Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Tutoriel : Création d'un plan de changement de active/passive région
Ce didacticiel vous explique comment créer un plan de changement de active/passive région pour une application exécutée dans us-east-1 et comment récupérer dans us-west-2. L'exemple inclut les instances Amazon EC2 pour le calcul, la base de données mondiale Amazon Aurora pour le stockage et Amazon Route 53 pour le DNS.
Dans ce didacticiel, vous allez effectuer les étapes suivantes :
+ Création d'un plan de changement de région
+ Créez les flux de travail et les blocs d'exécution du plan
+ Création d'un bloc d'exécution de groupe EC2 Auto Scaling
+ Créez deux blocs d'exécution d'approbation manuelle
+ Créez deux blocs d'exécution Lambda d'actions personnalisés
+ Création d'un bloc d'exécution de la base de données globale Amazon Aurora
+ Création d'un bloc de contrôle de routage ARC
+ Exécuter le plan de changement de région
## Conditions préalables
Avant de commencer ce didacticiel, vérifiez que les conditions requises suivantes sont réunies dans les deux régions :
+ Rôles IAM dotés des autorisations appropriées
+ Groupes EC2 Auto Scaling
+ Fonctions Lambda pour la page de maintenance et les clôtures
+ Aurora Global Database
+ Contrôles de routage ARC
## Étape 1 : Création du plan de changement de région
1. Dans la console de changement de région, choisissez **Créer un plan de changement de région**.
1. Fournissez les informations suivantes :
+ **Région principale** : Choisissez us-east-1
+ **Région de veille** : choisissez us-west-2
+ **Objectif de temps de rétablissement souhaité (RTO)** (facultatif)
+ Rôle **IAM : entrez le rôle** IAM d'exécution du plan. Ce rôle IAM permet de passer d'une région à un AWS service d'appel pendant l'exécution.
1. Choisissez **Créer**.
(Facultatif) Ajoutez des ressources provenant de différents AWS comptes à votre plan de changement de région :
1. Créez le rôle multi-comptes :
+ Dans le compte hébergeant la ressource, créez un rôle IAM.
+ Ajoutez des autorisations pour les ressources spécifiques auxquelles le plan aura accès.
+ Ajoutez une politique de confiance qui permet au rôle d'exécution d'assumer le nouveau rôle.
+ Entrez et notez un identifiant externe que vous utiliserez comme secret partagé.
1. Configurez la ressource dans votre plan :
+ Lorsque vous ajoutez la ressource à votre plan, spécifiez deux champs supplémentaires :
+ **crossAccountRole**: l'ARN du rôle que vous avez créé à l'étape 1
+ **ExternalID : ID** externe que vous avez saisi à l'étape 1
Exemple de configuration pour un bloc d'exécution EC2 Auto Scaling accédant aux ressources du compte 987654321 :
```
{
"executionBlock": "EC2AutoScaling",
"name": "ASG",
"crossAccountRole": "arn:aws:iam::987654321:role/RegionSwitchCrossAccountRole",
"externalId": "unique-external-id-123",
"autoScalingGroupArn": "arn:aws:autoscaling:us-west-2:987654321:autoScalingGroup:*:autoScalingGroupName/CrossAccountASG"
}
```
Autorisations requises :
+ Le rôle d'exécution doit disposer de AssumeRole l'autorisation sts : pour le rôle multi-comptes.
+ Le rôle multi-comptes doit disposer d'autorisations uniquement pour les ressources spécifiques auxquelles il accède.
+ La politique de confiance du rôle multicompte doit inclure :
+ Le compte du rôle d'exécution en tant qu'entité de confiance.
+ La condition d'identification externe.
+ Pour plus d'informations sur la configuration d'un rôle multicompte, consultez[Autorisations relatives aux ressources entre comptes](security_iam_region_switch_cross_account.md).
Avant d'exécuter le plan, Region Switch vérifiera les points suivants :
+ Le rôle d'exécution peut assumer le rôle entre comptes.
+ Le rôle multi-comptes dispose des autorisations requises.
+ L'ID externe correspond à la politique de confiance.
## Étape 2 : Création des flux de travail et des blocs d'exécution du plan
1. Sur la page des détails du plan de changement de région, choisissez **Créer des flux de travail**.
1. Sélectionnez **Créer le même flux de travail d'activation pour toutes les régions**.
1. Entrez une description du flux de travail d'activation par région (facultatif). Cela sera utilisé pour identifier facilement le flux de travail lors de l'exécution du plan.
1. Choisissez **Save and continue (Enregistrer et continuer)**.
### Ajouter le bloc d'exécution EC2 Auto Scaling
Pour plus d'informations sur ce bloc d'exécution, consultez[Bloc d'exécution du groupe Amazon EC2 Auto Scaling](ec2-auto-scaling-block.md).
1. Choisissez **Ajouter une étape**, puis sélectionnez **Exécuter en séquence**.
1. Sélectionnez le bloc d'**exécution EC2 Auto Scaling**, puis **choisissez Ajouter et modifier**. Ce bloc vous permettra de commencer à augmenter la capacité de la région passive.
1. Dans le panneau de droite, configurez le bloc :
+ **Nom de l'étape** : Entrez « Scale »
+ **Description de l'étape** (facultatif)
+ **ARN du groupe Auto Scaling pour us-east-1** : l'ARN de votre ASG dans us-east-1
+ **ARN du groupe Auto Scaling pour us-west-2** : l'ARN de votre ASG dans us-west-2
+ **Pourcentage correspondant à la capacité de la région source** : entrez 100
+ **Approche de suivi des capacités** : laisser comme « le plus récent »
+ **Délai d'expiration** (facultatif)
Pour plus d'informations sur les autorisations IAM requises pour ce bloc d'exécution, consultez[Exemple de politique d'exécution par blocs d'EC2 Auto Scaling](security_iam_region_switch_ec2_autoscaling.md).
1. Choisissez **Enregistrer l'étape**.
### Ajouter un bloc d'exécution des approbations manuelles
Pour plus d'informations sur ce bloc d'exécution, consultez[Bloc d'exécution de l'approbation manuelle](manual-approval-block.md).
1. Choisissez **Ajouter une étape**.
1. Sélectionnez le **bloc d'exécution de l'approbation manuelle** et ajoutez-le à la fenêtre de conception. Ce bloc permet une vérification humaine avant de continuer.
1. Dans le panneau de droite, configurez le bloc :
+ **Nom de l'étape** : Entrez « Approbation manuelle avant la configuration »
+ **Description de l'étape** (facultatif)
+ **Rôle d'approbation IAM** : rôle qu'un utilisateur doit assumer pour approuver l'exécution
+ **Délai d'expiration** (facultatif). Une fois le délai expiré, l'exécution est interrompue et vous pouvez choisir de réessayer, d'ignorer ou d'annuler.
Pour plus d'informations sur les autorisations IAM requises pour ce bloc d'exécution, consultez[Exemple de politique d'exécution des approbations manuelles](security_iam_region_switch_manual_approval.md).
1. Choisissez **Enregistrer l'étape**.
### Ajouter un bloc d'exécution Lambda d'action personnalisé pour la page de maintenance
Pour plus d'informations sur ce bloc d'exécution, consultez[Action personnalisée : bloc d'exécution Lambda](custom-action-lambda-block.md).
1. Choisissez **Ajouter une étape**.
1. Sélectionnez le **bloc d'exécution Lambda de l'action personnalisée**, puis choisissez **Ajouter et modifier**. Ce bloc publie une page de maintenance dans la région en cours d'activation.
1. Dans le panneau de droite, configurez le bloc :
+ **Nom de l'étape** : Entrez « Afficher la page de maintenance »
+ **Description de l'étape** (facultatif)
+ **ARN Lambda pour activer us-east-1 : ARN de la fonction Lambda de la page de maintenance déployée dans us-east-1**
+ **ARN Lambda pour activer us-west-2 : ARN de la fonction Lambda de la page de maintenance déployée dans us-west-2**
+ **Région pour exécuter la fonction Lambda** : choisissez **Exécuter pour activer la** région
+ **Délai d'expiration** (facultatif)
+ **Intervalle entre les tentatives** (facultatif)
Pour plus d'informations sur les autorisations IAM requises pour ce bloc d'exécution, consultez[Exemple de politique de bloc d'exécution Lambda pour les actions personnalisées](security_iam_region_switch_lambda.md).
1. Choisissez **Enregistrer l'étape**.
### Ajouter un bloc d'exécution de la base de données globale Aurora
Pour plus d'informations sur ce bloc d'exécution, consultez[Bloc d'exécution de la base de données globale Amazon Aurora](aurora-global-database-block.md).
1. Choisissez **Ajouter une étape**.
1. Sélectionnez le **bloc d'exécution de la base de données globale Aurora**, puis choisissez **Ajouter et modifier**. Ce bloc déclenche une commutation globale de la base de données Aurora (aucune perte de données). Pour plus d'informations, consultez la section [Utilisation du basculement ou du basculement pour la base de données globale Aurora dans le guide de](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-global-database-disaster-recovery.html) l'utilisateur d'*Aurora*.
1. Dans le panneau de droite, configurez le bloc :
+ **Nom de l'étape** : Enter **Aurora switchover**
+ **Description de l'étape** (facultatif)
+ **Identifiant de base de données global Aurora** : nom du cluster Aurora
+ **ARN du cluster utilisé pour activer us-east-1 :** l'ARN du cluster Aurora dans us-east-1
+ **ARN du cluster utilisé pour activer us-west-2** : l'ARN du cluster Aurora dans us-west-2
+ **Sélectionnez l'option pour la base de données Aurora** : Choisissez **Switchover**
+ **Délai d'expiration** (facultatif)
Pour plus d'informations sur les autorisations IAM requises pour ce bloc d'exécution, consultez[Exemple de politique d'exécution de la base de données globale Aurora](security_iam_region_switch_aurora.md).
1. Choisissez **Enregistrer l'étape**.
### Ajouter un bloc d'exécution du contrôle de routage ARC
Pour plus d'informations sur ce bloc d'exécution, consultez[Bloc d'exécution du contrôle de routage ARC](arc-routing-controls-block.md).
1. Choisissez **Ajouter une étape**.
1. Sélectionnez le **bloc d'exécution du contrôle de routage ARC**, puis choisissez **Ajouter et modifier**. Ce bloc effectue un basculement du DNS pour transférer le trafic vers la région passive.
1. Dans le panneau de droite, configurez le bloc :
+ **Nom de l'étape** : Enter **Toggle DNS**
+ **Description de l'étape** (facultatif)
+ **Contrôles de routage utilisés pour activer us-east-1 : choisissez** **Ajouter des contrôles de routage**
+ **Délai d'expiration** : entrez une valeur de délai d'expiration.
1. Choisissez **Ajouter un contrôle de routage** :
+ **ARN du contrôle de routage** : ARN du contrôle de routage qui contrôle us-east-1
+ **État du contrôle de routage** : Choisissez **Activé**
1. Choisissez à nouveau **Ajouter un contrôle de routage** :
+ **ARN du contrôle de routage** : ARN du contrôle de routage qui contrôle us-west-2
+ **État du contrôle du routage** : choisissez **Off**
1. Choisissez **Enregistrer**.
1. **Contrôles de routage utilisés pour activer us-west-2** **: choisissez Ajouter des contrôles de routage**
1. Choisissez **Ajouter un contrôle de routage** :
+ **ARN du contrôle de routage** : ARN du contrôle de routage qui contrôle us-west-2
+ **État du contrôle de routage** : Choisissez **Activé**
1. Choisissez à nouveau **Ajouter un contrôle de routage** :
+ **ARN du contrôle de routage** : ARN du contrôle de routage qui contrôle us-east-1
+ **État du contrôle du routage** : choisissez **Off**
1. Choisissez **Enregistrer**.
1. Choisissez **Enregistrer l'étape**.
Pour plus d'informations sur les autorisations IAM requises pour ce bloc d'exécution, consultez[Exemple de politique de bloc d'exécution des contrôles de routage ARC](security_iam_region_switch_arc_routing.md).
1. Choisissez **Enregistrer**.
## Étape 3 : Exécuter le plan
1. Sur la page des détails du plan de changement de région, en haut à droite, choisissez **Execute**.
1. Entrez les détails de l'exécution :
+ Sélectionnez la région à activer.
+ Sélectionnez le mode d'exécution du plan.
+ (Facultatif) Consultez les étapes d'exécution.
+ Reconnaissez l'exécution du plan.
1. Sélectionnez **Démarrer**.
1. Vous pouvez consulter les étapes détaillées au fur et à mesure de l'exécution du plan sur la page des détails d'exécution. Vous pouvez voir chaque étape de l'exécution du plan, y compris l'heure de début, l'heure de fin, l'ARN de la ressource et les messages du journal.
Une fois la région altérée rétablie, vous pouvez exécuter à nouveau le plan (en modifiant les paramètres que vous avez fournis) pour activer la région d'origine, afin de rétablir les opérations de votre application sur la région principale d'origine.