS 订阅用户的 SNS 主题,确保它们的 `EffectiveDeliveryPolicy` 相同。
+ **SnsTopicSubscription**:检查所有 SNS 主题,确保每个协议的订阅用户数相同。
+ **SnsTopicAwsKmsKey**:检查所有 SNS 主题,确保所有主题都有或都没有 AWS KMS 密钥。
+ **SnsTopicQuotas**:检查所有 SNS 主题,确保它们符合由 Service Quotas 管理的限额(限制)。
**Amazon SQS 队列**
+ **SqsQueueType**:检查所有 SQS 队列,确保它们都具有相同的 `Type` 值。
+ **SqsQueueDelaySeconds**:检查所有 SQS 队列,确保它们都具有相同的 `Delay Seconds` 值。
+ **SqsQueueMaximumMessageSize**:检查所有 SQS 队列,确保它们都具有相同的 `Maximum Message Size` 值。
+ **SqsQueueMessageRetentionPeriod**:检查所有 SQS 队列,确保它们都具有相同的 `Message Retention Period` 值。
+ **SqsQueueReceiveMessageWaitTimeSeconds**:检查所有 SQS 队列,确保它们都具有相同的 `Receive Message Wait Time Seconds` 值。
+ **SqsQueueRedrivePolicyMaxReceiveCount**:检查所有 SQS 队列,确保它们都具有相同的 `Redrive Policy Max Receive Count` 值。
+ **SqsQueueVisibilityTimeout**:检查所有 SQS 队列,确保它们都具有相同的 `Visibility Timeout` 值。
+ **SqsQueueContentBasedDeduplication**:检查所有 SQS 队列,确保它们都具有相同的 `Content-Based Deduplication` 值。
+ **SqsQueueQuotas**:检查所有 SQS 队列,确保它们符合由 Service Quotas 管理的限额(限制)。
**Amazon VPCs**
+ **VpcCidrBlock**:检查所有内容 VPCs ,确保它们的 CIDR 块网络大小值相同。
+ **VpcCidrBlocksSameProtocolVersion**:检查所有 VPCs 具有相同 CIDR 块的内容,确保它们的 Internet 流协议版本号值相同。
+ **VpcCidrBlocksStateInAssociationSets**:检查所有的 CIDR 区块关联集, VPCs 确保它们都有处于状态的 CIDR 块。`ASSOCIATED`
+ **VpcIpv6CidrBlocksStateInAssociationSets**:检查所有地址的所有 CIDR 块关联集, VPCs 确保它们的 CIDR 块都具有相同数量的地址。
+ **VpcCidrBlocksInAssociationSets**:检查所有的 CIDR 区块关联集 VPCs ,确保它们的大小相同。
+ **VpcIpv6CidrBlocksInAssociationSets**:检查所有的 IPv6 CIDR 区块关联集, VPCs 确保它们的大小相同。
+ **VpcState**:检查每个 VPC,确保其处于 `AVAILABLE` 状态。
+ **VpcInstanceTenancy**: 检查所有 VPCs 内容以确保它们都具有相同的值。`Instance Tenancy`
+ **VpcIsDefault**: 检查所有 VPCs 内容以确保它们具有相同的值 `Is Default.`
+ **VpcSubnetState**:检查每个 VPC 子网,确保其处于 AVAILABLE 状态。
+ **VpcSubnetAvailableIpAddressCount**:检查每个 VPC 子网,确保其可用的 IP 地址数大于零。
+ **VpcSubnetCount**:检查所有 VPC 子网,确保它们的子网数量相同。
+ **VpcQuotas**:检查所有 VPC 子网,确保它们符合由 Service Quotas 管理的限额(限制)。
**Site-to-Site VPN 连接**
+ **VpnConnectionsRouteCount**:检查所有 VPN 连接,确保它们至少有一条路由,而且路由数量相同。
+ **VpnConnectionsEnableAcceleration**:检查所有 VPN 连接,确保它们的 `Enable Accelerations` 值相同。
+ **VpnConnectionsStaticRoutesOnly**:检查所有 VPN 连接,确保它们的 `Static Routes Only.` 值相同。
+ **VpnConnectionsCategory**:检查所有 VPN 连接,确保它们的类别为 `VPN`。
+ **VpnConnectionsCustomerConfiguration**:检查所有 VPN 连接,确保它们的 `Customer Gateway Configuration` 值相同。
+ **VpnConnectionsCustomerGatewayId**:检查每个 VPN 连接,确保它连接了客户网关。
+ **VpnConnectionsRoutesState**:检查所有 VPN 连接,确保它们处于 `AVAILABLE` 状态。
+ **VpnConnectionsVgwTelemetryStatus**:检查每个 VPN 连接,确保其 VGW 状态为 `UP`。
+ **VpnConnectionsVgwTelemetryIpAddress**:检查每个 VPN 连接,确保其每个 VGW 遥测都有不同的外部 IP 地址。
+ **VpnConnectionsTunnelOptions**:检查所有 VPN 连接,确保它们的隧道选项相同。
+ **VpnConnectionsRoutesCidr**:检查所有 VPN 连接,确保它们的目标 CIDR 块相同。
+ **VpnConnectionsInstanceType**:检查所有 VPN 连接,确保它们的 `Instance Type` 相同。
**Site-to-Site VPN 网关**
+ **VpnGatewayState**:检查所有 VPN 网关,确保它们处于 AVAILABLE 状态。
+ **VpnGatewayAsn**:检查所有 VPN 网关,确保它们的 ASN 相同。
+ **VpnGatewayType**:检查所有 VPN 网关,确保它们的类型相同。
+ **VpnGatewayAttachment**:检查所有 VPN 网关,确保它们的连接配置相同。
## 在控制台上查看就绪规则
您可以在上查看按每种资源类型列出的就绪规则。 AWS 管理控制台
## 在控制台上查看就绪规则的步骤
1. 访问 [https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard),打开 ARC 控制台。
1. 选择**就绪检查**。
1. 在**资源类型**下,选择需要的资源类型以查看其规则。
# ARC 中的资源类型和 ARN 格式
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
在 Amazon 应用程序恢复控制器 (ARC) 中创建资源集时,您可以指定要包含在集合中的资源类型以及要包含的每个资源的亚马逊资源名称 (ARNs)。ARC 要求每种资源类型采用特定的 ARN 格式。本节列出了 ARC 支持的资源类型以及每种资源类型的关联 ARN 格式。
具体格式取决于资源。当您提供 ARN 时,请用您的资源特定信息替换*italicized*文本。
**注意**
请注意,ARC 要求的资源 ARN 格式可能不同于服务本身所要求的资源 ARN 格式。例如,《服务[授权参考》中每项服务的**资源类型**部分中描述的 ARN 格式可能不包括 ARC 支持 ARC 服务](https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html)中的功能所需的 AWS 账户 ID 或其他信息。
**AWS::ApiGateway::Stage**
Amazon API Gateway 版本 1 阶段。
+ **ARN 格式:**`arn:partition:apigateway:region:account:/restapis/api-id/stages/stage-name`
示例:`arn:aws:apigateway:us-east-1:111122223333:/restapis/123456789/stages/ExampleStage`
有关更多信息,请参阅 [API Gateway Amazon 资源名称 (ARN) 参考](https://docs.aws.amazon.com/apigateway/latest/developerguide/arn-format-reference.html)。
**AWS::ApiGatewayV2::Stage**
Amazon API Gateway 版本 2 阶段。
+ **ARN 格式:**`arn:partition:apigateway:region:account:/apis/api-id/stages/stage-name`
示例:`arn:aws:apigateway:us-east-1:111122223333:/apis/123456789/stages/ExampleStage`
有关更多信息,请参阅 [API Gateway Amazon 资源名称 (ARN) 参考](https://docs.aws.amazon.com/apigateway/latest/developerguide/arn-format-reference.html)。
**AWS::CloudWatch::Alarm**
亚马逊 CloudWatch 警报。
+ **ARN 格式:**`arn:partition:cloudwatch:region:account:alarm:alarm-name`
示例:`arn:aws:cloudwatch:us-west-2:111122223333:alarm:test-alarm-1`
有关更多信息,请参阅 [Amazon 定义的资源类型 CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatch.html#amazoncloudwatch-resources-for-iam-policies)。
**AWS::DynamoDB::Table**
Amazon DynamoDB 表。
+ **ARN 格式:**`arn:partition:dynamodb:region:account:table/table-name`
示例:`arn:aws:dynamodb:us-west-2:111122223333:table/BigTable`
有关更多信息,请参阅 [DynamoDB 资源和操作](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-overview.html#access-control-resources)。
**AWS::EC2::CustomerGateway**
客户网关设备。
+ **ARN 格式:**`arn:partition:ec2:region:account:customer-gateway/CustomerGatewayId`
示例:`arn:aws:ec2:us-west-2:111122223333:customer-gateway/vcg-123456789`
有关更多信息,请参阅 [Amazon EC2 定义的资源类型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies)。
**AWS::EC2::Volume**
Amazon EBS 卷。
+ **ARN 格式:**`arn:partition:ec2:region:account:volume/VolumeId`
示例:`arn:aws:ec2:us-west-2:111122223333:volume/volume-of-cylinder-is-pi`
有关更多信息,请参阅 [API Gateway Amazon 资源名称 (ARN) 参考](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies)。
**AWS::ElasticLoadBalancing::LoadBalancer**
经典负载均衡器。
+ **ARN 格式:**`arn:partition:elasticloadbalancing:region:account:loadbalancer/LoadBalancerName`
示例:`arn:aws:elasticloadbalancing:us-west-2:111122223333:loadbalancer/123456789abcbdeCLB`
有关更多信息,请参阅 [Elastic Load Balancing 资源](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/load-balancer-authentication-access-control.html#elb-resources)。
**AWS::ElasticLoadBalancingV2::LoadBalancer**
网络负载均衡器或应用程序负载均衡器。
+ **网络负载均衡器的 ARN 格式:**`arn:partition:elasticloadbalancing:region:account:loadbalancer/net/LoadBalancerName`
网络负载均衡器示例:`arn:aws:elasticloadbalancing:us-west-2:111122223333:loadbalancer/net/sandbox-net/123456789acbdeNLB`
+ **应用程序负载均衡器的 ARN 格式:**`arn:partition:elasticloadbalancing:region:account:loadbalancer/app/LoadBalancerName`
应用程序负载均衡器示例:`arn:aws:elasticloadbalancing:us-west-2:111122223333:loadbalancer/app/sandbox-alb/123456789acbdeALB`
有关更多信息,请参阅 [Elastic Load Balancing 资源](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/load-balancer-authentication-access-control.html#elb-resources)。
**AWS::Lambda::Function**
一个 AWS Lambda 函数。
+ **ARN 格式:**`arn:partition:lambda:region:account:function:FunctionName`
示例:`arn:aws:lambda:us-west-2:111122223333:function:my-function`
有关更多信息,请参阅 [Lambda 操作的资源和条件](https://docs.aws.amazon.com/lambda/latest/dg/lambda-api-permissions-ref.html)。
**AWS::MSK::Cluster**
Amazon MSK 集群。
+ **ARN 格式:**`arn:partition:kafka:region:account:cluster/ClusterName/UUID`
示例:`arn:aws:kafka:us-east-1:111122223333:cluster/demo-cluster-1/123456-1111-2222-3333`
有关更多信息,请参阅 [Amazon Managed Streaming for Apache Kafka 定义的资源类型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforapachekafka.html#amazonmanagedstreamingforapachekafka-resources-for-iam-policies)。
**AWS::RDS::DBCluster**
Aurora 数据库集群。
+ **ARN 格式:**`arn:partition:rds:region:account:cluster:DbClusterInstanceName`
示例:`arn:aws:rds:us-west-2:111122223333:cluster:database-1`
有关更多信息,请参阅在 Amazon [RDS 中使用亚马逊资源名称 (ARNs)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.ARN.html)。
**AWS::Route53::HealthCheck**
Amazon Route 53 运行状况检查。
+ **ARN 格式:**`arn:partition:route53:::healthcheck/Id`
示例:`arn:aws:route53:::healthcheck/123456-1111-2222-3333`
**AWS::SQS::Queue**
Amazon SQS 队列。
+ **ARN 格式:**`arn:partition:sqs:region:account:QueueName`
示例:`arn:aws:sqs:us-west-2:111122223333:StandardQueue`
有关更多信息,请参阅 [Amazon Simple Queue Service 资源和操作](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-overview-of-managing-access.html#sqs-resource-and-operations)。
**AWS::SNS::Topic**
Amazon SNS 主题。
+ **ARN 格式:**`arn:partition:sns:region:account:TopicName`
示例:`arn:aws:sns:us-west-2:111122223333:TopicName`
有关更多信息,请参阅 [Amazon SNS 资源 ARN 格式](https://docs.aws.amazon.com/sns/latest/dg/sns-using-identity-based-policies.html#sns-arn-format)。
**AWS::SNS::Subscription**
Amazon SNS 订阅。
+ **ARN 格式:**`arn:partition:sns:region:account:TopicName:SubscriptionId`
示例:`arn:aws:sns:us-west-2:111122223333:TopicName:123456789012345567890`
**AWS::EC2::VPC**
虚拟私有云 (VPC)。
+ **ARN 格式:**`arn:partition:ec2:region:account:vpc/VpcId`
示例:`arn:aws:ec2:us-west-2:111122223333:vpc/vpc-123456789`
有关更多信息,请参阅 [VPC 资源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies)。
**AWS::EC2::VPNConnection**
虚拟专用网络 (VPN) 连接。
+ **ARN 格式:**`arn:partition:ec2:region:account:vpn-connection/VpnConnectionId`
示例:`arn:aws:ec2:us-west-2:111122223333:vpn-connection/vpn-123456789`
有关更多信息,请参阅 [Amazon EC2 定义的资源类型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies)。
**AWS::EC2::VPNGateway**
虚拟专用网络 (VPN) 网关。
+ **ARN 格式:**`arn:partition:ec2:region:account:vpn-gateway/VpnGatewayId`
示例:`arn:aws:ec2:us-west-2:111122223333:vpn-gateway/vgw-123456789acbdefgh`
有关更多信息,请参阅 [Amazon EC2 定义的资源类型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies)。
**AWS::Route53RecoveryReadiness::DNSTargetResource**
用于就绪检查的 DNS 目标资源包括 DNS 记录类型、域名、Route 53 托管区 ARN 以及网络负载均衡器 ARN 或 Route 53 记录集 ID。
+ **托管区的 ARN 格式:**`arn:partition:route53::account:hostedzone/Id`
托管区示例:`arn:aws:route53::111122223333:hostedzone/abcHostedZone`
注意:您必须按照此处指定的方式在托管区域 ARNs中包含账户 ID。必须提供账户 ID,这样 ARC 才能轮询资源。该格式故意不同于 Amazon Route 53 要求的 ARN 格式(在《服务授权参考》**的 Route 53 服务[资源类型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html#amazonroute53-resources-for-iam-policies)中有描述)。
+ **网络负载均衡器的 ARN 格式:**`arn:partition:elasticloadbalancing:region:account:loadbalancer/net/LoadBalancerName`
网络负载均衡器示例:`arn:aws:elasticloadbalancing:us-west-2:111122223333:loadbalancer/net/sandbox-net/123456789acbdefgh`
有关更多信息,请参阅 [Elastic Load Balancing 资源](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/load-balancer-authentication-access-control.html#elb-resources)。
# Amazon 应用程序恢复控制器(ARC)中的就绪检查的日志记录和监控
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
您可以使用 Amazon CloudWatch 和 Amazon EventBridge 在 Amazon 应用程序恢复控制器 (ARC) 中监控准备情况检查,以分析模式并帮助解决问题。 AWS CloudTrail
**注意**
您必须在控制台和使用时查看美国西部(俄勒冈)地区的 ARC CloudWatch 指标和日志 AWS CLI。使用时 AWS CLI,请通过包括以下参数为您的命令指定美国西部(俄勒冈)区域:`--region us-west-2`。
**Topics**
+ [在 ARC 中 CloudWatch 使用亚马逊进行准备情况检查](cloudwatch-readiness.md)
+ [使用记录准备情况检查 API 调用 AWS CloudTrail](cloudtrail-readiness.md)
+ [在 Amazon 上使用 ARC 中的准备情况检查 EventBridge](eventbridge-readiness.md)
# 在 ARC 中 CloudWatch 使用亚马逊进行准备情况检查
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
Amazon 应用程序恢复控制器 (ARC) 将数据点发布到亚马逊 CloudWatch ,供您检查准备情况。 CloudWatch 允许您以一组有序的时间序列数据(称为*指标*)的形式检索有关这些数据点的统计信息。可将指标视为要监控的变量,而将数据点视为该变量随时间变化的值。例如,您可以监控指定时间段内通过某个 AWS 区域的流量。每个数据点都有相关联的时间戳和可选测量单位。
您可使用指标来验证系统是否正常运行。例如,您可以创建 CloudWatch 警报来监控指定的指标,并在该指标超出您认为可接受的范围时启动操作(例如向电子邮件地址发送通知)。
有关更多信息,请参阅 [Amazon CloudWatch 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)。
**Topics**
+ [ARC 指标](#cloudwatch-metrics-recovery-readiness)
+ [ARC 指标的统计数据](#cloudwatch-metric-statistics)
+ [在 ARC 中查看 CloudWatch 指标](#view-metric-data)
## ARC 指标
`AWS/Route53RecoveryReadiness` 命名空间包括以下指标。
| 指标 | 说明 |
| --- | --- |
| ReadinessChecks | 表示 ARC 处理的就绪检查的数量。该指标可以按状态确定维度,如下所示。 **单位**:`Count`。 **报告标准**:有非零值。 **统计数据**:唯一有用的统计数据是 `Sum`。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/r53recovery/latest/dg/cloudwatch-readiness.html) |
| Resources | 表示 ARC 处理的资源数量,可以根据 API 定义的资源标识符来确定维度。 **单位**:`Count`。 **报告标准**:有非零值。 **统计数据**:唯一有用的统计数据是 `Sum`。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/r53recovery/latest/dg/cloudwatch-readiness.html) |
## ARC 指标的统计数据
CloudWatch 根据 ARC 发布的指标数据点提供统计信息。统计数据是在指定的时间段内汇总的指标数据。当请求统计数据时,返回的数据流按指标名称和维度进行识别。维度是唯一标识指标的 name/value 配对。
以下是您可能会觉得有用的 metric/dimension 组合示例:
+ 查看 ARC 为评估就绪情况而进行的就绪检查数量。
+ 查看 ARC 评估的给定资源集类型的资源总数。
## 在 ARC 中查看 CloudWatch 指标
您可以使用 CloudWatch 控制台或查看 ARC 的 CloudWatch 指标 AWS CLI。在控制台中,这些指标显示为监控图表。
无论是在控制台中还是在使用时,您都必须查看美国西部(俄勒冈)地区的 ARC CloudWatch 指标 AWS CLI。使用时 AWS CLI,请通过包括以下参数为您的命令指定美国西部(俄勒冈)区域:`--region us-west-2`。
**使用 CloudWatch 控制台查看指标**
1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 在导航窗格中,选择**指标**。
1. 选择 **Route53 命RecoveryReadiness**名空间。
1. (可选) 要跨所有维度查看某个指标,请在搜索字段中键入其名称。
**要查看指标,请使用 AWS CLI**
使用以下 [list-metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) 命令列出可用指标:
```
aws cloudwatch list-metrics --namespace AWS/Route53RecoveryReadiness --region us-west-2
```
**要获取指标的统计数据,请使用 AWS CLI**
使用以下[get-metric-statistics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html)命令获取指定指标和维度的统计信息。请注意, CloudWatch 将每个唯一的维度组合视为一个单独的指标。您无法使用未专门发布的维度组合检索统计数据。您必须指定创建指标时使用的同一维度。
以下示例列出了 ARC 中某账户每分钟评估的就绪检查总数。
```
aws cloudwatch get-metric-statistics --namespace AWS/Route53RecoveryReadiness \
--metric-name ReadinessChecks \
--region us-west-2 \
--statistics Sum --period 60 \
--dimensions Name=State,Value=READY \
--start-time 2021-07-03T01:00:00Z --end-time 2021-07-03T01:20:00Z
```
下面是该命令的示例输出:
```
{
"Label": "ReadinessChecks",
"Datapoints": [
{
"Timestamp": "2021-07-08T18:00:00Z",
"Sum": 1.0,
"Unit": "Count"
},
{
"Timestamp": "2021-07-08T18:04:00Z",
"Sum": 1.0,
"Unit": "Count"
},
{
"Timestamp": "2021-07-08T18:01:00Z",
"Sum": 1.0,
"Unit": "Count"
},
{
"Timestamp": "2021-07-08T18:02:00Z",
"Sum": 1.0,
"Unit": "Count"
},
{
"Timestamp": "2021-07-08T18:03:00Z",
"Sum": 1.0,
"Unit": "Count"
}
]
}
```
# 使用记录准备情况检查 API 调用 AWS CloudTrail
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
与 AWS CloudTrail一项服务集成,该服务提供用户、角色或 AWS 服务在 ARC 中执行的操作的记录。 CloudTrail 将 ARC 的所有 API 调用捕获为事件。捕获的调用包含来自 ARC 控制台的调用和对 ARC API 操作的代码调用。
如果您创建跟踪,则可以允许将 CloudTrail 事件持续传输到 Amazon S3 存储桶,包括 ARC 的事件。如果您未配置跟踪,您仍然可以在 CloudTrail 控制台的 “事件**历史记录” 中查看最新的事件**。
使用收集的信息 CloudTrail,您可以确定向 ARC 发出的请求、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。
要了解更多信息 CloudTrail,请参阅《[AWS CloudTrail 用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
## ARC 信息在 CloudTrail
CloudTrail 在您创建账户 AWS 账户 时已在您的账户上启用。当活动在 ARC 中发生时,该活动会与其他 AWS 服务 CloudTrail 事件一起记录在**事件历史**记录中。您可以在中查看、搜索和下载最近发生的事件 AWS 账户。有关更多信息,请参阅[使用 CloudTrail 事件历史记录](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
要持续记录您的 AWS 账户事件(包括 ARC 的事件),请创建跟踪。*跟踪*允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。默认情况下,在控制台中创建跟踪记录时,此跟踪记录应用于所有 AWS 区域。跟踪记录 AWS 分区中所有区域的事件,并将日志文件传送到您指定的 Amazon S3 存储桶。此外,您可以配置其他 AWS 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅下列内容:
+ [创建跟踪记录概述](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [配置 Amazon SNS 通知 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [接收来自多个地区的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收来自多个账户的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
所有 ARC 操作均由 CloudTrail 《亚马逊应用程序恢复控制器[恢复准备 API 参考指南》、《亚马逊应用程序恢复控制器恢复控制器恢复控制](https://docs.aws.amazon.com/recovery-readiness/latest/api/)[配置 API 参考指南》和《亚马逊应用程序恢复控制器](https://docs.aws.amazon.com/recovery-cluster/latest/api/)[路由控制 API 参考指南》记录并记录在《亚马逊应用程序恢复控制器 API 参考指南》](https://docs.aws.amazon.com/routing-control/latest/APIReference/)中。例如,调用`UpdateRoutingControlState`和`CreateRecoveryGroup`操作会在 CloudTrail 日志文件中生成条目。`CreateCluster`
每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
+ 请求是使用根证书还是 AWS Identity and Access Management (IAM) 用户凭证发出。
+ 请求是使用角色还是联合用户的临时安全凭证发出的。
+ 请求是否由其他 AWS 服务发出。
有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 在事件历史记录中查看 ARC 事件
CloudTrail 允许您在事件**历史记录中查看最近的事件**。要查看 ARC API 请求事件,您必须在控制台顶部的“区域”选择器中选择**美国西部(俄勒冈州)**。有关更多信息,请参阅《*AWS CloudTrail 用户指南》*中的 “[使用 CloudTrail 事件历史记录](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)”。
## 了解 ARC 日志文件条目
跟踪是一种配置,允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。事件代表来自任何来源的单个请求,包括有关请求的操作、操作的日期和时间、请求参数等的信息。 CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此它们不会按任何特定的顺序出现。
以下示例显示了一个 CloudTrail 日志条目,该条目演示了准备情况检查的`CreateRecoveryGroup`操作。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-07-06T17:38:05Z"
}
}
},
"eventTime": "2021-07-06T18:08:03Z",
"eventSource": "route53-recovery-readiness.amazonaws.com",
"eventName": "CreateRecoveryGroup",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": {
"recoveryGroupName": "MyRecoveryGroup"
},
"responseElements": {
"Access-Control-Expose-Headers": "x-amzn-errortype,x-amzn-requestid,x-amzn-errormessage,x-amzn-trace-id,x-amzn-requestid,x-amz-apigw-id,date",
"cells": [],
"recoveryGroupName": "MyRecoveryGroup",
"recoveryGroupArn": "arn:aws:route53-recovery-readiness::111122223333:recovery-group/MyRecoveryGroup",
"tags": "***"
},
"requestID": "fd42dcf7-6446-41e9-b408-d096example",
"eventID": "4b5c42df-1174-46c8-be99-d67aexample",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
# 在 Amazon 上使用 ARC 中的准备情况检查 EventBridge
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
使用 Amazon EventBridge,您可以设置事件驱动的规则,监控您在亚马逊应用程序恢复控制器 (ARC) 中的准备情况检查资源,然后启动使用其他 AWS 服务的目标操作。例如,您可以设置一个规则,当就绪检查状态从**就绪**变为**未就绪**时,通过向 Amazon SNS 主题发信号来发送电子邮件通知。
**注意**
ARC 仅在美国西部(俄勒冈)(us-west- AWS 2) 地区发布准备情况检查 EventBridge 活动。要接收 EventBridge 事件以进行准备情况检查,请在美国西部(俄勒冈)区域创建 EventBridge 规则。
您可以在 Amazon 中创建规则 EventBridge ,以便对以下 ARC 准备情况检查事件采取行动:
+ *就绪检查就绪。*该事件指定就绪检查状态是否发生变化,例如,从 **READY** 变为 **NOT READY**。
要捕获您感兴趣的特定 ARC 事件,请定义 EventBridge 可用于检测事件的特定事件模式。事件规律与它们匹配的事件具有相同的结构。模式引用了您要匹配的字段,并提供您所查找的值。
尽最大努力发出事件。在正常运行情况下,它们几乎实时 EventBridge 地从ARC交付。但是,可能会出现延迟或阻止事件交付的情况。
有关 EventBridge 规则如何处理事件模式的信息,请参阅[中的事件和事件模式 EventBridge](https://docs.aws.amazon.com//eventbridge/latest/userguide/eventbridge-and-event-patterns.html)。
## 使用监控准备情况检查资源 EventBridge
借 EventBridge助,您可以创建规则,以定义 ARC 为准备情况检查资源发出事件时要采取的操作。
要在 EventBridge 控制台中键入或复制并粘贴事件模式,请在控制台中选择 “**Enter my ow** n” 选项。为帮助确定对您有用的事件规律,本主题包括[就绪事件规律示例](#arc-eventbridge-examples-readiness)。
**要为资源事件创建规则**
1. 打开 Amazon EventBridge 控制台,网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。
1. AWS 区域 要在中创建规则,请选择美国西部(俄勒冈)。这是就绪事件要求的区域。
1. 选择 **Create rule (创建规则)**。
1. 输入规则的 **Name (名称)** 和“Description (描述)”(可选)。
1. 对于**事件总线**,保留默认值,即**默认**。
1. 选择**下一步**。
1. 对于**构建事件规律**步骤,对于**事件源**,保留默认值,即 **AWS 事件**。
1. 在**示例事件**下,选择**输入我自己的**。
1. 对于**示例事件**,键入或复制并粘贴事件规律。有关示例,请参阅下一节。
## 就绪事件规律示例
事件规律与它们匹配的事件具有相同的结构。模式引用了您要匹配的字段,并提供您所查找的值。
您可以将本节中的事件模式复制并粘贴 EventBridge 到中,以创建可用于监控 ARC 操作和资源的规则。
以下事件模式提供了一些示例,您可以在 ARC EventBridge 的准备情况检查功能中使用这些示例。
+ *选择来自 ARC 就绪检查的所有事件*。
```
{
"source": [
"aws.route53-recovery-readiness"
]
}
```
+ *仅选择与单元相关的事件*。
```
{
"source": [
"aws.route53-recovery-readiness"
],
"detail-type": [
"Route 53 Application Recovery Controller cell readiness status change"
]
}
```
+ *仅选择与名为 `MyExampleCell` 的特定单元相关的事件*。
```
{
"source": [
"aws.route53-recovery-readiness"
],
"detail-type": [
"Route 53 Application Recovery Controller cell readiness status change"
],
"resources": [
"arn:aws:route53-recovery-readiness::111122223333:cell/MyExampleCell"
]
}
```
+ *仅选择任何恢复组、单元或就绪检查状态变为 `NOT READY` 时的事件*。
```
{
"source":[
"aws.route53-recovery-readiness"
],
"detail-type":{
"new-state":{
"readiness-status":[
"NOT_READY"
]
}
}
}
```
+ *仅选择任何恢复组、单元或就绪检查变为 `READY` 以外状态时的事件*。
```
{
"source":[
"aws.route53-recovery-readiness"
],
"detail":{
"new-state":{
"readiness-status":[
{
"anything-but":"READY"
}
]
}
}
}
```
以下是 ARC *恢复组就绪状态更改*事件的示例:
```
{
"version": "0",
"account":"111122223333",
"detail-type":"Route 53 Application Recovery Controller recovery group readiness status change",
"source":"route53-recovery-readiness.amazonaws.com",
"time":"2020-11-03T00:31:54Z",
"id": "1234a678-1b23-c123-12fd3f456e78",
"region": "us-west-2",
"resources":[
"arn:aws:route53-recovery-readiness::111122223333:recovery-group/BillingApp"
],
"detail": {
"recovery-group-name": "BillingApp",
"previous-state": {
"readiness-status": "READY|NOT_READY|UNKNOWN|NOT_AUTHORIZED"
},
"new-state": {
"readiness-status": "READY|NOT_READY|UNKNOWN|NOT_AUTHORIZED"
}
}
}
```
以下是 ARC *单元就绪状态更改*事件的示例:
```
{
"version": "0",
"account":"111122223333",
"detail-type":"Route 53 Application Recovery Controller cell readiness status change",
"source":"route53-recovery-readiness.amazonaws.com",
"time":"2020-11-03T00:31:54Z",
"id": "1234a678-1b23-c123-12fd3f456e78",
"region": "us-west-2",
"resources":[
"arn:aws:route53-recovery-readiness::111122223333:cell/PDXCell"
],
"detail": {
"cell-name": "PDXCell",
"previous-state": {
"readiness-status": "READY|NOT_READY|UNKNOWN|NOT_AUTHORIZED"
},
"new-state": {
"readiness-status": "READY|NOT_READY|UNKNOWN|NOT_AUTHORIZED"
}
}
}
```
以下是 ARC *就绪检查状态更改*事件的示例:
```
{
"version": "0",
"account":"111122223333",
"detail-type":"Route 53 Application Recovery Controller readiness check status change",
"source":"route53-recovery-readiness.amazonaws.com",
"time":"2020-11-03T00:31:54Z",
"id": "1234a678-1b23-c123-12fd3f456e78",
"region": "us-west-2",
"resources":[
"arn:aws:route53-recovery-readiness::111122223333:readiness-check/UserTableReadinessCheck"
],
"detail": {
"readiness-check-name": "UserTableReadinessCheck",
"previous-state": {
"readiness-status": "READY|NOT_READY|UNKNOWN|NOT_AUTHORIZED"
},
"new-state": {
"readiness-status": "READY|NOT_READY|UNKNOWN|NOT_AUTHORIZED"
}
}
}
```
## 指定要用作目标的 CloudWatch 日志组
创建 EventBridge 规则时,必须指定将与该规则匹配的事件发送到哪个目标。有关可用目标的列表 EventBridge,请参阅[ EventBridge 控制台中的可用目标](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html#eb-console-targets)。您可以添加到 EventBridge 规则的目标之一是 Amazon CloudWatch 日志组。本节介绍将 CloudWatch 日志组添加为目标的要求,并提供了在创建规则时添加日志组的过程。
要将 CloudWatch 日志组添加为目标,可以执行以下操作之一:
+ 创建新日志组
+ 选择现有日志组
如果您在创建规则时使用控制台指定了新的日志组,则 EventBridge 会自动为您创建该日志组。确保用作 EventBridge 规则目标的日志组以开头`/aws/events`。如果要选择现有的日志组,请注意,只有以 `/aws/events` 开头的日志组才会作为选项出现在下拉菜单中。有关更多信息,请参阅 *Amazon CloudWatch 用户指南*中的[创建新日志组](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)。
如果您使用控制台之外的 CloudWatch 操作创建或使用 CloudWatch 日志组作为目标,请确保正确设置权限。如果您使用控制台向 EventBridge 规则添加日志组,则该日志组的基于资源的策略会自动更新。但是,如果您使用 AWS Command Line Interface 或 S AWS DK 来指定日志组,则必须更新该日志组的基于资源的策略。以下示例策略说明了您必须在日志组的基于资源的策略中定义的权限:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com",
"delivery.logs.amazonaws.com"
]
},
"Resource": "arn:aws:logs:us-east-1:222222222222:log-group:/aws/events/*:*",
"Sid": "TrustEventsToStoreLogEvent"
}
]
}
```
------
您无法使用控制台为日志组配置基于资源的策略。要向基于资源的策略添加所需的权限,请使用 CloudWatch [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html)API 操作。然后,您可以使用 [describe-resource-policies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/logs/describe-resource-policies.html)CLI 命令来检查您的策略是否已正确应用。
**为资源事件创建规则并指定 CloudWatch 日志组目标**
1. 打开 Amazon EventBridge 控制台,网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。
1. 选择 AWS 区域 要在其中创建规则的。
1. 选择**创建规则**,然后输入有关该规则的所有信息,例如事件规律或计划详细信息。
有关创建就绪性 EventBridge 规则的更多信息,请参阅[使用监控准备情况检查资源 EventBridge](#RCEventBridgeCreateRule)。
1. 在 **“选择目标”** 页面上,选择**CloudWatch**作为您的目标。
1. 从下拉菜单中选择一个 CloudWatch 日志组。
# 用于 ARC 就绪检查的 Identity and Access Management
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制可以通过“身份验证”**(登录)和“授权”**(具有权限)使用 ARC 资源的人员。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**Topics**
+ [就绪检查如何与 IAM 协同工作](security_iam_service-with-iam-readiness.md)
+ [基于身份的策略示例](security_iam_id-based-policy-examples-readiness.md)
+ [服务相关角色](using-service-linked-roles-readiness.md)
+ [AWS 托管策略](security-iam-awsmanpol-readiness.md)
# Amazon 应用程序恢复控制器(ARC)中的就绪检查如何与 IAM 协同工作
在使用 IAM 管理对 ARC 的访问之前,您应该了解哪些 IAM 功能可用于 ARC。
在使用 IAM 管理针对 Amazon 应用程序恢复控制器(ARC)中的就绪检查的访问权限之前,您应该了解哪些 IAM 功能可用于就绪检查。
**可用于 Amazon 应用程序恢复控制器(ARC)中的就绪检查的 IAM 功能**
| IAM 功能 | 就绪检查支持 |
| --- | --- |
| [基于身份的策略](#security_iam_service-with-iam-readiness-id-based-policies) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-readiness-resource-based-policies) | 否 |
| [策略操作](#security_iam_service-with-iam-readiness-id-based-policies-actions) | 是 |
| [策略资源](#security_iam_service-with-iam-readiness-id-based-policies-resources) | 是 |
| [策略条件键](#security_iam_service-with-iam-readiness-id-based-policies-conditionkeys) | 是 |
| [ACLs](#security_iam_service-with-iam-readiness-acls) | 否 |
| [ABAC(策略中的标签)](#security_iam_service-with-iam-readiness-tags) | 是 |
| [临时凭证](#security_iam_service-with-iam-readiness-roles-tempcreds) | 是 |
| [主体权限](#security_iam_service-with-iam-readiness-principal-permissions) | 是 |
| [服务角色](#security_iam_service-with-iam-readiness-roles-service) | 否 |
| [服务关联角色](#security_iam_service-with-iam-readiness-roles-service-linked) | 是 |
要全面了解 AWS 服务如何与大多数 IAM 功能配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 适用于就绪检查的基于身份的策略
**支持基于身份的策略:**是
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
要查看 ARC 基于身份的策略示例,请参阅[Amazon 应用程序恢复控制器(ARC)基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## 就绪检查中的基于资源的策略
**支持基于资源的策略:**否
基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM 角色信任策略和 Amazon S3 存储桶策略。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。
## 就绪检查的策略操作
**支持策略操作:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
要查看就绪检查的 ARC 操作的列表,请参阅《服务授权参考**》中的 [Amazon Route 53 恢复就绪定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53recoveryreadiness-actions-as-permissions)。
ARC 中用于就绪检查的策略操作在操作前使用以下前缀:
```
route53-recovery-readiness
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。如下所示:
```
"Action": [
"route53-recovery-readiness:action1",
"route53-recovery-readiness:action2"
]
```
您也可以使用通配符(\$1)指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,包括以下操作:
```
"Action": "route53-recovery-readiness:Describe*"
```
要查看 ARC 用于就绪检查的基于身份的策略的示例,请参阅[用于 ARC 中就绪检查的基于身份的策略示例](security_iam_id-based-policy-examples-readiness.md)。
## 就绪检查的策略资源
**支持策略资源:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
要查看用于可用区转移的 ARC 操作列表,请参阅 [Amazon Route 53 恢复就绪定义的操作](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53recoveryreadiness.html#amazonroute53recoveryreadiness-actions-as-permissions)。
要查看 ARC 用于就绪检查的基于身份的策略的示例,请参阅[用于 ARC 中就绪检查的基于身份的策略示例](security_iam_id-based-policy-examples-readiness.md)。
## 就绪检查的策略条件键
**支持特定于服务的策略条件键:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
要查看就绪检查的 ARC 操作列表,请参阅 [Amazon Route 53 恢复就绪的条件密钥](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53recoveryreadiness.html#amazonroute53recoveryreadiness-policy-keys)
要查看您可以与就绪检查的条件键一起使用的操作和资源,请参阅 [Amazon Route 53 恢复就绪定义的操作](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53recoveryreadiness.html#amazonroute53recoveryreadiness-actions-as-permissions)
要查看 ARC 用于就绪检查的基于身份的策略的示例,请参阅[用于 ARC 中就绪检查的基于身份的策略示例](security_iam_id-based-policy-examples-readiness.md)。
## 准备情况检查中的访问控制列表 (ACLs)
**支持 ACLs:**否
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
## 用于就绪检查的基于属性的访问权限控制(ABAC)
**支持 ABAC(策略中的标签):**部分支持
基于属性的访问权限控制(ABAC)是一种授权策略,该策略基于称为标签的属性来定义权限。您可以将标签附加到 IAM 实体和 AWS 资源,然后设计 ABAC 策略以允许在委托人的标签与资源上的标签匹配时进行操作。
要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为**部分**。
有关 ABAC 的更多信息,请参阅《IAM 用户指南》**中的[使用 ABAC 授权定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
恢复就绪(就绪检查)支持 ABAC。
## 在就绪检查中使用临时凭证
**支持临时凭证:**是
临时证书提供对 AWS 资源的短期访问权限,并且是在您使用联合身份或切换角色时自动创建的。 AWS 建议您动态生成临时证书,而不是使用长期访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
## 用于就绪检查的跨服务主体权限
**支持转发访问会话(FAS):**是
当您使用 IAM 实体(用户或角色)在中执行操作时 AWS,您被视为委托人。策略向主体授予权限。使用某些服务时,您可能会执行一个操作,此操作然后在不同服务中触发另一个操作。在这种情况下,您必须具有执行这两个操作的权限。
要查看就绪检查中的某个操作是否需要策略中的其他相关操作,请参阅 [Amazon Route 53 恢复就绪](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53recoveryreadiness.html)
## 用于就绪检查的服务角色
**支持服务角色:**否
服务角色是由一项服务担任、代表您执行操作的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建向 AWS 服务委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## 用于就绪检查的服务相关角色
**支持服务关联角色:**是
服务相关角色是一种与服务相关联的 AWS 服务服务角色。服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 AWS 账户 ,并且归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
有关创建或管理 ARC 服务相关角色的详细信息,请参阅[在 ARC 中使用服务关联角色进行准备情况检查](using-service-linked-roles-readiness.md)。
有关创建或管理服务相关角色的详细信息,请参阅[能够与 IAM 搭配使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在表中查找**服务相关角色**列中包含 `Yes` 的表。选择**是**链接以查看该服务的服务相关角色文档。
# 用于 ARC 中就绪检查的基于身份的策略示例
默认情况下,用户和角色没有创建或修改 ARC 资源的权限。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关 ARC 定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《 ARNs *服务授权参考*》中的 [Amazon Application Recovery Controller (ARC) 的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)。
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [示例:就绪检查控制台访问](#security_iam_id-based-policy-examples-console-readiness)
+ [示例:用于就绪检查的就绪检查 API 操作](#security_iam_id-based-policy-examples-api-readiness)
## 策略最佳实践
基于身份的策略确定某个人是否可以创建、访问或删除您账户中的 ARC 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 示例:就绪检查控制台访问
要访问 Amazon 应用程序恢复控制器(ARC)控制台,您必须具有一组最低的权限。这些权限必须允许您列出和查看有关您的 ARC 资源的详细信息 AWS 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
为确保在您仅允许访问特定 API 操作时用户和角色仍然可以使用就绪检查控制台,还要向实体附加准备情况检查的`ReadOnly` AWS 托管策略。有关更多信息,请参阅[就绪检查托管式策略页面](security-iam-awsmanpol-readiness.md)或《IAM 用户指南》**中的[向用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
要执行某些任务,用户必须有权创建与 ARC 中的就绪检查关联的服务相关角色。要了解更多信息,请参阅[在 ARC 中使用服务关联角色进行准备情况检查](using-service-linked-roles-readiness.md)。
要通过控制台为用户提供就绪检查功能的完全访问权限,请为用户附加如下策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-readiness:CreateCell",
"route53-recovery-readiness:CreateCrossAccountAuthorization",
"route53-recovery-readiness:CreateReadinessCheck",
"route53-recovery-readiness:CreateRecoveryGroup",
"route53-recovery-readiness:CreateResourceSet",
"route53-recovery-readiness:DeleteCell",
"route53-recovery-readiness:DeleteCrossAccountAuthorization",
"route53-recovery-readiness:DeleteReadinessCheck",
"route53-recovery-readiness:DeleteRecoveryGroup",
"route53-recovery-readiness:DeleteResourceSet",
"route53-recovery-readiness:GetArchitectureRecommendations",
"route53-recovery-readiness:GetCell",
"route53-recovery-readiness:GetCellReadinessSummary",
"route53-recovery-readiness:GetReadinessCheck",
"route53-recovery-readiness:GetReadinessCheckResourceStatus",
"route53-recovery-readiness:GetReadinessCheckStatus",
"route53-recovery-readiness:GetRecoveryGroup",
"route53-recovery-readiness:GetRecoveryGroupReadinessSummary",
"route53-recovery-readiness:GetResourceSet",
"route53-recovery-readiness:ListCells",
"route53-recovery-readiness:ListCrossAccountAuthorizations",
"route53-recovery-readiness:ListReadinessChecks",
"route53-recovery-readiness:ListRecoveryGroups",
"route53-recovery-readiness:ListResourceSets",
"route53-recovery-readiness:ListRules",
"route53-recovery-readiness:UpdateCell",
"route53-recovery-readiness:UpdateReadinessCheck",
"route53-recovery-readiness:UpdateRecoveryGroup",
"route53-recovery-readiness:UpdateResourceSet"
],
"Resource": "*"
}
]
}
```
------
## 示例:用于就绪检查的就绪检查 API 操作
为确保用户可以使用 ARC API 来操作 ARC 就绪检查控制面板(例如,创建恢复组、资源集和就绪检查),请附加与用户需要使用的 API 操作相对应的策略,如下所述。
要执行某些任务,用户必须有权创建与 ARC 中的就绪检查关联的服务相关角色。要了解更多信息,请参阅[在 ARC 中使用服务关联角色进行准备情况检查](using-service-linked-roles-readiness.md)。
要使用 API 操作进行就绪检查,请为用户附加如下策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-readiness:CreateCell",
"route53-recovery-readiness:CreateCrossAccountAuthorization",
"route53-recovery-readiness:CreateReadinessCheck",
"route53-recovery-readiness:CreateRecoveryGroup",
"route53-recovery-readiness:CreateResourceSet",
"route53-recovery-readiness:DeleteCell",
"route53-recovery-readiness:DeleteCrossAccountAuthorization",
"route53-recovery-readiness:DeleteReadinessCheck",
"route53-recovery-readiness:DeleteRecoveryGroup",
"route53-recovery-readiness:DeleteResourceSet",
"route53-recovery-readiness:GetArchitectureRecommendations",
"route53-recovery-readiness:GetCell",
"route53-recovery-readiness:GetCellReadinessSummary",
"route53-recovery-readiness:GetReadinessCheck",
"route53-recovery-readiness:GetReadinessCheckResourceStatus",
"route53-recovery-readiness:GetReadinessCheckStatus",
"route53-recovery-readiness:GetRecoveryGroup",
"route53-recovery-readiness:GetRecoveryGroupReadinessSummary",
"route53-recovery-readiness:GetResourceSet",
"route53-recovery-readiness:ListCells",
"route53-recovery-readiness:ListCrossAccountAuthorizations",
"route53-recovery-readiness:ListReadinessChecks",
"route53-recovery-readiness:ListRecoveryGroups",
"route53-recovery-readiness:ListResourceSets",
"route53-recovery-readiness:ListRules",
"route53-recovery-readiness:ListTagsForResources",
"route53-recovery-readiness:UpdateCell",
"route53-recovery-readiness:UpdateReadinessCheck",
"route53-recovery-readiness:UpdateRecoveryGroup",
"route53-recovery-readiness:UpdateResourceSet",
"route53-recovery-readiness:TagResource",
"route53-recovery-readiness:UntagResource"
],
"Resource": "*"
}
]
}
```
------
# 在 ARC 中使用服务关联角色进行准备情况检查
Amazon 应用程序恢复控制器使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特的 IAM 角色,直接链接到服务(在本例中为 ARC)。服务相关角色由 ARC 预定义,包括该服务出于特定目的代表您调用其他 AWS 服务所需的所有权限。
服务相关角色使设置 ARC 变得更加容易,因为您不必手动添加必要的权限。ARC 定义其服务相关角色的权限,除非另有定义,否则只有 ARC 可以担任其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其它 IAM 实体。
只有在首先删除服务相关角色的相关资源后,才能删除该角色。这可以保护您的 ARC 资源,因为您不能无意中移除访问这些资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅与 [IAM 配合使用的AWS 服务,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。选择**是**和链接,查看该服务的服务相关角色文档。
ARC 具有以下服务相关角色,本章将对此进行介绍:
+ ARC 使用名为 **Route53** 的服务相关角色访问资源和配置RecoveryReadinessServiceRolePolicy以检查准备情况。
+ ARC 使用****为自动换档练习命名的服务相关角色来监控客户提供的 A CloudWatch mazon 警报和 Health Dashboard 客户事件,并开始练习。
## Route53 的服务相关角色权限 RecoveryReadinessServiceRolePolicy
ARC 使用名为 **Route53** 的服务相关角色访问资源和配置RecoveryReadinessServiceRolePolicy以检查准备情况。本节介绍适用于该服务相关角色的权限,以及有关创建、编辑和删除该角色的信息。
### Route53 的服务相关角色权限 RecoveryReadinessServiceRolePolicy
此服务相关角色使用托管策略 `Route53RecoveryReadinessServiceRolePolicy`。
**Route53 RecoveryReadinessServiceRolePolicy** 服务相关角色信任以下服务来代入该角色:
+ `route53-recovery-readiness.amazonaws.com`
要查看此策略的权限,请参阅《*AWS 托管策略*参考》RecoveryReadinessServiceRolePolicy中的 [Route53](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
### 为 ARC 创建 **Route53 RecoveryReadinessServiceRolePolicy** 服务相关角色
您无需手动创建 **Route53 RecoveryReadinessServiceRolePolicy 服务相关角色**。当您在 AWS 管理控制台、或 AWS API 中创建首次准备情况检查或跨账户授权时,ARC 会为您创建服务相关角色。 AWS CLI
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建第一次准备情况检查或跨账户授权时,ARC 会再次为您创建服务相关角色。
### 编辑 ARC 的 **Route53 RecoveryReadinessServiceRolePolicy** 服务相关角色
ARC 不允许您编辑 **Route53 RecoveryReadinessServiceRolePolicy 服务相关角色**。创建该服务相关角色后,将无法更改角色名称,因为可能有其它实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
### 删除 ARC 的 **Route53 RecoveryReadinessServiceRolePolicy** 服务相关角色
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
删除准备情况检查和跨账户授权后,您可以删除 **Route RecoveryReadinessServiceRolePolicy** 53 服务相关角色。有关就绪检查的更多信息,请参阅[ARC 中的就绪检查](recovery-readiness.md)。有关跨账户授权的更多信息,请参阅[在 ARC 中创建跨账户授权](recovery-readiness.cross-account.md)。
**注意**
如果您尝试删除资源时 ARC 服务正在使用该角色,则删除服务角色可能会失败。如果发生这种情况,请等待几分钟,然后重新尝试删除该角色。
**使用 IAM 手动删除服务相关角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 Route53 RecoveryReadinessServiceRolePolicy 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 更新了 ARC 服务相关角色以进行准备情况检查
有关 ARC 服务相关角色 AWS 托管策略的更新,请参阅 ARC 的[AWS 托管策略更新表](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates)。您也可以在 ARC [文档历史记录页面](doc-history.md)上订阅自动 RSS 提醒。
# AWS ARC 中针对准备情况检查的托管策略
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略:Route53 RecoveryReadinessServiceRolePolicy
您不能将 `Route53RecoveryReadinessServiceRolePolicy` 附加到自己的 IAM 实体。此策略将附加到某个允许 Amazon 应用程序恢复控制器(ARC)访问由 ARC 使用或管理的 AWS 服务和资源的服务相关角色。有关更多信息,请参阅 [在 ARC 中使用服务关联角色进行准备情况检查](using-service-linked-roles-readiness.md)。
## AWS 托管策略: AmazonRoute53 RecoveryReadinessFullAccess
您可以将 `AmazonRoute53RecoveryReadinessFullAccess` 附加到 IAM 实体。此策略授予对 ARC 中的恢复就绪(就绪检查)操作的完整访问权限。将此策略附加到需要恢复就绪操作的完全访问权限的 IAM 用户和其他主体。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》RecoveryReadinessFullAccess中的 [AmazonRoute53](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryReadinessFullAccess.html)。
## AWS 托管策略: AmazonRoute53 RecoveryReadinessReadOnlyAccess
您可以将 `AmazonRoute53RecoveryReadinessReadOnlyAccess` 附加到 IAM 实体。此策略授予对 ARC 中的恢复就绪操作的只读访问权限。这种权限适用于需要查看就绪状态和恢复组配置的用户。这些用户无法创建、更新或删除恢复就绪资源。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》RecoveryReadinessReadOnlyAccess中的 [AmazonRoute53](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryReadinessReadOnlyAccess.html)。
## 更新 AWS 托管策略以备不时之需
有关自该服务开始跟踪这些更改以来在 ARC 中进行就绪检查的 AWS 托管策略更新的详细信息,请参阅[Amazon 应用程序恢复控制器 (ARC) AWS 托管策略的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates)。有关此页面更改的自动提示,请订阅 ARC [文档历史记录页面](doc-history.md)上的 RSS 信息源。
# 就绪检查配额
**注意**
从 2026 年 4 月 30 日起,Amazon 应用程序恢复控制器 (ARC) 中的准备情况检查功能将不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [Amazon 应用程序恢复控制器 (ARC) 准备情况检查可用性变更](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-readiness-availability-change.html)。
Amazon 应用程序恢复控制器(ARC)中的就绪检查受制于以下配额(以前称为限制)。
| 实体 | 限额 |
| --- | --- |
| 每个账户的恢复组数 | 5 |
| 每个账户的规则数 | 15 |
| 每个单元格的嵌套单元格数 | 3 |
| 每个恢复组的单元格数 | 3 |
| 每个单元格的资源数 | 10 |
| 每个恢复组的资源数 | 10 |
| 每个资源集的资源数 | 6 |
| 每个账户的资源集数 | 200 |
| 每个账户的就绪检查数 | 200 |
| 跨账户授权数 | 100 |