Erstellen Sie eine Scheduler-Rolle - AWS Fehlerinjektionsservice

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine Scheduler-Rolle

Eine Ausführungsrolle ist eine IAM-Rolle, die AWS FIS davon ausgeht, dass sie mit dem EventBridge Scheduler interagiert und der Event Bridge-Scheduler das FIS-Experiment startet. Sie fügen dieser Rolle Berechtigungsrichtlinien hinzu, um dem EventBridge Scheduler Zugriff zum Aufrufen des FIS-Experiments zu gewähren. In den folgenden Schritten wird beschrieben, wie Sie eine neue Ausführungsrolle und eine Richtlinie erstellen, mit der Sie ein Experiment starten können EventBridge .

Scheduler-Rolle mit der AWS-CLI erstellen

Diese IAM-Rolle ist erforderlich, damit Event Bridge Experimente im Namen des Kunden planen kann.

  1. Kopieren Sie die folgende JSON-Richtlinie zur Übernahme der Rolle und speichern Sie sie lokal unter. fis-execution-role.json Diese Vertrauensrichtlinie ermöglicht es EventBridge Scheduler, die Rolle in Ihrem Namen zu übernehmen.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "scheduler.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. Geben Sie über die AWS-Befehlszeilenschnittstelle (AWS CLI) den folgenden Befehl ein, um eine neue Rolle zu erstellen. FisSchedulerExecutionRoleErsetzen Sie ihn durch den Namen, den Sie dieser Rolle geben möchten. 

    aws iam create-role --role-name FisSchedulerExecutionRole --assume-role-policy-document file://fis-execution-role.json

    Bei Erfolg wird die folgende Ausgabe angezeigt: 

    {
    "Role": {
        "Path": "/",
        "RoleName": "FisSchedulerExecutionRole",
        "RoleId": "AROAZL22PDN5A6WKRBQNU",
        "Arn": "arn:aws:iam::123456789012:role/FisSchedulerExecutionRole",
        "CreateDate": "2023-08-24T17:23:05+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "scheduler.amazonaws.com"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

  3. Um eine neue Richtlinie zu erstellen, die es EventBridge Scheduler ermöglicht, das Experiment aufzurufen, kopieren Sie den folgenden JSON-Code und speichern Sie ihn lokal unter. fis-start-experiment-permissions.json Die folgende Richtlinie ermöglicht es EventBridge Scheduler, die fis:StartExperiment Aktion für alle Versuchsvorlagen in Ihrem Konto aufzurufen. Ersetzen Sie das * am Ende von "arn:aws:fis:*:*:experiment-template/*" durch die ID Ihrer Experimentvorlage, wenn Sie die Rolle auf eine einzige Experimentvorlage beschränken möchten.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "fis:StartExperiment",
            "Resource": [
                "arn:aws:fis:*:*:experiment-template/*",
                "arn:aws:fis:*:*:experiment/*"
            ]
        }
    ]
}

  4. Führen Sie den folgenden Befehl aus, um die neue Berechtigungsrichtlinie zu erstellen. FisSchedulerPolicyErsetzen Sie sie durch den Namen, den Sie dieser Richtlinie geben möchten. 

    aws iam create-policy --policy-name FisSchedulerPolicy --policy-document file://fis-start-experiment-permissions.json

    Bei Erfolg wird die folgende Ausgabe angezeigt. Beachten Sie den Richtlinien-ARN. Sie verwenden diesen ARN im nächsten Schritt, um die Richtlinie an unsere Ausführungsrolle anzuhängen. 

    {
    "Policy": {
        "PolicyName": "FisSchedulerPolicy",
        "PolicyId": "ANPAZL22PDN5ESVUWXLBD",
        "Arn": "arn:aws:iam::123456789012:policy/FisSchedulerPolicy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-08-24T17:34:45+00:00",
        "UpdateDate": "2023-08-24T17:34:45+00:00"
    }
}

  5. Führen Sie den folgenden Befehl aus, um die Richtlinie an Ihre Ausführungsrolle anzuhängen. your-policy-arnErsetzen Sie es durch den ARN der Richtlinie, die Sie im vorherigen Schritt erstellt haben. FisSchedulerExecutionRoleErsetzen Sie ihn durch den Namen Ihrer Ausführungsrolle.

    aws iam attach-role-policy --policy-arn your-policy-arn --role-name FisSchedulerExecutionRole

    Der attach-role-policy Vorgang gibt keine Antwort in der Befehlszeile zurück.

  6. Sie können den Scheduler so einschränken, dass er nur AWS FIS Versuchsvorlagen ausführt, die einen bestimmten Tag-Wert haben. Die folgende Richtlinie gewährt beispielsweise die fis:StartExperiment Erlaubnis für alle AWS FIS Experimente, beschränkt den Planer jedoch darauf, nur Versuchsvorlagen auszuführen, die markiert sind. Purpose=Schedule 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "fis:StartExperiment",
            "Resource": "arn:aws:fis:*:*:experiment/*"
        },
        {
            "Effect": "Allow",
            "Action": "fis:StartExperiment",
            "Resource": "arn:aws:fis:*:*:experiment-template/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Purpose": "Schedule"
                }
            }
        }
    ]
}