ゾーンシフトの IAM とアクセス許可 - Amazon Application Recovery Controller (ARC)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ゾーンシフトの IAM とアクセス許可

このセクションでは、特に ELB などの別の AWS サービスの機能を使用する場合に、Amazon Application Recovery Controller (ARC) のゾーンシフト機能に対するアクセス許可の仕組みに関する追加情報を提供します。ARC 機能が IAM やアクセス許可とどのように連携するのかといった一般的な情報については、概要トピックの「ARC でのゾーンシフトの Identity and Access Management」を参照してください。

ゾーンシフトは、Application Load Balancer、Network Load Balancer、Amazon EC2 Auto Scaling グループ、Amazon EKS をサポートしています。IAM 条件キーを使用して、IAM アクセス許可ポリシーをこれらのリソースにスコープできます。以下は、異なるタイプの複数のリソースを持つ条件キーを使用するポリシーの例です。

{
    "Condition": {
        "StringLike": {
            "arc-zonal-shift:ResourceIdentifier": [
                "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/*",
                "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/*",
                "arn:aws:eks:us-east-1:123456789012:cluster/*"
            ]
        }
    },
    "Action": [
        "arc-zonal-shift:StartZonalShift"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

詳細については、「サポートされているリソース」を参照してください。

IAM の概要トピックで説明されているアクセス許可に加えて、ゾーンシフトに関する IAM 権限には、以下の点が適用されます。

  • ARC でゾーンシフトを使用するのに必要なアクセス許可があることを確認します。詳細については、「ゾーンシフトコンソールアクセス」および「ゾーンシフトオペレーションアクセス」を参照してください。

  • ARC でアカウント内のマネージドロードバランサーリソースのゾーンシフトを実行するときは、IAM で Elastic Load Balancing のアクセス許可を追加する必要はありません。

  • ELB へのフルアクセスを提供する AWS マネージドポリシーには、ゾーンシフトを操作するためのアクセス許可が含まれています。ELB アクセスに AWS マネージドポリシーを使用する場合、ロードバランサーのゾーンシフトを開始したり、ELB コンソールで を操作するために、ゾーンシフトの IAM で追加のアクセス許可は必要ありません。詳細については、「ELB に関するAWS マネージドポリシー」を参照してください。