本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS AppConfig
## 註冊 AWS 帳戶
若要開始使用 AWS,您需要 AWS 帳戶。如需建立 的相關資訊 AWS 帳戶,請參閱《 *AWS 帳戶管理 參考指南*》中的 [入門 AWS 帳戶](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html)。
## 設定自動轉返的許可
您可以 AWS AppConfig 設定 轉返至先前版本的組態,以回應一或多個 Amazon CloudWatch 警示。當您設定部署以回應 CloudWatch 警示時,您可以指定 AWS Identity and Access Management (IAM) 角色。 AWS AppConfig 需要此角色,才能監控 CloudWatch 警示。此程序是選用的,但強烈建議您使用。
**注意**
記下以下資訊。
IAM 角色必須屬於目前的帳戶。根據預設, AWS AppConfig 只能監控目前帳戶擁有的警示。
如需有關要監控的指標以及如何 AWS AppConfig 設定自動轉返的資訊,請參閱 [監控部署以進行自動復原](monitoring-deployments.md)。
使用下列程序來建立 IAM 角色,讓 AWS AppConfig 能夠根據 CloudWatch 警示轉返。本節包括下列程序。
1. [步驟 1:根據 CloudWatch 警示建立復原的許可政策](#getting-started-with-appconfig-cloudwatch-alarms-permissions-policy)
1. [步驟 2:根據 CloudWatch 警示建立用於轉返的 IAM 角色](#getting-started-with-appconfig-cloudwatch-alarms-permissions-role)
1. [步驟 3:新增信任關係](#getting-started-with-appconfig-cloudwatch-alarms-permissions-trust)
### 步驟 1:根據 CloudWatch 警示建立復原的許可政策
使用下列程序建立 IAM 政策,授予呼叫 `DescribeAlarms` API 動作的 AWS AppConfig 許可。
**根據 CloudWatch 警示建立復原的 IAM 許可政策**
1. 在 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 中開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies (政策)**,然後選擇 **Create policy (建立政策)**。
1. 在**建立政策**頁面上,選擇 **JSON** 標籤。
1. 使用下列許可政策取代 JSON 標籤上的預設內容,然後選擇**下一步:標籤**。
**注意**
若要傳回 CloudWatch 複合警示的相關資訊,[DescribeAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarms.html) API 操作必須指派`*`許可,如下所示。如果 `DescribeAlarms` 的範圍較窄,則無法傳回複合警示的相關資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
}
]
}
```
------
1. 輸入此角色的標籤,然後選擇 **Next: Review (下一步:檢閱)**。
1. 在**檢閱**頁面上,**SSMCloudWatchAlarmDiscoveryPolicy**在**名稱**欄位中輸入 。
1. 選擇**建立政策**。系統會讓您返回 **Policies (政策)** 頁面。
### 步驟 2:根據 CloudWatch 警示建立用於轉返的 IAM 角色
使用下列程序來建立 IAM 角色,並將您在先前程序中建立的政策指派給該角色。
**根據 CloudWatch 警示建立用於轉返的 IAM 角色**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇 **Roles (角色)**,然後選擇 **Create role (建立角色)**。
1. 在 **Select type of trusted entity** (選擇可信任執行個體類型) 下,選擇 **AWS service** ( 服務)。
1. 立即**在選擇將使用此角色的服務**下,選擇 **EC2:允許 EC2 執行個體代表您呼叫 AWS 服務**,然後選擇**下一步:許可**。
1. 在**連接許可政策**頁面上,搜尋 **SSMCloudWatchAlarmDiscoveryPolicy**。
1. 選擇此政策,然後選擇 **Next: Tags (下一步:標籤)**。
1. 輸入此角色的標籤,然後選擇 **Next: Review (下一步:檢閱)**。
1. 在**建立角色**頁面上,**SSMCloudWatchAlarmDiscoveryRole**在**角色名稱**欄位中輸入 ,然後選擇**建立角色**。
1. 在 **Roles (角色)** 頁面上,選擇您剛建立的角色。**Summary (摘要)** 頁面隨即開啟。
### 步驟 3:新增信任關係
使用下列程序來設定您剛建立的角色以信任 AWS AppConfig。
**新增 的信任關係 AWS AppConfig**
1. 在您剛建立之角色的 **Summary (摘要)** 頁面中,選擇 **Trust Relationships (信任關係)** 索引標籤,然後著選擇 **Edit Trust Relationship (編輯信任關係)**。
1. 編輯政策以僅包含 "`appconfig.amazonaws.com`",如下列範例所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appconfig.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 選擇 **Update Trust Policy** (更新信任政策)。