本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置 AWS AppConfig
如果您尚未这样做,请注册 AWS 账户 并创建管理用户。
## 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**要注册 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
## 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 授权以编程方式访问
如果用户想在 AWS 外部进行交互,则需要编程访问权限 AWS 管理控制台。授予编程访问权限的方式取决于正在访问的用户类型 AWS。
要向用户授予编程式访问权限,请选择以下选项之一。
****
| 哪个用户需要编程式访问权限? | 目的 | 方式 |
| --- | --- | --- |
| IAM | (推荐)使用控制台凭证作为临时凭证,签署对 AWS CLI AWS SDKs、或的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/appconfig/latest/userguide/setting-up-appconfig.html) |
| 人力身份 (在 IAM Identity Center 中管理的用户) | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/appconfig/latest/userguide/setting-up-appconfig.html) |
| IAM | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照 IAM 用户指南中的将[临时证书与 AWS 资源配合使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)中的说明进行操作。 |
| IAM | (不推荐使用)使用长期凭证签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/appconfig/latest/userguide/setting-up-appconfig.html) |
# 了解 IPv6 支持
所有人 AWS AppConfig APIs 全力支持 IPv4 和 IPv6 致电。
**控制层面 APIs**
使用以下端点对[控制平面 IPv4 ](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_Operations_Amazon_AppConfig.html)进行 IPv6 双栈调用:
```
appconfig.Region.api.aws
```
例如:appconfig.us-east-1.api.aws
IPv4 仅限于此,请使用以下 URL:
```
appconfig.Region.amazonaws.com
```
**数据平面 APIs**
向[数据面板](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_Operations_AWS_AppConfig_Data.html)进行双栈调用时,使用以下端点:
```
appconfigdata.Region.api.aws
```
例如:appconfig.us-east-1.api.aws
IPv4 仅限于此,请使用以下 URL:
```
appconfigdata.Region.amazonaws.com
```
**注意**
有关更多信息,请参阅 *AWS 一般参考* 中的 [AWS AppConfig 端点和配额](https://docs.aws.amazon.com/general/latest/gr/appconfig.html)。
## 配置自动回滚的权限
您可以配置 AWS AppConfig 为回滚到配置的先前版本,以响应一个或多个 Amazon CloudWatch 警报。在配置部署以响应 CloudWatch 警报时,您可以指定一个 AWS Identity and Access Management (IAM) 角色。 AWS AppConfig 需要此角色才能监视 CloudWatch 警报。此过程是可选的,但强烈建议您这样做。
**注意**
请注意以下信息。
IAM 角色必须属于当前账户。默认情况下, AWS AppConfig 只能监控当前账户拥有的警报。
有关要监控的指标以及如何配置 AWS AppConfig 自动回滚的信息,请参阅[监控部署以实现自动回滚](monitoring-deployments.md)。
使用以下过程创建允许根据 CloudWatch 警报 AWS AppConfig 进行回滚的 IAM 角色。本节包括以下过程。
1. [步骤 1:根据警报创建回滚权限策略 CloudWatch](#getting-started-with-appconfig-cloudwatch-alarms-permissions-policy)
1. [步骤 2:根据警报创建用于回滚的 IAM 角色 CloudWatch](#getting-started-with-appconfig-cloudwatch-alarms-permissions-role)
1. [第 3 步:添加信任关系](#getting-started-with-appconfig-cloudwatch-alarms-permissions-trust)
### 步骤 1:根据警报创建回滚权限策略 CloudWatch
使用以下过程创建授予调用 `DescribeAlarms` API 操作 AWS AppConfig 权限的 IAM 策略。
**根据警报创建用于回滚的 IAM 权限策略 CloudWatch**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择 **策略**,然后选择 **创建策略**。
1. 在**创建策略**页面上,选择 **JSON** 选项卡。
1. 将 JSON 选项卡上的默认内容替换以下权限策略,然后选择 **Next: Tags**。
**注意**
要返回有关 CloudWatch 复合警报的信息,必须为 [DescribeAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarms.html)API 操作分配`*`权限,如下所示。如果 `DescribeAlarms` 的范围较窄,则无法返回有关复合警报的信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
}
]
}
```
------
1. 为该角色输入标签,然后选择 **Next: Review**。
1. 在**查看**页面上,将 **SSMCloudWatchAlarmDiscoveryPolicy** 输入到 **名称** 字段中。
1. 选择**创建策略**。系统将让您返回到 **Policies** 页面。
### 步骤 2:根据警报创建用于回滚的 IAM 角色 CloudWatch
使用以下过程创建 IAM 角色并向其分配您在上一过程中创建的策略。
**根据警报创建用于回滚的 IAM 角色 CloudWatch**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择 **Roles (角色)**,然后选择 **Create role (创建角色)**。
1. 在 **Select type of trusted entity (选择受信任实体的类型)** 下,选择 **AWS service (Amazon Web Services 服务)**。
1. 在紧靠**选择将使用此角色的服务**下面,选择 **EC2:允许 EC2 实例调用 AWS 服务,并代表您 **,然后选择 **下一步: 权限**。
1. 在**附加的权限策略**页面上,搜索**SSMCloudWatchAlarmDiscoveryPolicy**。
1. 选择此策略,然后选择 **Next: Tags**。
1. 为该角色输入标签,然后选择 **Next: Review**。
1. 在 **创建角色** 页面上,将 **SSMCloudWatchAlarmDiscoveryRole** 输入到 **角色名称** 字段中,然后选择 **创建角色**。
1. 在 **Roles** 页面上,选择您刚刚创建的角色。此时将打开**摘要**页面。
### 第 3 步:添加信任关系
使用以下过程将您刚刚创建的角色配置为信任 AWS AppConfig。
**为添加信任关系 AWS AppConfig**
1. 在刚刚创建的角色的**摘要**页面上,选择**信任关系**选项卡,然后选择**编辑信任关系**。
1. 编辑策略以仅包含“`appconfig.amazonaws.com`”,如以下示例中所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appconfig.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 选择**更新信任策略**。