本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用區域轉移和區域自動轉移來復原 ARC 中的應用程式
本節說明如何使用 Amazon Application Recovery Controller (ARC) 中的功能,可靠地從受損可用區域 (AZ) 的問題復原資源 AWS 。區域轉移和區域自動轉移會暫時將支援資源的流量從受損的可用區域轉移,從而縮短應用程式的復原時間。
區域轉移和區域自動轉移之間的主要區別在於,其中一個是您控制的手動流量轉移,另一個則代表您自動轉移流量遠離受損。
+ 使用區域轉移時,您可以手動將 中支援資源的流量移 AWS 區域 離可用區域。
+ 使用區域自動轉移時,支援資源的流量會自動從受損的可用區域轉移,並重新路由至相同區域中運作狀態良好的AZs AWS 區域。
下列主題說明區域轉移和區域自動轉移功能,以及如何使用這些功能。
**Topics**
+ [ARC 中的區域轉移](arc-zonal-shift.md)
+ [ARC 中的區域自動轉移](arc-zonal-autoshift.md)
# ARC 中的區域轉移
Amazon Application Recovery Controller (ARC) *區域轉移*可讓您將支援資源的流量從 中受損的可用區域 (AZ) 轉移到相同區域中 AWS 區域 運作狀態良好的 AZs。將資源的流量移離受損的可用區,可縮短停電或可用區中的硬體或軟體問題所造成的影響持續時間和嚴重性,並有助於減輕問題並快速復原應用程式。舉例來說,由於部署不良導致延遲問題或可用區域受損,您可選擇轉移流量。
您必須選擇加入資源,才能使用區域轉移。如需詳細資訊,請參閱 [支援的資源](arc-zonal-shift.resource-types.md)。
在開始區域轉移之前,您必須預先調整應用程式的比例,並確保您有足夠的容量將流量移離可用區域。在預先擴展之後,您可以選擇要轉移的可用區域,以及要轉移流量的資源,然後啟動區域轉移。您可以隨時取消轉移,讓流量開始返回原始可用區域。如需詳細資訊,請參閱[ARC 中的區域轉移最佳實務](route53-arc-best-practices.zonal-shifts.md)
所有區域轉移均為臨時緩解措施。開始進行區域轉移時,您可以設定初始到期時間,從一分鐘到三天 (72 小時),如果需要繼續轉移流量,則可以延長時間。
在特定情況下,區域轉移不會將流量移離 AZ。如需詳細資訊,請參閱[支援的資源](arc-zonal-shift.resource-types.md)。
# 區域轉移的運作方式
當您為支援的資源啟動區域轉移時,資源的流量會移離您指定的可用區域 (AZ)。ARC 支援的資源提供將指定 AZ 標記為運作狀態不佳的整合,這會導致流量從受損的 AZ 轉移。
**流量開始轉移** - 當您在 ARC 中開始區域轉移時,可能不會看到流量立即移出可用區域。根據用戶端行為和連線重複使用,在可用區域中現有的進行中連線可能需要一小段時間才能完成。DNS 設定和包括現有連線的其他因素只需幾分鐘即可完成,但可能需要更長的時間。如需詳細資訊,請參閱[確保流量轉移快速完成](route53-arc-best-practices.zonal-shifts.md#arc-zonal-shift.existing-connections)。
**流量轉移結束** - 當區域轉移過期或取消時,ARC 會採取步驟來停止轉移流量,並反轉啟動流量轉移的程序。現在,復原的 AZ 會辨識為可供資源使用,而流量會繼續流入 AZ。
您必須在開始輪班時將所有區域輪班設定為過期。您最初可以將區域轉移設定為在最多三天 (72 小時) 內過期。不過,您可以隨時更新區域轉移以設定新的過期時間。如果您準備好將流量還原到可用區域,也可以在區域轉移過期之前取消。
**當流量不會轉移**時 - 在特定情況下,區域轉移不會將流量從可用區域轉移。例如,假設您在 AZs 中的負載平衡器目標群組沒有任何執行個體,或所有執行個體運作狀態不佳時,啟動負載平衡器的區域轉移。在此案例中,負載平衡器處於故障開啟狀態,啟動區域轉移不會轉移流量。
在您開始資源的區域轉移之前,請確定符合成功區域轉移的所有條件。 AWS 資源會以不同的方式處理區域轉移。如需區域轉移支援的詳細資訊,請參閱 [支援的資源](arc-zonal-shift.resource-types.md)。
# AWS 區域 區域轉移的可用性
如需 Amazon Application Recovery Controller (ARC) 的區域支援和服務端點的詳細資訊,請參閱《[Amazon Web Services 一般參考》中的 Amazon Application Recovery Controller (ARC) 端點和配額](https://docs.aws.amazon.com/general/latest/gr/r53arc.html)。 **
此處 AWS 區域 列出的 目前提供區域轉移和區域自動轉移。中國區域也提供區域轉移和區域自動轉移,也就是中國 (北京) 區域和中國 (寧夏) 區域。使用 Amazon Application Recovery Controller (ARC) 的資源可能會有其他考量。如需詳細資訊,請參閱 [支援的資源](arc-zonal-shift.resource-types.md)。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/r53recovery/latest/dg/introduction-regions-zonal.html)
# 區域轉移元件
下圖說明區域轉移轉移流量從 中的可用區域轉移的範例 AWS 區域。當資源已有作用中的輪班時,在區域輪班中內建的檢查會阻止您啟動資源的另一個區域輪班。
![\[具有三個可用區域的區域轉移圖表\]](http://docs.aws.amazon.com/zh_tw/r53recovery/latest/dg/images/ZonalShiftDiagramRev2023.png)
以下是 ARC 中區域轉移功能的元件。
**區域轉移**
您為 AWS 帳戶中的受管資源開始區域轉移,以暫時將流量從 中的可用區域移出 AWS 區域,轉移到區域中運作狀態良好的AZs,以從一個可用區域中的問題快速復原。如需區域轉移支援資源的詳細資訊,請參閱 [支援的資源](arc-zonal-shift.resource-types.md)。
**內建安全檢查**
內建於 ARC 的檢查可防止資源一次發生多個流量轉移。也就是說,只有一個客戶起始的區域轉移、實務執行或資源的自動轉移可以主動將流量移離可用區域。例如,如果您在資源目前以自動轉移轉移時啟動該資源的區域轉移,則您的區域轉移優先。如需詳細資訊,請參閱 [ARC 中的區域自動轉移](arc-zonal-autoshift.md)和 [練習執行的結果](arc-zonal-autoshift.how-it-works.precedence.md#ZAShiftPrecedence)。
**資源識別符**
要在區域轉移中包含的資源識別符。識別符是資源的 Amazon Resource Name (ARN)。
對於區域轉移,您只能為 ARC 支援 AWS 的服務選擇帳戶中的資源。如需區域轉移支援資源的詳細資訊,請參閱 [支援的資源](arc-zonal-shift.resource-types.md)。
**受管資源**
有些 AWS 資源必須手動選擇加入區域轉移,其他資源會自動啟用。如需區域轉移支援資源的詳細資訊,請參閱 [支援的資源](arc-zonal-shift.resource-types.md)。
**資源名稱**
您可以在 ARC 中為區域轉移指定的資源名稱。
**狀態 (區域轉移狀態)**
區域轉移的狀態。區域轉移`Status`的 可以有下列其中一個值:
+ **ACTIVE**:區域轉移已啟動並處於作用中狀態。
+ **過期**:區域轉移已過期 (超過到期時間)。
+ **已取消**:區域轉移已取消。
**套用狀態**
套用的狀態指出資源的輪班是否有效。狀態為 的轉移會`APPLIED`決定資源的應用程式流量已轉移的可用區域,以及該轉移何時結束。
**輪班類型**
定義區域轉移類型。`shiftType` 可以有下列值:
+ **ZONAL\$1SHIFT**
+ **ZONAL\$1AUTOSHIFT**
+ **PRACTICE\$1RUN**
+ **FIS\$1EXPERIMENT**
**到期時間 (到期時間)**
區域輪班的到期時間 (到期時間)。區域轉移是暫時性的。對於區域轉移,您可以最初將區域轉移設定為作用中長達三天 (72 小時)。
當您開始區域轉移時,您可以指定要它處於作用中狀態的時間長度,ARC 會轉換為到期時間 (到期時間)。例如,如果您準備好將流量還原到可用區域,您可以取消區域轉移。或者,您可以更新客戶起始的區域轉移,以指定另一個過期時間長度,以延長該區域轉移。
您可以取消屬於區域自動轉移一部分的區域轉移實務執行。
# 區域轉移的資料和控制平面
當您規劃容錯移轉和災難復原時,請考慮容錯移轉機制的彈性。我們建議您確保在容錯移轉期間依賴的機制具有高度可用性,以便在災難情況下需要它們時使用。一般而言,您應該盡可能為您的機制使用資料平面函數,以獲得最大的可靠性和容錯能力。考慮到這一點,了解服務的功能如何在控制平面和資料平面之間分割,以及何時可以使用服務的資料平面依賴極端可靠性。
與大多數 AWS 服務一樣,控制平面和資料平面支援區域轉移功能的功能。雖然這兩者都建置為可靠,但控制平面會針對資料一致性進行最佳化,而資料平面則會針對可用性進行最佳化。資料平面專為彈性而設計,因此即使在破壞性事件期間,當控制平面可能無法使用時,也能維持可用性。
一般而言,*控制平面*可讓您執行基本管理功能,例如建立、更新和刪除服務中的資源。*資料平面*提供服務的核心功能。
如需資料平面、控制平面以及 如何 AWS 建置服務以滿足高可用性目標的詳細資訊,請參閱《Amazon Builders' Library[》中的使用可用區域的靜態穩定性白皮書](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/)。
# ARC 中區域轉移的定價
對於區域轉移,您可以為支援的資源啟動區域轉移,從可用區域中的問題中復原應用程式。使用區域轉移不收取額外費用。
如需 ARC 和定價範例的詳細定價資訊,請參閱 [ARC 定價](https://aws.amazon.com/application-recovery-controller/pricing/)。
# ARC 中的區域轉移最佳實務
我們建議在 ARC 中使用區域轉移進行多可用區域復原的下列最佳實務。
**主題**
+ [容量規劃和預先擴展](#ZSBestPracticeCapacityPrescaling)
+ [限制用戶端保持連線至端點的時間](#arc-zonal-shift.existing-connections)
+ [事先測試開始區域轉移](#ZSBestPracticeTestShifting)
+ [確保所有可用區域都正常運作並取得流量](#ZSBestPracticeEnsureHealthyAZs)
+ [使用資料平面 API 操作進行災難復原](#ZSBestPracticeUseDataPlane)
+ [僅暫時移動具有區域轉移的流量](#ZSBestPracticeMoveTrafficTemp)
**容量規劃和預先擴展**
確定您已規劃 ,且已預先擴展或 可以自動擴展足夠的容量,以因應啟動區域轉移時對可用區域施加的額外負載。使用復原導向架構時,典型的建議是預先擴展運算容量,以在其中一個 (通常) 三個複本離線時,包含足夠的總空間來為您的尖峰流量提供服務。
當您為支援的資源啟動區域轉移,且流量從可用區域轉移時,您的應用程式用來服務請求的容量會移除。您必須確定已規劃從可用區域轉移流量,並且可以繼續在其餘AZs服務請求。
**限制用戶端保持連線至端點的時間**
當 Amazon Application Recovery Controller (ARC) 將流量移離損害時,例如使用區域轉移或區域自動轉移,ARC 用來移動應用程式流量的機制是 DNS 更新。DNS 更新會導致所有新連線被導向至受損的位置。
不過,具有預先存在開放連線的用戶端可能會繼續對受損位置提出請求,直到用戶端重新連線為止。為了確保快速復原,建議您限制用戶端保持連線至端點的時間。
**事先測試開始區域轉移**
透過啟動區域轉移,定期測試從應用程式的可用區域移出的流量。規劃並執行啟動區域轉移,最好是在測試和生產環境中,作為在發生災難時復原應用程式之定期容錯移轉測試的一部分。定期測試是確保您已準備好並有信心在發生操作事件時緩解問題的關鍵部分。
**確保所有可用區域都正常運作並取得流量**
區域轉移的運作方式是將資源標記為在可用區域中運作狀態不佳的應用程式複本。這表示請務必確保應用程式中的資源整體狀況良好,並主動在區域中的可用區域中接收流量。我們建議您使用儀表板來追蹤此狀況,例如,針對運作狀態不佳的目標和位元組的 Elastic Load Balancing 指標每個可用區域處理。 bytesProcessed
請考慮從第二個相鄰區域監控資源的運作狀態。這種方法的優點是它可以更代表您的最終使用者體驗,也可以降低應用程式和監控同時受到相同災難影響的風險。
**使用資料平面 API 操作進行災難復原**
若要在需要快速復原應用程式時啟動區域轉移,只要相依性極少,我們建議您使用 AWS Command Line Interface 或 API 搭配區域轉移動作,並盡可能使用預先存放的登入資料。您也可以在 中開始區域轉移 AWS 管理主控台,以方便使用。但是,當快速、可靠的復原至關重要時,資料平面操作是更好的選擇。如需詳細資訊,請參閱[區域轉移 API 參考指南](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)。
**僅暫時移動具有區域轉移的流量**
區域轉移會暫時將流量移離可用區域,以減輕損害。您應該在採取動作修正問題後,立即將應用程式的資源還原至服務。這可確保您的整體應用程式還原至其原始完全備援、彈性狀態。
# 區域轉移 API 操作
下表列出您可以使用區域轉移的 ARC API 操作,這會將流量移離多可用區域應用程式的可用區域。資料表中還包含相關文件的連結。
如需如何搭配 使用常用區域轉移 API 操作的範例 AWS Command Line Interface,請參閱 [AWS CLI 搭配區域轉移使用 的範例](getting-started-cli-zonalshift.md)。
| Action | 使用 ARC 主控台 | 使用 ARC API |
| --- | --- | --- |
| 開始區域轉移 | 請參閱 [啟動區域轉移](arc-zonal-shift.start-cancel.md#arc-zonal-shift.start) | 請參閱 [StartZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartZonalShift.html) |
| 更新區域轉移 | 請參閱 [更新或取消區域轉移](arc-zonal-shift.start-cancel.md#arc-zonal-shift.update-cancel) | 請參閱 [UpdateZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalShift.html) |
| 列出區域轉移 | 請參閱 [ARC 中的區域轉移](arc-zonal-shift.md) | 請參閱 [ListZonalShifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListZonalShifts.html) |
| 列出受管資源 | 請參閱 [支援的資源](arc-zonal-shift.resource-types.md) | 請參閱 [ListManagedResources](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListManagedResources.html) |
| 取得受管資源 | 請參閱 [支援的資源](arc-zonal-shift.resource-types.md) | 請參閱 [GetManagedResource](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_GetManagedResource.html) |
| 取消區域轉移 | 請參閱 [更新或取消區域轉移](arc-zonal-shift.start-cancel.md#arc-zonal-shift.update-cancel) | 請參閱 [CancelZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelZonalShift.html) |
# AWS CLI 搭配區域轉移使用 的範例
本節提供使用區域轉移的應用程式範例,使用 AWS Command Line Interface 使用 API 操作在 Amazon Application Recovery Controller (ARC) 中使用區域轉移功能。這些範例旨在協助您了解如何使用 CLI 處理區域轉移。
ARC 中的區域轉移可讓您暫時將支援資源的流量移離可用區域,讓您的應用程式可以繼續與 中的其他可用區域正常運作 AWS 區域。
所有區域轉移都是暫時的,且最初必須設定為在三天內過期。不過,您可以稍後更新區域轉移來設定新的過期時間。
如需使用 的詳細資訊 AWS CLI,請參閱 [AWS CLI 命令參考](https://docs.aws.amazon.com/cli/latest/reference/arc-zonal-shift/index.html)。如需區域轉移 API 動作和詳細資訊連結的清單,請參閱 [區域轉移 API 操作](actions.zonalshift.md)。
## 開始區域轉移
您可以使用 `start-zonal-shift`命令,透過 CLI 啟動區域轉移。
```
aws arc-zonal-shift start-zonal-shift \
--resource-identifier arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05 \
--away-from use1-az1 \
--expires-in 10m \
--comment "Shifting traffic away from use1-az1"
```
```
{
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
## 取得受管資源
您可以使用 `get-managed-resource`命令,透過 CLI 取得受管資源的相關資訊。
```
aws arc-zonal-shift get-managed-resource \
--resource-identifier arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05
```
```
{
"appliedWeights": {
"use1-az1": 0.0,
"use1-az2": 1.0,
"use1-az6": 1.0
},
"arn": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"autoshifts": [],
"name": "Testing",
"zonalAutoshiftStatus": "DISABLED",
"zonalShifts": [
{
"appliedStatus": "APPLIED",
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
"shiftType": "MANUAL"
}
]
}
```
## 列出受管資源
您可以使用 `list-managed-resources`命令,透過 CLI 列出帳戶中的受管資源。
```
aws arc-zonal-shift list-managed-resources
```
```
{
"items": [
{
"appliedWeights": {
"use1-az1": 0.0,
"use1-az2": 1.0,
"use1-az6": 1.0
},
"arn": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"autoshifts": [],
"availabilityZones": [
"use1-az1",
"use1-az2",
"use1-az6"
],
"name": "Testing",
"practiceRunStatus": "DISABLED",
"zonalAutoshiftStatus": "DISABLED",
"zonalShifts": [
{
"appliedStatus": "APPLIED",
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
]
}
]
}
```
## 列出區域轉移
您可以使用 `list-zonal-shifts`命令,透過 CLI 列出帳戶中的區域轉移。
```
aws arc-zonal-shift list-zonal-shifts
```
```
{
"items": [
{
"awayFrom": "use1-az1",
"comment": "Shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T21:37:26-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
]
}
```
## 更新區域轉移
您可以使用 `update-zonal-shift`命令,透過 CLI 更新區域轉移。
```
aws arc-zonal-shift update-zonal-shift \
--zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38 \
--expires-in 1h \
--comment "Still shifting traffic away from use1-az1"
```
```
{
"awayFrom": "use1-az1",
"comment": "Still shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "ACTIVE",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
## 取消區域轉移
您可以使用 `cancel-zonal-shift`命令,透過 CLI 取消區域轉移。
```
aws arc-zonal-shift cancel-zonal-shift \
--zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38
```
```
{
"awayFrom": "use1-az1",
"comment": "Still shifting traffic away from use1-az1",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "CANCELED",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
# 支援的資源
Amazon Application Recovery Controller (ARC) 目前支援為區域轉移和區域自動轉移啟用下列資源:
+ [Amazon EC2 Auto Scaling 群組](arc-zonal-shift.resource-types.ec2-auto-scaling-groups.md)
+ [Amazon Elastic Kubernetes Service](arc-zonal-shift.resource-types.eks.md)
+ [Application Load Balancer](arc-zonal-shift.resource-types.app-load-balancers.md) 啟用或停用跨區域負載平衡
+ [Network Load Balancer](arc-zonal-shift.resource-types.network-load-balancers.md) 啟用或停用跨區域負載平衡
如需 Network Load Balancer 和 Application Load Balancer 的特定需求,請參閱本節中的其他主題。
檢閱下列在 ARC 中使用區域轉移、區域自動轉移和資源的條件:
+ 資源必須處於作用中狀態並完全佈建,才能轉移其流量。在您開始資源的區域轉移之前,請檢查以確定它是 ARC 中的受管資源。例如,在 中檢視受管資源的清單 AWS 管理主控台,或使用`get-managed-resource`具有資源識別符的操作。
+ 若要使用資源啟動區域轉移,必須部署在可用區域以及您 AWS 區域 開始轉移的位置。請確定您在要轉移的 AZ 所在的相同區域中啟動區域轉移,而且您要轉移流量的資源也位於相同的 AZ 和區域。
+ 確保您擁有正確的 IAM 許可,以搭配 資源使用區域轉移。如需詳細資訊,請參閱[區域轉移的 IAM 和許可](security_iam_service-with-iam-zonal-shift.md)。
+ 當 Network Load Balancer 或 Application Load Balancer 處於故障開啟狀態時,區域轉移將不會生效。這是預期的行為,因為區域轉移無法強制 AZ 運作狀態不良,然後在負載平衡器故障開啟時,將流量轉移到區域中的其他 AZs。如需詳細資訊,請參閱 *Network Load Balancer* [使用者指南中的針對負載平衡器使用 Route 53 DNS 容錯移轉](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/load-balancer-target-groups.html#r53-dns-failover),以及 ** [Application Load Balancer 使用者指南中的針對負載平衡器使用 Route 53 DNS 容錯移轉](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-target-groups.html#r53-dns-failover)。
+ 如果多個負載平衡器將流量轉送到相同的目標,則啟用跨區域負載平衡器的區域轉移會降低所有負載平衡器的目標容量,即使其流量不是因區域轉移而轉移。
# Amazon EC2 Auto Scaling 群組
Amazon EC2 Auto Scaling 群組包含一組 Amazon EC2 執行個體,這些執行個體被視為邏輯分組,用於自動擴展和管理。Auto Scaling 群組也讓您可以使用 Amazon EC2 Auto Scaling 功能,例如運作狀態檢查替換和擴展政策。維持 Auto Scaling 群組中的執行個體數量和自動擴展都是 Amazon EC2 Auto Scaling 服務的核心功能。
## 對 Auto Scaling 群組使用區域轉移
若要啟用區域轉移,請使用下列其中一種方法。
------
#### [ Console ]
**在新群組上啟用區域轉移 (主控台)**
1. 遵循[使用啟動範本建立 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template)中的指示,並完成程序中的每個步驟,直到步驟 10。
1. 在**與其他 服務整合**頁面上,針對 **ARC 區域轉移**,選取核取方塊以啟用區域轉移。
1. 針對**運作狀態檢查行為**,選擇忽略運作狀態不佳或取代運作狀態不佳。如果設定為 `replace-unhealthy`,運作狀態不佳的執行個體將在可用區域中以作用中區域轉移取代。如果設為 `ignore-unhealthy`,則運作狀態不佳的執行個體不會在可用區域中以作用中區域轉移取代。
1. 繼續執行[使用啟動範本建立 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template)中的步驟。
------
#### [ AWS CLI ]
**在新群組上啟用區域轉移 (AWS CLI)**
將 `--availability-zone-impairment-policy` 參數新增至 [create-auto-scaling-group](https://docs.aws.amazon.com/cli/latest/reference/autoscaling/create-auto-scaling-group.html) 命令。
`--availability-zone-impairment-policy` 參數有兩個選項:
+ **ZonalShiftEnabled** – 如果設定為 `true`,Auto Scaling 會使用 ARC 區域轉移註冊 Auto Scaling 群組,您可以在 ARC 主控台上[啟動、更新或取消區域轉移](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.start-cancel.html)。如果設定為 `false`,Auto Scaling 會從 ARC 區域轉移取消註冊 Auto Scaling 群組。您必須已啟用區域轉移,才能將 設定為 `false`。
+ **ImpairedZoneHealthCheckBehavior** – 如果設定為 `replace-unhealthy`,運作狀態不佳的執行個體將在可用區域中取代為作用中區域轉移。如果設為 `ignore-unhealthy`,則運作狀態不佳的執行個體不會在可用區域中以作用中區域轉移取代。
下列範例會在名為 的新 Auto Scaling 群組上啟用區域轉移`my-asg`。
```
aws autoscaling create-auto-scaling-group \
--launch-template LaunchTemplateName=my-launch-template,Version='1' \
--auto-scaling-group-name my-asg \
--min-size 1 \
--max-size 10 \
--desired-capacity 5 \
--availability-zones us-east-1a us-east-1b us-east-1c \
--availability-zone-impairment-policy '{
"ZonalShiftEnabled": true,
"ImpairedZoneHealthCheckBehavior": IgnoreUnhealthy
}'
```
------
------
#### [ Console ]
**在現有群組上啟用區域轉移 (主控台)**
1. 前往網址 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台,然後從導覽窗格中選擇 **Auto Scaling 群組**。
1. 在畫面頂端的導覽列上,選擇您在其中建立 Auto Scaling 群組 AWS 區域 的 。
1. 選取 Auto Scaling 群組旁的核取方塊。
頁面底部會開啟一個分割窗格。
1. 在**整合**索引標籤的 **ARC 區域轉移**下,選擇**編輯**。
1. 選取核取方塊以啟用區域轉移。
1. 針對**運作狀態檢查行為**,選擇**忽略運作狀態不佳**或**取代運作狀態不佳**。
+ 如果運作狀態檢查行為設定為忽略運作狀態不佳,則運作狀態不佳的執行個體*不會*在可用區域中以作用中區域轉移取代。
+ 如果運作狀態檢查行為設定為取代運作狀態不佳,則運作狀態不佳的執行個體會在可用區域中以作用中區域轉移取代。
1. 選擇**更新**。
------
#### [ AWS CLI ]
**在現有群組上啟用區域轉移 (AWS CLI)**
將 `--availability-zone-impairment-policy` 參數新增至 [update-auto-scaling-group](https://docs.aws.amazon.com/cli/latest/reference/autoscaling/update-auto-scaling-group.html) 命令。
`--availability-zone-impairment-policy` 參數有兩個選項:
+ **ZonalShiftEnabled** – 如果設定為 `TRUE`,Auto Scaling 會使用 ARC 區域轉移註冊 Auto Scaling 群組,您可以在 ARC 主控台上[啟動、更新或取消區域轉移](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.start-cancel.html)。如果設定為 `FALSE`,Auto Scaling 會從 ARC 區域轉移取消註冊 Auto Scaling 群組。您必須已啟用區域轉移,才能將其設定為 `FALSE`。
+ **ImpairedZoneHealthCheckBehavior** – 如果設定為 `replace-unhealthy`,運作狀態不佳的執行個體將在可用區域中取代為作用中區域轉移。如果設為 `ignore-unhealthy`,則運作狀態不佳的執行個體將不會在可用區域中以作用中區域轉移取代。
下列範例會在指定的 Auto Scaling 群組上啟用區域轉移。
```
aws autoscaling update-auto-scaling-group --auto-scaling-group-name my-asg \
--availability-zone-impairment-policy '{
"ZonalShiftEnabled": true,
"ImpairedZoneHealthCheckBehavior": IgnoreUnhealthy
}'
```
------
若要啟動區域轉移,請參閱 [啟動、更新或取消區域轉移](arc-zonal-shift.start-cancel.md)。
## Auto Scaling 群組的區域轉移運作方式
假設您有具有下列可用區域的 Auto Scaling 群組:
+ `us-east-1a`
+ `us-east-1b`
+ `us-east-1c`
您注意到 中的失敗`us-east-1a`並開始區域轉移。在 中啟動區域轉移時,會發生下列行為`us-east-1a`。
+ **向外擴展** – Auto Scaling 會在運作狀態良好的可用區域 (`us-east-1b` 和 ) 中啟動所有新的容量請求`us-east-1c`。
+ **動態擴展** – Auto Scaling 可防止擴展政策減少所需的容量。Auto Scaling 不會阻止擴展政策增加所需的容量。
+ **執行個體重新整理** – Auto Scaling 會對作用中區域轉移期間延遲的任何執行個體重新整理程序延長逾時。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/r53recovery/latest/dg/arc-zonal-shift.resource-types.ec2-auto-scaling-groups.html)
## 使用區域轉移的最佳實務
若要在使用區域轉移時維持應用程式的高可用性,我們建議採用下列最佳實務。
+ 監控 EventBridge 通知,以判斷何時持續發生可用區域受損事件。如需詳細資訊,請參閱[使用 EventBridge 自動化 Amazon EC2 Auto Scaling](https://docs.aws.amazon.com//autoscaling/ec2/userguide/automating-ec2-auto-scaling-with-eventbridge.html)。
+ 使用具有適當閾值的擴展政策,以確保您有足夠的容量來容忍遺失可用區域。
+ 設定運作狀態最低百分比為 100 的執行個體維護政策。使用此設定,Auto Scaling 會等待新執行個體準備就緒,再終止運作狀態不佳的執行個體。
對於預先擴展的客戶,我們也建議使用下列項目:
+ 選取**忽略運作狀態不佳**做為受損可用區域的運作狀態檢查行為,因為您在受損事件期間不需要取代運作狀態不佳的執行個體。
+ 在 Auto Scaling 群組的 ARC 中使用區域自動轉移。中的區域自動轉移功能 Amazon 應用程式復原控制器 (ARC) 可讓 在 AWS 偵測到可用區域中的受損時, AWS 將資源的流量移離可用區域。如需詳細資訊,請參閱[ARC 中的區域自動轉移](arc-zonal-autoshift.md)。
對於具有跨區域停用負載平衡器的客戶,我們也建議:
+ **僅針對您的可用區域分佈使用平衡**。
+ 如果您在 Auto Scaling 群組和負載平衡器上使用區域轉移,請務必先取消 Auto Scaling 群組上的區域轉移。然後,請等到容量在所有可用區域之間達到平衡。 再取消負載平衡器上的區域轉移。
+ 由於啟用區域轉移並使用跨區域停用的負載平衡器時,容量可能會不平衡,因此 Auto Scaling 具有額外的驗證。如果您遵循最佳實務,您可以透過選取 中的核取方塊 AWS 管理主控台 或使用 `CreateAutoScalingGroup`、 或 中的 `skip-zonal-shift-validation`旗標`UpdateAutoScalingGroup`來確認此可能性`AttachTrafficSources`。
# Amazon Elastic Kubernetes Service
Amazon EKS 提供的功能可讓您讓應用程式對運作狀態降低或可用區域受損等事件更具彈性。當您在 Amazon EKS 叢集中執行工作負載時,您可以使用區域轉移或區域自動轉移,進一步改善應用程式環境的容錯能力和應用程式復原能力。
## 搭配 Amazon Elastic Kubernetes Service 使用區域轉移
若要啟用區域轉移,請使用下列其中一種方法。如需詳細資訊,請參閱《*Amazon Elastic Kubernetes Service 使用者指南*》中的[了解 ARC 區域轉移](https://docs.aws.amazon.com//eks/latest/userguide/zone-shift-enable.html#zone-shift-enable-steps)。
------
#### [ Console ]
**在新的 Amazon EKS 叢集上啟用區域轉移 (主控台)**
1. 尋找您要向 ARC 註冊的 Amazon EKS 叢集名稱和區域。
1. 在 [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters) 開啟 Amazon EKS 主控台。
1. 選取您的叢集。
1. 在**叢集資訊**頁面上,選取**概觀**索引標籤。
1. 在**區域轉移**下,選擇**管理**。
1. 針對 **EKS 區域轉移**,選擇**啟用或停用******。
------
#### [ AWS CLI ]
**在新的 Amazon EKS 叢集上啟用區域轉移 (AWS CLI)**
+ 輸入以下命令:
```
aws eks create-cluster --name my-eks-cluster --role-arn my-role-arn-to-create-cluster --resources-vpc-config subnetIds=string,string,securityGroupIds=string,string,endpointPublicAccess=boolean,endpointPrivateAccess=boolean,publicAccessCidrs=string,string --zonal-shift-config enabled=true
```
**在現有的 Amazon EKS 叢集上啟用區域轉移 (AWS CLI)**
+ 輸入以下命令:
```
aws eks update-cluster-config --name my-eks-cluster --zonal-shift-config enabled=true
```
------
您可以為 Amazon EKS 叢集啟動區域轉移,也可以透過啟用區域自動轉移 AWS 來允許 為您執行。使用 ARC 啟用 Amazon EKS 叢集區域轉移後,您可以使用 ARC AWS 主控台、CLI 或區域轉移和區域自動轉移 APIs 啟動區域轉移或啟用區域自動轉移。
如需啟動區域轉移的詳細資訊,請參閱 [啟動、更新或取消區域轉移](arc-zonal-shift.start-cancel.md)。
如需使用區域轉移啟用 Amazon EKS 的詳細資訊,請參閱《*Amazon Elastic Kubernetes Service 使用者指南*》中的[了解 Amazon EKS 中的 ARC 區域轉移](https://docs.aws.amazon.com//eks/latest/userguide/zone-shift.html)。
## Amazon Elastic Kubernetes Service 的區域轉移如何運作
在 Amazon EKS 區域轉移期間,會自動執行下列動作:
+ 封鎖受影響可用區域中的所有節點。這可防止 Kubernetes 排程器將新的 Pod 排程到運作狀態不佳 AZ 中的節點。
+ 如果您使用的是[受管節點群組](https://docs.aws.amazon.com//eks/latest/userguide/managed-node-groups.html),[可用區域重新平衡](https://docs.aws.amazon.com//autoscaling/ec2/userguide/auto-scaling-benefits.html#AutoScalingBehavior.InstanceUsage)會暫停,而且 Auto Scaling 群組會更新,以確保新的 Amazon EKS 資料平面節點只會在運作狀態良好的AZs啟動。
+ 運作狀態不佳的 AZ 中的節點不會終止,也不會從這些節點移出 Pod。這是為了確保區域轉移過期或取消時,您的流量可以安全地返回仍有完整容量的 AZ。
+ EndpointSlice 控制器會在受損的 AZ 中找到所有 Pod 端點,並從相關的 EndpointSlices 中移除它們。此操作可確保僅鎖定運作狀態良好可用區域中的 Pod 端點,來接收網路流量。若區域轉移取消或到期,EndpointSlice 控制器將更新 EndpointSlices,以便在還原的可用區域中納入這些端點。
如需詳細資訊,請參閱[AWS 容器部落格](https://aws.amazon.com/blogs/containers/amazon-eks-now-supports-amazon-application-recovery-controller/)。
# Application Load Balancer
## 使用 Application Load Balancer 的區域轉移
若要搭配區域轉移使用 Application Load Balancer,您必須在 Application Load Balancer 屬性中啟用 ARC 區域轉移整合。Application Load Balancer 支援跨區域啟用或跨區域停用組態的區域轉移。
啟用 ARC 整合並開始使用區域轉移之前,請檢閱下列資訊:
+ 您只能針對單一可用區域,啟動特定負載平衡器的區域轉移。您無法為多個可用區域啟動區域轉移。
+ AWS 當多個基礎設施問題影響 服務時, 會主動從 DNS 移除區域負載平衡器 IP 地址。在啟動區域轉移之前,請務必檢查目前的可用區域容量。
+ 區域轉移不適用於單一可用區域目標群組。
+ 當 Application Load Balancer 是 Network Load Balancer 的目標時,請務必從 Network Load Balancer 啟動區域轉移。如果您從 Application Load Balancer 啟動區域轉移,Network Load Balancer 將無法辨識轉移,並繼續將流量傳送至 Application Load Balancer。
您可以在 Elastic Load Balancing 主控台 (大部分為 AWS 區域) 或 ARC 主控台中啟動負載平衡器的區域轉移。
------
#### [ Console ]
**在負載平衡器上啟用區域轉移 (主控台)**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 在**導覽**頁面的**負載平衡**下,選擇**負載平衡器**。
1. 選取 Application Load Balancer 名稱。
1. 在**屬性**索引標籤上,**編輯**。
1. 在**可用區域路由組態**下,針對 >ARC 區域轉移整合,選擇**啟用**。
1. 選擇**儲存**。
------
#### [ AWS CLI ]
**在負載平衡器上啟用區域轉移 (AWS CLI)**
+ 輸入以下命令:
```
aws elbv2 modify-load-balancer-attributes --load-balancer-arn my-alb-arn --attributes Key=zonal_shift.config.enabled,Value=true
```
------
如需啟動區域轉移的詳細資訊,請參閱 [啟動、更新或取消區域轉移](arc-zonal-shift.start-cancel.md)。
您可以使用 `keepalive`選項來設定連線持續的時間長度。如需詳細資訊,請參閱《Application Load Balancer 使用者指南》中的 [ HTTP 用戶端保持連線持續時間](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#http-client-keep-alive-duration)。根據預設,Application Load Balancer 會將 HTTP 用戶端持續作用持續時間值設定為 3600 秒或 1 小時。我們建議您降低值,使其與應用程式的復原時間目標保持一致,例如 300 秒。當您選擇 HTTP 用戶端保持連線持續時間時,請考慮此值是在一般情況下更頻繁重新連線、可能影響延遲,以及更快速地將所有用戶端移離受損的 AZ 或區域之間的取捨。
## Application Load Balancer 的區域轉移如何運作
在啟用跨區域負載平衡的 Application Load Balancer 上啟動區域轉移時,所有目標的流量都會在受影響的可用區域中遭到封鎖,而區域轉移會從 DNS 中移除區域 IP 地址。
如需詳細資訊,請參閱《[Application Load Balancer 使用者指南](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-integrations.html#zonal-shift)*》中的 Application Load Balancer *整合。
# Network Load Balancer
## 使用 Network Load Balancer 的區域轉移
若要搭配區域轉移使用 Network Load Balancer,您必須在 Network Load Balancer 屬性中啟用 ARC 區域轉移整合。Network Load Balancer 支援跨區域啟用或跨區域停用組態的區域轉移。
您可以選擇加入哪些資源來使用區域轉移和區域自動轉移,以及何時想要從受損的可用區域失敗。支援面向網際網路和內部 Network Load Balancer。
若要為啟用跨區域 Network Load Balancer 啟用區域轉移,連接至負載平衡器的所有目標群組必須符合下列要求。
+ 必須啟用跨區域負載平衡,或將 設定為 `use_load_balancer_configuration`。
+ 如需目標群組跨區域負載平衡的詳細資訊,請參閱[目標群組的跨區域負載平衡](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/edit-target-group-attributes.html#target-group-cross-zone)。
+ 目標群組通訊協定必須是 TCP 或 TLS。
+ 如需 Network Load Balancer 目標群組通訊協定的詳細資訊,請參閱[路由組態](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/load-balancer-target-groups.html#target-group-routing-configuration)。
+ 必須停用運作狀態不佳目標的連線終止。
+ 如需目標群組連線終止的詳細資訊,請參閱[運作狀態不佳目標的連線終止](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/edit-target-group-attributes.html#unhealthy-target-connection-termination)。
+ 目標群組不得有任何 Application Load Balancer 做為目標。
+ 如需 Application Load Balancer 做為目標的詳細資訊,請參閱[使用 Application Load Balancer 做為 Network Load Balancer 的目標](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/application-load-balancer-target.html)。
您可以使用 AWS CLI AWS 管理主控台、 或 Elastic Load Balancing 小工具,啟動 Network Load Balancer 的區域轉移。當 Application Load Balancer 是 Network Load Balancer 的目標時,您必須從 Network Load Balancer 開始區域轉移。如果您從 Application Load Balancer 開始區域轉移,Network Load Balancer 不會停止將流量傳送至 Application Load Balancer 及其目標。
------
#### [ Console ]
**在負載平衡器上啟用區域轉移 (主控台)**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 在**導覽**頁面的**負載平衡**下,選擇**負載平衡器**。
1. 選取 Network Load Balancer 名稱。
1. 在**屬性**索引標籤中,選擇**編輯**。
1. 在**可用區域路由組態**下,針對 **ARC 區域轉移整合**,選擇**啟用**。
1. 選擇**儲存**。
------
#### [ AWS CLI ]
**在負載平衡器上啟用區域轉移 (AWS CLI)**
+ 輸入以下命令:
```
aws elbv2 modify-load-balancer-attributes --load-balancer-arn my-nlb-arn --attributes Key=zonal_shift.config.enabled,Value=true
```
------
如需啟動區域轉移的詳細資訊,請參閱 [啟動、更新或取消區域轉移](arc-zonal-shift.start-cancel.md)。
## Network Load Balancer 的區域轉移運作方式
ARC 會為已註冊的 Network Load Balancer 建立運作狀態檢查失敗,以便在啟動區域轉移時,從 DNS 中移除受損 AZ 中的 Network Load Balancer 節點。Network Load Balancer 會停用受影響區域中的目標,使其停止接收流量,而 Elastic Load Balancing 會將這些目標視為區域轉移的已停用目標。處於停用狀態的目標會繼續接收運作狀態檢查。當目標運作狀態良好且區域轉移過期 (或取消) 時,路由至先前受損區域中的目標會繼續。
在啟用跨區域負載平衡的 Network Load Balancer 區域轉移期間,會從 DNS 中移除區域負載平衡器 IP 地址。與受損可用區域中目標的現有連線會持續存在,直到它們有機關閉,而新的連線不會再路由到受損可用區域中的目標。
如需詳細資訊,請參閱[《Network Load Balancer 使用者指南》中的 Network Load Balancer 的區域轉移](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/zonal-shift.html)。 * Load Balancer *
# 啟動、更新或取消區域轉移
本節提供區域轉移的使用程序,包括啟動區域轉移和取消區域轉移。
## 啟動區域轉移
本節中的步驟說明如何在 Amazon Application Recovery Controller (ARC) 主控台上啟動客戶起始的區域轉移。若要以程式設計方式使用區域轉移,請參閱[區域轉移 API 參考指南](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)。
除了在 ARC 中啟動區域轉移之外,您也可以在 Elastic Load Balancing 主控台 (在支援的區域中) 中啟動負載平衡器的區域轉移。如需詳細資訊,請參閱 Elastic Load Balancing 使用者指南中的[區域轉移](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/zonal-shift.html)。
## 啟動區域轉移
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)。
1. 在**異地同步**備份下,選擇**區域轉移**。
1. 在**區域轉移**頁面上,選擇**開始區域轉移**。
1. 選取您要從中轉移流量的可用區域。
1. 從資源資料表中選取支援**的資源**,以轉移流量。
1. 針對**設定區域轉移過期**,選擇或輸入區域轉移的過期。區域轉移最初可以設定為作用中 1 分鐘或最多三天 (72 小時)。
所有區域轉移都是暫時的。您必須設定過期,但稍後可以更新作用中的輪班,將新的過期期間設定為最多三天。
1. 輸入註解。如果您想要的話,您可以稍後更新區域轉移以編輯註釋。
1. 選取核取方塊,確認開始區域轉移會減少應用程式的可用容量,方法是將流量移離可用區域。
1. 選擇 **開始使用**。
## 更新或取消區域轉移
本節中的步驟說明如何更新您在 Amazon Application Recovery Controller (ARC) 主控台上啟動的區域轉移,或取消區域轉移。若要以程式設計方式使用區域轉移,請參閱[區域轉移 API 參考指南](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)。
您可以更新區域轉移以設定新的過期,或編輯或取代區域轉移的註解。您可以在區域轉移過期之前隨時取消區域轉移。
您可以取消您啟動的區域轉移,或為區域自動轉移實務執行的資源 AWS 啟動的區域轉移。若要進一步了解區域自動轉移中的練習轉移,請參閱 [區域自動轉移和實務執行的運作方式](arc-zonal-autoshift.how-it-works.md)。
## 更新區域轉移
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)。
1. 在**異地同步**備份下,選擇**區域轉移**。
1. 選取您要更新的區域轉移,然後選擇**更新區域轉移**。
1. 針對**設定區域轉移到期日**,選擇性選取或輸入到期日。
1. 針對**註解**,選擇性編輯現有註解或輸入新註解。
1. 選擇**更新**。
## 取消區域轉移
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)。
1. 在**異地同步**備份下,選擇**區域轉移**。
1. 選取您要取消的區域轉移,然後選擇**取消區域轉移**。
1. 在確認模式對話方塊中,選擇**確認**。
# 在 Amazon Application Recovery Controller (ARC) 中記錄和監控區域轉移
您可以使用 在 Amazon Application Recovery Controller (ARC) 中 AWS CloudTrail 監控區域轉移,以分析模式並協助疑難排解問題。
**Topics**
+ [使用 記錄區域轉移 API 呼叫 AWS CloudTrail](cloudtrail-zonal-shift.md)
# 使用 記錄區域轉移 API 呼叫 AWS CloudTrail
ARC 的區域轉移已與 服務整合 AWS CloudTrail,此服務提供使用者、角色或 ARC 中 AWS 服務所採取動作的記錄。CloudTrail 會將區域轉移的所有 API 呼叫擷取為事件。擷取的呼叫包括來自 ARC 主控台的呼叫,以及對區域轉移的 ARC API 操作的程式碼呼叫。
如果您建立線索,則可以將 CloudTrail 事件持續交付至 Amazon S3 儲存貯體,包括區域轉移的事件。即使您未設定追蹤,依然可以透過 CloudTrail 主控台中的**事件歷史記錄**檢視最新事件。
您可以使用 CloudTrail 所收集的資訊,判斷針對區域轉移向 ARC 提出的請求、提出請求的 IP 地址、提出請求的人員、提出請求的時間,以及其他詳細資訊。
若要進一步了解 CloudTrail,請參閱[「AWS CloudTrail 使用者指南」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
## CloudTrail 中的區域轉移資訊
建立帳戶 AWS 帳戶 時,您的 上會啟用 CloudTrail。當區域轉移在 ARC 中發生活動時,該活動會記錄在 CloudTrail 事件中,以及**事件歷史記錄**中的其他 AWS 服務事件。您可以在 中檢視、搜尋和下載最近的事件 AWS 帳戶。如需詳細資訊,請參閱[使用 CloudTrail 事件歷史記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
若要持續記錄 中的事件 AWS 帳戶,包括 ARC 中區域轉移的事件,請建立線索。*線索*能讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。依預設,當您在主控台中建立追蹤時,該追蹤會套用至所有的 AWS 區域。線索會記錄 AWS 分割區中所有區域的事件,並將日誌檔案交付至您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。如需詳細資訊,請參閱下列內容:
+ [建立追蹤的概觀](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支援的服務和整合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [設定 CloudTrail 的 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [接收多個區域的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收多個帳戶的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
CloudTrail 會記錄所有 ARC 動作,並記錄在 [Amazon Application Recovery Controller 的路由控制 API 參考指南](https://docs.aws.amazon.com/routing-control/latest/APIReference/)中。例如,對 `StartZonalShift` 以及 `ListManagedResources` 動作發出的呼叫會在 CloudTrail 日誌檔案中產生項目。
每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
+ 請求是使用根或 AWS Identity and Access Management (IAM) 使用者登入資料提出。
+ 提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。
+ 請求是否由其他 AWS 服務提出。
如需詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 在事件歷史記錄中檢視 ARC 事件
CloudTrail 可讓您使用 **Event history (事件歷史記錄)** 檢視最近的事件。如需詳細資訊,請參閱「AWS CloudTrail 使用者指南」**中的[使用 CloudTrail 事件歷史記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
## 了解區域轉移日誌檔案項目
追蹤是一種組態,能讓事件以日誌檔案的形式交付到您指定的 Amazon S3 儲存貯體。CloudTrail 日誌檔案包含一或多個日誌專案。一個事件為任何來源提出的單一請求,並包含請求動作、請求的日期和時間、請求參數等資訊。CloudTrail 日誌檔並非依公有 API 呼叫的堆疊追蹤排序,因此不會以任何特定順序出現。
下列範例顯示 CloudTrail 日誌項目,示範區域轉移`ListManagedResources`的動作。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:14:41Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "ListManagedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": null,
"responseElements": null,
"requestID": "VGXG4ZUE7UZTVCMTJGIAF_EXAMPLE",
"eventID": "4b5c42df-1174-46c8-be99-d67_EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
下列範例顯示 CloudTrail 日誌項目,示範具有區域轉移衝突例外`StartZonalShift`狀況的動作。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:10:38Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "StartZonalShift",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"errorCode": "ConflictException",
"errorMessage": "There's already an active zonal shift for that resource identifier: 'arn:aws:testservice:us-west-2:077059137270:testResource/456apples'. Active zonal shift: 'bac23b74-176e-c073-de8f-484ca508910f'",
"requestParameters": {
"resourceIdentifier": "arn:aws:testservice:us-west-2:077059137270:testResource/456apples",
"awayFrom": "usw2-az1",
"expiresIn": "2m",
"comment": "HIDDEN_FOR_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "OP4OYXZ54HUPMIPGWH_EXAMPLE",
"eventID": "0bca6660-e999-43a5-9008-EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
# ARC 中區域轉移的 Identity and Access Management
AWS Identity and Access Management (IAM) 是一種 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以*進行身分驗證* (登入) 和*授權* (具有許可) 來使用 ARC 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [區域轉移如何與 IAM 搭配使用](security_iam_service-with-iam-zs.md)
+ [區域轉移的許可](security_iam_service-with-iam-zonal-shift.md)
+ [身分型政策範例](security_iam_id-based-policy-examples-zonal.md)
# 區域轉移如何與 IAM 搭配使用
在您使用 IAM 管理 Amazon Application Recovery Controller (ARC) 中區域轉移的存取權之前,請先了解哪些 IAM 功能可與區域轉移搭配使用。
**您可以搭配區域轉移使用的 IAM 功能**
| IAM 功能 | 區域轉移支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-id-based-policies) | 是 |
| [資源型政策](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [政策動作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [政策資源](#security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [政策條件索引鍵](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [ACL](#security_iam_service-with-iam-acls) | 否 |
| [ABAC(政策中的標籤)](#security_iam_service-with-iam-tags) | 部分 |
| [臨時憑證](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [主體許可](#security_iam_service-with-iam-principal-permissions) | 是 |
| [服務角色](#security_iam_service-with-iam-roles-service) | 否 |
| [服務連結角色](#security_iam_service-with-iam-roles-service-linked) | 是 |
若要取得 AWS 服務如何與大多數 IAM 功能搭配使用的高階整體檢視,請參閱《IAM *使用者指南*》中的與 IAM [AWS 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## ARC 的身分型政策
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
若要檢視 ARC 身分型政策的範例,請參閱 [Amazon Application Recovery Controller (ARC) 中的身分型政策範例](security_iam_id-based-policy-examples.md)。
## ARC 內的資源型政策
**支援資源型政策:**否
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM 角色信任政策和 Amazon S3 儲存貯體政策。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。
## 區域轉移的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
若要查看區域轉移的 ARC 動作清單,請參閱*《服務授權參考*》中的 [ Amazon Route 53 區域轉移定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)。
ARC 中區域轉移的政策動作在動作之前使用下列字首:
```
arc-zonal-shift
```
若要在單一陳述式中指定多個動作,請用逗號分隔。例如,下列項目:
```
"Action": [
"arc-zonal-shift:action1",
"arc-zonal-shift:action2"
]
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要指定開頭是 `Describe` 文字的所有動作,請包含以下動作:
```
"Action": "arc-zonal-shift:Describe*"
```
若要檢視區域轉移的 ARC 身分型政策範例,請參閱 [ARC 中區域轉移的身分型政策範例](security_iam_id-based-policy-examples-zonal.md)。
## 區域轉移的政策資源
**支援政策資源:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
若要查看資源類型及其 ARNs的清單,以及您可以使用每個資源的 ARN 指定的動作,請參閱服務*授權參考*中的下列主題:
+ [ Amazon Route 53 定義的動作 - 區域轉移](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
若要查看可與條件索引鍵搭配使用的動作和資源,請參閱*服務授權參考*中的下列主題:
+ [ Amazon Route 53 - 區域轉移定義的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
若要檢視區域轉移的 ARC 身分型政策範例,請參閱 [ARC 中區域轉移的身分型政策範例](security_iam_id-based-policy-examples-zonal.md)。
## 區域轉移的政策條件索引鍵
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要查看區域轉移條件索引鍵的清單,請參閱*服務授權參考*中的下列主題:
+ [ Amazon Route 53 - 區域轉移定義的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
若要查看可與條件金鑰搭配使用的動作和資源,請參閱*服務授權參考*中的下列主題:
+ [ Amazon Route 53 定義的動作 - 區域轉移](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
+ [ Amazon Route 53 定義的資源類型 - 區域轉移](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-resources-for-iam-policies)
若要檢視區域轉移的 ARC 身分型政策範例,請參閱 [ARC 中區域轉移的身分型政策範例](security_iam_id-based-policy-examples-zonal.md)。
## ARC 中的存取控制清單 (ACLs)
**支援 ACL:**否
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## 使用 ARC 的屬性型存取控制 (ABAC)
**支援 ABAC (政策中的標籤):**部分
屬性型存取控制 (ABAC) 是一種授權策略,根據稱為標籤的屬性定義許可權。您可以將標籤連接至 IAM 實體 AWS 和資源,然後設計 ABAC 政策,以便在委託人的標籤符合資源上的標籤時允許操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
ARC 包含下列對 ABAC 的部分支援:
+ 區域轉移支援在 ARC 中為區域轉移註冊的受管資源 ABAC。如需有關 ABAC for Network Load Balancer 和 Application Load Balancer 受管資源的詳細資訊,請參閱[Elastic Load Balancing 使用者指南》中的 ABAC with](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-tags) Elastic Load Balancing。
## 搭配 ARC 使用臨時登入資料
**支援臨時憑證:**是
臨時登入資料提供 AWS 資源的短期存取權,當您使用聯合或切換角色時,會自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## ARC 的跨服務主體許可
**支援轉寄存取工作階段 (FAS):**是
當您使用 IAM 實體 (使用者或角色) 在 中執行動作時 AWS,您會被視為委託人。政策能將許可授予主體。當您使用某些服務時,您可能會執行一個動作,然後在不同的服務中觸發另一個動作。在此情況下,您必須具有執行這兩個動作的許可。
若要查看動作是否需要政策中的其他相依動作,請參閱*服務授權參考*中的下列主題:
+ [ Amazon Route 53 區域轉移](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html)
## ARC 的服務角色
**支援服務角色:**否
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## ARC 的服務連結角色
**支援服務連結角色:**是
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
區域轉移不使用服務連結角色。
# 區域轉移的 IAM 和許可
本節提供 Amazon Application Recovery Controller (ARC) 中區域轉移功能許可運作方式的額外資訊,特別是當您使用來自 Elastic Load Balancing 等 AWS 其他服務的功能時。若要了解 ARC 功能如何使用 IAM 和一般許可,請檢閱概觀主題 中的資訊[ARC 中區域轉移的 Identity and Access Management](security-iam-zonalshift.md)。
區域轉移支援 Application Load Balancer、Network Load Balancer、Amazon EC2 Auto Scaling 群組和 Amazon EKS。您可以使用 IAM 條件金鑰,將 IAM 許可政策範圍限定為這些資源。以下是使用具有多種不同類型資源之條件索引鍵的範例政策:
```
{
"Condition": {
"StringLike": {
"arc-zonal-shift:ResourceIdentifier": [
"arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/*",
"arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/*",
"arn:aws:eks:us-east-1:123456789012:cluster/*"
]
}
},
"Action": [
"arc-zonal-shift:StartZonalShift"
],
"Resource": "*",
"Effect": "Allow"
}
```
如需詳細資訊,請參閱[支援的資源](arc-zonal-shift.resource-types.md)。
除了 IAM 概觀主題中概述的許可之外,下列適用於 IAM 和許可的區域轉移:
+ 請確定您擁有在 ARC 中使用區域轉移所需的許可。如需詳細資訊,請參閱[區域轉移主控台存取](security_iam_id-based-policy-examples-zonal.md#security_iam_id-based-policy-examples-console-zonal)和[區域轉移操作存取](security_iam_id-based-policy-examples-zonal.md#security_iam_id-based-policy-examples-api-zonal)。
+ 您不需要使用 IAM 新增額外的 Elastic Load Balancing 許可,即可在 ARC 中使用帳戶中受管負載平衡器資源的區域轉移。
+ 提供 Elastic Load Balancing 完整存取權的 AWS 受管政策包含使用區域轉移的許可。如果您將 AWS 受管政策用於 Elastic Load Balancing 存取,則不需要 IAM 中的其他許可,即可進行區域轉移,以啟動負載平衡器的區域轉移,或在 Elastic Load Balancing 主控台中使用 。如需詳細資訊,請參閱 [AWS Elastic Load Balancing 的 受管政策](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/managed-policies.html)。
# ARC 中區域轉移的身分型政策範例
根據預設,使用者和角色沒有建立或修改 ARC 資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需 ARC 定義的動作和資源類型的詳細資訊,包括每種資源類型的 ARNs 格式,請參閱*《服務授權參考*》中的 [Amazon Application Recovery Controller (ARC) 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [範例:區域輪班主控台存取](#security_iam_id-based-policy-examples-console-zonal)
+ [範例:區域轉移 API 動作](#security_iam_id-based-policy-examples-api-zonal)
## 政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 ARC 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 等使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 範例:區域輪班主控台存取
若要存取 Amazon Application Recovery Controller (ARC) 主控台,您必須擁有一組最低許可。這些許可必須允許您列出和檢視 中 ARC 資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
若要授予使用者在 中使用區域轉移的完整存取權 AWS 管理主控台,請將如下所示的政策連接到使用者:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
## 範例:區域轉移 API 動作
區域轉移 API 會暫時將流量移離可用區域,以復原應用程式。
為了確保使用者可以使用區域轉移 API 動作,請連接對應至使用者需要使用的 API 操作的政策,例如下列項目:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource": "*"
}
]
}
```
------
# ARC 中的區域自動轉移
使用區域自動轉移時,您授權 AWS 代表您在事件期間從可用區域 (AZ) 轉移應用程式的資源流量,以協助縮短復原時間。當內部遙測顯示有可能影響客戶的可用區域受損時, 會 AWS 啟動自動轉移。當 AWS 啟動自動轉移時,您為區域自動轉移設定之資源的應用程式流量會開始從可用區域轉移。
請注意,ARC 不會檢查個別資源的運作狀態。 AWS 當遙測偵測到有可能影響客戶的可用區域受損時, 會 AWS 啟動自動轉移。在某些情況下,對於沒有影響的資源,流量可能會轉移。
使用區域自動轉移,您也可以授權 代表您從可用區域 AWS 轉移應用程式的資源流量,以進行定期實務執行。區域自動轉移需要練習執行。ARC 針對實務執行啟動的區域轉移,可協助您確保在自動轉移期間從可用區域轉移流量對您的應用程式是安全的。實務會定期測試您的應用程式是否可以在沒有一個可用區域的情況下正常運作,方法是啟動區域轉移,將資源的流量移離可用區域。練習每週執行一次,並提供 `SUCCEEDED`或 等結果`FAILED`,以協助您了解應用程式是否如預期運作。
**重要**
在您設定實務執行或啟用區域自動轉移之前,強烈建議您在部署應用程式資源的區域中,預先擴展所有可用區域中的應用程式資源容量。當自動轉移或實務執行開始時,您不應依賴擴展需求。區域自動轉移,包括練習執行、獨立運作,而且不會等待自動擴展動作完成。依賴自動擴展而不是預先擴展,可能會導致應用程式需要更長的時間才能復原。
如果您使用自動擴展來處理定期的流量週期,強烈建議您設定自動擴展的最低容量,以便在失去可用區域的情況下繼續正常運作。
如果您打算啟用區域自動轉移或設定實務執行,請在預先擴展應用程式資源容量之後,測試您的應用程式是否可以在沒有一個可用區域的情況下正常運作。若要測試這一點,請啟動區域轉移,將資源的流量移離可用區域。
啟用區域自動轉移後,建議您啟動並評估隨需實務執行區域轉移,以驗證您的應用程式是否可在流量移離可用區域的情況下繼續正常運作。然後,ARC 執行的常規實務會協助您持續確認您是否有足夠的容量進行自動轉移。
為了確保具有區域轉移的測試有效,請務必驗證流量是否如預期從您轉移的 AZ 耗盡。例如,Application Load Balancer 和 Network Load Balancer 都會在 Amazon CloudWatch 中提供每個可用區域指標,供您用來監控。根據服務和用戶端重複使用連線的時間長度,流量可能會繼續轉移到您移離的 AZ 的時間超過預期。若要進一步了解,請參閱[限制用戶端與您的端點保持連線的時間](arc-zonal-autoshift.considerations.md#ZAConsiderationsCurrentConnections)。
您可以在 ARC 主控台中為支援的資源啟用區域自動轉移。或者,在 Amazon EC2 主控台中,您可以選擇為特定負載平衡器資源啟用區域自動轉移。若要進一步了解如何使用 Elastic Load Balancing 啟用區域自動轉移,請參閱Elastic Load Balancing 使用者指南》中的[區域轉移](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/zonal-shift.html)。
自動轉移和練習執行區域轉移是暫時的。透過自動轉移,當受影響的可用區域復原時, 會 AWS 停止將資源流量從可用區域轉移。客戶的應用程式流量會返回 區域中的所有可用區域。透過練習執行,流量會從單一資源的可用區域轉移約 30 分鐘,然後轉移回區域中的所有可用區域。
您可以設定 Amazon EventBridge 通知,以提醒您自動轉移和練習執行。如需詳細資訊,請參閱[搭配 Amazon EventBridge 使用區域自動轉移](eventbridge-zonal-autoshift.md)。
# 區域自動轉移和實務執行的運作方式
Amazon Application Recovery Controller (ARC) 中的區域自動轉移功能允許 代表您將資源的流量 AWS 移離可用區域,當 AWS 判斷存在可能影響可用區域中客戶的損害時。區域自動轉移是專為在 中所有可用區域中預先擴展的資源所設計 AWS 區域,因此應用程式可以在失去一個可用區域的情況下正常運作。
使用區域自動轉移時,您需要設定實務執行,其中 ARC 會定期將資源的流量從一個可用區域轉移。對於具有與其相關聯之實務執行組態的每個資源,ARC 排程實務大約每週執行一次。每個資源的練習執行會獨立排程。
對於每個練習執行,ARC 會記錄結果。如果實務執行因封鎖條件而中斷,實務執行結果不會標示為成功。如需練習執行結果的詳細資訊,請參閱[練習執行的結果](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes)。
您可以設定 Amazon EventBridge 通知,以傳送自動轉移和練習執行的相關資訊給您。如需詳細資訊,請參閱[搭配 Amazon EventBridge 使用區域自動轉移](eventbridge-zonal-autoshift.md)。
**Topics**
+ [關於區域自動轉移](arc-zonal-autoshift.how-it-works.about.md)
+ [當 AWS 啟動和停止自動轉移](arc-zonal-autoshift.how-it-works.start-stop-auto.md)
+ [當 ARC 排程、開始和結束練習執行時](arc-zonal-autoshift.how-it-works.scheduled-practice-runs.md)
+ [練習執行的容量檢查](arc-zonal-autoshift.how-it-works.capacity-check.md)
+ [實務執行和自動轉移的通知](arc-zonal-autoshift.how-it-works.notifications.md)
+ [區域輪班的優先順序](arc-zonal-autoshift.how-it-works.precedence.md)
+ [停止作用中的自動轉移或練習執行](arc-zonal-autoshift.how-it-works.stop-shift.md)
+ [如何轉移流量](arc-zonal-autoshift.how-it-works.how-traffic-shifted.md)
+ [練習執行的警示](arc-zonal-autoshift.how-it-works.alarms.md)
+ [封鎖的視窗和允許的視窗 (UTC)](arc-zonal-autoshift.how-it-works.blocked-windows.md)
# 關於區域自動轉移
區域自動轉移是一項功能,其中 會代表您將應用程式資源流量 AWS 移離可用區域。當內部遙測顯示存在可能影響客戶的可用區域受損時, 會 AWS 啟動自動轉移。內部遙測包含來自多個來源的指標,包括 AWS 網路,以及 Amazon EC2 和 Elastic Load Balancing 服務。
您必須為支援 AWS 的資源手動啟用區域自動轉移。
當您在區域多個 (通常為三個) AZs 的負載平衡器上部署和執行 AWS 應用程式,並且預先擴展以支援靜態穩定性時, AWS 可以透過自動轉移轉移流量來快速復原 AZ 中的客戶應用程式。透過將資源流量轉移到 區域中的其他 AZs, AWS 可以減少因停電、AZ 中的硬體或軟體問題或其他損害所造成的潛在影響的持續時間和嚴重性。
ARC 支援的資源提供將指定 AZ 標記為運作狀態不佳的整合,這會導致流量移離受損的 AZ。
當您為資源啟用區域自動轉移時,您還必須為資源設定練習執行。 AWS 會執行大約每週一次的練習執行 30 分鐘,以協助您確保您有足夠的容量執行應用程式,而沒有 區域中的其中一個可用區域。
如同區域轉移,在少數特定情況下,區域自動轉移不會將流量移離可用區域。例如,如果 AZs 中的負載平衡器目標群組沒有任何執行個體,或者所有執行個體運作狀態不佳,則負載平衡器會處於故障開啟狀態,您無法轉移其中一個 AZs。
若要進一步了解區域自動轉移,請參閱[ARC 中的區域自動轉移](arc-zonal-autoshift.md)。
# 當 AWS 啟動和停止自動轉移
當您為資源啟用區域自動轉移時,您授權 AWS 代表您在事件期間從可用區域轉移應用程式的資源流量,以協助縮短復原時間。
為了達成此目的,區域自動轉移會使用 AWS 遙測功能,盡早偵測是否存在可能影響客戶的可用區域受損。當 AWS 啟動自動轉移時,對已設定資源的流量會立即開始從可能影響客戶的受損可用區域轉移。
區域自動轉移是一項功能,專為已針對 中的所有可用區域預先擴展其應用程式資源的客戶而設計 AWS 區域。當自動轉移或實務執行開始時,您不應依賴擴展需求。
AWS 會在判斷可用區域已復原時結束自動轉移。
# 當 ARC 排程、開始和結束練習執行時
ARC 會每週排程資源的實務執行約 30 分鐘。ARC 會個別排程、啟動和管理每個資源的實務執行。ARC 不會同時批次處理相同帳戶中資源的實務執行。您也可以自行開始隨需練習執行,以協助確認您的設定對區域自動轉移事件是否安全。
當實務執行在預期持續時間內繼續進行,而不會中斷時,它會以 的結果來標記`SUCCESSFUL`。還有幾個其他可能的結果:`FAILED`、 `INTERRUPTED``CAPACITY_CHECK_FAILED`和 `PENDING`。結果值和描述包含在[練習執行的結果](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes)區段中。
在某些情況下,ARC 會中斷實務執行並結束。例如,如果自動轉移在實務執行期間啟動,ARC 會中斷實務執行並結束。另一個範例是,假設資源對實務執行有不利的回應,並導致您指定用來監控實務執行的警示進入 `ALARM` 狀態。在此案例中,ARC 也會中斷實務執行並結束。
此外,在幾種情況下,ARC 不會開始資源的排程實務執行。
為了回應資源的中斷和封鎖實務執行,ARC 會執行下列動作:
+ 如果資源的實務執行在進行中時中斷,ARC 會將每週實務執行視為結束,並為資源排程下週的新實務執行。每週實務成果`INTERRUPTED`在此案例中,而不是 `FAILED`。`FAILED` 只有在監控練習執行的結果警示在練習執行期間進入 `ALARM` 狀態時,練習執行結果才會設為 。
+ 如果資源的實務執行排定啟動時有封鎖限制,ARC 不會啟動實務執行。ARC 會繼續定期監控,以判斷是否仍有一或多個封鎖限制條件。當沒有任何封鎖限制時,ARC 會開始資源的實務執行。
以下是阻止 ARC 啟動或繼續資源實務執行的封鎖限制範例:
+ 進行 AWS Fault Injection Service 實驗時,ARC 不會啟動或繼續練習執行。如果 AWS FIS 事件在 ARC 已排定實務執行啟動時處於作用中狀態,ARC 不會啟動實務執行。ARC 會在整個實務執行期間監控封鎖限制,包括 AWS FIS 事件。如果 AWS FIS 事件在實務執行作用中時啟動,ARC 會結束實務執行,並且不會嘗試啟動另一個練習,直到資源的下一個定期排程實務執行為止。
+ 如果區域中目前有 AWS 事件,ARC 不會開始資源的練習執行,並結束區域中的作用中練習執行。
當練習執行完成而不被中斷時,ARC 會照常排程一週內的下一個練習執行。如果實務執行因為封鎖限制而未啟動,例如您指定的 AWS FIS 實驗或封鎖時段,ARC 會繼續嘗試啟動實務執行,直到可啟動實務執行為止。
# 練習執行的容量檢查
當實務執行開始時,為了暫時將流量移離可用區域,ARC 會執行檢查,以確認您在其他可用區域中有足夠的容量,以安全地將流量移離可用區域。如果沒有足夠的可用容量,則練習執行的流量轉移不會啟動,練習執行也會結束。
此外,在 ARC 結束自動轉移啟動的流量轉移之前,ARC 會在區域自動轉移完成時執行負載平衡器資源的容量檢查。如果容量檢查在自動轉移結束時失敗,流量不會移回移出的可用區域。
只有負載平衡器和 Auto Scaling 群組才能完成平衡容量檢查。
對於負載平衡器資源,容量檢查會驗證與負載平衡器相關聯的運作狀態良好的主機是否分散在可用區域。具體而言,容量檢查可確保註冊資源的所有可用區域中運作狀態良好的主機數量都已平衡。對於容量檢查,平衡表示每個可用區域的運作狀態良好容量與其他區域相同,在小變異數內。
請注意,容量檢查不會套用到具有 Lambda 類型之目標群組的負載平衡器,也不會套用到 Application Load Balancer,因為這些目標不會按區域設定。
Auto Scaling 群組也會完成容量檢查。對於 Auto Scaling 群組,容量檢查會驗證 Auto Scaling 群組的運作狀態良好的區域總容量,也就是所有可用區域中運作狀態良好的主機總數,符合該 Auto Scaling 群組所需的容量集。
**當容量檢查失敗時**
當容量檢查發現資源的可用容量未平衡時,練習執行的結果為 `CAPACITY_CHECK_FAILED`。若要進一步了解為什麼容量檢查失敗,請參閱 的註解欄位`ZonalShiftSummary`。若要尋找練習執行區域轉移的註解欄位,請執行下列動作:
1. 使用 AWS CLI,列出您在使用 [ListZonalShifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListZonalShifts.html) API 操作之實務執行中指定的資源的區域轉移。
FOr 範例,若要傳回區域轉移,您可以執行類似下列的命令:
```
aws arc-zonal-shift start-practice-run
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890"
```
1. 檢閱傳回的`ZonalShiftSummary`物件陣列,尋找因容量檢查而失敗之實務執行的區域轉移。
1. 對於適用的區域轉移,請檢閱 `Comment` 欄位中的資訊。
# 實務執行和自動轉移的通知
您可以透過設定 Amazon EventBridge 通知,選擇收到資源練習執行和自動轉移的通知。即使您尚未為任何資源啟用區域自動轉移,也稱為自動轉移觀察器通知,也可以設定 EventBridge 通知。 **透過自動轉移觀察器通知,您會收到 ARC 在可用區域可能受損時啟動的所有自動轉移通知。請注意,您必須在 AWS 區域 要接收通知的每個 中設定此選項。
若要查看啟用自動轉移觀察器通知的步驟,請參閱 [啟用或停用自動轉移觀察器通知](arc-zonal-autoshift.enable-autoshift-observer.md)。若要進一步了解通知選項以及如何在 EventBridge 中設定這些選項,請參閱 [搭配 Amazon EventBridge 使用區域自動轉移](eventbridge-zonal-autoshift.md)。
# 區域輪班的優先順序
在特定時間不能有多個套用的區域轉移。也就是說,只有一個實務會執行資源的區域轉移、客戶起始的區域轉移、自動轉移或 AWS FIS 實驗。啟動第二個區域轉移時,ARC 會遵循優先順序來判斷資源的有效區域轉移類型。
優先順序的一般原則是您以客戶身分開始的分區輪班優先於其他輪班類型。不過,請注意,目前執行 AWS的練習執行會阻止您啟動隨需練習執行。
若要說明 ARC 中的優先順序,下列是優先順序在範例案例中的運作方式:
| 已套用區域轉移類型 | 區域轉移類型已啟動 | 結果 |
| --- | --- | --- |
| AWS FIS 實驗 | 練習執行 | 實務執行將無法開始,因為 AWS FIS 實驗優先。 |
| AWS FIS 實驗 | 手動區域轉移 | AWS FIS 實驗將被取消,並將套用手動區域轉移。 |
| AWS FIS 實驗 | 區域自動轉移 | AWS FIS 實驗將被取消,並將套用區域自動轉移。 |
| AWS FIS 實驗 | AWS FIS 實驗 | 啟動的 AWS FIS 實驗將無法啟動,因為有執行中的現有實驗觸發了 AWS FIS 自動轉移動作。 |
| 練習執行 | 手動區域轉移 | 練習執行將取消,並將結果設定為 INTERRUPTED,並將套用區域轉移。 |
| 練習執行 | AWS FIS 實驗 | 練習執行將取消,並將結果設定為 INTERRUPTED,並將 AWS FIS 套用實驗。 |
| 練習執行 | 區域自動轉移 | 練習執行將取消,並將結果設定為 INTERRUPTED,並將套用區域自動轉移。 |
| 手動區域轉移 | 練習執行 | 練習執行將無法啟動。 |
| 手動區域轉移 | AWS FIS 實驗 | AWS FIS 實驗將無法啟動,或者如果已經在進行中,則無法啟動。 |
| 手動區域轉移 | 區域自動轉移 | 區域自動轉移將ACTIVE不在資源APPLIED上。手動區域轉移優先。 |
| 區域自動轉移 | AWS FIS 實驗 | AWS FIS 實驗將無法啟動,或者如果正在進行,將會失敗。 |
| 區域自動轉移 | 手動區域轉移 | 區域自動轉移將ACTIVE不在資源APPLIED上。手動區域轉移優先。 |
| 區域自動轉移 | 練習執行 | 實務執行將無法啟動,因為區域自動轉移優先。 |
目前對資源生效的流量轉移,其套用的區域轉移狀態會設定為 `APPLIED`。任何時候都只會有一種轉移設定為 `APPLIED`。其他進行中的輪班會設定為 `NOT_APPLIED`,但仍保持 `ACTIVE` 狀態。
# 停止資源的作用中自動轉移或實務執行
若要停止資源正在進行的自動轉移,您必須取消區域轉移。
依相同的排程,資源仍會定期執行實務。如果您想要在停用自動轉移之外停止練習執行,您必須刪除與資源相關聯的練習執行組態。
當您刪除實務執行組態時, 會 AWS 停止執行實務執行,每週將資源的流量從可用區域轉移。此外,由於區域自動轉移需要練習執行,當您使用 ARC 主控台刪除練習執行組態時,此動作也會停用資源的區域自動轉移。不過,請注意,如果您使用區域自動轉移 API 刪除實務執行,您必須先停用資源的區域自動轉移。
如需詳細資訊,請參閱[取消區域自動轉移](arc-zonal-autoshift.canceling-an-autoshift.md)及[啟用和使用區域自動轉移](arc-zonal-autoshift.start-cancel.md)。
# 如何轉移流量
對於自動轉移和練習執行區域轉移,流量會使用 ARC 用於客戶起始區域轉移的相同機制,從可用區域轉移。運作狀態檢查不佳會導致 Amazon Route 53 從 DNS 撤銷資源的對應 IP 地址,以便從可用區域重新導向流量。新的連線現在改為路由至 中的其他可用區域 AWS 區域 。
使用自動轉移時,當可用區域復原並 AWS 決定結束自動轉移時,ARC 會反轉運作狀態檢查程序,請求還原 Route 53 運作狀態檢查。然後,會還原原始區域 IP 地址,如果運作狀態檢查持續正常,則可用區域會再次包含在應用程式的路由中。
請務必注意,自動轉移並非以監控負載平衡器或應用程式基礎運作狀態的運作狀態檢查為基礎。ARC 使用運作狀態檢查將流量從可用區域移開,方法是請求運作狀態檢查設定為運作狀態不佳,然後在結束自動轉移或區域轉移時,再次將運作狀態檢查還原為正常。
# 練習執行的警示
您可以為區域自動轉移中的實務執行指定兩種類型的 CloudWatch 警示:結果警示和封鎖警示。
**結果警示 (必要)**
對於第一個類型的警示,*結果警示*,至少需要指定一個警示。當流量在每個 30 分鐘練習執行期間移離可用區域時,您應該設定結果警示來監控應用程式的運作狀態。
若要讓實務執行有效,請至少指定一個符合下列兩個條件的 CloudWatch 警示做為結果警示:
警示會監控資源或應用程式的指標
AND
當您的應用程式因失去一個可用區域而受到負面影響時,警示會以 `ALARM` 狀態回應。
如需詳細資訊,請參閱 中**您為練習執行指定的警示**一節[設定區域自動轉移時的最佳實務](arc-zonal-autoshift.considerations.md)。
結果警示也提供 ARC 針對每個*練習執行所回報的練習執行結果*資訊。如果結果警示進入 `ALARM` 狀態,ARC 會結束練習執行,並傳回 的練習執行結果`FAILED`。如果練習執行完成 30 分鐘的測試期間,而且您指定的任何結果警示都未進入 `ALARM` 狀態,則傳回的結果為 `SUCCEEDED`。所有結果值的清單以及說明,都會在[練習執行的結果](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes)區段中提供。
**封鎖警示 (選用)**
或者,您可以指定第二類警示,即*封鎖警示*。當一或多個警示處於 `ALARM` 狀態時,封鎖警示區塊實務會從開始或繼續執行。當至少一個警示處於 `ALARM` 狀態時,封鎖警示區塊練習執行流量轉移,使其無法啟動,並停止任何進行中的練習執行。
例如,在具有多個微服務的大型架構中,當一個微服務發生問題時,您通常想要停止應用程式環境中的所有其他變更,包括封鎖實務執行。您可以在 ARC 中新增封鎖警示來完成此操作。
# 封鎖的視窗和允許的視窗 (UTC)
您可以選擇*封鎖*或*允許*特定行事曆日期或特定時段的練習執行,也就是 UTC 中指定的日期和時間。
例如,如果您有排定在 2024 年 5 月 1 日啟動的應用程式更新,而且您不希望此時練習執行將流量移出,您可以設定 的封鎖日期`2024-05-01`。
或者,假設您每週執行三天的業務報告摘要。在此案例中,您可以將下列週期性日期和時間設定為封鎖時段,例如,在 UTC 中:`MON-20:30-21:30 WED-20:30-21:30 FRI-20:30-21:30`。
或者,您也可以決定星期三和星期五從中午到 5:00 是 ARC 開始練習執行的最佳時間,以測試您的設定。在此案例中,您可以將下列週期性日期和時間設定為允許的時段,例如,在 UTC 中:`WED-12:00-17:00 FRI-12:00-17:00`。
# AWS 區域 區域自動轉移的可用性
區域轉移和區域自動轉移目前可在商業 AWS 區域以及中國區域使用,也就是中國 (北京) 區域和中國 (寧夏) 區域。
使用 Amazon Application Recovery Controller (ARC) 的資源可能包含其他考量事項。如需詳細資訊,請參閱[支援的資源](arc-zonal-shift.resource-types.md)。
如需 ARC 區域支援和服務端點的詳細資訊,請參閱《[Amazon Web Services 一般參考》中的 Amazon Application Recovery Controller (ARC) 端點和配額](https://docs.aws.amazon.com/general/latest/gr/r53arc.html)。 **
# 區域自動轉移元件
下圖說明自動轉移流量移離可用區域的範例。當內部遙測顯示存在可能影響客戶的可用區域受損時, 會 AWS 啟動自動轉移。
![\[具有三個可用區域的自動轉移圖表\]](http://docs.aws.amazon.com/zh_tw/r53recovery/latest/dg/images/ZonalAutoshiftDiagram.png)
以下是 ARC 中區域自動轉移功能的元件。
**區域自動轉移**
區域自動轉移會轉移資源的流量,而不需要您採取任何動作。區域自動轉移是 ARC 的一項功能,當內部遙測顯示存在可能影響客戶的可用區域受損時, 會 AWS 啟動自動轉移。請注意,在某些情況下,資源可能會轉移,而不會產生影響。
**練習執行**
當您為資源啟用區域自動轉移時,您還必須為資源設定區域自動轉移*實務執行*。 會為實務 AWS 執行區域轉移大約每週執行約 30 分鐘。您也可以排程隨需執行的練習。
實務執行可確保您的應用程式可以正常執行,並遺失一個可用區域。在實務執行中, 會使用區域轉移將資源的流量 AWS 移離一個可用區域,然後在實務執行結束時將流量移返。
**練習執行組態**
使用練習執行組態,您可以定義 ARC 何時可以為具有區域自動轉移的資源開始練習執行的時間範圍 (封鎖或允許的時段)。您也可以定義 AWS 實務執行的 CloudWatch 警示。您可以隨時編輯練習執行組態、新增或變更封鎖或允許的時段,或更新練習執行的警示。
若要啟用區域自動轉移,您必須為資源設定實務執行組態。
您可以刪除實務執行,但首先必須停用區域自動轉移。
**練習執行警示**
當您設定實務執行時,您可以根據您的資源和應用程式需求,指定 CloudWatch 警示 (您第一次在 CloudWatch 中建立的警示)。如果您的應用程式受到練習執行的負面影響,您指定的警示可能會封鎖練習執行的開始,或可以停止進行中的練習執行。
如果您指定的警示進入 `ALARM` 狀態,ARC 會結束實務執行的區域轉移,讓資源的流量不會再從可用區域轉移。
您為練習執行指定的警示有兩種類型:*結果*警示、在練習執行期間監控資源和應用程式的運作狀態,以及*封鎖*警示,您可以設定這些警示來防止練習執行開始,或停止進行中練習執行。至少需要一個結果警示;封鎖警示是選用的。
**練習執行結果**
ARC 會報告每個實務執行的結果。以下是可能的演練結果:
+ **待定:**實務執行的區域轉移為作用中 (進行中)。尚無結果可傳回。
+ **SUCCEEDED:**結果警示未在練習執行期間進入 `ALARM` 狀態,且練習執行已完成完整的 30 分鐘測試期間。
+ **INTERRUPTED:**由於不是結果警示進入 `ALARM` 狀態的原因,實務執行結束。演練可能因各種不同的原因而中斷。例如,由於為練習執行指定的封鎖警示進入 `ALARM` 狀態而結束的練習執行結果為 `INTERRUPTED`。如需 `INTERRUPTED` 結果的原因詳細資訊,請參閱[演練的結果](arc-zonal-autoshift.considerations.md#ZAConsiderationsPracticeRunOutcomes)。
+ **失敗:**在演練期間結果警示進入 `ALARM` 狀態。
+ **CAPACITY\$1CHECK\$1FAILED:**對負載平衡和 Auto Scaling 群組資源在可用區域之間平衡容量檢查失敗。
**內建安全規則**
ARC 內建的安全規則可防止資源一次發生多個流量轉移。也就是說,只有一個客戶啟動的區域轉移、練習執行區域轉移 (由 AWS 客戶啟動或由客戶啟動),或資源的自動轉移可以主動將流量移離可用區域。例如,如果您在資源目前以自動轉移轉移時啟動該資源的區域轉移,則您的區域轉移優先。如需詳細資訊,請參閱[區域輪班的優先順序](arc-zonal-autoshift.how-it-works.precedence.md#ZAShiftPrecedence)。
**資源識別符**
要啟用區域自動轉移之資源的識別符,即資源的 Amazon Resource Name (ARN)。您只能為 ARC 支援之服務中的 帳戶中 AWS 的資源啟用區域自動轉移。
**受管資源**
Application Load Balancer 會自動向 ARC 註冊資源以進行區域自動轉移。您必須手動選擇加入其他資源以進行區域自動轉移。
**資源名稱**
ARC 中受管資源的名稱。
**套用狀態**
套用的狀態指出資源的流量轉移是否有效。當您設定區域自動轉移時,資源可以有多個作用中流量轉移,也就是練習執行區域轉移、客戶起始的區域轉移或自動轉移。不過,一次只會*套用*一個資源生效的 ,也就是 。狀態為 的轉移會`APPLIED`決定資源的應用程式流量已轉移的可用區域,以及該流量轉移何時結束。
**輪班類型**
定義區域轉移類型。區域輪班可以有下列其中一種類型:
+ **ZONAL\$1SHIFT**
+ **ZONAL\$1AUTOSHIFT**
+ **練習\$1RUN**
+ **FIS\$1EXPERIMENT**
# 區域自動轉移的資料和控制平面
當您規劃容錯移轉和災難復原時,請考慮容錯移轉機制的彈性。我們建議您確保在容錯移轉期間依賴的機制具有高度可用性,以便在災難情況下需要它們時使用。一般而言,您應該盡可能為您的機制使用資料平面函數,以獲得最大的可靠性和容錯能力。考慮到這一點,了解服務的功能如何在控制平面和資料平面之間分割,以及何時可以使用服務的資料平面依賴極端可靠性。
一般而言,*控制平面*可讓您執行基本管理功能,例如建立、更新和刪除服務中的資源。*資料平面*提供服務的核心功能。
如需資料平面、控制平面以及 如何 AWS 建置服務以滿足高可用性目標的詳細資訊,請參閱《Amazon Builders' Library[》中的使用可用區域的靜態穩定性白皮書](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/)。
# ARC 中區域自動轉移的定價
對於區域自動轉移, 會在 AWS 判斷存在可能對客戶應用程式造成負面影響的潛在問題時,代表您 AWS 轉移來自可用區域的流量以取得支援的資源。啟用區域自動轉移無需額外費用。
如需 ARC 和定價範例的詳細定價資訊,請參閱 [ARC 定價](https://aws.amazon.com/application-recovery-controller/pricing/)。
# 設定區域自動轉移時的最佳實務
當您在 Amazon Application Recovery Controller (ARC) 中啟用區域自動轉移時,請注意下列最佳實務和考量事項。
區域自動轉移包含兩種類型的流量轉移:自動轉移和練習執行區域轉移。
+ 透過*自動轉移*, 可在事件期間代表您從可用區域轉移應用程式資源流量, AWS 協助縮短復原時間。
+ 透過*練習執行*,ARC 會代表您啟動區域轉移,或您啟動區域轉移練習執行。 AWS 練習執行區域轉移會將流量從資源的可用區域轉移,然後每週再次返回。實務執行可協助您確保已為區域中的可用區域擴展足夠的容量,讓您的應用程式可容忍遺失一個可用區域。
在自動轉移和實務執行中,有幾個最佳實務和考量事項需要記住。在啟用區域自動轉移或設定資源的實務執行之前,請檢閱下列主題。
**主題**
+ [限制用戶端與您的端點保持連線的時間](#ZAConsiderationsCurrentConnections)
+ [預先擴展您的資源容量並測試轉移流量](#ZAConsiderationsCapacityPrescaling)
+ [請注意資源類型和限制](#ZAConsiderationsResourceRequirements)
+ [指定練習執行的警示](#ZAConsiderationsPracticeRunAlarms)
+ [評估練習執行的結果](#ZAConsiderationsPracticeRunOutcomes)
**限制用戶端保持連線至端點的時間**
當 Amazon Application Recovery Controller (ARC) 將流量移離損害時,例如使用區域轉移或區域自動轉移,ARC 用來移動應用程式流量的機制是 DNS 更新。DNS 更新會導致所有新連線被導向至受損的位置。不過,具有預先存在開啟連線的用戶端可能會繼續對受損位置提出請求,直到用戶端重新連線為止。為了確保快速復原,建議您限制用戶端保持連線至端點的時間。
如果您使用 Application Load Balancer,您可以使用 `keepalive`選項來設定連線持續的時間。我們建議您降低`keepalive`值,使其與應用程式的復原時間目標保持一致,例如 300 秒。當您選擇`keepalive`時間時,請考慮此值是在更頻繁重新連線之間交換,這會影響延遲,並更快速地將所有用戶端移離受損的可用區域或區域。
如需設定 Application Load Balancer `keepalive`選項的詳細資訊,請參閱Application Load Balancer 使用者指南》中的 [ HTTP 用戶端持續作用持續時間](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#http-client-keep-alive-duration)。
**預先擴展您的資源容量並測試轉移流量**
當 AWS 將流量移離區域轉移或自動轉移的可用區域時,請務必讓剩餘的可用區域為您的資源提供更高的請求率。此模式稱為*靜態穩定性*。如需詳細資訊,請參閱 Amazon Builder 程式庫中的[使用可用區域的靜態穩定性白皮書](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/)。
例如,如果您的應用程式需要 30 個執行個體來為其用戶端提供服務,您應該跨三個可用區域佈建 15 個執行個體,總共 45 個執行個體。透過這樣做,當 使用自動轉移或在實務執行期間從一個可用區域 AWS 轉移流量時,仍然AWS 可以為應用程式的用戶端提供兩個可用區域剩餘的 30 個執行個體。
ARC 中的區域自動轉移功能可協助您在具有預先調整規模之資源的應用程式無法正常運作時,快速從可用區域中 AWS 的事件復原。為資源啟用區域自動轉移之前,請在 中所有設定的可用區域中擴展資源容量 AWS 區域。然後,開始資源的區域轉移,以測試您的應用程式在流量移離可用區域時是否仍然正常執行。
使用區域轉移進行測試後,請啟用區域自動轉移,並設定應用程式資源的實務執行。執行您自己的隨需實務執行,以協助確保正確擴展您的組態。使用區域自動轉移執行的定期實務可協助您持續確保容量仍能適當擴展。透過跨可用區域的足夠容量,您的應用程式可以在自動轉移期間繼續為用戶端提供服務,而不會中斷。
如需為資源啟動區域轉移的詳細資訊,請參閱 [ARC 中的區域轉移](arc-zonal-shift.md)。
**請注意資源類型和限制**
對於區域轉移支援的所有資源,區域自動轉移支援將流量移出可用區域。在少數特定資源案例中,區域自動轉移不會將流量從可用區域轉移。
例如,如果可用區域中的負載平衡器目標群組沒有任何執行個體,或者所有執行個體運作狀態不佳,則負載平衡器會處於故障開啟狀態。如果 在此情況下 AWS 啟動負載平衡器的自動轉移,則自動轉移不會變更負載平衡器使用的可用區域,因為負載平衡器已處於故障開啟狀態。這是預期的行為。 AWS 區域 如果所有可用區域都無法開啟 (運作狀態不佳),則 Autoshift 無法導致一個可用區域運作狀態不佳,也無法將流量轉移到 中的其他可用區域。
若要查看支援資源的詳細資訊,包括所有需要注意的要求和例外狀況,請參閱 [支援的資源](arc-zonal-shift.resource-types.md)。
**指定練習執行的警示**
您必須為使用區域自動轉移的實務執行設定至少一種警示類型 (結果警示)。您也可以選擇性地設定第二類警示 (封鎖警示)。
當您考慮為資源練習執行的 CloudWatch 警示時,請記住下列事項:
+ 您必須為實務執行組態設定至少一個結果警示。對於結果警示,我們建議您將 CloudWatch 警示設定為在資源或應用程式的指標指出從可用區域轉移流量對效能造成負面影響時進入 `ALARM` 狀態。例如,您可以判斷資源請求率的閾值,然後將警示設定為在超過閾值時進入 `ALARM` 狀態。您有責任設定適當的警示,以結束 AWS 實務執行並傳回`FAILED`結果。
+ 我們建議您遵循 [AWS Well Architected Framework](https://docs.aws.amazon.com/wellarchitected/2022-03-31/framework/perf_monitor_instances_post_launch_establish_kpi.html),建議您實作關鍵效能指標 (KPIs做為 CloudWatch 警示。如果您這樣做,您可以使用這些警示來建立複合警示,以用作安全觸發,以防止實務執行在可能導致應用程式遺漏 KPI 時啟動。當警示不再處於 `ALARM` 狀態時,ARC 會在下次排程資源的練習執行時開始練習執行。
+ 對於練習執行封鎖警示,如果您選擇設定一個 (或多個),您可以選擇追蹤用來指示您不希望 AWS 練習執行開始的特定指標,例如,當警示指出有持續的事件時。
+ 對於練習執行警示,您可以為每個警示指定 Amazon Resource Name (ARN),因此您必須先在 Amazon CloudWatch 中設定警示。您指定的 CloudWatch 警示可以是複合警示,可讓您包含應用程式和資源的數個指標和檢查,以觸發警示進入 `ALARM` 狀態。或者,您可以設定個別警示,然後為您的練習執行組態指定每種類型的多個警示。如需詳細資訊,請參閱《Amazon CloudWatch 使用者指南》中的[合併警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Create_Composite_Alarm.html)。
+ 請確定您為練習執行指定的 CloudWatch 警示與您設定練習執行的資源位於相同的區域。
**評估實務執行的結果**
ARC 會報告每個實務執行的結果。練習執行後,評估結果,並判斷是否需要採取動作。例如,您可能需要擴展容量或調整警示的組態。
以下是可能的演練結果:
+ **SUCCEEDED:**在練習執行期間,沒有結果警示進入 `ALARM` 狀態,且練習執行已完成完整的 30 分鐘測試期間。
+ **失敗:**至少一個結果警示在練習執行期間進入 `ALARM` 狀態。
+ **INTERRUPTED:**由於不是結果警示進入 `ALARM` 狀態的原因,實務執行結束。實務執行可能會因為各種原因而中斷,包括下列項目:
+ 練習執行已結束,因為 在 中 AWS 啟動自動轉移, AWS 區域 或在 區域中有警示條件。
+ 練習執行已結束,因為已刪除資源的練習執行組態。
+ 練習執行已結束,因為在練習執行區域轉移正在轉移流量的可用區域中,資源已啟動客戶起始的區域轉移。
+ 練習執行已結束,因為無法再存取針對練習執行組態指定的 CloudWatch 警示。
+ 練習執行已結束,因為針對練習執行指定的封鎖警示進入 `ALARM` 狀態。
+ 練習執行因不明原因結束。
+ 練習執行已結束,因為已啟動優先順序為 的區域自動轉移。請參閱[區域轉移的優先順序](https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-autoshift.how-it-works.html#ZAShiftPrecedence)。
+ **CAPACITY\$1CHECK\$1FAILED:**對負載平衡和 Auto Scaling 群組資源在可用區域之間平衡容量檢查失敗。
+ **PENDING:**實務執行為作用中 (進行中)。尚無結果可傳回。
# 區域自動轉移 API 操作
下表列出您可以搭配區域自動轉移使用的 ARC API 操作。如需搭配 使用區域自動轉移 API 操作的範例 AWS CLI,請參閱 。
如需如何搭配 使用常用區域自動轉移 API 操作的範例 AWS Command Line Interface,請參閱 [AWS CLI 搭配區域自動轉移使用 的範例](getting-started-cli-zonal-autoshift.md)。
| Action | 使用 ARC 主控台 | 使用 ARC API |
| --- | --- | --- |
| 建立練習執行組態 | 請參閱 [啟用或停用區域自動轉移](arc-zonal-autoshift.start-cancel.md#arc-zonal-autoshift.configure) | 請參閱 [CreatePracticeRunConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CreatePracticeRunConfiguration.html) |
| 刪除實務執行組態 | 請參閱 [設定、編輯或刪除實務執行組態](arc-zonal-autoshift.edit-delete-practice-run.md) | 請參閱 [DeletePracticeRunConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_DeletePracticeRunConfiguration.html) |
| 列出自動轉移 | 請參閱 [ARC 中的區域自動轉移](arc-zonal-shift.md) | 請參閱 [ListAutoshifts](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListAutoshifts.html) |
| 列出區域自動轉移的資源 | 請參閱 [支援的資源](arc-zonal-shift.resource-types.md) | 請參閱 [ListManagedResources](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_ListManagedResources.html) |
| 取得區域自動轉移的資源 | 請參閱 [支援的資源](arc-zonal-shift.resource-types.md) | 請參閱 [GetManagedResource](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_GetManagedResource.html) |
| 編輯實務執行組態 | 請參閱 [設定、編輯或刪除實務執行組態](arc-zonal-autoshift.edit-delete-practice-run.md) | 請參閱 [UpdatePracticeRunConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdatePracticeRunConfiguration.html) |
| 啟用或停用區域自動轉移 | 請參閱 [啟用或停用區域自動轉移](arc-zonal-autoshift.start-cancel.md#arc-zonal-autoshift.configure) | 請參閱 [UpdateZonalAutoshiftConfiguration](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalAutoshiftConfiguration.html) |
| 啟用或停用自動轉移觀察器通知 | 請參閱 [啟用和使用區域自動轉移](arc-zonal-autoshift.start-cancel.md) | 請參閱 [UpdateAutoshiftObserverNotificationStatus](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateAutoshiftObserverNotificationStatus.html) |
| 開始練習執行 | 請參閱 [啟動練習執行區域轉移](arc-zonal-autoshift.start-cancel.md) | 請參閱 [StartPracticeRun](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartPracticeRun.html) |
| 取消練習執行 | 請參閱 [取消練習執行區域轉移](arc-zonal-autoshift.start-cancel.md) | 請參閱 [CancelPracticeRun](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelPracticeRun.html) |
# AWS CLI 搭配區域自動轉移使用 的範例
本節將逐步介紹使用區域自動轉移的簡單應用程式範例,使用 AWS Command Line Interface 使用 API 操作在 Amazon Application Recovery Controller (ARC) 中使用區域自動轉移功能。這些範例旨在協助您了解如何使用 CLI 使用區域自動轉移。
區域自動轉移是 ARC 中的功能。使用區域自動轉移,您可以授權 AWS 在事件期間代表您從可用區域轉移支援的應用程式資源流量,以協助縮短復原時間。如需可與區域自動轉移搭配使用之資源的詳細資訊,請參閱 [支援的資源](arc-zonal-shift.resource-types.md)。
區域自動轉移包括實務執行,也會將流量移離可用區域,以協助驗證自動轉移對您的應用程式是否安全。
如需區域自動轉移 API 動作的清單和詳細資訊的連結,請參閱 [區域自動轉移 API 操作](actions.zonalautoshift.md)。如需使用 的詳細資訊 AWS CLI,請參閱 [AWS CLI 命令參考](https://docs.aws.amazon.com/cli/latest/reference/arc-zonal-shift/index.html)。
**Topics**
+ [建立練習執行組態](getting-started-cli-update-zonal_autoshift.create-practice-run.md)
+ [啟用或停用自動轉移](getting-started-cli-zonal-autoshift.update-autoshift.md)
+ [開始隨需練習執行](getting-started-cli-zonal-autoshift.start-practice-run.md)
+ [取消進行中的實務執行](getting-started-cli-zonal-autoshift.cancel-practice-run.md)
+ [取消進行中自動轉移](getting-started-cli-zonal-autoshift.cancel-autoshift.md)
+ [編輯實務執行組態](getting-started-cli-zonal_autoshift.edit-practice-run-config.md)
+ [刪除實務執行組態](getting-started-cli-zonal-autoshift.delete-practice-run-config.md)
# 建立練習執行組態
在為資源啟用區域自動轉移之前,您必須為資源建立實務執行組態,以選擇所需實務執行的選項。您可以使用 `create-practice-run-configuration`命令,使用 CLI 為資源建立練習執行組態。
當您為資源建立練習執行組態時,請注意下列事項:
+ 目前唯一支援的警示類型是 `CLOUDWATCH`。
+ 您必須使用 AWS 區域 資源部署所在的相同 警示。
+ 需要指定結果警示。指定封鎖警示是選用的。
+ 指定封鎖或允許的日期或時段是選用的。
您可以使用 `create-practice-run-configuration`命令,透過 CLI 建立練習執行組態。
例如,若要為資源建立練習執行組態,請使用如下所示的命令:
```
aws arc-zonal-shift create-practice-run-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--outcome-alarms type=CLOUDWATCH,alarmIdentifier=arn:aws:cloudwatch:Region:111122223333:alarm:Region-MyAppHealthAlarm \
--blocking-alarms type=CLOUDWATCH,alarmIdentifier=arn:aws:cloudwatch:Region:111122223333:alarm:Region-BlockWhenALARM \
--blocked-dates 2023-12-01 --blocked-windows Mon:10:00-Mon:10:30
```
```
{
"arn": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"name": "zonal-shift-elb"
"zonalAutoshiftStatus": "DISABLED",
"practiceRunConfiguration": {
"blockingAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-BlockWhenALARM"
}
]
"outcomeAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-MyAppHealthAlarm"
}
],
"blockedWindows": [
"Mon:10:00-Mon:10:30"
],
"blockedDates": [
"2023-12-01"
]
}
```
# 啟用或停用自動轉移
您可以使用 CLI 更新區域自動轉移狀態,以啟用或停用資源的自動轉移。若要變更區域自動轉移狀態,請使用 `update-zonal-autoshift-configuration`命令。
例如,若要啟用資源的自動轉移,請使用如下所示的命令:
```
aws arc-zonal-shift update-zonal-autoshift-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--zonal-autoshift-status="ENABLED"
```
```
{
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"zonalAutoshiftStatus": "ENABLED"
}
```
# 開始隨需練習執行
您可以使用 `start-practice-run`命令,透過 CLI 啟動隨需練習執行區域轉移。
例如,若要開始資源的練習執行,請使用如下所示的命令:
```
aws arc-zonal-shift start-practice-run
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
"awayFrom": "usw2-az1",
```
```
{
"awayFrom": "usw2-az1",
"comment": "Practice run started. Shifting traffic away from Availability Zone usw2-az1.",
}
```
# 取消進行中的實務執行
您可以使用 `cancel-practice-run`命令,透過 CLI 取消進行中的做法執行。
例如,若要取消資源的練習執行,請使用如下所示的命令:
```
aws arc-zonal-shift cancel-practice-run \
--zonal-shift-id="="arn:aws:testservice::111122223333:ExampleALB123456890"
```
```
{
"zonalShiftId": "2222222-3333-444-1111",
"resourceIdentifier": "arn:aws:testservice::111122223333:ExampleALB123456890",
"awayFrom": "usw2-az1",
"expiryTime": 2024-11-15T10:35:42+00:00,
"startTime": 2024-11-15T09:35:42+00:00,
"status": "CANCELED",
"comment": "Practice run canceled"
}
```
# 取消進行中自動轉移
您可以使用 CLI 取消進行中的自動轉移,方法是取消資源的區域自動轉移。若要取消區域自動轉移,請使用 `cancel-zonal-shift command`。
```
aws arc-zonal-shift cancel-zonal-shift --zonal-shift-id 9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38
```
```
{
"awayFrom": "usw2-az1",
"comment": "Zonal autoshift started. Shifting traffic away from Availability Zone usw2-az1.",
"expiryTime": "2024-12-17T22:29:38-08:00",
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/5a19403ecd42dc05",
"startTime": "2024-12-17T21:27:26-08:00",
"status": "CANCELED",
"zonalShiftId": "9ac9ec1e-1df1-0755-3dc5-8cf573cd9c38"
}
```
# 編輯實務執行組態
您可以使用 CLI 編輯資源的練習執行組態,以更新不同的組態選項,例如變更練習執行的警示,或更新 ARC 不會開始練習執行的封鎖日期或封鎖時段。若要編輯練習執行組態,請使用 `update-practice-run-configuration`命令。
當您編輯資源的練習執行組態時,請注意下列事項:
+ 目前唯一支援的警示類型是 `CLOUDWATCH`。
+ 您必須使用 AWS 區域 資源部署所在的相同 警示。
+ 需要指定結果警示。指定封鎖警示是選用的。
+ 指定封鎖日期或封鎖時段是選用的。
+ 您指定的封鎖日期或封鎖時段會取代任何現有的值。
例如,若要編輯資源的練習執行組態以指定新的封鎖日期,請使用如下所示的命令:
```
aws arc-zonal-shift update-practice-run-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--blocked-dates 2024-03-01
```
```
{
"arn": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"name": "zonal-shift-elb"
"zonalAutoshiftStatus": "DISABLED",
"practiceRunConfiguration": {
"blockingAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-BlockWhenALARM"
}
]
"outcomeAlarms": [
{
"type": "CLOUDWATCH",
"alarmIdentifier": "arn:aws:cloudwatch:us-west-2:111122223333:alarm:us-west-2-MyAppHealthAlarm"
}
],
"blockedWindows": [
"Mon:10:00-Mon:10:30"
],
"blockedDates": [
"2024-03-01"
]
}
```
# 刪除實務執行組態
您可以刪除資源的實務執行組態,但您必須先停用資源的區域自動轉移。需要資源才能讓實務執行組態啟用區域自動轉移。定期執行實務可協助您確保您的應用程式能夠在沒有一個可用區域的情況下正常執行。
若要使用 CLI 刪除實務執行組態,請先使用 `update-zonal-autoshift`命令視需要停用區域自動轉移。然後,若要刪除練習執行組態,請使用 `delete-practice-run-configuration`命令。
首先,使用如下所示的命令來停用資源的區域自動轉移:
```
aws arc-zonal-shift update-zonal-autoshift-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890" \
--zonal-autoshift-status="DISABLED"
```
```
{
"resourceIdentifier": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"zonalAutoshiftStatus": "DISABLED"
}
```
然後,使用如下所示的命令刪除練習執行組態:
```
aws arc-zonal-shift delete-practice-run-configuration \
--resource-identifier="arn:aws:elasticloadbalancing:Region:111122223333:ExampleALB123456890"
```
```
{
"arn": "arn:aws:elasticloadbalancing:us-west-2:111122223333:ExampleALB123456890",
"name": "TestResource",
"zonalAutoshiftStatus": "DISABLED"
}
```
# 啟用和使用區域自動轉移
本節提供在 Amazon Application Recovery Controller (ARC) 中使用區域自動轉移的程序。啟用區域自動轉移後,您可以變更練習執行組態、啟動隨需練習執行、取消進行中輪班,包括練習執行,或啟用自動轉移觀察器通知。
## 啟用或停用區域自動轉移
此處的步驟說明如何在 Amazon Application Recovery Controller (ARC) 主控台上啟用或停用區域自動轉移。若要以程式設計方式使用區域自動轉移,請參閱[區域轉移和區域自動轉移 API 參考指南](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)。
啟用區域自動轉移時,您授權 AWS 代表您在事件期間從可用區域轉移應用程式資源流量,以協助縮短復原時間。
## 啟用或停用區域自動轉移
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift)。
1. 在**資源區域自動轉移組態**下,選擇資源。
1. 在**動作**功能表中,選擇**啟用區域自動轉移**,然後依照步驟完成更新。
如果資源沒有實務執行組態,則無法使用**啟用區域自動轉移**。若要設定練習執行組態並啟用區域自動轉移,請選擇**設定區域自動轉移**。
**Topics**
+ [啟用或停用區域自動轉移](#arc-zonal-autoshift.configure)
+ [設定、編輯或刪除實務執行組態](arc-zonal-autoshift.edit-delete-practice-run.md)
+ [取消區域自動轉移](arc-zonal-autoshift.canceling-an-autoshift.md)
+ [啟動練習執行區域轉移](arc-zonal-autoshift.start-practice-run.md)
+ [取消練習執行區域轉移](arc-zonal-autoshift.cancel-practice-run.md)
+ [啟用或停用自動轉移觀察器通知](arc-zonal-autoshift.enable-autoshift-observer.md)
# 設定、編輯或刪除實務執行組態
本節中的步驟說明如何在 Amazon Application Recovery Controller (ARC) 主控台上編輯或刪除實務執行組態。若要以程式設計方式使用區域自動轉移,包括實務執行組態的變更,請參閱[區域轉移和區域自動轉移 API 參考指南](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)。
如果您在主控台中刪除練習執行組態,則區域自動轉移會停用。您必須先停用區域自動轉移,才能使用 API 操作刪除實務執行組態。您可以設定實務執行,而無需啟用區域自動轉移。不過,若要為資源啟用區域自動轉移,您必須為資源設定實務執行。
# 設定練習執行
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift)。
1. 選擇**設定區域自動轉移**。
1. 選擇要設定區域自動轉移的資源。
1. 如果您不想 AWS 在發生 AWS 事件時啟動資源的自動轉移,請選擇停用區域自動轉移。您可以選擇繼續精靈來設定練習執行組態,而無需啟用自動轉移。
1. 選擇資源練習執行的選項。您可以針對警示執行下列操作:
+ (必要) 指定至少一個結果警示來監控此資源的實務執行。
+ (選用) 為此資源的實務執行指定一或多個封鎖警示。
如需詳細資訊,請參閱 中**您為練習執行指定的警示**一節[設定區域自動轉移時的最佳實務](arc-zonal-autoshift.considerations.md)。
1. 或者,指定封鎖的時段或允許的時段,以封鎖 ARC 開始練習執行,或允許 ARC 開始此資源的練習執行。所有日期和時間均以 UTC 表示。
1. 選取核取方塊以確認您已閱讀確認備註。
1. 選擇**建立**。
# 編輯練習執行組態
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift)。
1. 在**資源區域自動轉移組態**下,選擇資源。
1. 在**動作**功能表中,選擇**編輯實務執行組態**。
1. 變更實務執行組態,以執行下列一或多個動作:
+ 您可以針對警示執行下列操作:
+ 對於封鎖警示,您可以新增一或多個警示或刪除警示。
+ 對於結果警示,您可以新增一或多個警示或刪除警示。至少需要一個結果警示,因此您無法刪除組態中的所有結果警示。
+ 對於封鎖的時段和允許的時段,您可以新增日期和時間,也可以移除或更新現有的日期和時間。所有日期和時間均以 UTC 表示。
1. 選擇**儲存**。
# 刪除實務執行組態
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift](https://console.aws.amazon.com/route53recovery/zonalshift/home#/autoshift)。
1. 在**資源區域自動轉移組態**下,選擇資源。
1. 在**動作**功能表中,選擇**刪除實務執行組態**。
1. 在確認模式對話方塊中,輸入 `Delete`,然後選擇**刪除**。
請注意,在主控台中刪除練習執行組態也會停用資源的區域自動轉移。區域自動轉移需要為資源設定實務執行。
# 取消區域自動轉移
若要停止資源的進行中區域自動轉移,您必須取消區域自動轉移。
# 停止進行中的區域自動轉移
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/)。
1. 選取您要取消的區域自動轉移,然後選擇**取消區域轉移**。
1. 在確認模態對話方塊中,選擇**確認**。
# 啟動練習執行區域轉移
本節中的步驟說明如何在 ARC 主控台上啟動隨需練習執行區域轉移。若要以程式設計方式使用區域轉移和區域自動轉移,請參閱[區域轉移和區域自動轉移 API 參考指南](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)。
您可以在設定區域自動轉移並建立練習執行組態之後,啟動練習執行區域轉移。
# 啟動練習執行區域轉移
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/)。
1. 在**區域自動轉移資源**下,瀏覽至已設定區域自動轉移的個別資源。
1. 在**資源概觀**頁面上,選擇**開始練習執行**。
1. 選取可用區域,然後輸入練習執行的註解。實務執行會將流量從您選取的可用區域轉移。
1. 選擇 **開始使用**。
# 取消練習執行區域轉移
本節中的步驟說明如何在 ARC 主控台上取消區域轉移。若要以程式設計方式使用區域轉移和區域自動轉移,請參閱[區域轉移和區域自動轉移 API 參考指南](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)。
您可以取消自己啟動的區域輪班或練習執行。您也可以取消為區域自動轉移實務執行的資源 AWS 啟動的區域轉移。
# 若要取消練習執行區域轉移
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/)。
1. 選取您要取消的練習執行區域轉移,然後選擇**取消區域轉移**或取消**練習執行**。
1. 在確認模態對話方塊中,選擇**確認**。
# 啟用或停用自動轉移觀察器通知
您可以將區域自動轉移設定為每當 AWS 開始自動轉移時,透過 Amazon EventBridge 通知您,以將流量移離可能受損的可用區域。您必須在 AWS 區域 要接收通知的每個 中設定此選項。您不需要使用區域自動轉移設定任何特定資源,即可啟用這些個別的通知。如需詳細資訊,請參閱[搭配 Amazon EventBridge 使用區域自動轉移](eventbridge-zonal-autoshift.md)。
本節中的步驟說明如何使用 Amazon Application Recovery Controller (ARC) 主控台啟用自動轉移觀察器通知。若要以程式設計方式使用區域自動轉移,請參閱[區域轉移和區域自動轉移 API 參考指南](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/Welcome.html)。
# 啟用或停用自動轉移觀察器通知
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/zonalshift/home#/](https://console.aws.amazon.com/route53recovery/zonalshift/home#/)。
1. 在**入門**下,選擇**啟用自動轉移觀察器通知**。
1. 在確認對話方塊中,選擇**啟用觀察者通知**。
# 使用 測試區域自動轉移 AWS FIS
您可以使用 AWS Fault Injection Service 來設定和執行實驗,以協助您模擬真實世界條件,例如[可用區域可用性:電力中斷案例](https://docs.aws.amazon.com//fis/latest/userguide/az-availability-scenario.html),示範在潛在廣泛的可用區域受損期間,在已啟用自動轉移的 資源上啟動區域自動轉移時 AWS 會發生什麼情況。
啟動`aws:arc:start-zonal-autoshift`復原動作可讓您示範 AWS 如何在啟用區域自動轉移的資源中自動轉移流量,使其遠離潛在受損的 AZ,並在執行 AZs 可用性案例 AWS 區域 期間,將它們重新路由至相同 中運作狀態良好的 AZ。
例如,您可以使用 AWS FIS 案例程式庫來模擬因電源中斷所造成的 AZ 受損。在此實驗中,AZ 電源中斷開始的五分鐘後,復原動作`aws:arc:start-zonal-autoshift`會自動將資源流量移離指定的 AZ。流量會在電力中斷的剩餘 25 分鐘內轉移,以示範當有潛在的廣泛 AZ 受損時,如何觸發自動轉移。當實驗完成時,流量轉移會結束,且流量會再次開始流向所有可用AZs。此程序示範從影響 AZ 的電源事件中完全復原。
## 實驗與區域自動轉移實務執行的差異
AWS FIS 實驗與區域自動轉移實務執行的不同之處在於,在實務執行期間,ARC 會將資源的流量從一個 AZ 轉移為正常程序的一部分,以確保您的應用程式可以容忍 AZ 的遺失。不過,在 AWS FIS 實驗期間, AWS FIS 會示範如何代表您觸發已啟用自動轉移之資源的 AZ 損害和自動轉移,然後在損害解決後取消自動轉移。
您無法在執行時更新 AWS FIS 起始的區域轉移。此外,如果您在 外部取消區域轉移 AWS FIS, AWS FIS 實驗會結束。
## AWS FIS 過期型安全機制
AWS FIS 使用 [StartZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_StartZonalShift.html)、[UpdateZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_UpdateZonalShift.html) 和 [CancelZonalShift](https://docs.aws.amazon.com/arc-zonal-shift/latest/api/API_CancelZonalShift.html) API 操作來管理區域轉移,這些請求的 `expiresIn` 欄位設定為 1 分鐘做為安全機制。如果發生意外事件,例如網路中斷或系統問題,這 AWS FIS 可讓 快速復原區域轉移。在 ARC AWS FIS主控台中,過期時間欄位會顯示受管,而實際的預期過期取決於區域轉移動作中指定的持續時間。如需練習執行的詳細資訊,請參閱[區域自動轉移和練習執行的運作方式](https://docs.aws.amazon.com//r53recovery/latest/dg/arc-zonal-autoshift.how-it-works.html)
在特定時間不能有多個套用的區域轉移。也就是說,只有一個實務會執行資源的區域轉移、客戶起始的區域轉移、自動轉移或 AWS FIS 實驗。啟動第二個區域轉移時,ARC 會遵循優先順序來判斷資源的有效區域轉移類型。如需區域輪班優先順序的詳細資訊,請參閱 [區域輪班的優先順序](arc-zonal-autoshift.how-it-works.precedence.md)。
如需 AWS FIS 復原動作的詳細資訊,請參閱*AWS Fault Injection Service 《 使用者指南*》中的[AWS FIS 復原動作](https://docs.aws.amazon.com//fis/latest/userguide/fis-actions-reference.html#fis-actions-recovery.html)。
# 在 Amazon Application Recovery Controller (ARC) 中記錄和監控區域自動轉移
您可以使用 AWS CloudTrail 和 Amazon EventBridge 在 Amazon Application Recovery Controller (ARC) 中監控區域自動轉移,以分析模式並協助疑難排解問題。
**Topics**
+ [使用 記錄區域自動轉移 API 呼叫 AWS CloudTrail](cloudtrail-zonal-autoshift.md)
+ [搭配 Amazon EventBridge 使用區域自動轉移](eventbridge-zonal-autoshift.md)
# 使用 記錄區域自動轉移 API 呼叫 AWS CloudTrail
ARC 的區域自動轉移已與 服務整合 AWS CloudTrail,此服務提供使用者、角色或 ARC 中 AWS 服務所採取動作的記錄。CloudTrail 會將區域轉移的所有 API 呼叫擷取為事件。擷取的呼叫包括來自 ARC 主控台的呼叫,以及對區域轉移的 ARC API 操作的程式碼呼叫。
如果您建立線索,則可以將 CloudTrail 事件持續交付至 Amazon S3 儲存貯體,包括區域轉移的事件。即使您未設定追蹤,依然可以透過 CloudTrail 主控台中的**事件歷史記錄**檢視最新事件。
您可以使用 CloudTrail 所收集的資訊,判斷針對區域轉移向 ARC 提出的請求、提出請求的 IP 地址、提出請求的人員、提出請求的時間,以及其他詳細資訊。
若要進一步了解 CloudTrail,請參閱[「AWS CloudTrail 使用者指南」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
## CloudTrail 中的區域自動轉移資訊
當您建立帳戶 AWS 帳戶 時,您的 上會啟用 CloudTrail。當區域自動轉移的 ARC 中發生活動時,該活動會記錄在 CloudTrail 事件中,以及**事件歷史記錄**中的其他 AWS 服務事件。您可以在 中檢視、搜尋和下載最近的事件 AWS 帳戶。如需詳細資訊,請參閱[使用 CloudTrail 事件歷史記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
若要持續記錄 中的事件 AWS 帳戶,包括 ARC 中區域自動轉移的事件,請建立追蹤。*線索*能讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。依預設,當您在主控台中建立追蹤時,該追蹤會套用至所有的 AWS 區域。線索會記錄 AWS 分割區中所有區域的事件,並將日誌檔案交付至您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析 CloudTrail 日誌中收集的事件資料並對其採取行動。如需詳細資訊,請參閱下列內容:
+ [建立追蹤的概觀](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支援的服務和整合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [設定 CloudTrail 的 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [接收多個區域的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收多個帳戶的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
CloudTrail 會記錄所有 ARC 動作,並記錄在 [Amazon Application Recovery Controller 的路由控制 API 參考指南](https://docs.aws.amazon.com/routing-control/latest/APIReference/)中。例如,對 `StartZonalShift` 以及 `ListManagedResources` 動作發出的呼叫會在 CloudTrail 日誌檔案中產生項目。
每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
+ 請求是使用根或 AWS Identity and Access Management (IAM) 使用者登入資料提出。
+ 提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。
+ 請求是否由其他 AWS 服務提出。
如需詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 在事件歷史記錄中檢視 ARC 事件
CloudTrail 可讓您使用 **Event history (事件歷史記錄)** 檢視最近的事件。如需詳細資訊,請參閱「AWS CloudTrail 使用者指南」**中的[使用 CloudTrail 事件歷史記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
## 了解區域自動轉移日誌檔案項目
追蹤是一種組態,能讓事件以日誌檔案的形式交付到您指定的 Amazon S3 儲存貯體。CloudTrail 日誌檔案包含一或多個日誌專案。一個事件為任何來源提出的單一請求,並包含請求動作、請求的日期和時間、請求參數等資訊。CloudTrail 日誌檔並非依公有 API 呼叫的堆疊追蹤排序,因此不會以任何特定順序出現。
下列範例顯示 CloudTrail 日誌項目,示範區域自動轉移`ListManagedResources`的動作。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-14T16:01:51Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-14T16:14:41Z",
"eventSource": "arc-zonal-shift.amazonaws.com",
"eventName": "ListManagedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": null,
"responseElements": null,
"requestID": "VGXG4ZUE7UZTVCMTJGIAF_EXAMPLE",
"eventID": "4b5c42df-1174-46c8-be99-d67_EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333"
"eventCategory": "Management"
}
}
```
# 搭配 Amazon EventBridge 使用區域自動轉移
使用 Amazon EventBridge,您可以設定事件驅動規則來監控區域自動轉移資源,並啟動使用其他 AWS 服務的目標動作。例如,您可以在區域自動轉移實務執行開始時發出 Amazon SNS 主題訊號,以設定傳送電子郵件通知的規則。
您可以在 Amazon EventBridge 中建立規則,以對區域自動轉移採取行動。區域自動轉移的事件會指定實務執行或自動轉移的狀態資訊,例如,當實務執行開始時。您可以設定區域自動轉移,以針對您為服務啟用的資源通知您區域自動轉移事件。
除了或其他通知之外,您也可以選擇啟用自動轉移觀察器通知,這會在每當 AWS 啟動潛在受損可用區域的自動轉移時提供通知事件。當您已啟用區域自動轉移之資源的流量從可用區域轉移時,自動轉移觀察器通知與您收到的通知不同。您不需要使用區域自動轉移設定任何資源,即可啟用自動轉移觀察器通知。如需詳細資訊,請參閱[啟用和使用區域自動轉移](arc-zonal-autoshift.start-cancel.md)。
若要擷取您感興趣的特定區域自動轉移事件,請定義 EventBridge 可用來偵測事件的事件特定模式。事件模式的結構與其相符的事件相同。該模式引用您欲比對的欄位,並提供您正在尋找的數值。
盡可能發出事件。在正常操作情況下,它們會以近乎即時的方式從 ARC 交付至 EventBridge。不過,可能會發生可能延遲或阻止交付事件的情況。
如需 EventBridge 規則如何使用事件模式的詳細資訊,請參閱 [EventBridge 中的事件和事件模式](https://docs.aws.amazon.com//eventbridge/latest/userguide/eventbridge-and-event-patterns.html)。
## 使用 EventBridge 監控區域自動轉移資源
使用 EventBridge,您可以建立規則,定義 ARC 為其資源發出事件時要採取的動作。例如,您可以建立規則,在區域自動轉移實務執行開始時傳送電子郵件訊息。
若要在 EventBridge 主控台中輸入或複製事件模式並貼上,請選取 選項以在主控台中使用**輸入我自己的**選項。為了協助您判斷可能對您有用的事件模式,本主題包含[區域自動轉移事件比對模式](#ZAEventBridgePatterns)和[區域自動轉移事件](#ZAEventBridgeEventSamples)的範例,供您使用。
**建立資源事件的規則**
1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 選擇 AWS 區域 您要在其中建立規則的 ,這是您有興趣觀看事件的區域。
1. 選擇 **Create rule** (建立規則)。
1. 輸入規則的**Name (名稱)**,或者輸入描述。
1. 對於**事件匯流排**,請保留預設值 ****。
1. 選擇**下一步**。
1. 對於**建置事件模式**步驟,對於**事件來源**,請保留預設值 **AWS 事件**。
1. 在**範例事件**下,選擇**輸入我自己的**事件。
1. 對於**範例事件**,輸入或複製並貼上事件模式。
## 區域自動轉移事件模式範例
事件模式的結構與其相符的事件相同。該模式引用您欲比對的欄位,並提供您正在尋找的數值。
您可以將此區段的事件模式複製並貼到 EventBridge 中,以建立可用來監控區域自動轉移動作和資源的規則。
當您為區域自動轉移事件建立事件模式時,您可以為 指定下列任一項目`detail-type`:
+ `Autoshift In Progress`
+ `Autoshift Completed`
+ `Practice Run Started`
+ `Practice Run Succeeded`
+ `Practice Run Interrupted`
+ `Practice Run Failed`
+ `FIS Experiment Autoshift In Progress`
+ `FIS Experiment Autoshift Completed`
+ `FIS Experiment Autoshift Canceled`
+ `Manual Shift Started`
+ `Manual Shift Updated`
+ `Manual Shift Canceled`
當實務執行中斷時,如需造成中斷之原因的詳細資訊,請參閱 `additionalFailureInfo` 欄位。
您可以選擇啟用 AWS 自動轉移*觀察器通知來監控所有自動轉移*。啟用自動轉移觀察器通知後,若要接收通知,請選擇收到區域自動轉移詳細資訊類型的通知`Autoshift In Progress`。若要查看啟用自動轉移觀察器通知的步驟,請參閱 [啟用和使用區域自動轉移](arc-zonal-autoshift.start-cancel.md)。
如需範例,請參閱[範例區域自動轉移事件](#ZAEventBridgeEventSamples)一節。
+ *從已啟動自動轉移的區域自動轉移中選取所有事件。*
注意下列事項:
+ 如果您已啟用自動轉移觀察器通知,ARC 會傳回所有自動轉移事件。
+ 如果您沒有啟用自動轉移觀察器通知,ARC 只會在您為區域自動轉移設定的資源包含在自動轉移中時傳回自動轉移事件。
```
{
"source": [
"aws.arc-zonal-shift"
],
"detail-type": [
"Autoshift In Progress"
]
}
```
+ *從練習執行已開始的區域自動轉移中選取所有事件*。
```
{
"source": [
"aws.arc-zonal-shift"
],
"detail-type": [
"Practice Run Started"
]
}
```
+ *從練習執行失敗的區域自動轉移中選取所有事件*。
```
{
"source": [
"aws.arc-zonal-shift"
],
"detail-type": [
"Practice Run Failed"
]
}
```
## 區域自動轉移事件範例
本節包含*區域自動轉移*動作的範例事件。
以下是 `Autoshift In Progress`動作的範例事件,當 1) *啟用*自動轉移觀察器通知,以及 2) 您尚未設定包含於自動轉移的區域自動轉移資源時:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Autoshift In Progress",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":"AWS has started an autoshift for an impaired Availability Zone. This notification
is separate from autoshift notifications for resources, if any, that you have configured for
zonal autoshift. For details, see the Developer Guide."
}
}
}
```
以下是 `Autoshift In Progress`動作的範例事件,當 1) 自動轉移觀察器通知*已停用*,且 2) 您已使用包含在自動轉移中的區域自動轉移設定資源時:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Autoshift In Progress",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":""
}
}
}
```
以下是 `Practice Run Interrupted`動作的範例事件:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Practice Run Interrupted",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": {
"additionalFailureInfo": "Practice run interrupted. The blocking alarm entered ALARM state."
},
"metadata": {
"awayFrom": "use1-az2"
}
}
}
```
以下是 `FIS Experiment Autoshift In Progress`動作的範例事件:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "FIS Experiment Autoshift In Progress",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":""
}
}
}
```
以下是 `Manual Shift Started`動作的範例事件。在資源上呼叫 `StartZonalShift` API 時發出:
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4",
"detail-type": "Manual Shift Started",
"source": "aws.arc-zonal-shift",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": [
"TEST-EXAMPLE-2023-11-16-23-28-11-5"
],
"detail": {
"version": "0.0.1",
"data": "",
"metadata": {
"awayFrom": "use1-az2",
"notes":""
}
}
}
```
## 指定要用作目標的 CloudWatch 日誌群組
建立 EventBridge 規則時,您必須指定要傳送符合規則之事件的目標。如需 EventBridge 可用目標的清單,請參閱 [ EventBridge 主控台中可用的目標](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html#eb-console-targets)。您可以新增至 EventBridge 規則的其中一個目標是 Amazon CloudWatch 日誌群組。本節說明將 CloudWatch 日誌群組新增為目標的需求,並提供在建立規則時新增日誌群組的程序。
若要將 CloudWatch 日誌群組新增為目標,您可以執行下列其中一項操作:
+ 建立新的日誌群組
+ 選擇現有的日誌群組
如果您在建立規則時使用主控台指定新的日誌群組,EventBridge 會自動為您建立日誌群組。請確定您用作 EventBridge 規則目標的日誌群組以 開頭`/aws/events`。如果您想要選擇現有的日誌群組,請注意,只有開頭為 的日誌群組才會在下拉式功能表中`/aws/events`顯示為選項。如需詳細資訊,請參閱《*Amazon CloudWatch 使用者指南*》中的[建立新的日誌群組](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)。
如果您使用主控台外部的 CloudWatch 操作建立或使用 CloudWatch 日誌群組做為目標,請確定您正確設定許可。如果您使用主控台將日誌群組新增至 EventBridge 規則,則日誌群組的資源型政策會自動更新。但是,如果您使用 AWS Command Line Interface 或 AWS 開發套件來指定日誌群組,則必須更新日誌群組的資源型政策。下列範例政策說明您必須在日誌群組的資源型政策中定義的許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com",
"delivery.logs.amazonaws.com"
]
},
"Resource": "arn:aws:logs:us-east-1:222222222222:log-group:/aws/events/*:*",
"Sid": "TrustEventsToStoreLogEvent"
}
]
}
```
------
您無法使用 主控台為日誌群組設定資源型政策。若要將必要的許可新增至以資源為基礎的政策,請使用 CloudWatch [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) API 操作。然後,您可以使用 [ describe-resource-policies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/logs/describe-resource-policies.html) CLI 命令來檢查政策是否正確套用。
**為資源事件建立規則並指定 CloudWatch 日誌群組目標**
1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 選擇您要 AWS 區域 在其中建立規則的 。
1. 選擇**建立規則**,然後輸入該規則的任何相關資訊,例如事件模式或排程詳細資訊。
如需為 ARC 建立 EventBridge 規則的詳細資訊,請參閱本主題前面的章節。
1. 在**選取目標**頁面上,選擇 **CloudWatch** 做為您的目標。
1. 從下拉式選單中選擇 CloudWatch 日誌群組。
# ARC 中區域自動轉移的 Identity and Access Management
AWS Identity and Access Management (IAM) 是 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以*進行身分驗證* (登入) 和*授權* (具有許可) 來使用 ARC 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [區域自動轉移如何與 IAM 搭配使用](security_iam_service-with-iam-zonalautoshift.md)
+ [身分型政策範例](security_iam_id-based-policy-examples-zonalautoshift.md)
+ [服務連結角色](using-service-linked-roles-zonal-autoshift.md)
+ [AWS 受管政策](security-iam-awsmanpol-zonal-autoshift.md)
# ARC 中的區域自動轉移如何與 IAM 搭配使用
在您使用 IAM 在 Amazon Application Recovery Controller (ARC) 中管理區域自動轉移的存取權之前,請先了解哪些 IAM 功能可與區域自動轉移搭配使用。
**您可以在 ARC 中搭配區域自動轉移使用的 IAM 功能**
| IAM 功能 | 區域自動轉移支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-zonalautoshift-id-based-policies) | 是 |
| [資源型政策](#security_iam_service-with-iam-zonalautoshift-resource-based-policies) | 否 |
| [政策動作](#security_iam_service-with-iam-zonalautoshift-id-based-policies-actions) | 是 |
| [政策資源](#security_iam_service-with-iam-zonalautoshift-id-based-policies-resources) | 是 |
| [政策條件索引鍵](#security_iam_service-with-iam-zonalautoshift-id-based-policies-conditionkeys) | 是 |
| [ACL](#security_iam_service-with-iam-zonalautoshift-acls) | 否 |
| [ABAC(政策中的標籤)](#security_iam_service-with-iam-zonalautoshift-tags) | 部分 |
| [臨時憑證](#security_iam_service-with-iam-zonalautoshift-roles-tempcreds) | 是 |
| [主體許可](#security_iam_service-with-iam-zonalautoshift-principal-permissions) | 是 |
| [服務角色](#security_iam_service-with-iam-zonalautoshift-roles-service) | 否 |
| [服務連結角色](#security_iam_service-with-iam-zonalautoshift-roles-service-linked) | 是 |
若要取得 AWS 服務如何與大多數 IAM 功能搭配使用的高階整體檢視,請參閱《IAM *使用者指南*》中的與 IAM [AWS 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## ARC 的身分型政策
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
若要檢視 ARC 身分型政策的範例,請參閱 [Amazon Application Recovery Controller (ARC) 中的身分型政策範例](security_iam_id-based-policy-examples.md)。
## ARC 內的資源型政策
**支援資源型政策:**否
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM 角色信任政策和 Amazon S3 儲存貯體政策。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。
## ARC 的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
若要查看區域自動轉移的 ARC 動作清單,請參閱*《服務授權參考*》中的 [ Amazon Route 53 區域轉移定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)。
ARC 中的區域自動轉移政策動作在動作之前使用下列字首:
```
arc-zonal-shift
```
若要在單一陳述式中指定多個動作,請用逗號分隔。例如,下列項目:
```
"Action": [
"arc-zonal-shift:action1",
"arc-zonal-shift:action2"
]
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要指定開頭是 `Describe` 文字的所有動作,請包含以下動作:
```
"Action": "arc-zonal-shift:Describe*"
```
若要檢視區域自動轉移的 ARC 身分型政策範例,請參閱 [ARC 中區域自動轉移的身分型政策範例](security_iam_id-based-policy-examples-zonalautoshift.md)。
## ARC 中區域自動轉移的政策資源
**支援政策資源:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
若要查看資源類型及其 ARNs的清單,以及您可以使用每個資源的 ARN 指定的動作,請參閱服務*授權參考*中的下列主題:
+ [ Amazon Route 53 定義的動作 - 區域轉移](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
若要查看可與條件索引鍵搭配使用的動作和資源,請參閱*服務授權參考*中的下列主題:
+ [ Amazon Route 53 - 區域轉移定義的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
若要檢視區域自動轉移的 ARC 身分型政策範例,請參閱 [ARC 中區域自動轉移的身分型政策範例](security_iam_id-based-policy-examples-zonalautoshift.md)。
## ARC 中區域自動轉移的政策條件索引鍵
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要查看區域自動轉移的 ARC 條件索引鍵清單,請參閱*服務授權參考*中的下列主題:
+ [ Amazon Route 53 區域轉移的條件索引鍵](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-policy-keys)
若要查看可與條件金鑰搭配使用的動作和資源,請參閱*服務授權參考*中的下列主題:
+ [ Amazon Route 53 區域轉移定義的動作](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html#amazonroute53applicationrecoverycontroller-zonalshift-actions-as-permissions)
若要檢視區域自動轉移的 ARC 身分型政策範例,請參閱 [ARC 中區域自動轉移的身分型政策範例](security_iam_id-based-policy-examples-zonalautoshift.md)。
## ARC 中的存取控制清單 (ACLs)
**支援 ACL:**否
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## 使用 ARC 的屬性型存取控制 (ABAC)
**支援 ABAC (政策中的標籤):**部分
屬性型存取控制 (ABAC) 是一種授權策略,根據稱為標籤的屬性定義許可權。您可以將標籤連接至 IAM 實體 AWS 和資源,然後設計 ABAC 政策,以便在委託人的標籤符合資源上的標籤時允許操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
ARC 中的區域自動轉移包括下列對 ABAC 的部分支援:
+ 區域自動轉移支援在 ARC 中為區域轉移註冊的受管資源 ABAC。如需有關 ABAC for Network Load Balancer 和 Application Load Balancer 受管資源的詳細資訊,請參閱[Elastic Load Balancing 使用者指南》中的 ABAC with](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-tags) Elastic Load Balancing。
## 搭配 ARC 使用臨時登入資料
**支援臨時憑證:**是
臨時登入資料提供對 AWS 資源的短期存取,並在您使用聯合或切換角色時自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## ARC 的跨服務主體許可
**支援轉寄存取工作階段 (FAS):**是
當您使用 IAM 實體 (使用者或角色) 在 中執行動作時 AWS,您會被視為委託人。政策能將許可授予主體。當您使用某些服務時,您可能會執行一個動作,然後在不同的服務中觸發另一個動作。在此情況下,您必須具有執行這兩個動作的許可。
若要查看動作是否需要政策中的其他相依動作,請參閱*服務授權參考*中的下列主題:
+ [ Amazon Route 53 區域轉移](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonroute53applicationrecoverycontroller-zonalshift.html)
## ARC 的服務角色
**支援服務角色:**否
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## ARC 的服務連結角色
**支援服務連結角色:**是
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需建立或管理 ARC 服務連結角色的詳細資訊,請參閱 [在 ARC 中使用服務連結角色進行區域自動轉移](using-service-linked-roles-zonal-autoshift.md)。
如需建立或管理服務連結角色的詳細資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在資料表中尋找服務,其中包含**服務連結角色**欄中的 `Yes`。選擇**是**連結,以檢視該服務的服務連結角色文件。
# ARC 中區域自動轉移的身分型政策範例
根據預設,使用者和角色沒有建立或修改 ARC 資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需 ARC 定義的動作和資源類型的詳細資訊,包括每種資源類型的 ARNs 格式,請參閱*《服務授權參考*》中的 [Amazon Application Recovery Controller (ARC) 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [範例:區域自動轉移主控台存取](#security_iam_id-based-policy-examples-console-zonalautoshift)
+ [範例:ARC API 動作](#security_iam_id-based-policy-examples-api-zonalautoshift)
## 政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 ARC 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 範例:區域自動轉移主控台存取
若要存取 Amazon Application Recovery Controller (ARC) 主控台,您必須擁有一組最低許可。這些許可必須允許您列出和檢視 中 ARC 資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
若要執行某些任務,使用者必須具有在 ARC 中建立與區域自動轉移相關聯之服務連結角色的許可。如需詳細資訊,請參閱 [在 ARC 中使用服務連結角色進行區域自動轉移](using-service-linked-roles-zonal-autoshift.md)。
若要授予使用者在 中使用區域自動轉移的完整存取權 AWS 管理主控台,請將如下所示的政策連接到使用者:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift",
"arc-zonal-shift:CreatePracticeRunConfiguration",
"arc-zonal-shift:DeletePracticeRunConfiguration",
"arc-zonal-shift:ListAutoshifts",
"arc-zonal-shift:UpdatePracticeRunConfiguration",
"arc-zonal-shift:UpdateZonalAutoshiftConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloudwatch:DescribeAlarms",
"Resource": "*"
}
]
}
```
------
## 範例:ARC API 動作
您可以使用政策來確保使用者可以使用區域自動轉移的 ARC API 動作來設定區域自動轉移,以便 代表您將應用程式資源流量從可用區域 AWS 轉移到 中運作狀態良好的AZs AWS 區域,以協助縮短事件期間的復原時間。若要提供這些許可,請連接對應至使用者需要使用的 API 操作的政策,如下所述。
若要執行某些任務,使用者必須具有與 ARC 相關聯的服務連結角色的許可。建立服務連結角色所需的許可包含在下列範例政策中。如需詳細資訊,請參閱 [在 ARC 中使用服務連結角色進行區域自動轉移](using-service-linked-roles-zonal-autoshift.md)。
若要使用區域自動轉移的 API 操作,請將下列政策連接至使用者:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:ListZonalShifts",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift",
"arc-zonal-shift:CancelZonalShift",
"arc-zonal-shift:CreatePracticeRunConfiguration",
"arc-zonal-shift:DeletePracticeRunConfiguration",
"arc-zonal-shift:ListAutoshifts",
"arc-zonal-shift:UpdatePracticeRunConfiguration",
"arc-zonal-shift:UpdateZonalAutoshiftConfiguration"
],
"Resource": "*"
},
{
"Effect" : "Allow",
"Action" : [
"cloudwatch:DescribeAlarms",
"health:DescribeEvents"
],
"Resource" : "*"
},
{
"Effect" : "Allow",
"Action" : [
"arc-zonal-shift:CancelZonalShift",
"arc-zonal-shift:GetManagedResource",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:UpdateZonalShift"
],
"Resource" : "*"
}
]
}
```
------
# 在 ARC 中使用服務連結角色進行區域自動轉移
Amazon Application Recovery Controller 中的區域自動轉移使用 a AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至服務的唯一 IAM 角色類型,在此情況下為 ARC。服務連結角色是由 ARC 預先定義,並包含服務為了特定目的代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定 ARC,因為您不必手動新增必要的許可。ARC 定義服務連結角色的許可,除非另有定義,否則只有 ARC 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 ARC 區域自動轉移資源,因為您不會不小心移除存取資源的許可。
如需其他支援服務連結角色的相關資訊,請參閱服務**連結角色**欄中與 [AWS IAM 搭配使用的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找具有**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## AWSServiceRoleForZonalAutoshiftPracticeRun 的服務連結角色許可
ARC 使用名為 **AWSServiceRoleForZonalAutoshiftPracticeRun** 的服務連結角色來執行下列動作:
+ 監控客戶提供的 Amazon CloudWatch 警示和客戶 Health 儀板表 事件,以進行實務執行
+ 管理實務執行 (實務區域轉移)
本節說明服務連結角色的許可,以及建立、編輯和刪除角色的相關資訊。
### AWSServiceRoleForZonalAutoshiftPracticeRun 的服務連結角色許可
此服務連結角色使用 受管政策 `AWSZonalAutoshiftPracticeRunSLRPolicy`。
**AWSServiceRoleForZonalAutoshiftPracticeRun** 服務連結角色信任下列服務擔任該角色:
+ `practice-run.arc-zonal-shift.amazonaws.com`
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSZonalAutoshiftPracticeRunSLRPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSZonalAutoshiftPracticeRunSLRPolicy.html)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
### 為 ARC 建立 **AWSServiceRoleForZonalAutoshiftPracticeRun** 服務連結角色
您不需要手動建立 **AWSServiceRoleForZonalAutoshiftPracticeRun** 服務連結角色。當您在 AWS 管理主控台 AWS CLI、 或 AWS SDK 中建立第一個練習執行組態時,ARC 會為您建立服務連結角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您建立第一個練習執行組態時,ARC 會再次為您建立服務連結角色。
### 編輯 ARC 的 **AWSServiceRoleForZonalAutoshiftPracticeRun** 服務連結角色
ARC 不允許您編輯 **AWSServiceRoleForZonalAutoshiftPracticeRun** 服務連結角色。建立服務連結角色之後,您無法變更角色的名稱,因為其他實體可能會參考該角色。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱[「IAM 使用者指南」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)的*編輯服務連結角色*。
### 刪除 ARC 的 **AWSServiceRoleForZonalAutoshiftPracticeRun** 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。不過,您必須先清除服務連結角色的資源,才能手動將其刪除。
停用自動轉移後,您可以刪除 **AWSServiceRoleForZonalAutoshiftPracticeRun** 服務連結角色。如需自動轉移功能的詳細資訊,請參閱 [ARC 中的區域轉移](arc-zonal-shift.md)。
**注意**
如果 ARC 服務在您嘗試刪除資源時使用角色,則服務角色刪除可能會失敗。如果發生這種情況,請等待幾分鐘,然後再次嘗試刪除角色。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForZonalAutoshiftPracticeRun 服務連結角色。如需詳細資訊,請參閱「IAM 使用者指南」**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 區域自動轉移的 ARC 服務連結角色更新
如需 ARC 服務連結角色的 AWS 受管政策更新,請參閱 ARC 的[AWS 受管政策更新資料表](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates)。您也可以在 ARC [文件歷史記錄頁面上](doc-history.md)訂閱自動 RSS 提醒。
# AWS ARC 中區域自動轉移的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AWSZonalAutoshiftPracticeRunSLRPolicy
您不得將 `AWSZonalAutoshiftPracticeRunSLRPolicy` 連接到 IAM 實體。此政策會連接到服務連結角色,允許 Amazon Application Recovery Controller (ARC) 對區域自動轉移執行下列動作:
+ 監控客戶提供的 Amazon CloudWatch 警示和客戶 Health 儀板表 事件,以進行實務執行
+ 管理實務執行 (實務區域轉移)
+ 管理練習執行和自動轉移的平衡容量檢查
如需詳細資訊,請參閱[在 ARC 中使用服務連結角色進行區域自動轉移](using-service-linked-roles-zonal-autoshift.md)。
## 區域自動轉移的 AWS 受管政策更新
如需自此服務開始追蹤 ARC 中區域自動轉移的 AWS 受管政策更新詳細資訊,請參閱 [Amazon Application Recovery Controller (ARC) 的 AWS 受管政策更新](security-iam-awsmanpol.md#security-iam-awsmanpol-arc-updates)。如需此頁面變更的自動提醒,請訂閱 ARC [文件歷史記錄頁面上](doc-history.md)的 RSS 摘要。
# 區域自動轉移的配額
Amazon Application Recovery Controller (ARC) 中的區域自動轉移受下列配額約束。
| 實體 | 配額 |
| --- | --- |
| 每個實務執行組態的結果警示數量 | 10 您可以[請求提高配額](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas)。 |
| 每個實務執行組態的封鎖警示數量 | 10 您可以[請求提高配額](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas)。 |