本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 AWS AppConfig
<a name="setting-up-appconfig"></a>

如果您尚未這麼做，請註冊 AWS 帳戶 並建立管理使用者。

## 註冊 AWS 帳戶
<a name="sign-up-for-aws"></a>

如果您沒有 AWS 帳戶，請完成下列步驟來建立一個。

**註冊 AWS 帳戶**

1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。

1. 請遵循線上指示進行。

   部分註冊程序需接收來電或簡訊，並在電話鍵盤輸入驗證碼。

   當您註冊 時 AWS 帳戶，*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務，請將管理存取權指派給使用者，並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**，以檢視您目前的帳戶活動並管理帳戶。

## 建立具有管理存取權的使用者
<a name="create-an-admin"></a>

註冊 後 AWS 帳戶，請保護您的 AWS 帳戶根使用者 AWS IAM Identity Center、啟用和建立管理使用者，如此您就不會將根使用者用於日常任務。

**保護您的 AWS 帳戶根使用者**

1.  選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需說明，請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 （主控台） 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**建立具有管理存取權的使用者**

1. 啟用 IAM Identity Center。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，將管理存取權授予使用者。

   如需使用 IAM Identity Center 目錄 做為身分來源的教學課程，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署，請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

  如需使用 IAM Identity Center 使用者登入的說明，請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**指派存取權給其他使用者**

1. 在 IAM Identity Center 中，建立一個許可集來遵循套用最低權限的最佳實務。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 將使用者指派至群組，然後對該群組指派單一登入存取權。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## 授與程式設計存取權
<a name="setting-up-appconfig-programmatic-access"></a>

如果使用者想要與 AWS 外部互動，則需要程式設計存取 AWS 管理主控台。授予程式設計存取權的方式取決於正在存取的使用者類型 AWS。

若要授予使用者程式設計存取權，請選擇下列其中一個選項。


****  

| 哪個使用者需要程式設計存取權？ | 到 | 根據 | 
| --- | --- | --- | 
| IAM | （建議） 使用主控台登入資料做為臨時登入資料，以簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/appconfig/latest/userguide/setting-up-appconfig.html) | 
| 人力資源身分<br />(IAM Identity Center 中管理的使用者) | 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/appconfig/latest/userguide/setting-up-appconfig.html) | 
| IAM | 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 遵循《IAM 使用者指南》中[將臨時登入資料與 AWS 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)搭配使用中的指示。 | 
| IAM | (不建議使用)使用長期憑證簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/appconfig/latest/userguide/setting-up-appconfig.html) | 

## 設定自動轉返的許可
<a name="getting-started-with-appconfig-cloudwatch-alarms-permissions"></a>

您可以 AWS AppConfig 設定 轉返至先前版本的組態，以回應一或多個 Amazon CloudWatch 警示。當您設定部署以回應 CloudWatch 警示時，您可以指定 AWS Identity and Access Management (IAM) 角色。 AWS AppConfig 需要此角色，才能監控 CloudWatch 警示。此程序是選用的，但強烈建議您使用。

**注意**  
記下以下資訊。  
IAM 角色必須屬於目前的帳戶。根據預設， AWS AppConfig 只能監控目前帳戶擁有的警示。
如需有關要監控的指標以及如何 AWS AppConfig 設定自動轉返的資訊，請參閱 [監控部署的自動復原](monitoring-deployments.md)。

使用下列程序建立 IAM 角色， AWS AppConfig 讓 能夠根據 CloudWatch 警示轉返。本節包括下列程序。

1. [步驟 1：根據 CloudWatch 警示建立復原的許可政策](#getting-started-with-appconfig-cloudwatch-alarms-permissions-policy)

1. [步驟 2：根據 CloudWatch 警示建立復原的 IAM 角色](#getting-started-with-appconfig-cloudwatch-alarms-permissions-role)

1. [步驟 3：新增信任關係](#getting-started-with-appconfig-cloudwatch-alarms-permissions-trust)

### 步驟 1：根據 CloudWatch 警示建立復原的許可政策
<a name="getting-started-with-appconfig-cloudwatch-alarms-permissions-policy"></a>

使用下列程序建立 IAM 政策，授予呼叫 `DescribeAlarms` API 動作的 AWS AppConfig 許可。

**根據 CloudWatch 警示建立復原的 IAM 許可政策**

1. 在 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 中開啟 IAM 主控台。

1. 在導覽窗格中，選擇 **Policies (政策)**，然後選擇 **Create policy (建立政策)**。

1. 在**建立政策**頁面上，選擇 **JSON** 標籤。

1. 使用下列許可政策取代 JSON 標籤上的預設內容，然後選擇**下一步：標籤**。
**注意**  
若要傳回 CloudWatch 複合警示的相關資訊，[DescribeAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarms.html) API 操作必須指派`*`許可，如下所示。如果 `DescribeAlarms` 的範圍較窄，則無法傳回複合警示的相關資訊。

------
#### [ JSON ]

****  

   ```
   {
           "Version":"2012-10-17",		 	 	 
           "Statement": [
               {
                   "Effect": "Allow",
                   "Action": [
                       "cloudwatch:DescribeAlarms"
                   ],
                   "Resource": "*"
               }
           ]
       }
   ```

------

1. 輸入此角色的標籤，然後選擇 **Next: Review (下一步：檢閱)**。

1. 在**檢閱**頁面上，**SSMCloudWatchAlarmDiscoveryPolicy**在**名稱**欄位中輸入 。

1. 選擇**建立政策**。系統會讓您返回 **Policies (政策)** 頁面。

### 步驟 2：根據 CloudWatch 警示建立復原的 IAM 角色
<a name="getting-started-with-appconfig-cloudwatch-alarms-permissions-role"></a>

使用下列程序來建立 IAM 角色，並將您在先前程序中建立的政策指派給該角色。

**根據 CloudWatch 警示建立用於轉返的 IAM 角色**

1. 在以下網址開啟 IAM 主控台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在導覽窗格中，選擇 **Roles (角色)**，然後選擇 **Create role (建立角色)**。

1. 在 **Select type of trusted entity** (選擇可信任執行個體類型) 下，選擇 **AWS service** ( 服務)。

1. 立即**在選擇將使用此角色的服務**下，選擇 **EC2：允許 EC2 執行個體代表您呼叫 AWS 服務**，然後選擇**下一步：許可**。

1. 在**連接許可政策**頁面上，搜尋 **SSMCloudWatchAlarmDiscoveryPolicy**。

1. 選擇此政策，然後選擇 **Next: Tags (下一步：標籤)**。

1. 輸入此角色的標籤，然後選擇 **Next: Review (下一步：檢閱)**。

1. 在**建立角色**頁面上，**SSMCloudWatchAlarmDiscoveryRole**在**角色名稱**欄位中輸入 ，然後選擇**建立角色**。

1. 在 **Roles (角色)** 頁面上，選擇您剛建立的角色。**Summary (摘要)** 頁面隨即開啟。

### 步驟 3：新增信任關係
<a name="getting-started-with-appconfig-cloudwatch-alarms-permissions-trust"></a>

使用下列程序來設定您剛建立的角色以信任 AWS AppConfig。

**新增 的信任關係 AWS AppConfig**

1. 在您剛建立之角色的 **Summary (摘要)** 頁面中，選擇 **Trust Relationships (信任關係)** 索引標籤，然後著選擇 **Edit Trust Relationship (編輯信任關係)**。

1. 編輯政策以僅包含 "`appconfig.amazonaws.com`"，如下列範例所示：

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "appconfig.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. 選擇 **Update Trust Policy** (更新信任政策)。