Buat peran penjadwal - AWS Layanan Injeksi Kesalahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat peran penjadwal

Peran eksekusi adalah peran IAM yang AWS FIS mengasumsikan untuk berinteraksi dengan EventBridge penjadwal dan untuk penjadwal Event Bridge untuk Memulai Eksperimen FIS. Anda melampirkan kebijakan izin ke peran ini untuk memberikan EventBridge Scheduler akses untuk menjalankan Eksperimen FIS. Langkah-langkah berikut menjelaskan cara membuat peran eksekusi baru dan kebijakan EventBridge untuk memungkinkan Memulai Eksperimen.

Buat peran penjadwal menggunakan AWS CLI

Ini adalah peran IAM yang diperlukan agar Event Bridge dapat menjadwalkan percobaan atas nama pelanggan.

  1. Salin kebijakan JSON asumsi peran berikut dan simpan secara lokal sebagai. fis-execution-role.json Kebijakan kepercayaan ini memungkinkan EventBridge Scheduler untuk mengambil peran atas nama Anda.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "scheduler.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. Dari AWS Command Line Interface (AWS CLI), masukkan perintah berikut untuk membuat peran baru. Ganti FisSchedulerExecutionRole dengan nama yang ingin Anda berikan peran ini. 

    aws iam create-role --role-name FisSchedulerExecutionRole --assume-role-policy-document file://fis-execution-role.json

    Jika berhasil, Anda akan melihat output berikut: 

    {
    "Role": {
        "Path": "/",
        "RoleName": "FisSchedulerExecutionRole",
        "RoleId": "AROAZL22PDN5A6WKRBQNU",
        "Arn": "arn:aws:iam::123456789012:role/FisSchedulerExecutionRole",
        "CreateDate": "2023-08-24T17:23:05+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",		 	 	 
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "scheduler.amazonaws.com"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

  3. Untuk membuat kebijakan baru yang memungkinkan EventBridge Scheduler menjalankan eksperimen, salin JSON berikut dan simpan secara lokal sebagai. fis-start-experiment-permissions.json Kebijakan berikut memungkinkan EventBridge Scheduler untuk memanggil fis:StartExperiment tindakan pada semua templat eksperimen di akun Anda. Ganti * di bagian akhir "arn:aws:fis:*:*:experiment-template/*" dengan ID templat eksperimen Anda jika Anda ingin membatasi peran ke templat eksperimen tunggal.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "fis:StartExperiment",
            "Resource": [
                "arn:aws:fis:*:*:experiment-template/*",
                "arn:aws:fis:*:*:experiment/*"
            ]
        }
    ]
}

  4. Jalankan perintah berikut untuk membuat kebijakan izin baru. Ganti FisSchedulerPolicy dengan nama yang ingin Anda berikan pada kebijakan ini. 

    aws iam create-policy --policy-name FisSchedulerPolicy --policy-document file://fis-start-experiment-permissions.json

    Jika berhasil, Anda akan melihat output berikut. Perhatikan kebijakan ARN. Anda menggunakan ARN ini di langkah berikutnya untuk melampirkan kebijakan ke peran eksekusi kami. 

    {
    "Policy": {
        "PolicyName": "FisSchedulerPolicy",
        "PolicyId": "ANPAZL22PDN5ESVUWXLBD",
        "Arn": "arn:aws:iam::123456789012:policy/FisSchedulerPolicy",
        "Path": "/",
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "CreateDate": "2023-08-24T17:34:45+00:00",
        "UpdateDate": "2023-08-24T17:34:45+00:00"
    }
}

  5. Jalankan perintah berikut untuk melampirkan kebijakan ke peran eksekusi Anda. Ganti your-policy-arn dengan ARN dari kebijakan yang Anda buat di langkah sebelumnya. Ganti FisSchedulerExecutionRole dengan nama peran eksekusi Anda.

    aws iam attach-role-policy --policy-arn your-policy-arn --role-name FisSchedulerExecutionRole

    attach-role-policyOperasi tidak mengembalikan respons pada baris perintah.

  6. Anda dapat membatasi penjadwal untuk hanya menjalankan template AWS FIS eksperimen yang memiliki nilai tag tertentu. Misalnya, kebijakan berikut memberikan fis:StartExperiment izin untuk semua AWS FIS eksperimen, tetapi membatasi penjadwal untuk hanya menjalankan templat eksperimen yang diberi tag. Purpose=Schedule

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "fis:StartExperiment",
            "Resource": "arn:aws:fis:*:*:experiment/*"
        },
        {
            "Effect": "Allow",
            "Action": "fis:StartExperiment",
            "Resource": "arn:aws:fis:*:*:experiment-template/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Purpose": "Schedule"
                }
            }
        }
    ]
}