本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# ARC 中的區域切換
您可以使用 ARC 中的區域切換,為跨 AWS 帳戶的應用程式資源協調大規模、複雜的復原任務,以協助確保業務持續性並降低營運開銷。區域切換提供集中且可觀察的解決方案,您可以手動執行,或使用 Amazon CloudWatch 警示觸發來自動化。如果 AWS 區域 受損,您可以使用區域切換容錯移轉或將資源切換到另一個區域,來執行您建立的計劃。這可確保您的應用程式可以繼續運作,並在運作狀態良好的 中執行 AWS 區域。
區域切換是以您為特定復原需求設計和設定的*計劃*概念為基礎建置。每個計劃都包含由步驟組成的*工作流程*。每個步驟都會執行一或多個*執行區塊*,該區域切換會平行或依序執行,以完成應用程式復原。每個執行區塊都會處理不同的任務,例如切換資源或管理應用程式的流量重新導向。如需更多彈性,您可以透過將子計劃新增至整體父計劃來建立父計劃。
區域切換包含下列項目:
+ 支援主動/被動和主動/主動組態。如果您有作用中/被動的多區域組態,則可以容錯移轉和容錯回復;如果您的應用程式在多個區域中設定為作用中/作用中,則可以轉移並傳回 。
+ 跨帳戶支援您在應用程式復原中包含的應用程式資源。您也可以跨帳戶共用區域切換計劃。
+ 自動容錯移轉或切換,方法是根據 Amazon CloudWatch 警示觸發計畫執行。或者,您可以選擇手動執行區域切換計畫。
+ 功能完整的儀表板,可讓您即時了解復原程序。
+ 每個 中的資料平面 AWS 區域,因此您可以執行區域切換計畫,而無需依賴您要停用的區域。
區域切換完全由 管理 AWS。使用區域切換可讓您受益於復原平台的彈性,該平台著重於應用程式的特定需求,而不是建置和維護指令碼,以及手動收集復原資料。
# 關於區域切換
使用區域切換,您可以協調特定步驟來切換 AWS 區域 多區域應用程式執行所在的 。
區域切換是以您為特定復原需求設計和設定的*計劃*概念為基礎建置。每個計劃都包含由步驟組成的*工作流程*。每個步驟都會執行一或多個*執行區塊*,該區域切換會平行或依序執行,以完成應用程式復原。每個執行區塊都會處理不同的任務,例如切換資源或管理應用程式的流量重新導向。如需更多彈性,您可以透過新增子計畫來建立父系計畫。
每當您建立或更新計劃時,區域切換會執行計劃評估,以確保 IAM 許可、資源組態或執行容量沒有問題。區域切換會定期執行這些評估,並針對發現的任何問題產生警告。
區域切換也會計算每個計劃執行的實際復原時間值,以協助您評估計劃是否符合您的目標。您可以在 的區域切換儀表板中檢視復原時間和計畫執行的其他詳細資訊 AWS 管理主控台。如需詳細資訊,請參閱[區域切換儀表板](region-switch.dashboarding-and-reports.md)。
若要進一步了解區域切換中的每個區域,請參閱下列各節。
## 區域切換計劃
區域切換計畫是區域切換中最上層的資源。您應該將您的計劃範圍限定在特定多區域應用程式。計劃可讓您在指定的 中執行一系列區域切換*執行區塊*,啟用或停用您的應用程式及其資源,包括跨帳戶資源,以建置*工作流程*來復原 AWS 區域 應用程式。
計劃是由一或多個工作流程組成,可讓您啟用或停用特定工作流程 AWS 區域。您可以在工作流程中設定執行區塊以循序執行,也可以指定某些區塊平行執行。
對於您為主動/被動多區域方法設定的計劃,您可以建立一個可用於啟用其中一個區域的工作流程,或兩個單獨的啟用工作流程,每個區域一個。對於您為主動/主動方法設定的計劃,您可以建立一個工作流程來啟用您的區域,以及一個工作流程來停用您的區域。
AWS 區域 是全球 AWS 叢集資料中心所在的地理位置。每個區域的設計都完全與其他區域隔離,提供容錯能力和穩定性。使用區域切換時,您需要考慮應用程式部署在哪些區域,以及您要用於復原的區域。
區域切換支援 AWS 區域 在提供服務的任何兩個之間進行復原。當您設定區域切換計劃時,您可以指定應用程式部署所在的區域,以及您想要使用的復原方法:主動/被動或主動/主動。
例如,您可能有主動/被動的多區域方法,其中 us-east-1 作為主要區域,us-west-2 作為待命區域。若要從影響 us-east-1 中應用程式的操作問題中復原應用程式,您可以執行區域切換計畫來啟用 us-west-2。這會導致應用程式從 us-east-1 中的資源切換到 us-west-2 中的資源。
區域切換計畫使用與您在建立計畫時指定的 IAM 角色相關聯的許可來執行。
您可以建立多個計劃,每個多區域應用程式各一個計劃,然後透過建立*父*計劃,以所需的順序協調這些計劃的復原。父計畫是使用區域切換計畫執行區塊做為步驟的計畫。計劃階層僅限於兩個層級 (父系和子系),但您可以在相同的父系計劃下包含多個子系計劃。
## 工作流程和執行區塊
建立區域切換計畫後,您必須將一或多個工作流程新增至計畫,以定義您希望計畫為應用程式復原執行的步驟。對於每個工作流程,您可以新增包含執行區塊的步驟。每個執行區塊都會執行特定的復原動作,例如擴展資源或更新路由控制以重新路由流量。步驟會組織這些執行區塊,並控制它們是平行還是循序執行。透過建立父系計劃,您也可以協調多個應用程式復原到您正在啟用之區域的順序。
您可以將執行區塊組織成工作流程中的步驟。每個步驟都可以包含一或多個平行執行的執行區塊,而且您可以安排在工作流程中循序執行的步驟。此外,視資源而定,您可以選擇執行具有正常 (計劃) 或不良 (計劃) 執行的執行區塊。
+ 穩定執行:規劃的執行工作流程。當您的環境運作狀態良好時,您可以使用優雅工作流程來執行所有步驟,以有序地執行計劃。
+ 不穩健的執行:意外的執行。不良工作流程模式只會使用必要的步驟和動作。此模式會變更工作流程中執行區塊的行為,或略過特定的執行區塊。
+ 復原後執行:在成功復原後執行以準備未來區域事件的工作流程。復原後執行可以建立僅供讀取複本、透過 Lambda 函數執行自訂邏輯、新增手動核准閘道,以及嵌入用於複雜協同運作的子計畫。這些執行需要兩個區域都正常運作,並在先前受損的區域中執行。
最後,您也可以設定執行區塊的跨帳戶資源。首先,您必須遵循 中的指引來設定許可[區域切換中的跨帳戶支援](cross-account-resources-rs.md)。設定必要的 IAM 角色之後,您可以在計劃工作流程的執行區塊中新增跨帳戶資源。若要新增跨帳戶資源,當您新增步驟時,您可以指定具有其他資源許可的目標 IAM 角色 AWS 帳戶。您也必須為跨帳戶角色指定您在信任政策中提供的外部 ID。如需建立所需 IAM 角色的詳細資訊,請參閱 [跨帳戶資源許可](security_iam_region_switch_cross_account.md)。
若要進一步了解工作流程,請參閱 [建立區域切換計畫工作流程](working-with-rs-workflows.md)。如需每種執行區塊類型的詳細資訊,包括組態步驟、運作方式,以及做為計畫評估一部分評估的內容,請參閱 [新增執行區塊](working-with-rs-execution-blocks.md)。
## 計畫評估
計劃評估是一種自動化程序,區域切換會在建立或更新計劃時執行,之後在穩定狀態期間每 30 分鐘執行一次。評估程序會驗證計劃組態和資源組態的數個關鍵層面。評估包括驗證 IAM 許可、資源組態和執行容量。
如果區域切換發現可能無法成功執行計劃的問題,會產生計劃評估警告,這會在主控台的計劃詳細資訊頁面上反白顯示。您也可以使用 Amazon EventBridge 使用計劃評估警告,也可以使用區域切換 API 檢視警告。如需計劃評估 API 的詳細資訊,請參閱《Amazon Application Recovery Controller (ARC) *的區域交換器 API 參考指南*》中的 [GetPlanEvaluationStatus](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanEvaluationStatus.html)。
您可以在計劃詳細資訊頁面上**的計劃評估**索引標籤中,查看計劃評估表面問題的詳細資訊和建議補救措施。我們建議您也透過執行區域切換計畫來測試應用程式復原,而且不要僅倚賴區域切換計畫評估來測試復原計畫是否如預期般運作。
## 自動計劃執行報告
區域切換可以自動為計劃執行產生全面的 PDF 報告,以協助您滿足法規合規要求。這些報告提供災難復原測試和實際復原事件的證據,包括詳細的執行時間表、計劃組態和資源狀態。
當您為計劃設定自動產生報告時,區域切換會在每個計劃執行完成後建立 PDF 報告,並將其交付至您指定的 Amazon S3 儲存貯體。報告通常會在執行完成後 30 分鐘內提供。需支付 S3 儲存成本。
每個報告都包含:
+ 具有服務概觀和報告建立日期的執行摘要
+ 規劃執行時存在的組態詳細資訊
+ 包含步驟、受影響資源和狀態的詳細執行時間表
+ 規劃執行開始時出現的警告
+ Amazon CloudWatch 警示狀態和相關警示的警示歷史記錄
+ 對於父計畫、子計畫的組態和執行詳細資訊
+ 術語和概念詞彙表
若要啟用自動產生報告,請在建立或更新計劃時設定報告輸出目的地。您還必須確保計劃的執行 IAM 角色具有將報告寫入 Amazon S3 儲存貯體的必要許可,並存取產生報告內容所需的資源。如需所需許可的相關資訊,請參閱[自動計劃執行報告許可](security_iam_region_switch_reports.md)。
您可以檢視報告產生的狀態,並從 主控台的計劃執行詳細資訊頁面下載完成的報告。如果報告產生發生錯誤,例如許可不足或 Amazon S3 儲存貯體設定錯誤,區域切換會提供錯誤詳細資訊,協助您對問題進行疑難排解。
計劃評估會持續驗證您的報告組態,包括驗證執行角色是否具有所需的 IAM 許可。如果區域切換偵測到會阻止成功產生報告的組態問題,則會產生警告,您可以在計劃詳細資訊頁面上檢視這些警告。
## 區域警示和實際復原時間
區域切換會計算每個計劃執行*的實際復原時間*值,您可以在計劃執行後檢視該值。實際復原時間會顯示在計劃執行詳細資訊頁面上,讓您可以將實際時間與您建立計劃時指定的復原時間目標進行比較。
實際復原時間的計算方式為計劃執行完成所需的總時間,以及您設定的特定 Amazon CloudWatch 警示之前經過的任何額外時間都會返回綠色狀態。
若要支援計算計劃執行的準確實際復原時間,您必須為區域切換計劃設定區域 Amazon CloudWatch 警示,以提供每個區域中應用程式運作狀態的訊號。執行計劃時,區域切換會使用這些應用程式運作狀態警示來判斷您的應用程式何時再次運作良好。然後,區域切換會根據您設定的應用程式運作狀態警示,根據您的計劃執行新增至應用程式恢復運作狀態所需時間的實際復原時間,來計算實際復原時間。
將 CloudWatch 警示新增至區域切換計劃之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[應用程式運作狀態許可的 CloudWatch 警示](security_iam_region_switch_cloudwatch.md)。
# AWS 區域
區域切換適用於所有商業 AWS 區域區域,以及 AWS GovCloud (US) 區域。
如需 Amazon Application Recovery Controller (ARC) 的區域支援和服務端點的詳細資訊,請參閱《[Amazon Web Services 一般參考》中的 Amazon Application Recovery Controller (ARC) 端點和配額](https://docs.aws.amazon.com/general/latest/gr/arc.html)。 **
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/r53recovery/latest/dg/aws-regions-rs.html)
# 區域切換元件
以下是 Amazon Application Recovery Controller (ARC) 中區域切換功能的元件和相關概念。
**計畫**
計劃是應用程式的基本復原程序。您可以使用要依序或平行執行的執行區塊來建置一或多個工作流程,以建立計畫。然後,當區域性受損時,您可以執行計劃,透過轉移應用程式以在運作狀態良好的區域中執行,來完成應用程式的復原。
**子計畫**
子計畫是一種獨立的計畫,可以從父計畫中執行,以協調更複雜的應用程式復原案例。您可以巢狀化區域切換計劃一個層級。
**工作流程**
區域切換計劃包含一或多個工作流程。工作流程是由包含執行區塊的步驟組成,您指定平行或依序執行,以完成區域作為復原計畫的一部分的啟用或停用。對於您設定為具有主動/被動方法的計劃,您可以建立一個工作流程,可用於啟用其中一個區域,或為每個區域建立一個單獨的啟用工作流程。對於您為主動/主動方法設定的計劃,您可以建立一個工作流程來啟用您的區域,以及一個工作流程來停用您的區域。
**執行區塊**
您可以將步驟新增至包含執行區塊的區域切換計畫工作流程。執行區塊可讓您在啟用區域中指定多個應用程式或資源的復原。當您將步驟新增至工作流程時,您可以與其他步驟依序新增,或與一或多個其他步驟平行新增。
**優雅和不羈的組態**
您可以選擇執行具有優雅 (計劃) 或不良 (計劃外) 執行的特定執行區塊。當您的環境運作狀態良好時,您可以使用優雅工作流程來執行所有步驟,以有序地執行計劃。不良工作流程模式只會使用必要的步驟和動作。當您以不良模式執行計劃時,它會變更工作流程中執行區塊的行為,或略過特定執行區塊,視執行區塊的類型而定。
特定類型的執行區塊在執行時會有不同的行為。有關這些差異的詳細資訊,請參閱 一節,其中包含每種執行區塊的詳細資訊。如需詳細資訊,請參閱[新增執行區塊](working-with-rs-execution-blocks.md)。
**主動/主動和主動/被動組態**
為跨多個區域的應用程式建立彈性組態有兩種主要方法:主動/被動和主動/主動。區域切換支援這兩種方法的應用程式復原。
使用主動/被動組態,您可以在兩個不同的區域中部署應用程式的兩個複本,而客戶流量只會前往一個區域。
使用主動/主動組態,您可以將兩個複本部署到兩個不同的區域,但兩個複本都在處理工作或接收流量。
**計劃執行**
當區域切換計劃執行時,它會透過為應用程式及其接收的流量啟用運作狀態良好的區域,在區域受損時實作應用程式的復原。使用主動/主動組態時,您也可以執行計劃執行來停用受損的區域。
**應用程式運作狀態警示**
應用程式運作狀態警示是您為計劃指定的 CloudWatch 警示,用於指示每個區域中應用程式的運作狀態。區域切換使用應用程式運作狀態警示,協助判斷切換區域以實作復原後的實際復原時間。
**觸發**
您可以使用區域切換中的觸發程序來自動化應用程式復原。當您建立觸發時,您可以指定一或多個 Amazon CloudWatch 警示,並定義應啟動計畫執行的警示條件 (例如 "red" 或 "green")。當符合指定的條件時,區域切換會自動執行計畫。觸發條件與應用程式運作狀態警示不同:觸發啟動計劃執行,而應用程式運作狀態警示可協助區域切換在計劃完成後計算實際的復原時間。
**復原後工作流程**
復原後工作流程是選用的工作流程,會在成功復原後執行,為未來的區域事件做好準備。這些工作流程需要兩個區域都正常運作,並在先前受損的區域中執行。復原後執行會參考最近復原執行的復原執行 ID。
復原後工作流程支援下列執行區塊:
+ RDS 建立跨區域複本
+ 自訂動作 Lambda
+ 手動核准
+ 區域切換計畫
**儀表板**
區域切換包含儀表板,您可以在其中即時追蹤計劃執行的詳細資訊。
# 區域切換的資料和控制平面
當您規劃容錯移轉和災難復原時,請考慮容錯移轉機制的彈性。我們建議您確保在容錯移轉期間依賴的機制具有高度可用性,以便在災難情況下需要它們時使用。一般而言,您應該盡可能為您的機制使用資料平面函數,以獲得最大的可靠性和容錯能力。考慮到這一點,了解服務的功能如何在控制平面和資料平面之間分割,以及何時可以使用服務的資料平面依賴極端可靠性。
如同許多 AWS 服務,控制平面和資料平面支援區域切換功能的功能。雖然這兩種類型都建置為可靠,但控制平面會針對資料一致性進行最佳化,而資料平面則會針對可用性進行最佳化。資料平面專為彈性而設計,因此即使在破壞性事件期間,當控制平面可能無法使用時,也能維持可用性。
一般而言,*控制平面*可讓您執行基本管理功能,例如建立、更新和刪除服務中的資源。*資料平面*提供服務的核心功能。因此,我們建議您在可用性很重要時使用資料平面操作,例如,當您需要在中斷期間取得區域切換計畫的相關資訊時。
對於區域切換,控制平面和資料平面分割如下:
+ 區域切換的控制平面位於美國東部 (維吉尼亞北部) 區域 (us-east-1)、 AWS GovCloud (US-West) 區域 (us-gov-west-1),僅用於服務管理,也就是建立和更新計劃,而不是用於復原,也就是執行計劃。*區域切換組態控制平面 API 操作不高度可用。*
+ 區域切換在每個區域都有獨立的資料平面 AWS 區域。您應該使用資料平面進行復原動作,也就是執行區域切換計畫。如需資料平面操作的清單,請參閱 [區域切換 API 操作](actions.region-switch.md)。*這些區域切換資料平面操作具有高可用性。*
區域切換在每個 中提供獨立的主控台 AWS 區域,可呼叫復原任務的資料平面 API 操作,因此您可以在要啟動的區域中使用主控台來執行應用程式復原計劃。如需有關使用區域切換準備和完成復原操作時的重要考量的詳細資訊,請參閱 [ARC 中區域切換的最佳實務](best-practices.region-switch.md)。
如需資料平面、控制平面以及 如何 AWS 建置服務以滿足高可用性目標的詳細資訊,請參閱《Amazon Builders' Library[》中的使用可用區域的靜態穩定性白皮書](https://aws.amazon.com/builders-library/static-stability-using-availability-zones/)。
# ARC 區域切換的標記;
標籤是您用來識別和組織 AWS 資源的單字或片語 (中繼資料)。您可以為每個資源新增多個標籤,每個標籤都包含您定義的索引鍵和值。例如,金鑰可能是環境,而值可能是生產。您可以根據新增的標籤來搜尋和篩選資源。
您可以在 ARC 的區域切換中標記下列資源:
+ 計劃
ARC 中的標記只能透過 API 使用,例如使用 AWS CLI。
以下是使用 在區域切換中標記的範例 AWS CLI。
`aws arc-region-switch --region us-east-1 create-plan --plan-name example-plan --tags Region=IAD,Stage=Prod`
如需詳細資訊,請參閱《Amazon Application Recovery Controller (ARC) *的區域交換器 API 參考指南*》中的 [TagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_TagResource.html)。
# ARC 中區域切換的定價
您為每個設定的區域切換計劃支付固定的每月成本。
如需 ARC 和定價範例的詳細定價資訊,請參閱 [ARC 定價](https://aws.amazon.com/application-recovery-controller/pricing/)。
# ARC 中區域切換的最佳實務
建議您在 Amazon Application Recovery Controller (ARC) 中使用區域切換進行復原和容錯移轉準備的下列最佳實務。
**主題**
+ [確保專用、長期的 AWS 登入資料安全且隨時可存取](#RSBestPracticeCredentials)
+ [為涉及容錯移轉的 DNS 記錄選擇較低的 TTL 值](#RSBestPracticeLowerTTL)
+ [保留關鍵應用程式所需的容量](#RSBestPracticeCapacity)
+ [使用極為可靠的資料平面 API 操作來列出和取得區域切換計畫的相關資訊](#RSBestPracticeUseDataPlane)
+ [使用 ARC 測試容錯移轉](#RSBestPracticeTestFailover)
**確保專用、長期的 AWS 登入資料安全且隨時可存取**
在災難復原 (DR) 案例中,使用存取 AWS 和執行復原任務的簡單方法,將系統相依性降至最低。建立專門用於 DR 任務[的 IAM 長期憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html),並將憑證安全地保存在現場部署實體安全或虛擬保存庫中,以在需要時存取 。透過 IAM,您可以集中管理安全登入資料,例如存取金鑰,以及存取 AWS 資源的許可。對於非 DR 任務,我們建議您繼續使用聯合存取,並使用 AWS [AWS Single Sign-On](https://aws.amazon.com/single-sign-on/) 等服務。
**為涉及容錯移轉的 DNS 記錄選擇較低的 TTL 值**
對於可能需要在容錯移轉機制中變更的 DNS 記錄,尤其是使用較低的 TTL 值檢查運作狀態的記錄是適當的。在這種情況下,將 TTL 設為 60 秒或 120 秒是常見的選擇。
DNS TTL (存留時間) 設定會告知 DNS 解析程式在請求新的記錄之前快取記錄的時間。當您選擇 TTL 時,您可以權衡延遲和可靠性,以及對變更的回應能力。當記錄的 TTL 較短時,DNS 解析程式會更快地通知記錄更新,因為 TTL 指定他們必須更頻繁地查詢。
如需詳細資訊,請參閱 [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-dns.html) *DNS 最佳實務中的選擇 DNS 記錄的 TTL 值*。
**保留關鍵應用程式所需的容量**
區域切換包含執行區塊類型,有助於在復原過程中擴展運算資源。如果您在計劃中使用這些執行區塊,區域切換不保證達到所需的運算容量。如果您有重要的應用程式且需要保證存取容量,建議您預留容量。
您可以遵循一些策略,在次要區域中保留運算容量,同時限制成本。若要進一步了解,請參閱具有[預留容量的指示燈:如何使用隨需容量預留最佳化 DR 成本](https://aws.amazon.com/blogs/architecture/pilot-light-with-reserved-capacity-how-to-optimize-dr-cost-using-on-demand-capacity-reservations/)。
**使用極為可靠的資料平面 API 操作來列出和取得區域切換計畫的相關資訊**
使用資料平面 API 操作,在事件期間使用和執行您的區域切換計畫。如需區域切換資料平面操作的清單,請參閱 [區域切換 API 操作](actions.region-switch.md)。
每個區域中的區域切換主控台會使用資料平面操作來執行區域切換計劃。您也可以使用 AWS CLI 或執行您使用其中一個 SDKs 撰寫的程式碼,來呼叫資料平面 API AWS 操作。ARC 在資料平面中使用 API 提供極高的可靠性。
**使用 ARC 測試應用程式復原**
使用 ARC 區域切換定期測試應用程式復原、在另一個區域中啟用次要應用程式堆疊 AWS 區域,或執行區域切換計畫來停用其中一個區域,以切換主動-主動組態。
請務必確保您建立的區域切換計畫與堆疊中的正確資源一致,而且一切都如您預期般運作。您應該在為您的環境設定區域切換後進行測試,並繼續定期測試,以便驗證復原程序是否正常運作。在遇到故障情況之前,請定期執行此測試,以協助避免使用者停機。
**ARC 區域切換 DNS 容錯移轉與 Route 53 加速復原**
加速復原為用於更新已啟用此功能之公有託管區域記錄的 APIs 提供 60 分鐘的目標 RTO。如果您需要維持對 RTO 的控制,而不是等待 AWS 完成復原所需的 APIs,您應該使用 ARC Routing 控制項或 ARC Region switch Route 53 運作狀態檢查執行區塊。
# 教學課程:建立主動/被動區域切換計畫
本教學課程會引導您為在 us-east-1 中執行的應用程式建立主動/被動區域切換計畫,並復原至 us-west-2。此範例包括用於運算的 Amazon EC2 執行個體、用於儲存的 Amazon Aurora 全域資料庫,以及用於 DNS 的 Amazon Route 53。
在本教學課程中,您將完成下列步驟:
+ 建立區域切換計畫
+ 建置計劃的工作流程和執行區塊
+ 建置 EC2 Auto Scaling 群組執行區塊
+ 建置兩個手動核准執行區塊
+ 建置兩個自訂動作 Lambda 執行區塊
+ 建置 Amazon Aurora Global Database 執行區塊
+ 建置 ARC 路由控制區塊
+ 執行區域切換計畫
## 先決條件
開始本教學課程之前,請確認您在這兩個區域中都具備下列先決條件:
+ 具有適當許可的 IAM 角色
+ EC2 Auto Scaling 群組
+ 用於維護頁面和圍欄的 Lambda 函數
+ Aurora 全域資料庫
+ ARC 路由控制
## 步驟 1:建立區域切換計畫
1. 從區域切換主控台中,選擇**建立區域切換計劃**。
1. 提供下列詳細資訊:
+ **主要區域**:選擇 us-east-1
+ **待命區域**:選擇 us-west-2
+ **所需的復原時間目標 (RTO)** (選用)
+ **IAM 角色**:輸入計劃執行 IAM 角色。此 IAM 角色允許區域切換在執行期間呼叫 AWS 服務。
1. 選擇**建立**。
(選用) 將來自不同 AWS 帳戶的資源新增至您的區域切換計畫:
1. 建立跨帳戶角色:
+ 在託管資源的帳戶中,建立 IAM 角色。
+ 新增計劃將存取之特定資源的許可。
+ 新增允許執行角色擔任新角色的信任政策。
+ 輸入並記下您將用作共用秘密的外部 ID。
1. 在您的計劃中設定 資源:
+ 當您將資源新增至計劃時,請指定兩個額外的欄位:
+ **crossAccountRole**:您在步驟 1 中建立之角色的 ARN
+ **externalId**:您在步驟 1 中輸入的外部 ID
EC2 Auto Scaling 執行區塊存取帳戶 987654321 中資源的範例組態:
```
{
"executionBlock": "EC2AutoScaling",
"name": "ASG",
"crossAccountRole": "arn:aws:iam::987654321:role/RegionSwitchCrossAccountRole",
"externalId": "unique-external-id-123",
"autoScalingGroupArn": "arn:aws:autoscaling:us-west-2:987654321:autoScalingGroup:*:autoScalingGroupName/CrossAccountASG"
}
```
必要許可:
+ 執行角色必須具有跨帳戶角色的 sts:AssumeRole 許可。
+ 跨帳戶角色必須僅具有所存取特定資源的許可。
+ 跨帳戶角色的信任政策必須包含:
+ 執行角色的帳戶做為信任的實體。
+ 外部 ID 條件。
+ 如需設定跨帳戶角色的詳細資訊,請參閱 [跨帳戶資源許可](security_iam_region_switch_cross_account.md)。
在執行計畫之前,區域切換會驗證下列項目:
+ 執行角色可以擔任跨帳戶角色。
+ 跨帳戶角色具有必要的許可。
+ 外部 ID 符合信任政策。
## 步驟 2:建置計劃的工作流程和執行區塊
1. 在區域切換計畫詳細資訊頁面中,選擇**建置工作流程**。
1. 選取**為所有區域建立相同的啟用工作流程**。
1. 輸入區域啟用工作流程描述 (選用)。這將用於在執行計劃時輕鬆識別工作流程。
1. 選擇**儲存並繼續**。
### 新增 EC2 Auto Scaling 執行區塊
如需此執行區塊的詳細資訊,請參閱 [Amazon EC2 Auto Scaling 群組執行區塊](ec2-auto-scaling-block.md)。
1. 選擇**新增步驟**,然後選擇**依序執行**。
1. 選取 **EC2 Auto Scaling 執行區塊**,然後選擇**新增和編輯**。此區塊可讓您開始增加被動區域中的容量。
1. 在右側面板中,設定 區塊:
+ **步驟名稱**:輸入「擴展」
+ **步驟描述** (選用)
+ **us-east-1 的 Auto Scaling 群組 ARN**:us-east-1 中 ASG 的 ARN
+ **us-west-2 的 Auto Scaling 群組 ARN**:us-west-2 中 ASG 的 ARN
+ **符合來源區域的容量的百分比**:輸入 100
+ **容量監控方法**:保留為「最近」
+ **逾時 **(選用)
如需此執行區塊所需 IAM 許可的資訊,請參閱 [EC2 Auto Scaling 執行區塊範例政策](security_iam_region_switch_ec2_autoscaling.md)。
1. 選擇**儲存步驟**。
### 新增手動核准執行區塊
如需此執行區塊的詳細資訊,請參閱 [手動核准執行區塊](manual-approval-block.md)。
1. 選擇**新增步驟**。
1. 選取**手動核准執行區塊**,並將其新增至設計視窗。此區塊允許在繼續之前進行人工驗證。
1. 在右側面板中,設定 區塊:
+ **步驟名稱**:輸入「設定前手動核准」
+ **步驟描述** (選用)
+ **IAM 核准角色**:使用者必須擔任的角色,才能核准執行
+ **逾時 **(選用)。逾時後,執行會暫停,您可以選擇重試、略過或取消。
如需此執行區塊所需 IAM 許可的資訊,請參閱 [手動核准執行區塊範例政策](security_iam_region_switch_manual_approval.md)。
1. 選擇**儲存步驟**。
### 新增維護頁面的自訂動作 Lambda 執行區塊
如需此執行區塊的詳細資訊,請參閱 [自訂動作 Lambda 執行區塊](custom-action-lambda-block.md)。
1. 選擇**新增步驟**。
1. 選取**自訂動作 Lambda 執行區塊**,然後選擇**新增和編輯**。此區塊會在啟用的區域中發佈維護頁面。
1. 在右側面板中,設定 區塊:
+ **步驟名稱**:輸入「顯示維護頁面」
+ **步驟描述** (選用)
+ **用於啟用 us-east-1 的 Lambda ARN**:部署在 us-east-1 中的維護頁面 Lambda 函數的 ARN
+ **用於啟用 us-west-2 的 Lambda ARN**:部署在 us-west-2 中的維護頁面 Lambda 函數的 ARN
+ **要執行 Lambda 函數的區域**:選擇**在啟用區域中執行**
+ **逾時 **(選用)
+ **重試間隔 **(選用)
如需此執行區塊所需 IAM 許可的資訊,請參閱 [自訂動作 Lambda 執行區塊範例政策](security_iam_region_switch_lambda.md)。
1. 選擇**儲存步驟**。
### 新增 Aurora 全域資料庫執行區塊
如需此執行區塊的詳細資訊,請參閱 [Amazon Aurora 全域資料庫執行區塊](aurora-global-database-block.md)。
1. 選擇**新增步驟**。
1. 選取 **Aurora Global Database 執行區塊**,然後選擇**新增和編輯**。此區塊會觸發 Aurora 全域資料庫切換 (不會遺失資料)。如需詳細資訊,請參閱《[Aurora 使用者指南》中的使用 Aurora Global Database 的切換或容錯移轉](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html)。 **
1. 在右側面板中,設定 區塊:
+ **步驟名稱**:輸入 **Aurora 切換**
+ **步驟描述** (選用)
+ **Aurora 全域資料庫識別符**:Aurora 叢集的名稱
+ **用於啟用 us-east-1 的叢集 ARN**:us-east-1 中的 Aurora 叢集 ARN
+ **用於啟用 us-west-2 的叢集 ARN**:us-west-2 中的 Aurora 叢集 ARN
+ **選取 Aurora 資料庫的選項**:選擇**切換**
+ **逾時 **(選用)
如需此執行區塊所需 IAM 許可的資訊,請參閱 [Aurora Global Database 執行區塊範例政策](security_iam_region_switch_aurora.md)。
1. 選擇**儲存步驟**。
### 新增 ARC 路由控制執行區塊
如需此執行區塊的詳細資訊,請參閱 [ARC 路由控制執行區塊](arc-routing-controls-block.md)。
1. 選擇**新增步驟**。
1. 選取 **ARC 路由控制執行區塊**,然後選擇**新增和編輯**。此區塊會執行 DNS 容錯移轉,將流量轉移到被動區域。
1. 在右側面板中,設定 區塊:
+ **步驟名稱**:輸入**切換 DNS**
+ **步驟描述** (選用)
+ **用於啟用 us-east-1 的路由控制**:選擇**新增路由控制**
+ **逾時**:輸入逾時值。
1. 選擇**新增路由控制**:
+ **路由控制 ARN**:控制 us-east-1 之路由控制的 ARN
+ **路由控制狀態**:選擇**開啟**
1. 再次選擇**新增路由控制**:
+ **路由控制 ARN**:控制 us-west-2 之路由控制的 ARN
+ **路由控制狀態**:選擇**關閉**
1. 選擇**儲存**。
1. **用於啟用 us-west-2 的路由控制**:選擇**新增路由控制**
1. 選擇**新增路由控制**:
+ **路由控制 ARN**:控制 us-west-2 之路由控制的 ARN
+ **路由控制狀態**:選擇**開啟**
1. 再次選擇**新增路由控制**:
+ **路由控制 ARN**:控制 us-east-1 之路由控制的 ARN
+ **路由控制狀態**:選擇**關閉**
1. 選擇**儲存**。
1. 選擇**儲存步驟**。
如需此執行區塊所需 IAM 許可的資訊,請參閱 [ARC 路由控制執行區塊範例政策](security_iam_region_switch_arc_routing.md)。
1. 選擇**儲存**。
## 步驟 3:執行計畫
1. 在區域切換計劃詳細資訊頁面的右上角,選擇**執行**。
1. 輸入執行詳細資訊:
+ 選取要啟用的區域。
+ 選取計劃執行模式。
+ (選用) 檢視執行步驟。
+ 確認計劃執行。
1. 選擇 **開始使用**。
1. 您可以在計劃在執行詳細資訊頁面上執行時檢視詳細步驟。您可以查看計劃執行中的每個步驟,包括開始時間、結束時間、資源 ARN 和日誌訊息。
當受損的區域復原後,您可以再次執行計畫 (變更您提供的參數) 以啟用原始區域,將應用程式操作切換回原始主要區域。
# 教學課程:設定計畫執行報告自動產生
本教學課程會引導您設定區域切換計畫的計畫執行報告自動產生。報告提供計劃執行的完整 PDF 文件,用於合規目的。
在本教學課程中,您將完成下列步驟:
+ 建立報告儲存的 Amazon S3 儲存貯體
+ 在區域切換計劃上啟用報告自動產生
+ 執行計劃並下載報告
## 先決條件
開始本教學課程之前,請確認您有下列項目:
+ 已設定工作流程的現有區域切換計劃
+ 建立 Amazon S3 儲存貯體的許可
+ 您計劃的執行 IAM 角色已設定所需的許可。如需詳細資訊,請參閱[自動計劃執行報告許可](security_iam_region_switch_reports.md)。
## 步驟 1:建立報告的 Amazon S3 儲存貯體
1. 在 開啟 Amazon S3 主控台[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。
1. 選擇**建立儲存貯體**。
1. 提供下列詳細資訊:
+ **儲存貯體名稱**:輸入唯一名稱,例如 `my-region-switch-reports`
+ **封鎖公開存取設定**:封鎖所有公開存取 (建議)
+ **儲存貯體版本控制**:啟用版本控制 (選用但建議)
+ **預設加密**:選取加密。如果使用 SSM-KMS,則 planExecutionRole 需要 s3 儲存貯體預設 CMK 的 kms:Encrypt 和 kms:GenerateDataKey 許可
1. 選擇**建立儲存貯體**。
1. 請注意要用於下一個步驟的儲存貯體名稱。
## 步驟 2:在您的計劃上啟用報告自動產生
1. 在 開啟區域切換主控台[https://console.aws.amazon.com/route53recovery/regionswitch/home](https://console.aws.amazon.com/route53recovery/regionswitch/home)。
1. 選取您要為其設定報告的計劃。
1. 選擇**導覽列中的動作,然後選取編輯計劃詳細資訊**。
1. 在**報告設定**區段中,提供下列項目:
+ 選取**啟用報告自動產生**
+ **Amazon S3 URI:**選取或輸入您在步驟 1 中建立的儲存貯體 S3 URI
+ **擁有儲存貯體的帳戶 ID:**輸入儲存貯體擁有者帳戶 ID
1. 選擇**儲存**。
1. 等待計劃評估完成。如果有任何組態問題,警告會顯示在計劃詳細資訊頁面上。
## 步驟 3:執行計畫並下載報告
1. 在計劃詳細資訊頁面上,選擇**執行**。
1. 照常完成計劃執行,選取要啟用的區域和執行模式。
1. 計畫執行完成後,導覽至執行詳細資訊頁面。
1. 在**計劃執行報告**區段中,監控報告產生狀態。報告產生通常會在執行完成後 30 分鐘內完成。
1. 當報告狀態顯示**已完成**時,請選擇**下載計劃執行報告**以下載 PDF。
1. 或者,導覽至 Amazon S3 儲存貯體以直接存取報告。報告會以下列命名模式儲存: `ExecutionReport-${planVersion.ownerAccountId}-${planName}-${execution.regionTo}-${event.executionId}-${dateStr}.pdf`
產生的報告包括:
+ 具有服務概觀和報告建立日期的執行摘要
+ 規劃執行時存在的組態詳細資訊
+ 包含步驟、受影響資源和狀態的詳細執行時間表
+ 規劃執行開始時出現的警告
+ Amazon CloudWatch 警示狀態和相關警示的警示歷史記錄
+ 對於父計畫、子計畫的組態和執行詳細資訊
+ 術語和概念詞彙表
## 疑難排解
如果報告產生失敗,請檢查下列項目:
+ **許可錯誤**:確認執行角色具有正確的 IAM 許可。如需詳細資訊,請參閱[自動計劃執行報告許可](security_iam_region_switch_reports.md)。檢查計劃評估警告是否有特定許可問題。
+ **Amazon S3 儲存貯體存取**:確保 Amazon S3 儲存貯體存在,並且可從設定計劃的區域存取。確認儲存貯體政策不會封鎖來自執行角色的存取。
+ **儲存貯體加密**:如果使用客戶管理的 KMS 金鑰進行儲存貯體加密,請確保執行角色具有使用 KMS 金鑰的許可。
如需其他說明,請在執行詳細資訊頁面上檢視詳細的錯誤訊息,或聯絡 AWS Support。
# 教學課程:執行 RDS 復原後工作流程
本教學課程會引導您在成功 RDS 容錯移轉後執行復原後工作流程。此復原後執行會透過為 RDS 資料庫重新建立跨區域複寫來還原備援,確保您的 RDS 資料庫已準備好因應未來的區域事件。
在本教學課程中,您將完成下列步驟:
+ 驗證復原後執行的先決條件
+ 使用 RDS Create Cross-Region Replica 執行區塊建立復原後工作流程
+ 執行復原後工作流程
## 先決條件
開始本教學課程之前,請確認您有下列項目:
+ 具有啟用工作流程的區域切換作用中/被動計劃,其中包含 RDS 提升僅供讀取複本執行區塊
+ 成功啟用執行,提升其他區域中的僅供讀取複本
+ 兩個區域都正常運作且可存取
+ 來自最近復原執行的執行 ID
## 步驟 1:建立復原後工作流程
1. 從區域切換主控台選擇計劃,選擇**編輯工作流程**、選取**組態**、勾選在**計劃中包含復原後工作流程**並儲存。
1. 在編輯工作流程頁面中,選取**選取要新增步驟的工作流程**下拉式清單,然後選擇**復原後**。
1. 選擇**新增步驟**。
1. 選取 **Amazon RDS 建立跨區域複本執行區塊**。
1. 在右側面板中,設定 區塊:
+ **步驟名稱**:輸入「建立跨區域僅供讀取複本」
+ **步驟描述** (選用)
+ **主要區域的 RDS 資料庫執行個體 ARN**:主要區域中資料庫的 ARN 應與提升僅供讀取複本步驟相同
+ **次要區域的 RDS 資料庫執行個體 ARN**:次要 中提升資料庫的 ARN,應與提升僅供讀取複本步驟相同
+ **逾時 **(選用):輸入逾時值,例如 90 分鐘
如需此執行區塊所需 IAM 許可的資訊,請參閱 [Amazon RDS 執行區塊範例政策](security_iam_region_switch_rds.md)。
1. 選擇**儲存步驟**。
1. 選擇**儲存工作流程**。
## 步驟 2:執行復原後工作流程
1. 在區域切換計畫詳細資訊頁面的右上角,選擇**執行復原後**。
1. 輸入執行詳細資訊:
+ **復原執行 ID**:輸入最近復原執行的執行 ID。此欄位用於識別目前作用中的區域。
+ **要在其中執行的區域**:選取未接收任何應用程式流量的非作用中區域。這是將建立僅供讀取複本的區域。
1. 檢閱執行步驟並確認執行。
1. 選擇 **Start Execution (開始執行)**。
1. 在執行詳細資訊頁面上監控執行進度。RDS Create 跨區域複本執行區塊會重新命名舊的主要執行個體,並在先前受損的區域中建立新的僅供讀取複本。
在復原後執行成功完成之後,您的應用程式將會重新建立跨區域複寫,而您將為未來的區域事件做好準備。您可以檢查目標區域中的 RDS 主控台,以確認是否已建立新的僅供讀取複本。舊的主節點會重新命名並以 *renamedByRegionSwitch* 標記。
**重要**
區域切換會驗證復原執行 ID 是否符合計劃的上次已知執行。如果執行 ID 無效或不是上次已知復原執行的 ID,則不會執行復原後執行。
# 區域切換 API 操作
下表列出可用於區域切換的 ARC 操作,以及相關文件的連結。
| Action | 使用 ARC 主控台 | 使用 ARC API | 資料平面 API |
| --- | --- | --- | --- |
| 核准或拒絕計劃執行步驟 | 請參閱 [手動核准執行區塊](manual-approval-block.md) | 請參閱 [ApprovePlanExecutionStep](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ApprovePlanExecutionStep.html) | 是 |
| 取消計劃執行 | 請參閱 [建立區域切換計畫](working-with-rs-create-plan.md) | 請參閱 [CancelPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_CancelPlanExecution.html) | 是 |
| 建立計劃 | 請參閱 [建立區域切換計畫](working-with-rs-create-plan.md) | 請參閱 [CreatePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_CreatePlan.html) | 否 |
| 刪除計劃 | 請參閱 [使用區域切換](working-with-rs.md) | 請參閱 [DeletePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_DeletePlan.html) | 否 |
| 取得計劃 | 請參閱 [使用區域切換](working-with-rs.md) | 請參閱 [GetPlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlan.html) | 否 |
| 取得計劃評估狀態 | 請參閱 [計畫評估](region-switch-plans.md#region-switch-plans.plan-evaluation) | 請參閱 [GetPlanEvaluationStatus](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanEvaluationStatus.html) | 是 |
| 取得計劃執行 | 請參閱 [區域切換儀表板](region-switch.dashboarding-and-reports.md) | 請參閱 [GetPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanExecution.html) | 是 |
| 在 區域中取得計劃 | 請參閱 [使用區域切換](working-with-rs.md) | 請參閱 [GetPlanInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_GetPlanInRegion.html) | 是 |
| 列出計畫執行事件 | 請參閱 [執行區域切換計劃以復原應用程式](plan-execution-rs.md) | 請參閱 [ListPlanExecutionEvents](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlanExecutionEvents.html) | 是 |
| 列出計畫執行 | 請參閱 [執行區域切換計劃以復原應用程式](plan-execution-rs.md) | 請參閱 [ListPlanExecutions](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlanExecutions.html) | 是 |
| 列出計劃 | 請參閱 [使用區域切換](working-with-rs.md) | 請參閱 [ListPlans](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlans.html) | 否 |
| 列出區域中的計劃 | 請參閱 [使用區域切換](working-with-rs.md) | 請參閱 [ListPlansInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListPlansInRegion.html) | 是 |
| 列出計劃的 Route 53 運作狀態檢查 | 請參閱 [Amazon Route 53 運作狀態檢查執行區塊](route53-health-check-block.md) | 請參閱 [ListRoute53HealthChecksForPlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListRoute53HealthChecks.html) | 否 |
| 列出區域中計劃的 Route 53 運作狀態檢查 | 請參閱 [Amazon Route 53 運作狀態檢查執行區塊](route53-health-check-block.md) | 請參閱 [ListRoute53HealthChecksForPlanInRegion](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListRoute53HealthChecksInRegion.html) | 是 |
| 列出資源的標籤 | 請參閱 [ARC 區域切換的標記;](tagging.region-switch.md) | 請參閱 [ListTagsForResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_ListTagsForResource.html) | 否 |
| 開始計劃執行 | 請參閱 [執行區域切換計劃以復原應用程式](plan-execution-rs.md) | 請參閱 [StartPlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_StartPlanExecution.html) | 是 |
| 標記資源 | 請參閱 [建立區域切換計畫](working-with-rs-create-plan.md) | 請參閱 [TagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_TagResource.html) | 否 |
| 從資源移除標籤 | 請參閱 [ARC 區域切換的標記;](tagging.region-switch.md) | 請參閱 [UntagResource](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UntagResource.html) | 否 |
| 更新計劃 | 請參閱 [建立區域切換計畫](working-with-rs-create-plan.md) | 請參閱 [UpdatePlan](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlan.html) | 否 |
| 更新計劃執行 | 請參閱 [建立區域切換計畫](working-with-rs-create-plan.md) | 請參閱 [UpdatePlanExecution](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlanExecution.html) | 是 |
| 更新計劃執行步驟 | 請參閱 [建立區域切換計畫](working-with-rs-create-plan.md) | 請參閱 [UpdatePlanExecutionStep](https://docs.aws.amazon.com/arc-region-switch/latest/api/API_UpdatePlanExecutionStep.html) | 是 |
# 使用區域切換
本節提供使用區域切換計劃的step-by-step說明,您可以用來復原多區域應用程式。區域切換可讓您為主動/被動和主動/主動復原方法建立計劃。
若要為您的應用程式建立復原計劃,請執行下列動作:
1. 建立區域切換計畫。計劃是具有特定屬性 AWS 區域 的結構,例如您的應用程式執行所在的特定 。每個計劃都包含一或多個*工作流程*。
或者,您可以建立數個計劃,並在整體復原計劃中巢狀化這些*子*計劃。
1. 為計劃建立工作流程。您必須先建立工作流程,才能執行計畫。
1. 在工作流程中,新增一個或多個各為*執行區塊*的步驟。
例如,您可以新增步驟來擴展目的地區域中的 EC2 Auto Scaling 群組。
1. 將步驟新增至工作流程後,可能需要其他步驟,例如在 Amazon Route 53 中設定運作狀態檢查。每個執行區塊區段都包含您需要的組態資訊。如需詳細資訊,請參閱[新增執行區塊](working-with-rs-execution-blocks.md)。
1. 若要復原在受損 中執行的應用程式 AWS 區域,請執行 計畫。
您可以在全域儀表板或區域儀表板中檢視資訊,以追蹤計劃執行的進度。
下列各節提供建立計劃和工作流程,以及在工作流程中新增執行區塊步驟的詳細資訊和步驟。
**Topics**
+ [建立計劃](working-with-rs-create-plan.md)
+ [建立工作流程](working-with-rs-workflows.md)
+ [新增執行區塊](working-with-rs-execution-blocks.md)
+ [建立子計畫](working-with-rs-child-plan.md)
+ [建立 觸發](working-with-rs-triggers.md)
+ [執行計畫](plan-execution-rs.md)
本節中的程序說明如何使用 來使用計劃、工作流程、執行區塊和觸發條件 AWS 管理主控台。若要改為使用區域切換 API 操作,請參閱 [區域切換 API 操作](actions.region-switch.md)。
# 建立區域切換計畫
您可以在區域切換中建立兩種不同類型的計劃:主動/主動計劃或主動/被動計劃。當您建立計劃時,請指定適用於您要管理容錯移轉方式的類型。
+ *主動/被動*方法會將兩個應用程式複本部署到兩個區域,其中流量只會路由到作用中區域。您可以執行區域切換計畫,在被動區域中啟用複本。
+ *主動/主動*方法會將兩個應用程式複本部署到兩個區域,而這兩個複本正在處理工作或接收流量。
# 建立區域切換計畫
1. 從區域切換主控台中,選擇使用主動/被動方法**建立區域切換計劃**。
1. 提供下列詳細資訊:
+ **計劃名稱** - 輸入計劃的描述性名稱。
+ **多區域方法** - 選取**主動/被動**或**主動/主動**。此方法表示兩個應用程式複本會部署到兩個區域,流量只會路由到作用中區域。您可以執行區域切換計畫,在被動區域中啟用複本。
+ 如果您已將兩個應用程式複本部署到兩個區域,且流量僅路由到作用中區域,請選擇**作用中/被動**。然後,您可以透過執行指定*主動/被動*的區域切換計畫,在被動區域中啟用複本。
+ 如果您已將兩個應用程式複本部署到兩個區域,且兩個複本正在處理工作或接收流量,請選擇**作用中/作用中**。
+ **主要和待命區域** ****- 為您的應用程式選取主要和待命區域。針對作用中/作用中部署,選取部署複本的區域。
+ **復原時間目標 (RTO)** - 輸入所需的 RTO。區域切換會使用此項目來深入了解相較於您想要的 RTO,區域切換計畫執行需要多長時間才能完成。
+ **IAM 角色** - 提供區域切換的 IAM 角色,以用來執行計劃。如需許可的詳細資訊,請參閱「[ARC 中區域切換的 Identity and Access Management](security-iam-region-switch.md)」。
+ **Amazon CloudWatch 警示** - 提供您已使用 Amazon CloudWatch 建立的應用程式運作狀態警示,以指出每個區域中應用程式的運作狀態。區域切換使用這些應用程式運作狀態警示,以協助判斷切換區域以實作復原後的實際復原時間。
將 CloudWatch 警示新增至區域切換計劃之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[應用程式運作狀態許可的 CloudWatch 警示](security_iam_region_switch_cloudwatch.md)。
+ **自動產生報告** - 或者,為計劃執行啟用自動產生報告。啟用時,區域切換會在每個計劃執行完成後產生全面的 PDF 報告,並將其交付至您指定的 Amazon S3 儲存貯體。提供 Amazon S3 URI 和擁有儲存貯體的帳戶 ID。
為計劃啟用自動產生報告之前,請確定您已備妥正確的 IAM 政策。如需報告產生和所需許可的詳細資訊,請參閱 [自動計劃執行報告](region-switch-plans.md#region-switch-plans.plan-execution-reports)。
+ **標籤** - 或者,將一或多個標籤新增至您的計劃。
# 建立區域切換計畫工作流程
建立區域切換計劃之後,您需要定義和建立工作流程,以指定應用程式的復原程序。對於每個計劃,您可以定義一或多個工作流程,以完成應用程式的復原。在每個工作流程中,您新增包含*執行區塊*的步驟,以定義您希望區域切換為應用程式復原執行的每個動作。
您建立的工作流程數量取決於您的應用程式部署案例,以及管理復原的偏好設定。例如:
+ 如果您的區域切換計劃適用於作用中/作用中的應用程式部署,您也需要建立停用工作流程。這表示對於 或作用中/作用中部署,您至少有兩個工作流程:啟用工作流程和停用工作流程。
+ 如果您的區域切換計劃用於主動/被動應用程式部署,則您有一個主要和次要區域。如果您選擇為每個區域建立個別的啟用工作流程,您將建立兩個工作流程:每個區域一個。
# 建立區域切換計畫工作流程
1. 在您建立的區域切換計畫中,選擇**建置工作流程**。
1. 選取下列其中一個工作流程選項:
+ **為所有區域建置相同的啟用工作流程** - 可讓您跨區域使用相同的啟用工作流程。
+ **為每個區域分別建立工作流程** - 為每個區域建立個別啟用工作流程。
1. 或者,提供每個工作流程的描述。
1. 定義復原應用程式所需的工作流程。在工作流程中,您可以新增*執行區塊*,以定義您希望區域切換為復原執行的步驟。每個執行區塊都會定義動作,例如應用程式流量重新路由或啟用區域中的資料庫復原,並支援另一個區域中的資源 AWS 帳戶。您可以選擇讓執行區塊平行或循序執行。如需可新增至工作流程之特定執行區塊的詳細資訊,請參閱 [新增執行區塊](working-with-rs-execution-blocks.md)。
1. 根據您選取的工作流程選項,執行下列動作:
+ 如果您選擇**為所有區域建立相同的啟用工作流程**,則需要一個啟用工作流程。
+ 如果您**為每個區域分別選取建置工作流程**,則需要兩個啟用工作流程。
對於作用中/作用中計劃,您必須同時定義啟用工作流程和停用工作流程。
# 新增執行區塊
您可以將步驟新增至區域切換計畫中的工作流程,以執行個別步驟來完成應用程式的容錯移轉或切換。如需每種執行區塊的功能和行為詳細資訊,請參閱下列說明。
區域切換會在您建立計畫或更新計畫後立即執行計畫評估,然後在穩定狀態期間每 30 分鐘執行一次。區域切換會將計劃評估的相關資訊儲存在設定計劃的所有區域中。此處的每個執行區塊區段都包含區域切換執行計劃評估時評估項目的相關資訊。
區域切換包含執行區塊類型,有助於在復原過程中擴展運算資源。如果您在計劃中使用這些執行區塊,請注意區域切換不保證達到所需的運算容量。如果您有重要的應用程式且需要保證存取容量,建議您預留容量。您可以遵循一些策略,在次要區域中保留運算容量,同時限制成本。若要進一步了解,請參閱具有[預留容量的指示燈:如何使用隨需容量預留最佳化 DR 成本](https://aws.amazon.com/blogs/architecture/pilot-light-with-reserved-capacity-how-to-optimize-dr-cost-using-on-demand-capacity-reservations/)。
區域切換支援下列執行區塊。
****
| 執行區塊 | 函式 | 不平穩的組態 |
| --- | --- | --- |
| [ARC 區域切換計畫執行區塊](region-switch-plan-block.md) | 透過指定要執行的子計畫,在一個執行中協調多個應用程式的復原。 | 使用其不良組態啟動子計劃。 |
| [Amazon EC2 Auto Scaling 群組執行區塊](ec2-auto-scaling-block.md) | 在計畫執行過程中擴展 Auto Scaling 群組中的 EC2 運算資源。 | 指定在您啟用的區域中應相符的運算容量百分比下限。 |
| [Amazon EKS 資源擴展執行區塊](eks-resource-scaling-block.md) | 在計畫執行過程中擴展 Amazon EKS 叢集 Pod。 | N/A |
| [Amazon ECS 服務擴展執行區塊](ecs-service-scaling-block.md) | 在計畫執行過程中擴展 Amazon ECS 服務任務。 | N/A |
| [ARC 路由控制執行區塊](arc-routing-controls-block.md) | 新增步驟以變更一或多個 ARC 路由控制的狀態,將應用程式流量重新導向至目標 AWS 區域。 | N/A |
| [Amazon Aurora 全域資料庫執行區塊](aurora-global-database-block.md) | 執行 Aurora 全域資料庫的復原工作流程。 | 執行 Aurora 全域資料庫容錯移轉 (可能導致資料遺失)。 |
| [Amazon DocumentDB 全域叢集執行區塊](documentdb-global-cluster-block.md) | 執行 Amazon DocumentDB 全域叢集的復原工作流程。 | 執行 Amazon DocumentDB 全域叢集容錯移轉 (可能導致資料遺失)。 |
| [Amazon RDS 升級僅供讀取複本執行區塊](rds-promote-read-replica-block.md) | 將 Amazon RDS 僅供讀取複本提升為獨立資料庫執行個體。 | N/A |
| [Amazon RDS 建立跨區域複本執行區塊](rds-create-cross-region-replica-block.md) | 在復原後為 Amazon RDS 資料庫執行個體建立跨區域僅供讀取複本。 | N/A |
| [手動核准執行區塊](manual-approval-block.md) | 插入核准步驟,以要求核准或取消執行,然後再繼續。 | N/A |
| [自訂動作 Lambda 執行區塊](custom-action-lambda-block.md) | 新增執行 Lambda 函數的自訂步驟,以啟用自訂動作。 | 略過 步驟。 |
| [Amazon Route 53 運作狀態檢查執行區塊](route53-health-check-block.md) | 指定在容錯移轉期間將應用程式流量重新導向至的區域。 | N/A |
# ARC 區域切換計畫執行區塊
區域切換計畫執行區塊可讓您透過參考其他子區域切換計畫,協調多個應用程式切換到您要啟用之區域的順序。使用此父/子關係,您可以建立複雜的協調復原程序,以跨基礎設施管理多個資源和相依性。
## Configuration
當您使用區域切換計畫執行區塊時,請選取您想要在所建立計畫工作流程中執行的特定區域切換計畫。
**重要**
設定執行區塊之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[區域切換計畫執行區塊範例政策](security_iam_region_switch_plan_execution.md)。
若要設定區域切換計畫執行區塊,請輸入下列值:
1. **步驟名稱:**輸入名稱。
1. **步驟描述 (選用):**輸入步驟的描述。
1. **區域切換計劃:**選取要在目前計劃的工作流程中執行的計劃。
然後,選擇**儲存步驟。**
## 運作方式
使用區域切換計畫執行區塊,建立具有父/子關係的父工作流程。請注意,此執行區塊不支援其他層級的子計畫,並限制父子計畫的數量。子計畫必須支援父計畫支援的相同區域,且必須與父計畫具有相同的復原方法 (即主動/主動或主動/被動)。
此區塊同時支援正常和不良的執行模式。不寬容的設定將使用其不寬容的組態啟動子計畫。如果區域切換區塊已正常執行,然後切換到不恢復的執行模式,則任何子計畫也會切換到不恢復的執行模式。
## 做為計畫評估的一部分而評估的內容
如果您跨帳戶共用計劃,且計劃不再與父計劃的帳戶共用,區域切換評估會傳回計劃無效的警告。
# Amazon EC2 Auto Scaling 群組執行區塊
EC2 Auto Scaling 群組執行區塊可讓您在多區域復原程序中擴展 EC2 執行個體。您可以定義相對於您要離開的區域 (來源和目的地) 的容量百分比。
## Configuration
當您設定 EC2 Auto Scaling 群組執行區塊時,您可以為與您的計劃相關聯的特定區域輸入 EC2 Auto Scaling ARNs。您應該在計劃執行期間要向上擴展的每個區域中輸入 EC2 Auto Scaling ARNs。
**重要**
設定執行區塊之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[EC2 Auto Scaling 執行區塊範例政策](security_iam_region_switch_ec2_autoscaling.md)。
若要設定 EC2 Auto Scaling 群組執行區塊,請輸入下列值:
1. **步驟名稱:**輸入名稱。
1. **步驟描述 (選用):**輸入步驟的描述。
1. ***區域的* EC2 Auto Scaling 群組 ARN:**輸入您計劃的每個區域中 EC2 Auto Scaling 群組的 ARN。
1. **符合啟用區域容量的百分比:**輸入 Auto Scaling 群組中執行中執行個體數量的所需百分比,以符合啟用的區域。
1. **容量監控方法:**選取下列其中一種方法來監控 EC2 Auto Scaling 群組的容量:
+ **24 小時內取樣的最大執行容量**:選擇此選項可使用 EC2 Auto Scaling 群組組態中指定的**所需容量**值。此選項不會建立額外的成本,但可能比使用另一個選項 CloudWatch 指標更不準確。
在區域切換 API 中,此選項對應於指定 `sampledMaxInLast24Hours`。
如需詳細資訊,請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的設定 Auto Scaling 群組的擴展限制](https://docs.aws.amazon.com/autoscaling/ec2/userguide/asg-capacity-limits.html)。 Auto Scaling
+ **使用 CloudWatch 在 24 小時內取樣的最大執行容量**:選擇此選項可使用 Amazon CloudWatch for EC2 Auto Scaling 中指定的指標。使用 選項可以更準確,但使用 CloudWatch 指標會產生額外的成本。
在區域切換 API 中,此選項對應於指定 `autoscalingMaxInLast24Hours`。
若要使用此選項,您必須先啟用 Auto Scaling 群組的群組指標。如需詳細資訊,請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的啟用 Auto Scaling 群組指標](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-metrics.html#as-enable-group-metrics)。 Auto Scaling
1. **逾時:**輸入逾時值。
然後,選擇**儲存步驟。**
## 運作方式
設定 EC2 Auto Scaling 執行區塊之後,區域切換會確認只有一個來源 Auto Scaling 群組和一個目的地 Auto Scaling 群組。如果有多個 Auto Scaling 群組,則執行區塊會在計劃評估期間失敗。目標容量定義為執行個體數量的狀態設為 `InService`。如需詳細資訊,請參閱 [ EC2 Auto Scaling 執行個體生命週期](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-lifecycle.html)。
區域開關會根據您為相符百分比指定的值 (當您設定 Auto Scaling 執行區塊時),計算目的地 Auto Scaling 群組的新所需容量。新的所需容量會與目的地 Auto Scaling 群組所需的容量進行比較。區域切換用於計算所需容量的公式如下:`ceil(percentToMatch * Source Auto Scaling group capacity)`,其中 ceil() 是四捨五入任何分數結果的函數。如果目的地 Auto Scaling 群組的目前所需容量大於或等於區域切換所計算之新 Auto Scaling 群組的所需容量,則執行區塊會繼續。請注意,區域切換不會縮減 Auto Scaling 群組容量。
當區域切換執行 Auto Scaling 區塊時,區域切換會嘗試擴展目標區域 Auto Scaling 群組容量,以符合所需的容量。然後,區域切換會等到目標區域的 Auto Scaling 群組中滿足請求的 Auto Scaling 群組容量,區域切換才會繼續進行計劃的下一個步驟。
**注意**
執行此區塊會修改 Auto Scaling 群組的最小和所需容量設定,如果您透過infrastructure-as-code工具或其他自動化管理這些值,可能會導致組態偏離。確保您的組態管理程序考慮這些變更,以防止意外轉返。
如果您使用主動/主動方法,區域切換會使用其他設定的 區域做為來源。也就是說,如果某個區域正在停用,區域切換會使用另一個作用中區域做為來源,以符合要擴展的百分比。
此區塊同時支援正常和不良的執行模式。您可以指定目標區域中要比對的運算容量百分比下限,然後區域切換才能繼續計劃中的下一個步驟,以設定不良執行。
## 作為計畫評估的一部分而評估的內容
當區域切換評估您的計劃時,區域切換會對 EC2 Auto Scaling 群組執行區塊組態和許可執行數個關鍵檢查。區域切換評估會驗證兩個區域中都存在 Auto Scaling 群組,確保它們設定正確且可存取,並記下每個區域中執行中的執行個體數目。它也會確認目標區域的 Auto Scaling 群組中的最大容量足以處理所需容量的指定比例比對百分比。
區域切換也會驗證計劃的 IAM 角色是否具有 Auto Scaling 的正確許可。如需區域切換執行區塊所需許可的詳細資訊,請參閱 [ARC 中區域切換的身分型政策範例](security_iam_id-based-policy-examples-region-switch.md)。如果任何檢查失敗,區域開關會傳回警告訊息,您可以在 主控台中檢視。或者,您可以透過 EventBridge 或使用 API 操作來接收驗證警告。
# Amazon EKS 資源擴展執行區塊
EKS 資源擴展執行區塊可讓您在多區域復原程序中擴展 EKS 資源。當您設定執行區塊時,您可以定義要擴展的容量百分比,相對於要停用區域中的容量。
## 設定 EKS 存取項目許可
在新增 EKS 資源擴展的步驟之前,您必須向區域交換器提供必要的許可,以對 EKS 叢集中的 Kubernetes 資源採取動作。若要提供區域切換的存取權,您必須使用下列區域切換存取政策,為區域切換用於計劃執行的 IAM 角色建立 EKS 存取項目: `arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy`
### 區域切換 EKS 存取政策
以下資訊提供有關 EKS 存取政策的詳細資訊。
**名稱:** `AmazonARCRegionSwitchScalingPolicy`
**政策 ARN:** `arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy`
| Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| \$1 | \$1/scale | get、更新 |
| \$1 | \$1/狀態 | get |
| 自動擴展 | horizontalpodautoscaler | get、修補 |
### 建立區域切換的 EKS 存取項目
下列範例說明如何建立所需的存取項目和存取政策關聯,讓區域切換可以為您的 Kubernetes 資源採取特定動作。在此範例中,許可適用於 IAM 角色 的 EKS 叢集 my-*cluster 中的命名空間* *my-namespace1*`arn:aws:iam::555555555555:role/my-role`。
當您設定這些許可時,請務必針對執行區塊中的兩個 EKS 叢集採取這些步驟。
**先決條件**
開始之前,請將叢集的身分驗證模式變更為 `API_AND_CONFIG_MAP`或 `API`。變更授權模式會新增存取項目的 API。如需詳細資訊,請參閱《Amazon EKS 使用者指南》中的[變更身分驗證模式以使用存取項目](https://docs.aws.amazon.com/eks/latest/userguide/setting-up-access-entries.html)。
**建立存取項目**
第一步是使用類似下列的 AWS CLI 命令來建立存取項目:
```
aws eks create-access-entry --cluster-name my-cluster --principal-arn
arn:aws:iam::555555555555:user/my-user --type STANDARD
```
如需詳細資訊,請參閱《Amazon EKS 使用者指南》中的[建立存取項目](https://docs.aws.amazon.com/eks/latest/userguide/creating-access-entries.html)。
**建立存取項目關聯**
接著,使用類似以下的 AWS CLI 命令建立與區域切換存取政策的關聯:
```
aws eks associate-access-policy --cluster-name my-cluster --principal-arn arn:aws:iam::555555555555:role/my-role \
--access-scope type=namespace,namespaces=my-namespace1 --policy-arn
arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy
```
如需詳細資訊,請參閱《Amazon EKS 使用者指南》中的[將存取政策與存取項目建立關聯](https://docs.aws.amazon.com/eks/latest/userguide/access-policies.html)。
請務必在另一個區域的執行區塊中對第二個 EKS 叢集重複這些步驟,以確保兩個叢集都可以由區域切換存取。
## Configuration
**重要**
在新增 EKS 資源擴展步驟之前,請先確定您已設定正確的許可。如需詳細資訊,請參閱[設定 EKS 存取項目許可](#eks-resource-scaling-block-permissions)。此外,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[Amazon EKS 資源擴展執行區塊範例政策](security_iam_region_switch_eks.md)。
請注意,區域切換目前支援下列 ReplicaSet 資源:app/v1、Deplation 和 app/v1。
針對執行區塊組態,輸入下列值。
1. **步驟名稱:**輸入名稱。
1. **步驟描述 (選用):**輸入步驟的描述。
1. **應用程式名稱:**輸入 EKS 應用程式的名稱,例如 *myApplication*。
1. **Kubernetes 資源類型:**輸入應用程式的資源類型,例如*部署*。
1. ***區域*資源:**針對每個區域,輸入 EKS 叢集的資訊,包括 EKS 叢集 ARN、資源命名空間等。
1. **符合啟用區域容量的百分比:**輸入在來源區域中執行 Pod 在啟用區域中符合的所需百分比。
1. **容量監控方法:**已選取容量監控的唯一選項,**在 24 小時內取樣的最大執行容量**。
此容量監控方法使用 EKS 服務請求`ReplicaCount`的值。如需詳細資訊,請參閱《[Amazon Elastic Kubernetes Service 使用者指南》中的了解 Amazon EKS 中的 ARC 區域轉移](https://docs.aws.amazon.com/eks/latest/userguide/zone-shift.html)。
1. **逾時:**輸入逾時值。
然後,選擇**儲存步驟。**
## 運作方式
在計劃執行期間,區域切換會擷取您啟動之區域中目標資源過去 24 小時內取樣的複本數量上限。然後,它會使用以下公式計算目的地資源所需的複本計數: `ceil(percentToMatch * Source replica count)`
如果目的地就緒複本計數低於所需的值,區域開關會將目的地資源複本值擴展為所需的容量。它會等待複本準備就緒,並在必要時利用您的節點自動擴展器來增加節點容量。
如果選用`hpaName`欄位不是空的,區域切換會使用下列修補程式來修補 HorizontalPodAutoscaler,以防止執行期間或之後的任何自動縮減規模: `{"spec":{"behavior":{"scaleDown":{"selectPolicy":"Disabled"}}}}`
請務必設定任何偏離校正工具,例如 GitOps 工具,以忽略修補程式中資源的複本欄位,以及 HorizontalPodAutoscaler 欄位。
## 作為計畫評估的一部分而評估的內容
當區域切換評估您的計劃時,區域切換會對設定的 EKS 執行區塊和許可執行數項檢查。區域切換會驗證計劃的 IAM 角色是否具有描述 EKS 叢集和列出相關存取項目政策的正確許可。區域切換也會驗證 IAM 角色是否與正確的存取項目政策相關聯,以便區域切換具有對 Kubernetes 資源採取行動所需的許可。最後,區域切換會確認設定的 EKS 叢集和 Kubernetes 資源是否存在。
此外,區域切換會檢查其是否已成功收集並存放必要的監控資料 (Kubernetes 複本計數),並擷取執行區域切換計畫所需的執行中 Pod 數量。
# Amazon ECS 服務擴展執行區塊
ECS 服務擴展執行區塊可讓您在多區域復原程序中擴展目的地區域中的 ECS 服務。您可以定義容量百分比,相對於區域切換從 容錯移轉或停用的區域。
## Configuration
若要設定 ECS 服務擴展執行區塊,請輸入下列值。
**重要**
設定執行區塊之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[Amazon ECS 服務擴展執行區塊範例政策](security_iam_region_switch_ecs.md)。
1. **步驟名稱:**輸入名稱。
1. **步驟描述 (選用):**輸入步驟的描述。
1. ***區域*資源:**針對每個區域,輸入 ECS 叢集 ARN 和 ECS 服務 ARN。
1. **符合來源區域任務計數的百分比:**輸入來源區域中要符合的所需執行中任務百分比。
1. **容量監控方法:**選取下列其中一種方法來監控 Amazon ECS 的容量:
+ **24 小時內取樣的最大執行中容量**:選擇此選項可在 Amazon ECS 服務中使用**執行中的任務計數**值。此選項不會建立額外的成本,但可能比使用另一個選項 CloudWatch 指標更不準確。
在區域切換 API 中,此選項對應於指定 `sampledMaxInLast24Hours`。
如需詳細資訊,請參閱《[Amazon Elastic Container Service 開發人員指南》中的自動擴展 Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-auto-scaling.html) 服務。
+ **透過容器洞察在 24 小時內取樣的最大執行容量**:選擇此選項以使用 Amazon ECS Container Insights 指標。使用 選項可以更準確,但使用 Container Insights 會產生額外的成本。
在區域切換 API 中,此選項對應於指定 `autoscalingMaxInLast24Hours`。
若要使用此選項,您必須先啟用 Container Insights。如需詳細資訊,請參閱《Amazon CloudWatch 使用者指南[》中的設定容器洞](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS-cluster.html#set-container-insights-ECS-cluster)見。
1. **逾時:**輸入逾時值。
然後,選擇**儲存步驟。**
## 運作方式
在計劃中設定執行區塊後,區域切換會確認只有一個來源 ECS 服務和一個目的地服務。如果有多個服務,區域開關會傳回執行區塊的警告。區域切換會將此資料存放在您計劃設定的所有區域中。目標容量定義為 ECS 服務上設定的所需計數。
對於主動/被動方法,區域切換會計算目的地 (啟用) 區域中 ECS 服務的新所需容量。新的所需容量會與目的地 ECS 服務的所需容量進行比較。區域切換用於計算所需容量的公式如下:`ceil(percentToMatch * Source Auto Scaling group capacity)`,其中 ceil() 是四捨五入任何分數結果的函數。如果目的地 ECS 服務的目前所需計數高於 ECS 服務的計算新所需容量,則計劃執行會繼續進行。請注意,區域切換不會縮減 ECS 服務容量。
如果 ECS 服務已啟用 Application Autoscaling,區域切換會更新 Application Autoscaling 中的最小容量,也會更新 ECS 服務中所需的計數。
當區域切換執行 ECS 服務區塊時,區域切換會嘗試擴展目標區域 ECS 容量,以符合所需的容量。然後,區域切換會等到目標區域的 ECS 服務中滿足請求的 ECS 服務容量,區域切換才會繼續進行計劃的下一個步驟。如果您願意,您可以透過設定區域切換等待容量履行的逾時限制,將步驟設定為在履行完成之前完成。
如果您使用主動/主動方法,區域切換會使用其他設定的 區域做為來源。也就是說,如果某個區域正在停用,區域切換會使用另一個作用中區域做為來源,以符合要擴展的百分比。
## 做為計畫評估一部分而評估的內容
當區域切換評估您的計劃時,區域切換會對 ECS 服務執行區塊組態和許可執行數項檢查。區域切換會驗證來源和目標區域中是否存在 ECS 服務,並檢查以確保目標區域的 ECS 服務所設定的最大容量足以處理目標區域容量的指定百分比相符。區域切換也會驗證計劃的 IAM 角色是否具有 ECS 服務的正確許可。如需區域切換執行區塊所需許可的詳細資訊,請參閱 [ARC 中區域切換的身分型政策範例](security_iam_id-based-policy-examples-region-switch.md)。
此外,區域切換會檢查 `ResourceMonitor` 是否已成功收集並儲存 ECS 服務的必要監控資料,並擷取執行中任務的計數。
如果任何檢查失敗,區域開關會傳回警告訊息,您可以在 主控台中檢視。或者,您可以透過 EventBridge 或使用 API 操作來接收驗證警告。
# ARC 路由控制執行區塊
如果您已為應用程式設定 Amazon Application Recovery Controller (ARC) 路由控制,您可以新增 ARC 路由控制步驟來重新導向應用程式流量。此步驟可讓您變更一或多個 ARC 路由控制的狀態,將應用程式流量重新導向至目的地 AWS 區域。ARC 路由控制會使用 Amazon Route 53 中的運作狀態檢查來重新導向流量,這些運作狀態檢查是以與路由控制相關聯的 DNS 記錄所設定。
**重要**
Amazon Application Recovery Controller (ARC) 路由控制僅適用於 AWS 商業分割區。
## Configuration
若要設定路由控制執行區塊,請輸入下列值。
**重要**
設定執行區塊之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[ARC 路由控制執行區塊範例政策](security_iam_region_switch_arc_routing.md)。
1. **步驟名稱:**輸入名稱。
1. **步驟描述 (選用):**輸入步驟的描述。
1. **所需的路由控制:**針對您要啟用或停用的每個區域,輸入路由控制 ARN 和路由控制的初始狀態,開啟或關閉。
1. **逾時:**輸入逾時值。
然後,選擇**儲存步驟。**
此執行區塊的預期模式是指定路由控制和初始狀態,以符合您在特定 中設定應用程式的方式 AWS 區域。例如,如果您的計劃可讓您為應用程式啟用區域 A 和區域 B,則您可能擁有區域 A 的路由控制,其中您將狀態設定為開啟,而將狀態設定為開啟的區域 B 的路由控制。
然後,當您執行計畫並指定您想要啟用區域 A 時,包含此執行區塊的工作流程會將指定的路由控制更新為開啟,這會將流量導向區域 A。
## 運作方式
透過設定 ARC 路由控制執行區塊,您可以將應用程式流量重新路由到目的地, AWS 區域或者,對於主動/主動方法,停止流量路由到您停用的區域。如果您的計劃包含多個工作流程,請確定您為所使用的所有路由控制執行區塊提供相同的 DNS 記錄輸入。
此區塊不支援不良執行模式。
## 做為計畫評估一部分而評估的內容
當區域切換評估您的計劃時,區域切換會對路由控制執行區塊組態和許可執行數項檢查。區域切換會驗證指定的路由控制是否已正確設定並可存取。
區域切換也會驗證計劃的 IAM 角色具有存取和更新路由控制狀態所需的許可。如需區域切換執行區塊所需許可的詳細資訊,請參閱 [ARC 中區域切換的身分型政策範例](security_iam_id-based-policy-examples-region-switch.md)。
正確的 IAM 許可對於路由控制執行區塊的正常運作至關重要。如果任何這些驗證失敗,區域切換會傳回發生問題的警告,並提供特定錯誤訊息,協助您解決許可或組態問題。這可確保您的計劃在計劃執行期間執行此步驟時,擁有必要的存取權來管理和與 ARC 路由控制互動。
## 比較 ARC 路由控制和 Route 53 運作狀態檢查執行區塊
區域切換中的 Amazon Route 53 運作狀態檢查執行區塊為 DNS 型流量管理提供了成本較低的替代方案。不過,此執行區塊取決於 AWS 區域 您正在啟用的 ,因此 區域必須可用。這符合大多數客戶的需求,因為他們正在啟用運作狀態良好的區域。
ARC 路由控制提供高度可靠的 DNS 型流量管理,具有 100% 的可用性 SLA。透過路由控制,您的營運團隊可以使用安全防護機制在區域之間轉移流量。路由控制提供具有 100% SLA 的單一租戶解決方案。路由控制叢集分散在五個區域,可以容忍兩個區域離線。如果您有高度關鍵的應用程式,請考慮使用路由控制。
使用區域切換不需要路由控制。您可以使用區域切換來管理流量重新導向,方法是使用 Route 53 運作狀態檢查執行區塊,無需路由控制。
在下列情況中,路由控制會使用區域切換新增值:
+ 您需要流量控制機制本身的 100% 可用性 SLA。
+ 您的組織需要具有關鍵應用程式安全規則的手動操作控制。
+ 您想要defense-in-depth,以便營運團隊可以視需要手動覆寫自動流量路由。
Route 53 運作狀態檢查執行區塊不依賴於控制平面。運作狀態檢查記錄變更使用資料平面,因此不需要啟用區域來處理組態更新。在下列情況中,Route 53 運作狀態檢查執行區塊已足夠:
+ 您的應用程式可以取決於您正在啟用 AWS 區域 的 。
+ 在復原工作流程中,自動流量重新導向符合您的需求。
+ 成本最佳化是優先事項。Route 53 運作狀態檢查執行區塊的成本低於路由控制。
大多數客戶從 Route 53 運作狀態檢查執行區塊開始,做為預設流量路由機制,並僅為需要最高流量管理機制可靠性的最關鍵應用程式新增路由控制。
# Amazon Aurora 全域資料庫執行區塊
Amazon Aurora 全域資料庫執行區塊可讓您執行全域資料庫的*容錯移轉*或*切換*復原工作流程。
+ 容錯移轉 - 使用此方法從意外中斷的情況復原。使用此方法,您可以對 Aurora 全域資料庫中的其中一個次要資料庫叢集執行跨區域容錯移轉。此方法的復原點目標 (RPO) 通常是以秒為單位測量的非零值。資料遺失量取決於發生故障 AWS 區域 時跨 的 Aurora 全域資料庫複寫延遲。如需詳細資訊,請參閱[《Amazon Aurora 使用者指南》中的從意外中斷復原 Amazon Aurora 全域資料庫](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-failover)。
+ 切換 – 此操作先前稱為*受管計劃容錯移轉*。將此方法用於受控案例,例如操作維護和其他計劃的操作程序,其中與其互動的所有 Aurora 叢集和其他服務都處於良好狀態。由於此功能會將次要資料庫叢集與主要資料庫叢集同步處理,再做出任何其他變更,因此 RPO 為 0 (不會遺失資料)。如需詳細資訊,請參閱[《Amazon Aurora 使用者指南》中的執行 Amazon Aurora 全域資料庫的切換](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html#aurora-global-database-disaster-recovery.managed-failover)。
## Configuration
若要設定 Aurora Global Database 執行區塊,請輸入下列值。
**重要**
設定執行區塊之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[Aurora Global Database 執行區塊範例政策](security_iam_region_switch_aurora.md)。
1. **步驟名稱:**輸入名稱。
1. **步驟描述 (選用):**輸入步驟的描述。
1. **Aurora Global Database 叢集名稱:**輸入全域資料庫的識別符。
1. ***區域的*叢集 ARN:**輸入要在計劃中每個區域中使用的叢集 ARN。
1. **指定 Aurora 資料庫的選項:**根據您想要的方式選擇**切換**或**容錯移轉 (資料遺失)**
1. **Aurora Global Database 叢集名稱: **
1. **逾時:**輸入逾時值。
然後,選擇**儲存步驟。**
## 運作方式
透過設定 Aurora Global Databases 執行區塊,您可以在應用程式復原過程中容錯移轉或切換全域資料庫。如果您使用主動/主動方法,區域切換會使用其他設定的 區域做為來源。也就是說,如果某個區域正在停用,區域切換會使用另一個作用中區域做為來源,以符合要擴展的百分比。
此區塊同時支援正常和不良的執行模式。不穩健的設定會執行 Aurora 全域資料庫*容錯移轉*,這可能會導致資料遺失。
如需 Aurora Global Database 災難復原的詳細資訊,包括容錯移轉和切換,請參閱《[Amazon Aurora 使用者指南》中的在 Amazon Aurora 全域資料庫中使用切換或容錯移轉](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html)。
## 做為計畫評估一部分而評估的內容
當區域切換評估您的計劃時,區域切換會對 Aurora 執行區塊組態和許可執行數項檢查。區域切換會驗證下列項目是否正確:
+ 組態中指定的 Aurora 全域叢集存在。
+ 來源和目的地區域都有 Aurora 資料庫叢集。
+ 來源和目的地資料庫叢集處於允許全域資料庫切換的狀態。
+ 來源和目的地叢集都有資料庫執行個體
+ 切換動作的全域叢集引擎版本相容。這包括驗證叢集是否位於相同的主要、次要和修補程式版本,但 Aurora 文件中列出一些例外狀況。
區域切換也會驗證計劃的 IAM 角色具有 Aurora 容錯移轉和切換所需的許可。如需區域切換執行區塊所需許可的詳細資訊,請參閱 [ARC 中區域切換的身分型政策範例](security_iam_id-based-policy-examples-region-switch.md)。
正確的 IAM 許可對於 Aurora 執行區塊的正常運作至關重要。如果任何這些驗證失敗,區域切換會傳回發生問題的警告,並提供特定錯誤訊息,協助您解決許可或組態問題。這可確保您的計劃在計劃執行期間執行此步驟時,擁有必要的存取權來管理和與 Aurora 互動。
# Amazon DocumentDB 全域叢集執行區塊
Amazon DocumentDB 全域叢集執行區塊可讓您執行全域叢集的*容錯移轉*或*切換*復原工作流程。
+ 容錯移轉 - 使用此方法從意外中斷的情況復原。使用此方法,您可以對 Amazon DocumentDB 全域叢集中的其中一個次要叢集執行跨區域容錯移轉。此方法的復原點目標 (RPO) 通常是以秒為單位測量的非零值。資料遺失量取決於故障 AWS 區域 時跨 的 Amazon DocumentDB 全域叢集複寫延遲。
+ 切換 – 將此方法用於受控案例,例如操作維護和其他計劃的操作程序,其中所有 Amazon DocumentDB 叢集都處於良好狀態。由於此功能會在進行任何其他變更之前,先同步次要叢集與主要叢集,因此 RPO 為 0 (不會遺失資料)。
## Configuration
若要設定 Amazon DocumentDB 全域叢集執行區塊,請輸入下列值。
**重要**
設定執行區塊之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[Amazon DocumentDB 全域叢集執行區塊範例政策](security_iam_region_switch_documentdb.md)。
1. **步驟名稱:**輸入名稱。
1. **步驟描述 (選用):**輸入步驟的描述。
1. **Amazon DocumentDB 全域叢集識別符:**輸入全域叢集的識別符。
1. ***區域的*叢集 ARN:**輸入要在計劃中每個區域中使用的叢集 ARN。
1. **指定 Amazon DocumentDB 叢集的選項:**選擇**切換**或**容錯移轉 (資料遺失)**。
1. **逾時:**輸入逾時值。
然後,選擇**儲存步驟。**
## 運作方式
透過設定 Amazon DocumentDB 全域叢集執行區塊,您可以在應用程式復原過程中容錯移轉或切換全域叢集。如果您使用主動/主動方法,區域切換會使用其他設定的 區域做為來源。也就是說,如果某個區域正在停用,區域切換會使用另一個作用中區域做為來源,以符合要擴展的百分比。
此區塊同時支援正常和不良的執行模式。不穩健的設定會執行 Amazon DocumentDB 全域叢集*容錯移轉*,這可能會導致資料遺失。
在切換或容錯移轉操作期間,客戶用來寫入的 DNS 端點將會變更。客戶負責確保他們在操作完成後使用正確的端點。
## 作為計畫評估的一部分而評估的內容
當區域切換評估您的計劃時,區域切換會對 Amazon DocumentDB 執行區塊組態和許可執行數項檢查。區域切換會驗證下列項目是否正確:
+ 組態中指定的 Amazon DocumentDB 全域叢集存在。
+ 來源和目的地區域都有 Amazon DocumentDB 叢集。
+ 來源和目的地叢集處於可用狀態。
+ 來源和目的地叢集中都有執行個體。
+ 全域叢集引擎版本相容。
區域切換也會驗證計劃的 IAM 角色具有 Amazon DocumentDB 容錯移轉和切換所需的許可。如需區域切換執行區塊所需許可的詳細資訊,請參閱 [ARC 中區域切換的身分型政策範例](security_iam_id-based-policy-examples-region-switch.md)。
正確的 IAM 許可對於 Amazon DocumentDB 執行區塊的正常運作至關重要。如果任何這些驗證失敗,區域切換會傳回發生問題的警告,並提供特定錯誤訊息,協助您解決許可或組態問題。這可確保您的計劃在計劃執行期間執行此步驟時,擁有必要的存取權來管理和與 Amazon DocumentDB 互動。
# Amazon RDS 升級僅供讀取複本執行區塊
Amazon RDS 升級僅供讀取複本執行區塊可讓您將 Amazon RDS 僅供讀取複本提升為獨立資料庫執行個體,做為多區域復原程序的一部分。這可讓您將該區域中的僅供讀取複本提升為新的主要資料庫,以容錯移轉至運作狀態良好的區域。
## Configuration
若要設定 Amazon RDS Promote 僅供讀取複本執行區塊,請輸入下列值。
**重要**
設定執行區塊之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[Amazon RDS 執行區塊範例政策](security_iam_region_switch_rds.md)。
1. **步驟名稱:**輸入名稱。
1. **步驟描述 (選用):**輸入步驟的描述。
1. **區域的 RDS 資料庫執行個體 ARN:**輸入計劃中每個區域中僅供讀取複本的資料庫執行個體 ARN。
1. **逾時:**輸入逾時值。
然後,選擇**儲存步驟。**
## 運作方式
透過設定 Amazon RDS 提升僅供讀取複本執行區塊,您可以將僅供讀取複本提升為獨立資料庫執行個體,做為應用程式復原的一部分。當您執行計劃時,區域切換會提升您正在啟用的區域中的僅供讀取複本,以成為獨立的資料庫執行個體。
**注意**
此區塊僅支援主動/被動計劃
在提升期間,您用來連線至資料庫的 DNS 端點將保持不變。不過,提升的執行個體將不再從原始主要資料庫複寫。您有責任確保其應用程式已設定為在操作完成後使用正確的端點。
提升後,提升的執行個體會從原始主要執行個體繼承下列備份設定:
+ Backup retention period (備份保留期間)
+ 偏好的備份時段
## 作為計畫評估的一部分而評估的內容
當區域切換評估您的計劃時,區域切換會對 Amazon RDS 執行區塊組態和許可執行數項檢查。區域切換會驗證下列項目是否正確:
+ 組態中指定的 Amazon RDS 資料庫執行個體存在。
+ 非主要區域中的資料庫執行個體是僅供讀取複本。
+ 僅供讀取複本處於可用狀態。
+ 資料庫執行個體已正確設定為跨區域複寫。
區域切換也會驗證計劃的 IAM 角色具有 Amazon RDS 僅供讀取複本提升所需的許可。如需區域切換執行區塊所需許可的詳細資訊,請參閱 [ARC 中區域切換的身分型政策範例](security_iam_id-based-policy-examples-region-switch.md)。
正確的 IAM 許可對於 Amazon RDS 執行區塊的正常運作至關重要。如果任何這些驗證失敗,區域切換會傳回發生問題的警告,並提供特定錯誤訊息,協助您解決許可或組態問題。這可確保您的計劃在計劃執行期間執行此步驟時,具有必要的存取權來管理和與 Amazon RDS 互動。
# Amazon RDS 建立跨區域複本執行區塊
Amazon RDS Create 跨區域複本執行區塊可讓您在復原後程序中為 Amazon RDS 資料庫執行個體建立跨區域僅供讀取複本。此執行區塊通常會在提升僅供讀取複本以重新建立跨區域複寫之後使用,確保您的應用程式已準備好因應未來的區域事件。
## Configuration
若要設定 Amazon RDS Create 跨區域複本執行區塊,請輸入下列值。
**重要**
設定執行區塊之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[Amazon RDS 執行區塊範例政策](security_iam_region_switch_rds.md)。
1. **步驟名稱:**輸入名稱。
1. **步驟描述 (選用):**輸入步驟的描述。
1. **區域的來源資料庫執行個體 ARN:**輸入計劃中每個區域中來源資料庫的資料庫執行個體 ARN。執行區塊會使用啟動做為來源資料庫之區域的識別符,來建立跨區域僅供讀取複本。
1. **複本資料庫執行個體 ARN:**輸入要用於新僅供讀取複本的執行個體 ARN。
1. **逾時:**輸入逾時值。
然後,選擇**儲存步驟。**
## 運作方式
透過設定 Amazon RDS Create 跨區域複本執行區塊,您可以在其他區域中建立僅供讀取複本,做為復原後程序的一部分。此執行區塊旨在成功容錯移轉後執行,以重新建立跨區域複寫。
此區塊只能新增至作用中/被動計劃。
在執行期間,舊的主要執行個體將重新命名並以 *renamedByRegionSwitch* 標記。然後,將使用從舊主要節點複製的下列設定建立新的僅供讀取複本執行個體:
+ 執行個體識別碼
+ 資料庫參數群組
+ 資料庫子網路群組
+ KMS 金鑰
+ VPC security groups (VPC 安全群組)
+ 選項群組
+ 多可用區組態
+ 網域身分驗證秘密 ARN
**重要**
重新命名的主要執行個體會保持執行狀態並繼續產生費用。區域切換會將其標記為 *renamedByRegionSwitch* 以進行識別,但不會以其他方式修改或刪除。您負責管理重新命名的執行個體,包括決定是否讓執行個體持續執行、停止執行個體,或根據您的營運和成本需求將其刪除。
**注意**
此執行區塊專為復原後工作流程而設計,需要來源區域正常運作且可存取。應該在成功容錯移轉後使用,以重新建立跨區域複寫。
## 作為計畫評估的一部分而評估的內容
當區域切換評估您的計劃時,區域切換會對 Amazon RDS 執行區塊組態和許可執行數項檢查。區域切換會驗證下列項目是否正確:
+ 組態中的資料庫執行個體 ARNs 有效且格式正確。
+ 來源資料庫執行個體存在於其各自的 區域中。
+ 來源資料庫執行個體處於可用狀態。
區域切換也會驗證計劃的 IAM 角色具有建立 Amazon RDS 僅供讀取複本所需的許可。如需區域切換執行區塊所需許可的詳細資訊,請參閱 [ARC 中區域切換的身分型政策範例](security_iam_id-based-policy-examples-region-switch.md)。
正確的 IAM 許可對於 Amazon RDS 執行區塊的正常運作至關重要。如果任何這些驗證失敗,區域切換會傳回發生問題的警告,並提供特定錯誤訊息,協助您解決許可或組態問題。這可確保您的計劃在計劃執行期間執行此步驟時,具有必要的存取權來管理和與 Amazon RDS 互動。
# 手動核准執行區塊
手動核准執行區塊可讓您插入與 IAM 角色相關聯的核准步驟。具有角色存取權的使用者可以核准或拒絕執行步驟、暫停步驟,直到授予核准,或可能阻止計畫進行。
為了確保在計劃執行期間需要手動核准,您可以在工作流程中的特定位置輸入手動核准步驟,然後設定 IAM 角色以指定誰可以核准該步驟。
## Configuration
若要設定手動核准執行區塊,請輸入下列值。
**重要**
設定執行區塊之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[手動核准執行區塊範例政策](security_iam_region_switch_manual_approval.md)。
1. **步驟名稱:**輸入名稱。
1. **步驟描述 (選用):**輸入步驟的描述。
1. **IAM 核准角色:**為具有許可的 IAM 角色輸入 ARN,以手動核准繼續區域切換計劃的執行。IAM 角色必須位於計劃擁有者的帳戶內。
1. **逾時:**輸入逾時值。
然後,選擇**儲存步驟。**
## 運作方式
透過設定手動核准執行區塊,您可以在應用程式復原期間要求核准。對於手動執行區塊,區域切換會執行下列動作:
+ 當區域切換執行手動執行區塊時,它會暫停執行,並將計劃的執行狀態設定為待核准。
+ 有權存取執行區塊中定義之角色的任何人都可以核准或拒絕執行該步驟。
+ 如果他們核准步驟執行,區域切換會繼續執行計畫。如果他們拒絕,區域切換會取消計劃執行。
此區塊不支援不良執行模式。
## 作為計畫評估的一部分而評估的內容
區域切換不會完成手動核准執行區塊的任何評估。
# 自訂動作 Lambda 執行區塊
自訂動作 Lambda 執行區塊可讓您使用 Lambda 函數將自訂步驟新增至計劃。
## Configuration
若要設定 Lambda 執行區塊,請輸入下列值。
**重要**
設定執行區塊之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[自訂動作 Lambda 執行區塊範例政策](security_iam_region_switch_lambda.md)。
1. **步驟名稱:**輸入名稱。
1. **步驟描述 (選用):**輸入步驟的描述。
1. **啟用或停用*區域*時要叫用的 Lambda 函數 ARN**:指定要在此步驟執行的 Lambda 函數 ARN。
1. **要執行 Lambda 函數的區域:**在下拉式功能表中,選擇要執行 Lambda 函數的區域。
1. **逾時:**輸入逾時值。
1. **重試間隔:**輸入重試間隔,如果在此間隔內未成功,則重新執行 Lambda 函數。
然後,選擇**儲存步驟。**
## 運作方式
+ 當您建立自訂動作 Lambda 執行區塊時,您需要為要執行的步驟指定兩個 Lambda 函數,每個計劃的區域各一個。
+ 您可以設定您希望 Lambda 在哪個區域中執行,例如在啟用區域或停用區域中。不過,如果您在停用區域中執行 ,則需依賴該區域。我們不建議您對停用區域採取相依性。
此區塊同時支援正常和不良的執行模式。在不良執行模式中,區域切換會略過 Lambda 執行區塊步驟。
## 作為計畫評估的一部分而評估的內容
當區域切換評估您的計劃時,區域切換會對 Lambda 執行區塊組態和許可執行多項檢查。區域切換會驗證下列項目是否正確:
+ 組態中指定的 Lambda 函數存在。
+ Lambda 函數的並行設定不會調節,包括驗證下列項目:
+ 並行未設定為 0。
+ 至少有一個並行執行可用,或者存在未預留的並行。
區域切換會執行 Lambda 函數的試轉,以驗證指定的參數和許可,而不執行實際的函數邏輯。當您執行試轉時,會產生標準 Lambda 成本。
區域切換也會驗證計劃的 IAM 角色是否具有 Lambda 執行所需的許可。如需區域切換執行區塊所需許可的詳細資訊,請參閱 [ARC 中區域切換的身分型政策範例](security_iam_id-based-policy-examples-region-switch.md)。
正確的 IAM 許可對於 Lambda 執行區塊的正常運作至關重要。如果任何這些驗證失敗,區域切換會傳回發生問題的警告,並提供特定錯誤訊息,協助您解決許可或組態問題。這可確保您的計劃在計劃執行期間執行此步驟時,具有必要的存取權來管理和與 Lambda 互動。
# Amazon Route 53 運作狀態檢查執行區塊
Amazon Route 53 運作狀態檢查執行區塊可讓您指定在容錯移轉期間將應用程式流量重新導向至的區域。執行區塊會建立 Amazon Route 53 運作狀態檢查,然後連接到您帳戶中的 Route 53 DNS 記錄。當您執行區域切換計劃時,Route 53 運作狀態檢查狀態會更新,而流量會根據您的 DNS 組態重新導向。
**重要**
Route 53 託管區域必須與區域切換計劃位於相同的分割區中。
## Configuration
若要設定 Route 53 運作狀態檢查執行區塊,請輸入下列值。
**重要**
設定執行區塊之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[Route 53 運作狀態檢查執行區塊範例政策](security_iam_region_switch_route53.md)。
1. **步驟名稱:**輸入名稱。
1. **步驟描述 (選用):**輸入步驟的描述。
1. **託管區域 ID:**Route 53 中網域和 DNS 記錄的託管區域 ID。
1. **記錄名稱:**輸入您使用的記錄的記錄名稱 (網域名稱),以及相關聯的運作狀態檢查,以重新導向應用程式的流量。區域切換會尋找記錄名稱的 Route 53 記錄集,並根據記錄集**的值**或**設定識別符**內的區域名稱,嘗試將每個記錄集映射至區域。
1. **記錄集識別符 (選用):**如果區域切換無法在建立計畫後,從步驟 4 中提供的記錄名稱自動將記錄集映射到區域,您可以選擇手動提供記錄集識別符。如果計劃評估傳回警告,指出需要更多資訊,請針對每個區域包含下列項目,以記錄集識別符更新您的計劃:
+ **記錄集識別符:**為記錄集輸入**設定識別符**或**值/路由流量到** 。
+ **區域:**輸入與具有記錄集識別符資訊的記錄集相關聯的區域。
1. 選擇**儲存步驟。**
1. 在 Route 53 中設定運作狀態檢查。
區域切換會針對執行區塊中定義的託管區域中的每個記錄名稱,為每個區域提供運作狀態檢查 ID。請確定您在 Route 53 中為帳戶中的對應記錄集設定運作狀態檢查,以便區域切換可以在計劃執行期間正確重新導向應用程式的流量。在計劃詳細資訊頁面上**的運作狀態檢查**索引標籤中,您可以檢視所有執行區塊和區域的運作狀態檢查。
## 運作方式
您可以將運作狀態檢查步驟新增至區域切換工作流程,以便將流量重新導向至次要區域、用於作用中/被動組態,或用於作用中/作用中組態的已停用區域。如果您將多個工作流程新增至計劃,請為使用相同 DNS 記錄的所有運作狀態檢查執行區塊提供相同的組態值。
根據您在設定執行區塊時提供的資訊,區域切換會嘗試判斷計畫中每個區域的正確記錄集。一般而言,託管區域 ID 和記錄名稱有足夠的資訊來判斷記錄集和相關聯的區域。如果沒有,當區域切換在您建立計劃後執行其自動計劃評估時,會傳回警告,讓您知道需要更多資訊。
區域切換會為每個 Route 53 運作狀態檢查執行區塊提供運作狀態檢查。對於使用主動/被動復原方法的計劃,主要區域的運作狀態檢查會開始運作狀態良好,而待命區域的運作狀態檢查最初會設定為運作狀態不良。對於使用主動/主動復原方法的計劃,所有區域的運作狀態檢查都會以正常狀態開始。
若要讓區域切換成功為您的計劃執行此執行區塊,您必須將運作狀態檢查新增至您的 DNS 記錄。
對於作用中/作用中計劃,執行步驟的運作方式如下:
+ 當區域執行停用工作流程時,運作狀態檢查會設定為運作狀態不佳,且流量不會再導向該區域。
+ 當 區域的啟用工作流程執行時,運作狀態檢查會設定為正常運作,而流量會路由至 區域。
對於主動/被動計劃,執行步驟的運作方式如下:
+ 當 區域的啟用工作流程執行時,該區域的運作狀態檢查會設為運作狀態良好,而流量會路由至 區域。同時,計劃中其他區域的運作狀態檢查會設定為運作狀態不佳,而流量會停止導向該區域。
## 作為計畫評估的一部分而評估的內容
當區域切換評估您的計劃時,區域切換會對 Route 53 運作狀態檢查執行區塊組態和許可執行多項檢查。區域切換會驗證運作狀態檢查是否連接到執行區塊組態中指定的 DNS 記錄。也就是說,區域切換會驗證特定 AWS 區域 的 DNS 記錄是否設定為使用該區域的運作狀態檢查。
## 比較 ARC 路由控制和 Route 53 運作狀態檢查執行區塊
區域切換中的 Amazon Route 53 運作狀態檢查執行區塊為 DNS 型流量管理提供了成本較低的替代方案。不過,此執行區塊取決於 AWS 區域 您正在啟用的 ,因此 區域必須可用。這符合大多數客戶的需求,因為他們正在啟用運作狀態良好的區域。
ARC 路由控制提供高度可靠的 DNS 型流量管理,具有 100% 的可用性 SLA。透過路由控制,您的營運團隊可以使用安全防護機制在區域之間轉移流量。路由控制提供具有 100% SLA 的單一租戶解決方案。路由控制叢集分散在五個區域,可以容忍兩個區域離線。如果您有高度關鍵的應用程式,請考慮使用路由控制。
使用區域切換不需要路由控制。您可以使用區域切換來管理流量重新導向,方法是使用 Route 53 運作狀態檢查執行區塊,無需路由控制。
在下列情況中,路由控制會使用區域切換新增值:
+ 您需要流量控制機制本身的 100% 可用性 SLA。
+ 您的組織需要具有關鍵應用程式安全規則的手動操作控制。
+ 您想要defense-in-depth,以便營運團隊可以視需要手動覆寫自動流量路由。
Route 53 運作狀態檢查執行區塊不依賴於控制平面。運作狀態檢查記錄變更使用資料平面,因此不需要啟用區域來處理組態更新。在下列情況中,Route 53 運作狀態檢查執行區塊已足夠:
+ 您的應用程式可以取決於您正在啟用 AWS 區域 的 。
+ 在復原工作流程中,自動流量重新導向符合您的需求。
+ 成本最佳化是優先事項。Route 53 運作狀態檢查執行區塊的成本低於路由控制。
大多數客戶從 Route 53 運作狀態檢查執行區塊開始,做為預設流量路由機制,並僅為需要最高流量管理機制可靠性的最關鍵應用程式新增路由控制。
# 建立子計畫
若要支援更複雜的復原案例,您可以使用區域切換計畫執行區塊新增子計畫,以建立子計畫。階層限制為兩個層級,但一個父計劃可以包含多個子計劃。
**重要**
建立子計畫之前,請確定您已備妥正確的 IAM 政策。如需詳細資訊,請參閱[區域切換計畫執行區塊範例政策](security_iam_region_switch_plan_execution.md)。
為了相容性,子計畫必須支援父計畫支援的所有區域。此外,父系和子系計劃的復原方法,主動/主動或主動/被動,必須相同。
請記住,子計畫會以下列方式回應您對父計畫和父計畫案例所做的變更。
+ 父系執行區塊會在所有子系計畫和其中的其他執行區塊完成時標示為已完成。
+ 如果任何子計畫中的任何步驟失敗,則父計畫中的區域切換計畫執行區塊會失敗。
+ 在區域切換步驟期間,在父系計畫中啟動的控制動作,例如暫停、正常或不良的切換,或取消,都會在子系計畫上自動嘗試,無論子系計畫目前的步驟為何。
+ 略過操作有特殊行為:會略過父系計畫,但子系計畫仍會執行。
+ 如果子計畫已在區域切換區塊中執行,為了判斷是否繼續執行,區域切換會評估子計畫與父計畫的相容性。如果子計劃的組態符合父計劃的需求,區域切換會將子計劃視為由父計劃啟動。
+ 如果子計畫使用不相容的組態參數執行,父計畫步驟將會失敗,如下所示:
+ 子計畫正在不同的區域中操作
+ 當區域切換預期它執行啟用操作時,子計畫正在執行停用操作
+ 如果子計畫在父計畫暫停期間成功完成,父計畫將在父計畫繼續時成功。
# 建立區域切換計畫的觸發
如果您想要在區域切換中自動復原應用程式,您可以為區域切換計畫建立一或多個觸發。觸發會根據您選擇的 CloudWatch 警示條件,自動開始執行區域切換計劃。
# 為區域切換計劃建立觸發
1. 建立計劃後,在**計劃詳細資訊**頁面上,選取**觸發標籤**。
1. 選擇**管理觸發條件**。
1. 選取您要自動執行的工作流程,然後選擇**新增觸發**。
1. 提供觸發的描述。
1. 選取 CloudWatch 警示,然後選取最多 10 個 CloudWatch 警示來建立觸發條件。
當您選取多個條件時,必須先符合所有條件,計劃才會開始自動執行。
當 CloudWatch 警示轉換以符合觸發條件時,觸發會開始計劃執行。當觸發新增至計劃時,如果已符合條件,則計劃不會執行,以防止意外容錯移轉事件。
# 執行區域切換計劃以復原應用程式
若要在 AWS 區域 受損時復原應用程式,請在 Amazon Application Recovery Controller (ARC) 中執行區域切換計畫。
+ 如果您的應用程式使用主動/主動方法部署,則您計劃中的工作流程會停用受損的區域,以便您的其他作用中區域適當擴展,並開始接收所有應用程式流量。
+ 如果您的應用程式是使用主動/被動方法部署,則計劃中的工作流程會停用受損區域並啟用待命區域,方法是視需要在那裡擴展您的資源,並將應用程式流量重新導向至待命區域。
若要手動執行應用程式復原,請執行下列動作來執行區域切換計畫。
另一個選項是使用您指定啟動計畫執行的特定 Amazon CloudWatch 警示自動觸發執行。您可以在建立或更新計劃時指定計劃執行的觸發條件。如需詳細資訊,請參閱[建立區域切換計畫的觸發](working-with-rs-triggers.md)。
# 執行區域切換計劃
1. 在 中 AWS 管理主控台,導覽至您要為應用程式啟用 AWS 區域 的 。
1. 在 Amazon Application Recovery Controller (ARC) 主控台上,選擇**區域切換**,然後選取您要執行的計劃。
1. 選擇**執行計畫**。
1. 如果您的計劃包含手動核准步驟,請在出現提示時核准每個步驟。
當計劃執行時,您可以在執行詳細資訊頁面上追蹤其進度,該頁面會在您選擇執行計劃時開啟。
您也可以在區域切換儀表板上檢視進行中應用程式復原的相關資訊。在區域切換主控台的左側導覽下,**區域切換**下,選擇下列其中一項:
+ **全域儀表板**
+ ***區域名稱*中的執行**
請注意,如果區域中存在損害,全域儀表板可能不會顯示您的所有計劃資料。因此,我們建議您在操作事件期間僅依賴區域執行儀表板。區域執行儀表板更具彈性,因為它使用本機區域切換資料平面。
當計劃執行完成時,您可以在計劃執行歷史記錄索引標籤的**計劃詳細資訊**頁面上,查看計劃執行的相關資訊,以及區域切換已執行的其他**計劃**。
# 區域切換儀表板
區域切換包含全域儀表板,您可以用來觀察整個組織和區域的區域切換計劃狀態。區域切換也有區域執行儀表板,只會顯示您目前登入 的區域中的計劃執行 AWS 管理主控台。
請注意,如果區域中存在損害,全域儀表板可能不會顯示您的所有計劃資料。因此,我們建議您在操作事件期間僅依賴區域執行儀表板。區域執行儀表板更具彈性,因為它使用本機區域切換資料平面。
# 開啟區域切換全域儀表板
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)。
1. 在**區域切換**下,選擇**全域儀表板**。
# 開啟區域切換區域儀表板
1. 在 開啟 ARC 主控台[https://console.aws.amazon.com/route53recovery/home#/dashboard](https://console.aws.amazon.com/route53recovery/home#/dashboard)。
1. 在**區域切換**下,選擇**區域儀表板**。
# 區域切換中的跨帳戶支援
在區域切換中,您可以將其他帳戶的資源新增至您的計劃。您也可以與其他 帳戶共用區域切換計劃。如需詳細資訊,請參閱下列區段。
## 跨帳戶資源
區域切換允許資源託管在與包含區域切換計劃的帳戶分開的帳戶中。當區域切換執行計畫時,它會假設 executionRole。如果計劃使用來自與託管計劃之帳戶不同的 帳戶的資源,則區域切換會使用 executionRole 來擔任 crossAccountRole 來存取這些資源。
區域切換計畫中的每個資源有兩個選用欄位:crossAccountRole 和 externalId。
+ crossAccountRole:此角色允許存取 帳戶中與託管區域切換計劃的帳戶不同的資源。角色只需要許可,即可對其帳戶中的資源採取動作,不需要許可,即可對託管區域切換計劃的帳戶中的資源採取動作。
+ ExternalId:這是來自帳戶信任政策的 STS 外部 ID,其中包含需要 動作的資源。它是一個英數字串,是兩個帳戶之間的共用秘密。
## 共用區域切換計劃
區域切換與 AWS Resource Access Manager (AWS RAM) 整合,可讓您跨 共用計劃 AWS 帳戶。當您共用計劃時,您指定的帳戶可以檢視計劃詳細資訊、執行計劃,以及檢視計劃的執行,這可為不同團隊的復原功能提供更多控制和彈性。
若要開始使用區域切換中的跨帳戶共用,您可以在其中建立資源共用 AWS RAM。資源共享指定有權共享您帳戶所擁有計劃的參與者。參與者可以透過主控台、CLI 或 AWS SDKs 來檢視和執行共用計劃。
重要:您必須 AWS 帳戶 擁有要共用的計劃。您無法共用已與您共用的計劃。若要與您的組織或 中的組織單位共用計劃 AWS Organizations,您必須啟用與 Organizations 共用。
如需 的詳細資訊 AWS RAM,請參閱 [支援跨 ARC 區域切換帳戶共用計劃](resource-sharing.region-switch.md)。
# 支援跨 ARC 區域切換帳戶共用計劃
Amazon Application Recovery Controller (ARC) 與 整合 AWS Resource Access Manager 以啟用資源共用。 AWS RAM 是一種服務,可讓您與其他 AWS 帳戶 或透過 共用資源 AWS Organizations。對於 ARC 區域切換,您可以共用區域切換計畫。(若要使用您計劃中另一個帳戶的資源,請使用 crossAccount 角色。 若要進一步了解,請參閱 [跨帳戶資源](cross-account-resources-rs.md#cross-account-resources-rs-in-plan)。)
透過 AWS RAM,您可以透過建立資源共用來*共用您擁有的資源*。資源共用會指定要共用的資源,以及要共用的資源*參與者*。參與者可以包括:
+ 中的特定擁有者組織 AWS 帳戶 內部或外部 AWS Organizations
+ 中組織內部的組織單位 AWS Organizations
+ 其在 中的整個組織 AWS Organizations
如需 的詳細資訊 AWS RAM,請參閱*[AWS RAM 《 使用者指南》](https://docs.aws.amazon.com/ram/latest/userguide/)*。
透過使用 AWS Resource Access Manager 在 ARC 中跨帳戶共用計劃,您可以使用具有數個不同計劃的計劃 AWS 帳戶。當您選擇共用計劃時, AWS 帳戶 您指定的其他 可以執行計劃來執行應用程式復原。
AWS RAM 是一項服務,可 AWS 協助客戶安全地跨 共用資源 AWS 帳戶。透過 AWS RAM,您可以使用 IAM 角色和使用者 AWS Organizations,在 中的組織或組織單位 (OUs) 內共用資源。 AWS RAM 是共用計劃的集中控制方式。
當您共享計劃時,您可以減少組織所需的計劃總數。透過共享計劃,您可以分配在不同團隊之間執行計劃的總成本,以降低成本最大化 ARC 的優勢。跨帳戶共用計劃也可以簡化將多個應用程式加入 ARC 的程序,特別是如果您有大量應用程式分散在多個帳戶和營運團隊。
若要開始使用 ARC 中的跨帳戶共用,您可以建立*資源共用* i n AWS RAM。資源共享指定有權共享您帳戶所擁有計劃*的參與者*。
本主題說明如何共用您擁有的參數,以及如何使用與您共用的參數。
**Topics**
+ [共用計畫的先決條件](#sharing-prereqs-rs)
+ [共用計劃](#sharing-share-rs)
+ [取消共用共用計劃](#sharing-unshare-rs)
+ [識別共享計劃](#sharing-identify-rs)
+ [共用計劃的責任和許可](#sharing-perms-rs)
+ [帳單成本](#sharing-billing-rs)
+ [配額](#sharing-quotas-rs)
## 共用計畫的先決條件
+ 若要共用計畫,您必須在 中擁有該計畫 AWS 帳戶。這表示必須在您的帳戶中配置或佈建資源。您無法共用已與您共用的計劃。
+ 若要與組織或 中的組織單位共用計劃 AWS Organizations,您必須啟用與 共用 AWS Organizations。如需詳細資訊,請參閱《*AWS RAM 使用者指南*》中的[透過 AWS Organizations啟用共用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。
## 共用計劃
當您共用計畫時,您指定共用計畫的參與者可以檢視,如果您授予其他許可,請執行計畫。
若要共用計劃,您必須將其新增至資源共用。資源共用是可讓您在 AWS 帳戶之間共用資源的一種 AWS RAM 資源。資源共用會指定要共用的資源,以及與其共用的參與者。若要共用計劃,您可以建立新的資源共用,或將資源新增至現有的資源共用。若要建立新的資源共享,您可以使用 [AWS RAM 主控台](https://console.aws.amazon.com/ram),或搭配 AWS Command Line Interface AWS SDKs使用 AWS RAM API 操作。
如果您是 中組織的一部分, AWS Organizations 且已啟用組織內的共享,則組織中的參與者會自動獲得共享計劃的存取權。否則,參與者會收到加入資源共享的邀請,並在接受邀請後獲得共用計劃的存取權。
您可以使用 AWS RAM 主控台,或搭配 AWS CLI 或 SDK 使用 AWS RAM API 操作,來共用您擁有的計劃。 SDKs
**使用 AWS RAM 主控台共享您擁有的計劃**
請參閱*AWS RAM 《 使用者指南*》中的[建立資源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)。
**使用 共享您擁有的計劃 AWS CLI**
使用 [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 命令。
**授予共用計畫的許可**
跨帳戶共用計劃需要使用下列其他許可,讓共用計劃的 IAM 委託人共用計劃 AWS RAM:
```
# read and execute plan permissions
"arc-region-switch:GetPlan",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:StartPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:UpdatePlanExecutionStep"
```
共用計劃的擁有者必須擁有下列許可。如果您在沒有這些許可 AWS RAM 的情況下嘗試透過 共用計劃,則會傳回錯誤。
```
"arc-region-switch:PutResourcePolicy" # Permission only apis
"arc-region-switch:DeleteResourcePolicy" # Permission only apis
"arc-region-switch:GetResourcePolicy" # Permission only apis
```
如需 IAM AWS Resource Access Manager 使用方式的詳細資訊,請參閱*AWS RAM 《 使用者指南*》中的 [ IAM AWS Resource Access Manager 使用](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-policies.html)方式。
## 取消共用共用計劃
當您取消共用計劃時,以下內容適用於參與者和擁有者:
+ 參與者無法再檢視或執行未共用的計畫。
若要取消共用您擁有的共用計劃,請從資源共用中移除它。您可以使用 AWS RAM 主控台或搭配 或 AWS CLI SDKs 使用 AWS RAM API 操作來執行此操作。
**使用 AWS RAM 主控台取消共用您擁有的共用計劃**
請參閱《*AWS RAM 使用者指南*》中的[更新資源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)。
**使用 取消共用您擁有的共享計劃 AWS CLI**
使用 [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) 命令。
## 識別共享計劃
擁有者和參與者可以透過在 中檢視資訊來識別共享計劃 AWS RAM。他們也可以使用 ARC 主控台和 取得共用資源的相關資訊 AWS CLI。
一般而言,若要進一步了解您已共用或已與您共用的資源,請參閱 AWS Resource Access Manager 《 使用者指南》中的資訊:
+ 身為擁有者,您可以使用 來檢視您與他人共用的所有資源 AWS RAM。如需詳細資訊,請參閱[在 中檢視共用資源 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-view-sr.html)。
+ 身為參與者,您可以使用 檢視與您共用的所有資源 AWS RAM。如需詳細資訊,請參閱[在 中檢視共用資源 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-view-sr.html)。
身為擁有者,您可以透過在 中檢視資訊 AWS 管理主控台 ,或使用 AWS Command Line Interface 搭配 ARC API 操作來判斷您是共享計劃。
**使用主控台識別是否共享您擁有的計劃**
在 AWS 管理主控台的詳細資訊頁面上,查看計劃**共用狀態**。
身為參與者,當計劃與您共用時,您通常必須接受共用,才能存取計劃。
## 共用計劃的責任和許可
### 擁有者的許可
參與者可以檢視或執行計畫 (如果他們具有正確的許可)。
### 參與者的許可
當您與其他人共用您擁有的計劃時 AWS 帳戶,參與者可以檢視或執行計劃 (如果他們具有正確的許可)。
當您使用 共用計劃時, AWS RAM參與者預設具有唯讀許可。若要檢閱區域切換的唯讀許可清單,請參閱 [唯讀許可](security_iam_region_switch_read_only.md)。參與者需要額外許可才能執行區域切換計畫。需要執行計劃的參與者需要額外的許可。請注意,您無法將下列操作的許可授予 AWS RAM 參與者:
+ ` ApprovePlanExecutionStep`
+ ` UpdatePlan`
## 帳單成本
ARC 中計劃的擁有者需支付與計劃相關的費用。對於計劃擁有者或參與者,建立計劃中託管的資源無需額外費用。
如需詳細的定價資訊和範例,請參閱 [Amazon Application Recovery Controller (ARC) 定價](https://aws.amazon.com/application-recovery-controller/pricing/)。
## 配額
在共用計劃中建立的所有資源都會計入計劃擁有者的配額。
如需區域切換計劃配額的清單,請參閱 [區域切換的配額](quotas.region-switch.md)。
# ARC 中區域切換的 Identity and Access Management
AWS Identity and Access Management (IAM) 是 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以*進行身分驗證* (登入) 和*授權* (具有許可) 來使用 ARC 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [區域切換如何與 IAM 搭配使用](security_iam_service-with-iam-region-switch.md)
+ [身分型政策範例](security_iam_id-based-policy-examples-region-switch.md)
# ARC 中的區域切換如何與 IAM 搭配使用
在您使用 IAM 管理對 ARC 的存取之前,請先了解哪些 IAM 功能可與 ARC 搭配使用。
在您使用 IAM 在 Amazon Application Recovery Controller (ARC) 中管理區域切換的存取權之前,請先了解哪些 IAM 功能可與區域切換搭配使用。
**您可以在 Amazon Application Recovery Controller (ARC) 中搭配區域切換使用的 IAM 功能**
| IAM 功能 | 區域切換支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-region-switch-id-based-policies) | 是 |
| [資源型政策](#security_iam_service-with-iam-region-switch-resource-based-policies) | 是 |
| [政策動作](#security_iam_service-with-iam-region-switch-id-based-policies-actions) | 是 |
| [政策資源](#security_iam_service-with-iam-region-switch-id-based-policies-resources) | 是 |
| [政策條件索引鍵](#security_iam_service-with-iam-region-switch-id-based-policies-conditionkeys) | 是 |
| [ACL](#security_iam_service-with-iam-region-switch-acls) | 是 |
| [ABAC (政策中的標籤)](#security_iam_service-with-iam-region-switch-tags) | 是 |
| [臨時憑證](#security_iam_service-with-iam-region-switch-roles-tempcreds) | 是 |
| [主體許可](#security_iam_service-with-iam-region-switch-principal-permissions) | 是 |
| [服務角色](#security_iam_service-with-iam-region-switch-roles-service) | 否 |
| [服務連結角色](#security_iam_service-with-iam-region-switch-roles-service-linked) | 否 |
若要取得 AWS 服務如何與大多數 IAM 功能搭配使用的高階整體檢視,請參閱《*IAM 使用者指南*》中的與 [AWS IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 區域切換的身分型政策
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
若要檢視 ARC 身分型政策的範例,請參閱 [Amazon Application Recovery Controller (ARC) 中的身分型政策範例](security_iam_id-based-policy-examples.md)。
## 區域切換內的資源型政策
**支援資源型政策:**是
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM 角色信任政策和 Amazon S3 儲存貯體政策。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。
## 區域切換的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
適用於區域切換的 ARC 中的政策動作在動作之前使用下列字首:
```
arc-region-switch
```
若要在單一陳述式中指定多個動作,請用逗號分隔。例如,下列項目:
```
"Action": [
"arc-region-switch:action1",
"arc-region-switch:action2"
]
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要指定開頭是 `Describe` 文字的所有動作,請包含以下動作:
```
"Action": "arc-region-switch:Describe*"
```
若要檢視區域切換的 ARC 身分型政策範例,請參閱 [ARC 中區域切換的身分型政策範例](security_iam_id-based-policy-examples-region-switch.md)。
## 區域切換的政策資源
**支援政策資源:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
若要檢視區域切換的 ARC 身分型政策範例,請參閱 [ARC 中區域切換的身分型政策範例](security_iam_id-based-policy-examples-region-switch.md)。
## 區域切換的政策條件索引鍵
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要檢視區域切換的 ARC 身分型政策範例,請參閱 [ARC 中區域切換的身分型政策範例](security_iam_id-based-policy-examples-region-switch.md)。
## 區域切換中的存取控制清單 ACLs)
**支援 ACL:**是
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## 具有區域切換的屬性型存取控制 (ABAC)
**支援 ABAC (政策中的標籤):**是
屬性型存取控制 (ABAC) 是一種授權策略,依據稱為標籤的屬性來定義許可。您可以將標籤連接至 IAM 實體 AWS 和資源,然後設計 ABAC 政策,以便在委託人的標籤符合資源上的標籤時允許操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 搭配區域切換使用臨時登入資料
**支援臨時憑證:**是
臨時登入資料提供 AWS 資源的短期存取權,當您使用聯合或切換角色時會自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 區域切換的跨服務主體許可
**支援轉寄存取工作階段 (FAS):**是
當您使用 IAM 實體 (使用者或角色) 在 中執行動作時 AWS,您會被視為委託人。政策能將許可授予主體。當您使用某些服務時,您可能會執行一個動作,然後在不同的服務中觸發另一個動作。在此情況下,您必須具有執行這兩個動作的許可。
## 區域切換的服務角色
**支援服務角色:**否
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## 區域切換的服務連結角色
**支援服務連結角色:**否
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需建立或管理服務連結角色的詳細資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在資料表中尋找服務,其中包含**服務連結角色**欄中的 `Yes`。選擇**是**連結,以檢視該服務的服務連結角色文件。
# ARC 中區域切換的身分型政策範例
根據預設,使用者和角色沒有建立或修改 ARC 資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需 ARC 定義的動作和資源類型的詳細資訊,包括每種資源類型的 ARNs 格式,請參閱*《服務授權參考*》中的 [Amazon Application Recovery Controller (ARC) 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices-zonal)
+ [規劃執行角色信任政策](security_iam_region_switch_trust_policy.md)
+ [完整存取許可](security_iam_region_switch_full_access.md)
+ [唯讀許可](security_iam_region_switch_read_only.md)
+ [執行區塊許可](security_iam_region_switch_execution_blocks.md)
+ [應用程式運作狀態許可的 CloudWatch 警示](security_iam_region_switch_cloudwatch.md)
+ [自動計劃執行報告許可](security_iam_region_switch_reports.md)
+ [跨帳戶資源許可](security_iam_region_switch_cross_account.md)
+ [完成計劃執行角色許可](security_iam_region_switch_complete_policy.md)
## 政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 ARC 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
# 規劃執行角色信任政策
這是計劃執行角色所需的信任政策,因此 ARC 可以執行區域切換計劃。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "arc-region-switch.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# 完整存取許可
下列 IAM 政策會授予所有區域交換器 APIs的完整存取權:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "arc-region-switch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:CreatePlan",
"arc-region-switch:UpdatePlan",
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:DeletePlan",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:ApprovePlanExecutionStep",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:StartPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource",
"arc-region-switch:TagResource",
"arc-region-switch:UntagResource",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:UpdatePlanExecutionStep"
],
"Resource": "*"
}
]
}
```
------
# 唯讀許可
下列 IAM 政策會授予區域切換的唯讀存取許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:ListPlans",
"arc-region-switch:GetPlanInRegion",
"arc-region-switch:ListPlansInRegion",
"arc-region-switch:GetPlanEvaluationStatus",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListRoute53HealthChecks",
"arc-region-switch:ListRoute53HealthChecksInRegion",
"arc-region-switch:ListPlanExecutions",
"arc-region-switch:ListPlanExecutionEvents",
"arc-region-switch:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
# 執行區塊許可
下列各節提供範例 IAM 政策,為您新增至區域切換計畫的特定執行區塊提供所需的許可。
**Topics**
+ [EC2 Auto Scaling 執行區塊範例政策](security_iam_region_switch_ec2_autoscaling.md)
+ [Amazon EKS 資源擴展執行區塊範例政策](security_iam_region_switch_eks.md)
+ [Amazon ECS 服務擴展執行區塊範例政策](security_iam_region_switch_ecs.md)
+ [ARC 路由控制執行區塊範例政策](security_iam_region_switch_arc_routing.md)
+ [Aurora Global Database 執行區塊範例政策](security_iam_region_switch_aurora.md)
+ [Amazon DocumentDB 全域叢集執行區塊範例政策](security_iam_region_switch_documentdb.md)
+ [Amazon RDS 執行區塊範例政策](security_iam_region_switch_rds.md)
+ [手動核准執行區塊範例政策](security_iam_region_switch_manual_approval.md)
+ [自訂動作 Lambda 執行區塊範例政策](security_iam_region_switch_lambda.md)
+ [Route 53 運作狀態檢查執行區塊範例政策](security_iam_region_switch_route53.md)
+ [區域切換計畫執行區塊範例政策](security_iam_region_switch_plan_execution.md)
# EC2 Auto Scaling 執行區塊範例政策
如果您將執行區塊新增至 EC2 Auto Scaling 群組的區域切換計劃,可連接下列範例政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"autoscaling:UpdateAutoScalingGroup"
],
"Resource": [
"arn:aws:autoscaling:us-east-1:123456789012:autoScalingGroup:123d456e-123e-1111-abcd-EXAMPLE22222:autoScalingGroupName/app-asg-primary",
"arn:aws:autoscaling:us-west-2:123456789012:autoScalingGroup:1234a321-123e-1234-aabb-EXAMPLE33333:autoScalingGroupName/app-asg-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# Amazon EKS 資源擴展執行區塊範例政策
如果您將執行區塊新增至 Amazon EKS 資源擴展的區域切換計劃,可連接以下範例政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:cluster/app-eks-primary",
"arn:aws:eks:us-west-2:123456789012:cluster/app-eks-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"eks:ListAssociatedAccessPolicies"
],
"Resource": [
"arn:aws:eks:us-east-1:123456789012:access-entry/app-eks-primary/*",
"arn:aws:eks:us-west-2:123456789012:access-entry/app-eks-secondary/*"
]
}
]
}
```
------
注意:除了此 IAM 政策之外,還需要使用 存取政策將計劃執行角色新增至 Amazon EKS 叢集的`AmazonArcRegionSwitchScalingPolicy`存取項目。如需詳細資訊,請參閱[設定 EKS 存取項目許可](eks-resource-scaling-block.md#eks-resource-scaling-block-permissions)。
# Amazon ECS 服務擴展執行區塊範例政策
如果您將執行區塊新增至 Amazon ECS 服務擴展的區域切換計劃,可連接以下範例政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeServices",
"ecs:UpdateService"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:service/app-cluster-primary/app-service",
"arn:aws:ecs:us-west-2:123456789012:service/app-cluster-secondary/app-service"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeClusters"
],
"Resource": [
"arn:aws:ecs:us-east-1:123456789012:cluster/app-cluster-primary",
"arn:aws:ecs:us-west-2:123456789012:cluster/app-cluster-secondary"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:ListServices"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
# ARC 路由控制執行區塊範例政策
注意:Amazon ARC 路由控制執行區塊要求套用至計劃執行角色的任何服務控制政策 (SCPs) 都允許存取這些服務的下列區域:
+ `route53-recovery-control-config: us-west-2`
+ `route53-recovery-cluster: us-west-2, us-east-1, eu-west-1, ap-southeast-2, ap-northeast-1`
如果您將執行區塊新增至 ARC 路由控制的區域切換計劃,則要附加下列範例政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53-recovery-control-config:DescribeControlPanel",
"route53-recovery-control-config:DescribeCluster"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/abcd1234abcd1234abcd1234abcd1234",
"arn:aws:route53-recovery-control::123456789012:cluster/4b325d3b-0e28-4dcf-ba4a-EXAMPLE11111"
]
},
{
"Effect": "Allow",
"Action": [
"route53-recovery-cluster:GetRoutingControlState",
"route53-recovery-cluster:UpdateRoutingControlStates"
],
"Resource": [
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/abcdef1234567890",
"arn:aws:route53-recovery-control::123456789012:controlpanel/1234567890abcdef1234567890abcdef/routingcontrol/1234567890abcdef"
]
}
]
}
```
------
您可以使用 CLI 擷取路由控制面板 ID 和叢集 ID。如需詳細資訊,請參閱[設定路由控制元件](getting-started-cli-routing-config.md)。
# Aurora Global Database 執行區塊範例政策
如果您將執行區塊新增至 Aurora 資料庫的區域切換計畫,可連接下列範例政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": [
"arn:aws:rds::123456789012:global-cluster:app-global-db",
"arn:aws:rds:us-east-1:123456789012:cluster:app-db-primary",
"arn:aws:rds:us-west-2:123456789012:cluster:app-db-secondary"
]
}
]
}
```
------
# Amazon DocumentDB 全域叢集執行區塊範例政策
如果您將執行區塊新增至 Amazon DocumentDB 全域叢集的區域切換計劃,可連接下列範例政策。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeGlobalClusters",
"rds:DescribeDBClusters",
"rds:FailoverGlobalCluster",
"rds:SwitchoverGlobalCluster"
],
"Resource": "*"
}
]
}
```
# Amazon RDS 執行區塊範例政策
如果您將執行區塊新增至 Amazon RDS 僅供讀取複本提升或跨區域複本建立的區域切換計劃,要連接下列範例政策。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:PromoteReadReplica",
"rds:CreateDBInstanceReadReplica",
"rds:ModifyDBInstance"
],
"Resource": "*"
}
]
}
```
# 手動核准執行區塊範例政策
如果您將執行區塊新增至區域切換計畫以進行手動核准,可連接下列範例政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:ApprovePlanExecutionStep"
],
"Resource": "arn:aws:arc-region-switch::123456789012:plan/sample-plan:0123abc"
}
]
}
```
------
# 自訂動作 Lambda 執行區塊範例政策
如果您將執行區塊新增至 Lambda 函數的區域切換計劃,可連接下列範例政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:us-east-1:123456789012:function:app-recovery-primary",
"arn:aws:lambda:us-west-2:123456789012:function:app-recovery-secondary"
]
}
]
}
```
------
# Route 53 運作狀態檢查執行區塊範例政策
如果您將執行區塊新增至 Route 53 運作狀態檢查的區域切換計劃,可連接下列範例政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:ListResourceRecordSets"
],
"Resource": [
"arn:aws:route53:::hostedzone/Z1234567890ABCDEFGHIJ"
]
}
]
}
```
------
# 區域切換計畫執行區塊範例政策
如果您將執行區塊新增至區域切換計劃以執行子計劃,可連接下列範例政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arc-region-switch:StartPlanExecution",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:CancelPlanExecution",
"arc-region-switch:UpdatePlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": [
"arn:aws:arc-region-switch::123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch::123456789012:plan/child-plan-2/fghij2"
]
}
]
}
```
------
# 應用程式運作狀態許可的 CloudWatch 警示
以下是連接 以存取應用程式運作狀態 CloudWatch 警示的範例政策,用於協助判斷實際的復原時間。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary",
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
]
}
]
}
```
------
# 自動計劃執行報告許可
如果您為區域切換計劃設定自動產生報告,可連接以下範例政策。此政策包含將報告寫入 Amazon S3、存取 CloudWatch 警示資料,以及擷取父系計劃子計劃資訊的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::your-bucket-name/*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:DescribeAlarmHistory"
],
"Resource": [
"arn:aws:cloudwatch:us-east-1:123456789012:alarm:app-health-primary"
"arn:aws:cloudwatch:us-west-2:123456789012:alarm:app-health-secondary"
],
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutionEvents"
],
"Resource": [
"arn:aws:arc-region-switch:us-east-1:123456789012:plan/child-plan-1/abcde1",
"arn:aws:arc-region-switch:us-west-2:123456789012:plan/child-plan-2/fghij2"
],
}
]
}
```
注意:如果您為 Amazon S3 儲存貯體加密設定客戶受管 AWS KMS 金鑰,您還必須為金鑰新增 `kms:GenerateDataKey`和 `kms:Encrypt`許可。
# 跨帳戶資源許可
如果資源位於不同的帳戶中,您將需要跨帳戶角色。以下是跨帳戶角色的範例信任政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
以下是計劃執行角色擔任此跨帳戶角色的許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::987654321098:role/RegionSwitchCrossAccountRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "UniqueExternalId123"
}
}
}
]
}
```
------
# 完成計劃執行角色許可
建立包含所有執行區塊許可的完整政策需要相當大的政策。實際上,您應該只包含您在特定計劃中使用的執行區塊的許可。
以下是範例政策,您可以用作計劃執行角色政策的起點。請務必新增您在計劃中包含的特定執行區塊所需的其他政策。僅包含您在計劃中使用的特定執行區塊所需的許可,以遵循最低權限原則
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:SimulatePrincipalPolicy",
"Resource": "arn:aws:iam::123456789012:role/RegionSwitchExecutionRole"
},
{
"Effect": "Allow",
"Action": [
"arc-region-switch:GetPlan",
"arc-region-switch:GetPlanExecution",
"arc-region-switch:ListPlanExecutions"
],
"Resource": "*"
}
]
}
```
------
# 在 ARC 中記錄和監控區域切換
您可以使用 Amazon CloudWatch AWS CloudTrail和 Amazon EventBridge 在 Amazon Application Recovery Controller (ARC) 中監控區域切換,以取得提醒、分析模式,並協助疑難排解問題。
**Topics**
+ [使用 記錄區域切換 API 呼叫 AWS CloudTrail](cloudtrail-region-switch.md)
+ [在 ARC 中使用區域切換搭配 Amazon EventBridge](eventbridge-region-switch.md)
# 使用 記錄區域切換 API 呼叫 AWS CloudTrail
Amazon Application Recovery Controller (ARC) 區域切換已與 服務整合 AWS CloudTrail,該服務提供使用者、角色或 ARC 中 AWS 服務所採取動作的記錄。CloudTrail 會將 ARC 的所有 API 呼叫擷取為事件。擷取的呼叫包括來自 ARC 主控台的呼叫,以及對 ARC API 操作的程式碼呼叫。
如果您建立線索,您可以將 CloudTrail 事件持續交付至 Amazon S3 儲存貯體,包括 ARC 的事件。即使您未設定追蹤,依然可以透過 CloudTrail 主控台中的**事件歷史記錄**檢視最新事件。
您可以使用 CloudTrail 所收集的資訊,判斷向 ARC 提出的請求、提出請求的 IP 地址、提出請求的人員、提出請求的時間,以及其他詳細資訊。
若要進一步了解 CloudTrail,請參閱[「AWS CloudTrail 使用者指南」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
## CloudTrail 中的 ARC 資訊
建立帳戶 AWS 帳戶 時,您的 上會啟用 CloudTrail。當活動在 ARC 中發生時,該活動會與**事件歷史記錄**中的其他服務 AWS 事件一起記錄在 CloudTrail 事件中。您可以在 中檢視、搜尋和下載最近的事件 AWS 帳戶。如需詳細資訊,請參閱[使用 CloudTrail 事件歷史記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
若要持續記錄 中的事件 AWS 帳戶,包括 ARC 的事件,請建立追蹤。*線索*能讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。依預設,當您在主控台中建立追蹤時,該追蹤會套用至所有的 AWS 區域。線索會記錄 AWS 分割區中所有區域的事件,並將日誌檔案交付至您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。如需詳細資訊,請參閱下列內容:
+ [建立追蹤的概觀](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支援的服務和整合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [設定 CloudTrail 的 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [接收多個區域的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)及[接收多個帳戶的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
CloudTrail 會記錄所有 ARC 動作,並記錄在 TBD API REFERENCE LINK 中。例如,對 `TBD`、`TBD` 和 `TBD` 動作發出的呼叫會在 CloudTrail 記錄檔案中產生專案。
每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
+ 是否使用根或 AWS Identity and Access Management (IAM) 使用者登入資料提出請求。
+ 提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。
+ 請求是否由其他 AWS 服務提出。
如需詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 檢視事件歷史記錄中的區域切換事件
CloudTrail 可讓您使用 **Event history (事件歷史記錄)** 檢視最近的事件。區域切換 API 請求的大多數事件都位於您使用區域切換計劃的區域中,例如,您在其中建立計劃或執行計劃。不過,您在 ARC 主控台中執行的某些區域切換動作是使用控制計畫 API 操作,而不是資料平面操作。對於控制平面操作,您可以檢視美國東部 (維吉尼亞北部) 的事件。若要了解哪些 API 呼叫是控制平面操作,請參閱 [區域切換 API 操作](actions.region-switch.md)。
## 了解 ARC 日誌檔案項目
追蹤是一種組態,能讓事件以日誌檔案的形式交付到您指定的 Amazon S3 儲存貯體。CloudTrail 日誌檔案包含一或多個日誌專案。一個事件為任何來源提出的單一請求,並包含請求動作、請求的日期和時間、請求參數等資訊。CloudTrail 日誌檔並非依公有 API 呼叫的堆疊追蹤排序,因此不會以任何特定順序出現。
下列範例顯示 CloudTrail 日誌項目,示範區域切換`StartPlanExecution`的動作。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA33L3W36EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin",
"accountId": "111122223333",
"userName": "EXAMPLENAME"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2025-07-06T17:38:05Z"
}
}
},
"eventTime": "2025-07-06T18:08:03Z",
"eventSource": "arc-region-switch.amazonaws.com",
"eventName": "StartPlanExecution",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.50",
"userAgent": "Boto3/1.17.101 Python/3.8.10 Linux/4.14.231-180.360.amzn2.x86_64 exec-env/AWS_Lambda_python3.8 Botocore/1.20.102",
"requestParameters": {
"planArn": "arn:aws:arc-region-switch::555555555555:plan/CloudTrailIntegTestPlan:bbbbb",
"targetRegion": "us-east-1",
"action": "activate" }
"responseElements": {
"executionId": "us-east-1/dddddddEXAMPLE",
"plan": "arn:aws:arc-region-switch::555555555555:plan/CloudTrailIntegTestPlan:bbbbb",
"planVersion": "1",
"activateRegion": "us-east-1" },
"requestID": "fd42dcf7-6446-41e9-b408-d096example",
"eventID": "4b5c42df-1174-46c8-be99-d67aexample",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.arc.amazon.aws"
}
```
# 在 ARC 中使用區域切換搭配 Amazon EventBridge
使用 Amazon EventBridge,您可以設定事件驅動規則,以監控 Amazon Application Recovery Controller (ARC) 中的區域切換資源,然後啟動使用其他服務的目標動作 AWS 。例如,您可以在區域切換計劃完成執行時發出 Amazon SNS 主題訊號,以設定傳送電子郵件通知的規則。
您可以在 Amazon EventBridge 中建立規則,以處理下列 ARC 區域切換事件:
+ *區域切換計畫執行。*事件指定區域切換計劃已執行 (執行)。
+ *區域切換計畫評估。*事件指定區域切換計畫評估已完成。
若要擷取您感興趣的特定 ARC 事件,請定義 EventBridge 可用來偵測事件的事件特定模式。事件模式的結構與其相符的事件相同。該模式引用您欲比對的欄位,並提供您正在尋找的數值。
盡可能發出事件。在正常操作情況下,它們會以近乎即時的方式從 ARC 交付至 EventBridge。不過,可能會發生可能延遲或阻止交付事件的情況。
如需 EventBridge 規則如何使用事件模式的詳細資訊,請參閱 [EventBridge 中的事件和事件模式](https://docs.aws.amazon.com//eventbridge/latest/userguide/eventbridge-and-event-patterns.html)。
## 使用 EventBridge 監控區域切換資源
使用 EventBridge,您可以建立規則,定義 ARC 為區域切換資源發出事件時要採取的動作。
若要在 EventBridge 主控台中輸入或複製事件模式並貼上,請在主控台中選取 以**輸入我自己的**選項。為了協助您判斷可能對您有用的事件模式,本主題包含[範例區域切換模式](#arc-eventbridge-examples-region-switch)。
**建立資源事件的規則**
1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 若要 AWS 區域 在 中建立規則,請選擇您建立要監控事件之計劃的區域。
1. 選擇 **Create rule** (建立規則)。
1. 輸入規則的**Name (名稱)**,或者輸入描述。
1. 對於**事件匯流排**,請保留預設值 ****。
1. 選擇**下一步**。
1. 對於**建置事件模式**步驟,對於**事件來源**,請保留預設值 **AWS 事件**。
1. 在**範例事件**下,選擇**輸入我自己的**。
1. 針對**範例事件**,輸入或複製並貼上事件模式。如需範例,請參閱下一節。
## 範例區域切換模式
事件模式的結構與其相符的事件相同。該模式引用您欲比對的欄位,並提供您正在尋找的數值。
您可以將本節的事件模式複製並貼到 EventBridge 中,以建立可用來監控 ARC 動作和資源的規則。
下列事件模式提供您可能會在 EventBridge 中用於 ARC 中區域切換功能的範例。
+ *從區域切換中選取 PlanExecution 的所有事件*。
```
{
"source": [ "aws.arc-region-switch" ],
"detail-type": [ "ARC Region switch Plan Execution" ]
}
```
+ *從區域切換選取所有事件以進行 PlanEvaluation*。
```
{
"source": [ "aws.arc-region-switch" ],
"detail-type": [ "ARC Region Switch Plan Evaluation" ]
}
```
以下是*區域切換計劃執行*的範例 ARC 事件:
```
{
"version": "0",
"id": "1111111-bbbb-aaaa-cccc-dddddEXAMPLE", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/aaaaaExample"], # planArn
"detail": {
"version": "0.0.1",
"eventType": "ExecutionStarted",
"executionId": "bbbbbbEXAMPLE",
"executionAction": "activating/deactivating {region}",
"idempotencyKey": "1111111-2222-3333-4444-5555555555", # As there is a possibility of dual logging
}
}
```
以下是*區域切換計劃步驟層級執行*的範例 ARC 事件:
```
{
"version": "0",
"id": "1111111-bbbb-aaaa-cccc-dddddEXAMPLE", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/aaaaaExample"], # planArn
"detail": {
"version": "0.0.1",
"eventType": "StepStarted",
"executionId": "bbbbbbEXAMPLE",
"executionAction": "activating/deactivating {region}",
"idempotencyKey": "1111111-2222-3333-4444-5555555555", # As there is a possibility of dual logging
"stepDetails" : {
"stepName": "Routing control step",
"resource": ["arn:aws:route53-recovery-control::111122223333:controlpanel/abcdefghiEXAMPLE/routingcontrol/jklmnopqrsEXAMPLE"]
}
}
}
```
以下是*區域切換計畫評估警告*的範例 ARC 事件。
對於區域切換計畫評估,會在傳回警告時發出事件。如果未清除警告,則只會每 24 小時發出一次警告的事件。清除事件時,不會針對該警告發出其他事件。
```
{
"version": "0",
"id": "05d4d2d5-9c76-bfea-72d2-d4614802adb4", # Random uuid
"detail-type": "ARC Region Switch Plan Execution",
"source": "aws.arc-region-switch",
"account": "111122223333",
"time": "2023-11-16T23:38:14Z",
"region": "us-east-1",
"resources": ["arn:aws:arc-region-switch::111122223333:plan/a2b89be4821bfd1d"],
"detail": {
"version": "0.0.1",
"idempotencyKey": "1111111-2222-3333-4444-5555555555",
"metadata": {
"evaluationTime" : "timestamp",
"warning" : "There is a plan evaluation warning for arn:aws:arc-region-switch::111122223333:plan/a2b89be4821bfd1d. Navigate to the Region switch console to resolve."
}
}
}
```
## 指定要用作目標的 CloudWatch 日誌群組
建立 EventBridge 規則時,您必須指定傳送符合規則之事件的目標。如需 EventBridge 可用目標的清單,請參閱 [ EventBridge 主控台中可用的目標](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html#eb-console-targets)。您可以新增至 EventBridge 規則的其中一個目標是 Amazon CloudWatch 日誌群組。本節說明將 CloudWatch 日誌群組新增為目標的需求,並提供在建立規則時新增日誌群組的程序。
若要將 CloudWatch 日誌群組新增為目標,您可以執行下列其中一項操作:
+ 建立新的日誌群組
+ 選擇現有的日誌群組
如果您在建立規則時使用主控台指定新的日誌群組,EventBridge 會自動為您建立日誌群組。請確定您用作 EventBridge 規則目標的日誌群組以 開頭`/aws/events`。如果您想要選擇現有的日誌群組,請注意,只有開頭為 的日誌群組才會在下拉式功能表中`/aws/events`顯示為選項。如需詳細資訊,請參閱《*Amazon CloudWatch 使用者指南*》中的[建立新日誌群組](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)。
如果您使用主控台外部的 CloudWatch 操作建立或使用 CloudWatch 日誌群組做為目標,請確定您正確設定許可。如果您使用主控台將日誌群組新增至 EventBridge 規則,則日誌群組的資源型政策會自動更新。但是,如果您使用 AWS Command Line Interface 或 AWS SDK 來指定日誌群組,則必須更新日誌群組的資源型政策。下列範例政策說明您必須在日誌群組的資源型政策中定義的許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com",
"delivery.logs.amazonaws.com"
]
},
"Resource": "arn:aws:logs:us-east-1:222222222222:log-group:/aws/events/*:*",
"Sid": "TrustEventsToStoreLogEvent"
}
]
}
```
------
您無法使用 主控台為日誌群組設定資源型政策。若要將必要的許可新增至以資源為基礎的政策,請使用 CloudWatch [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) API 操作。然後,您可以使用 [ describe-resource-policies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/logs/describe-resource-policies.html) CLI 命令來檢查政策是否正確套用。
**為資源事件建立規則並指定 CloudWatch 日誌群組目標**
1. 前往 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) 開啟 Amazon EventBridge 主控台。
1. 選擇您要 AWS 區域 在其中建立規則的 。
1. 選擇**建立規則**,然後輸入該規則的任何相關資訊,例如事件模式或排程詳細資訊。
如需建立 EventBridge 整備規則的詳細資訊,請參閱[使用 EventBridge 監控整備檢查資源](eventbridge-readiness.md#RCEventBridgeCreateRule)。
1. 在**選取目標**頁面上,選擇 **CloudWatch** 做為您的目標。
1. 從下拉式選單中選擇 CloudWatch 日誌群組。
# 區域切換的配額
Amazon Application Recovery Controller (ARC) 中的區域切換受下列配額約束。
| 實體 | 配額 |
| --- | --- |
| 每個帳戶的計劃數量 | 10 您可以[請求提高配額](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/arc-region-switch/quotas)。 |
| 每個計劃的執行區塊數量 | 100 |
| 每個計劃的區域切換計劃執行區塊數量 | 25 |
| 每個步驟的平行執行區塊數量 | 20 |
| 每個觸發條件的 CloudWatch 警示數量 | 10 |