本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 适用于 Amazon 应用程序恢复控制器（ARC）的 Identity and Access Management
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制可以通过“身份验证”**（登录）和“授权”**（具有权限）使用 ARC 资源的人员。您可以使用 IAM AWS 服务 ，无需支付额外费用。

## 受众
<a name="security_iam_audience"></a>

您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异：
+ **服务用户**：如果您无法访问功能，请从管理员处请求权限（请参阅[Amazon 应用程序恢复控制器（ARC）身份和访问的问题排查](security_iam_troubleshoot.md)）
+ **服务管理员**：确定用户访问权限并提交权限请求（请参阅[Amazon 应用程序恢复控制器（ARC）功能如何与 IAM 结合使用](security_iam_service-with-iam.md)）
+ **IAM 管理员**：编写用于管理访问权限的策略（请参阅[Amazon 应用程序恢复控制器（ARC）基于身份的策略示例](security_iam_id-based-policy-examples.md)）

## 使用身份进行身份验证
<a name="security_iam_authentication"></a>

身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户，或者通过担任 IAM 角色进行身份验证。

您可以使用来自身份源的证书 AWS IAM Identity Center （例如（IAM Identity Center）、单点登录身份验证或 Google/Facebook 证书，以联合身份登录。有关登录的更多信息，请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。

对于编程访问， AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息，请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。

### AWS 账户 root 用户
<a name="security_iam_authentication-rootuser"></a>

 创建时 AWS 账户，首先会有一个名为 AWS 账户 *root 用户的*登录身份，该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关需要根用户凭证的任务，请参阅《IAM 用户指南》**中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

### 联合身份
<a name="security_iam_authentication-federated"></a>

作为最佳实践，要求人类用户使用与身份提供商的联合身份验证才能 AWS 服务 使用临时证书进行访问。

*联合身份是指*来自您的企业目录、Web 身份提供商的用户 Directory Service ，或者 AWS 服务 使用来自身份源的凭据进行访问的用户。联合身份代入可提供临时凭证的角色。

要集中管理访问权限，建议使用。 AWS IAM Identity Center有关更多信息，请参阅《AWS IAM Identity Center 用户指南》**中的[什么是 IAM Identity Center？](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。

### IAM 用户和群组
<a name="security_iam_authentication-iamuser"></a>

*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证，而非具有长期凭证的 IAM 用户。有关更多信息，请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户，便于更轻松地对大量用户进行权限管理。有关更多信息，请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。

### IAM 角色
<a name="security_iam_authentication-iamrole"></a>

*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份，可提供临时凭证。您可以通过[从用户切换到 IAM 角色（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息，请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。

IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息，请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。

## 使用策略管理访问
<a name="security_iam_access-manage"></a>

您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息，请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。

管理员使用策略，通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。

默认情况下，用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中，然后用户可以担任这些角色。IAM 策略定义权限，与执行操作所用的方法无关。

### 基于身份的策略
<a name="security_iam_access-manage-id-based-policies"></a>

基于身份的策略是您附加到身份（用户、组或角色）的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略，请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。

基于身份的策略可以是*内联策略*（直接嵌入到单个身份中）或*托管策略*（附加到多个身份的独立策略）。要了解如何在托管策略和内联策略之间进行选择，请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。

### 基于资源的策略
<a name="security_iam_access-manage-resource-based-policies"></a>

基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中，服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。

基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。

### 其他策略类型
<a name="security_iam_access-manage-other-policies"></a>

AWS 支持其他策略类型，这些策略类型可以设置更常见的策略类型授予的最大权限：
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息，请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息，请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息，请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时，作为参数传递的高级策略。有关更多信息，请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。

### 多个策略类型
<a name="security_iam_access-manage-multiple-policies"></a>

当多个类型的策略应用于一个请求时，生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求，请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。

# Amazon 应用程序恢复控制器（ARC）功能如何与 IAM 结合使用
<a name="security_iam_service-with-iam"></a>

有关各项 Amazon 应用程序恢复控制器（ARC）功能如何与 IAM 结合使用的信息，请参阅以下主题：
+ [适用于可用区转移的 IAM](security-iam-zonalshift.md)
+ [适用于可用区自动转移的 IAM](security-iam-zonalautoshift.md)
+ [适用于路由控制的 IAM](security-iam-routing.md)
+ [适用于就绪检查的 IAM](security-iam-readiness.md)
+ [适用于区域切换的 IAM](security-iam-region-switch.md)

# Amazon 应用程序恢复控制器（ARC）基于身份的策略示例
<a name="security_iam_id-based-policy-examples"></a>

要查看 Amazon 应用程序恢复控制器 (ARC) 中每项功能的基于身份的策略示例，请参阅每种功能 AWS Identity and Access Management 章节中的以下主题：
+ [ARC 中可用区自动转移基于身份的策略示例](security-iam-zonalshift.md)
+ [ARC 中可用区转移基于身份的策略示例](security-iam-zonalautoshift.md)
+ [ARC 中路由控制的基于身份的策略示例](security-iam-routing.md)
+ [用于 ARC 中就绪检查的基于身份的策略示例](security-iam-readiness.md)

# AWS Amazon 应用程序恢复控制器 (ARC) 的托管策略
<a name="security-iam-awsmanpol"></a>

有关带有 AWS 托管策略的 ARC 功能的托管策略（包括服务相关角色的托管策略）的信息，请参阅以下主题：
+ [适用于可用区自动转换的托管式策略](security-iam-awsmanpol-zonal-autoshift.md)
+ [适用于路由控制的托管式策略](security-iam-awsmanpol-routing.md)
+ [适用于就绪检查的托管式策略](security-iam-awsmanpol-readiness.md)

## Amazon 应用程序恢复控制器 (ARC) AWS 托管策略的更新
<a name="security-iam-awsmanpol-arc-updates"></a>

查看有关自该服务开始跟踪这些更改以来对 ARC 中功能的 AWS 托管策略更新的详细信息。有关此页面更改的自动提示，请订阅 ARC [文档历史记录页面](doc-history.md)上的 RSS 信息源。


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy.html) - 新策略  |  Amazon 应用程序恢复控制器（ARC）发布了一项新的托管式策略，该策略授予执行和评估区域切换计划的权限。 该策略提供对区域切换计划信息、执行状态和 Amazon CloudWatch 监控数据的只读访问权限。它还包括模拟 IAM 主体策略以进行计划评估的权限。  | 2025 年 11 月 3 日 | 
|  [AWSZonalAutoshiftPracticeRunSLRPolicy 托管策略](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSZonalAutoshiftPracticeRunSLRPolicy.html)-更新的策略  |  增加了包含权限 `autoscaling:DescribeAutoScalingGroups`、`ec2:DescribeInstances`、`elasticloadbalancing:DescribeTargetHealth` 和 `elasticloadbalancing:DescribeTargetHealth` 的策略语句 `AutoshiftPracticeCheckPermissions` 以支持容量均衡检查。 要了解更多信息，请参阅[可用区自动转移和练习运行的工作原理](arc-zonal-autoshift.how-it-works.md)。  | 2025 年 6 月 30 日 | 
|   [AWSServiceRoleForPercPracticePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSZonalAutoshiftPracticeRunSLRPolicy.html)— 新政策  |  ARC 为自动转移和练习运行增加了新的服务相关角色。 ARC 使用服务相关角色启用的权限来监控客户提供的 Amazon CloudWatch 警报和客户 Health Dashboard 活动以进行练习，并开始练习。 要了解有关新服务相关角色的更多信息，请参阅 [的服务相关角色权限 AWSService RoleForZonalAutoshiftPracticeRun](using-service-linked-roles-zonal-autoshift.md#slr-permissions-slr2)。  | 2023 年 11 月 30 日 | 
|  [AmazonRoute53 RecoveryControlConfigReadOnlyAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigReadOnlyAccess) — 更新了政策  |  为添加权限`GetResourcePolicy`，以支持返回有关共享 AWS Resource Access Manager 资源的资源策略的详细信息。  | 2023 年 10 月 18 日 | 
|   [53 号公路 RecoveryReadinessServiceRolePolicy — 更新](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html)政策  |  ARC 增加了新权限，以查询有关 Amazon EC2 实例的信息。 ARC 使用以下权限来支持轮询 Amazon EC2 实例，以运行就绪检查并确定实例的就绪状态。 `ec2:DescribeVpnGateways` `ec2:DescribeCustomerGateways`  | 2023 年 2 月 17 日 | 
|   [53 号公路 RecoveryReadinessServiceRolePolicy — 更新](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html)政策  |  ARC 增加了一项新权限，以查询有关 Lambda 函数的信息。 ARC 使用以下权限来查询有关 Lambda 函数的信息，以运行就绪检查并确定函数的就绪状态。 `lambda:ListProvisionedConcurrencyConfigs`  | 2022 年 8 月 31 日 | 
|  [AmazonRoute53 RecoveryControlConfigFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigFullAccess.html) — 更新了政策  |  从策略中删除了 Amazon Route 53 权限，并增加了列出可选权限的注释。  | 2022 年 5 月 26 日 | 
|  [AmazonRoute53 RecoveryControlConfigFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigFullAccess.html) — 更新了政策  |  在策略中增加了缺少的 Amazon Route 53 必要权限。  | 2022 年 4 月 15 日 | 
|  [AmazonRoute53 RecoveryClusterReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryClusterReadOnlyAccess.html) — 更新了政策  |  ARC 添加了一项新权限`route53-recovery-cluster:ListRoutingControls`，以允许 ARNs 具有高可用性的列表路由控制。  | 2022 年 3 月 15 日 | 
|  [AmazonRoute53 RecoveryControlConfigReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigReadOnlyAccess.html) — 更新了政策  |  ARC 增加了一项新权限 `route53-recovery-control-config:ListTagsForResources`，允许列出资源的标签。  | 2021 年 12 月 20 日 | 
|   [53 号公路 RecoveryReadinessServiceRolePolicy — 更新](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html)政策  |  ARC 增加了一项新权限，以查询有关 Amazon API Gateway 的信息。 ARC 使用权限 `apigateway:GET` 来查询有关 API Gateway 的信息，以运行就绪检查并确定就绪状态。  | 2021 年 10 月 28 日 | 
|  [AmazonRoute53 RecoveryReadinessReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryReadinessReadOnlyAccess.html)-添加了新权限  |  ARC 在 [AmazonRoute53](security-iam-awsmanpol-readiness.md#security-iam-awsmanpol-AmazonRoute53RecoveryReadinessReadOnlyAccess) 中添加了两个新权限RecoveryReadinessReadOnlyAccess： ARC 使用 `route53-recovery-readiness:GetArchitectureRecommendations` 和 `route53-recovery-readiness:GetCellReadinessSummary` 允许对恢复就绪操作的只读访问。  | 2021 年 10 月 15 日 | 
|   [53 号公路 RecoveryReadinessServiceRolePolicy — 更新](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html)政策  |  ARC 增加了新权限，以查询有关 Lambda 函数的信息。 ARC 使用以下权限来查询有关 Lambda 函数的信息，以运行就绪检查并确定这些函数的就绪状态。 `lambda:GetFunctionConcurrency` `lambda:GetFunctionConfiguration` `lambda:GetProvisionedConcurrencyConfig` `lambda:ListAliases` `lambda:ListVersionsByFunction` `lambda:ListEventSourceMappings` `lambda:ListFunctions`  | 2021 年 10 月 8 日 | 
|   [Route53 RecoveryReadinessServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html)-添加了新的托管策略  |  ARC 增加了以下新的托管式策略： [AmazonRoute53 RecoveryReadinessFullAccess](security-iam-awsmanpol-readiness.md#security-iam-awsmanpol-AmazonRoute53RecoveryReadinessFullAccess) [AmazonRoute53 RecoveryReadinessReadOnlyAccess](security-iam-awsmanpol-readiness.md#security-iam-awsmanpol-AmazonRoute53RecoveryReadinessReadOnlyAccess) [AmazonRoute53 RecoveryClusterFullAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryClusterFullAccess) [AmazonRoute53 RecoveryClusterReadOnlyAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryClusterReadOnlyAccess) [AmazonRoute53 RecoveryControlConfigFullAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigFullAccess) [AmazonRoute53 RecoveryControlConfigReadOnlyAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigReadOnlyAccess)  | 2021 年 8 月 18 日 | 
|  ARC 开启了跟踪更改  |  ARC 开始跟踪其 AWS 托管策略的更改。  | 2021 年 7 月 27 日 | 

# Amazon 应用程序恢复控制器（ARC）身份和访问的问题排查
<a name="security_iam_troubleshoot"></a>

使用以下信息帮助您诊断和修复在使用 Amazon 应用程序恢复控制器（ARC）和 IAM 时可能遇到的常见问题。

**Topics**
+ [我无权在 ARC 中执行操作](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam：PassRole](#security_iam_troubleshoot-passrole)
+ [我想允许我以外的人 AWS 账户 访问我的 ARC 资源](#security_iam_troubleshoot-cross-account-access)

## 我无权在 ARC 中执行操作
<a name="security_iam_troubleshoot-no-permissions"></a>

如果 AWS 管理控制台 告诉您您无权执行某项操作，则必须联系管理员寻求帮助。管理员是向您提供凭证的人员。

当 `mateojackson` IAM 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息，但不拥有虚构 `route53-recovery-readiness:GetWidget` 权限时，会发生以下示例错误。

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: route53-recovery-readiness:GetWidget on resource: my-example-widget
```

在这种情况下，Mateo 请求他的管理员更新其策略，以允许他使用 `route53-recovery-readiness:GetWidget` 操作访问 `my-example-widget` 资源。

## 我无权执行 iam：PassRole
<a name="security_iam_troubleshoot-passrole"></a>

如果您收到一个错误，表明您无权执行 `iam:PassRole` 操作，则必须更新策略以允许您将角色传递给 ARC。

有些 AWS 服务 允许您将现有角色传递给该服务，而不是创建新的服务角色或服务相关角色。为此，您必须具有将角色传递到服务的权限。

当名为 `marymajor` 的 IAM 用户尝试使用控制台在 ARC 中执行操作时，会发生以下示例错误。但是，服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

在这种情况下，必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。

如果您需要帮助，请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。

## 我想允许我以外的人 AWS 账户 访问我的 ARC 资源
<a name="security_iam_troubleshoot-cross-account-access"></a>

您可以创建一个角色，以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖，可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务，您可以使用这些策略向人们授予访问您的资源的权限。

要了解更多信息，请参阅以下内容：
+ 要了解 ARC 是否支持这些功能，请参阅 [Amazon 应用程序恢复控制器（ARC）功能如何与 IAM 结合使用](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ，请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户，请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户 
+ 要了解如何通过身份联合验证提供访问权限，请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户（身份联合验证）提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别，请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。

# 使用接口端点访问 Amazon 应用程序恢复控制器（ARC）可用区转移（AWS PrivateLink）
<a name="vpc-interface-endpoints"></a>

您可以使用 AWS PrivateLink 在您的 VPC 和 Amazon 应用程序恢复控制器 (ARC) 区域转移之间创建私有连接。无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接，即可像在 VPC 中一样访问 ARC 区域切换。VPC 中的实例不需要公有 IP 地址即可访问 ARC 可用区转移。

您可以通过创建由 AWS PrivateLink提供支持的*接口端点*来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口，用作发往 ARC 可用区转移的流量的入口点。

有关更多信息，请参阅*AWS PrivateLink 指南 AWS PrivateLink*中的[AWS 服务 通过访问](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。

## ARC 可用区转移的注意事项
<a name="vpc-endpoint-considerations"></a>

在为 ARC 可用区转移设置接口端点之前，请首先查看《AWS PrivateLink 指南》中的[注意事项](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)**。

ARC 可用区转移支持通过接口端点调用其所有 API 操作。

## 为 ARC 可用区转移创建接口端点
<a name="vpc-endpoint-create"></a>

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 ARC 区域转移创建接口终端节点。有关更多信息，请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。

使用以下服务名称为 ARC 可用区转移创建接口端点：

```
com.amazonaws.region.arc-zonal-shift
```

如果为接口端点启用私有 DNS，则可使用其默认区域 DNS 名称向 ARC 可用区转移发出 API 请求。例如 `arc-zonal-shift.us-east-1.amazonaws.com`。

## 为 VPC 端点创建端点策略
<a name="vpc-endpoint-policy"></a>

端点策略是一种 IAM 资源，您可以将其附加到接口端点。默认端点策略允许通过接口端点对 ARC 可用区转移进行完全访问。要控制允许从 VPC 访问 ARC 可用区转移的权限，请将自定义端点策略附加到接口端点。

端点策略指定以下信息：
+ 可执行操作的主体（AWS 账户、IAM 用户和 IAM 角色）。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《AWS PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

**示例：适用于 ARC 可用区转移操作的 VPC 端点策略**  
以下是自定义端点策略的示例。将此策略附加到接口端点时，它会向所有资源上的所有主体授予对所列 ARC 可用区转移操作的访问权限。

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "arc-zonal-shift:ListManagedResources",
            "arc-zonal-shift:StartZonalShift",
            "arc-zonal-shift:CancelZonalShift"
         ],
         "Resource":"*"
      }
   ]
}
```

`Resource` 也可以列为 `arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/1111111ecd42dc05`。