Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Configurazione AWS AppConfig dell'agente per recuperare le configurazioni da più account È possibile configurare AWS AppConfig l'agente per recuperare le configurazioni da più configurazioni Account AWS inserendo le sostituzioni delle credenziali nel manifesto dell'agente. AWS AppConfig Le *sostituzioni delle credenziali* includono l'Amazon Resource Name (ARN) di un ruolo AWS Identity and Access Management (IAM), un ID di ruolo, un nome di sessione e la durata per cui l'agente può assumere il ruolo. Inserisci questi dettagli in una sezione «credenziali» del manifesto. La sezione «credenziali» utilizza il seguente formato: ``` { "{{application_name}}:{{environment_name}}:{{configuration_name}}": { "credentials": { "roleArn": "arn:{{partition}}:iam::{{account_ID}}:role/roleName", "roleExternalId": "{{string}}", "roleSessionName": "{{string}}", "credentialsDuration": "{{time_in_hours}}" } } } ``` Ecco un esempio: ``` { "My2ndApp:Beta:MyEnableMobilePaymentsFeatureFlagConfiguration": { "credentials": { "roleArn": "arn:aws:us-west-1:iam::123456789012:role/MyTestRole", "roleExternalId": "00b148e2-4ea4-46a1-ab0f-c422b54d0aac", "roleSessionName": "AWSAppConfigAgent", "credentialsDuration": "2h" } } } ``` Prima di recuperare una configurazione, l'agente legge i dettagli delle credenziali per la configurazione dal manifest e quindi assume il ruolo IAM specificato per quella configurazione. È possibile specificare un set diverso di sostituzioni di credenziali per diverse configurazioni in un unico manifesto. Il diagramma seguente mostra come l' AWS AppConfig agente, durante l'esecuzione nell'account A (l'account di recupero), assuma ruoli separati specificati per gli account B e C (gli account fornitore) e quindi richiami l'operazione [GetLatestConfiguration](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_appconfigdata_GetLatestConfiguration.html)API per recuperare i dati di configurazione dall'esecuzione in tali account: AWS AppConfig ![In che modo AWS AppConfig Agent interagisce con ruoli IAM distinti. Account AWS](http://docs.aws.amazon.com/it_it/appconfig/latest/userguide/images/agent multi-account.png) ## Configura le autorizzazioni per recuperare i dati di configurazione dagli account dei fornitori AWS AppConfig L'agente in esecuzione nell'account di recupero necessita dell'autorizzazione per recuperare i dati di configurazione dagli account del fornitore. Si concede l'autorizzazione all'agente creando un ruolo AWS Identity and Access Management (IAM) in ciascuno degli account del fornitore. AWS AppConfig L'agente nell'account di recupero assume questo ruolo per ottenere dati dagli account dei fornitori. Completa le procedure in questa sezione per creare una policy di autorizzazioni IAM, un ruolo IAM e aggiungere le sostituzioni degli agenti al manifesto. **Prima di iniziare** Raccogli le seguenti informazioni prima di creare una politica di autorizzazione e un ruolo in IAM. + Gli ID per ciascuno Account AWS. L'account di *recupero* è l'account che chiamerà altri account per i dati di configurazione. Gli account *fornitore* sono gli account che invieranno i dati di configurazione all'account di recupero. + Il nome del ruolo IAM utilizzato da AWS AppConfig nell'account di recupero. Ecco un elenco dei ruoli utilizzati da AWS AppConfig, per impostazione predefinita: + Per Amazon Elastic Compute Cloud (Amazon EC2) AWS AppConfig , utilizza il ruolo di istanza. + For AWS Lambda, AWS AppConfig utilizza il ruolo di esecuzione Lambda. + Per Amazon Elastic Container Service (Amazon ECS) e Amazon Elastic Kubernetes Service (Amazon EKS), utilizza il ruolo contenitore. AWS AppConfig Se hai configurato l' AWS AppConfig agente per utilizzare un ruolo IAM diverso specificando la variabile di `ROLE_ARN` ambiente, prendi nota di quel nome. **Crea la politica delle autorizzazioni** Utilizza la seguente procedura per creare una politica di autorizzazioni utilizzando la console IAM. Completa la procedura in ciascuna unità Account AWS che fornirà i dati di configurazione per l'account di recupero. **Per creare una policy IAM** 1. Accedi all'account di un Console di gestione AWS fornitore. 1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Nel pannello di navigazione, scegli **Policy** e **Crea policy**. 1. Scegli l'opzione **JSON**. 1. Nell'**editor delle politiche**, sostituisci il codice JSON predefinito con la seguente dichiarazione di policy. Aggiorna ciascuno {{example resource placeholder}} con i dettagli dell'account del fornitore. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appconfig:StartConfigurationSession", "appconfig:GetLatestConfiguration" ], "Resource": "arn:aws:appconfig:{{us-east-1}}:{{111122223333}}:application/{{vendor_application_ID}}/environment/{{vendor_environment_ID}}/configuration/{{vendor_configuration_ID}}" } ] } ``` ------ Ecco un esempio: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "appconfig:StartConfigurationSession", "appconfig:GetLatestConfiguration" ], "Resource": "arn:aws:appconfig:us-east-2:{{111122223333}}:application/abc123/environment/def456/configuration/hij789" } ] } ``` ------ 1. Scegli **Next (Successivo)**. 1. Nel campo **Nome della politica**, inserisci un nome. 1. (Facoltativo) Per **Aggiungi tag**, aggiungi una o più coppie tag-chiave-valore per organizzare, tracciare o controllare l'accesso a questa politica. 1. Scegli **Crea policy**. Il sistema visualizza di nuovo la pagina **Policies (Policy)**. 1. Ripetete questa procedura in ciascuna unità Account AWS che fornirà i dati di configurazione per l'account di recupero. **Crea il ruolo IAM** Utilizza la seguente procedura per creare un ruolo IAM utilizzando la console IAM. Completa la procedura in ciascuna Account AWS unità che fornirà i dati di configurazione per l'account di recupero. **Per creare un ruolo IAM** 1. Accedi all'account di un Console di gestione AWS fornitore. 1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Nel riquadro di navigazione, scegli **Ruoli**, quindi scegli **Crea politica**. 1. Per **Tipo di entità attendibile**, seleziona **Account AWS**. 1. Nella **Account AWS**sezione, scegli **Altro Account AWS**. 1. Nel campo **ID account**, inserisci l'ID dell'account di recupero. 1. (Facoltativo) Come procedura consigliata di sicurezza per questo ruolo, scegli **Richiedi ID esterno** e inserisci una stringa. 1. Scegli **Next (Successivo)**. 1. Nella pagina **Aggiungi autorizzazioni**, utilizza il campo **Cerca** per individuare la politica creata nella procedura precedente. Seleziona la casella accanto al suo nome. 1. Scegli **Next (Successivo)**. 1. In **Role name (Nome ruolo)**, immettere un nome. 1. (Facoltativo) In **Descrizione**, immetti una descrizione. 1. Per il **passaggio 1: seleziona le entità attendibili**, scegli **Modifica**. Sostituisci la politica di fiducia JSON predefinita con la seguente politica. Aggiorna ciascuno {{example resource placeholder}} con le informazioni del tuo account di recupero. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:role/{{appconfig_role_in_retrieval_account}}" }, "Action": "sts:AssumeRole" } ] } ``` ------ 1. (Facoltativo) In **Tag**, aggiungi una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questo ruolo. 1. Scegliere **Crea ruolo**. Il sistema visualizza di nuovo la pagina **Ruoli**. 1. Cerca il ruolo che hai appena creato. Sceglilo. Nella sezione **ARN**, copia l'ARN. Queste informazioni verranno specificate nella procedura successiva. **Aggiungi sostituzioni di credenziali al manifesto** Dopo aver creato il ruolo IAM nel tuo account fornitore, aggiorna il manifesto nell'account di recupero. In particolare, aggiungi il blocco delle credenziali e l'ARN del ruolo IAM per recuperare i dati di configurazione dall'account del fornitore. Ecco il formato JSON: ``` { "{{vendor_application_name}}:{{vendor_environment_name}}:{{vendor_configuration_name}}": { "credentials": { "roleArn": "arn:{{partition}}:iam::{{vendor_account_ID}}:role/{{name_of_role_created_in_vendor_account}}", "roleExternalId": "{{string}}", "roleSessionName": "{{string}}", "credentialsDuration": "{{time_in_hours}}" } } } ``` Ecco un esempio: ``` { "My2ndApp:Beta:MyEnableMobilePaymentsFeatureFlagConfiguration": { "credentials": { "roleArn": "arn:aws:us-west-1:iam::123456789012:role/MyTestRole", "roleExternalId": "00b148e2-4ea4-46a1-ab0f-c422b54d0aac", "roleSessionName": "AwsAppConfigAgent", "credentialsDuration": "2h" } } } ``` **Verifica che il recupero da più account funzioni** È possibile verificare che l'agente sia in grado di recuperare i dati di configurazione da più account esaminando i registri dell'agente. AWS AppConfig Il registro dei `INFO` livelli per i dati iniziali recuperati per '`YourApplicationName`:`YourEnvironmentName`:`YourConfigurationName`' è l'indicatore migliore per il successo dei recuperi. Se i recuperi non riescono, dovrebbe apparire un registro dei `ERROR` livelli che indica il motivo dell'errore. Di seguito è riportato un esempio di recupero riuscito da un account fornitore: ``` [appconfig agent] 2023/11/13 11:33:27 INFO AppConfig Agent 2.0.x [appconfig agent] 2023/11/13 11:33:28 INFO serving on localhost:2772 [appconfig agent] 2023/11/13 11:33:28 INFO retrieved initial data for 'MyTestApplication:MyTestEnvironment:MyDenyListConfiguration' in XX.Xms ```