

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 AWS AppConfig
<a name="setting-up-appconfig"></a>

## 注册获取 AWS 账户
<a name="sign-up-for-aws"></a>

要开始使用 AWS，你需要一个 AWS 账户。有关创建的信息 AWS 账户，请参阅《*AWS 账户管理 参考指南》 AWS 账户中的[入门](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html)指南*。

## 配置自动回滚的权限
<a name="getting-started-with-appconfig-cloudwatch-alarms-permissions"></a>

您可以配置 AWS AppConfig 为回滚到配置的先前版本，以响应一个或多个 Amazon CloudWatch 警报。在配置部署以响应 CloudWatch 警报时，您可以指定一个 AWS Identity and Access Management (IAM) 角色。 AWS AppConfig 需要此角色才能监视 CloudWatch 警报。此过程是可选的，但强烈建议您这样做。

**注意**  
请注意以下信息。  
IAM 角色必须属于当前账户。默认情况下， AWS AppConfig 只能监控当前账户拥有的警报。
有关要监控的指标以及如何配置 AWS AppConfig 自动回滚的信息，请参阅[监控部署以实现自动回滚](monitoring-deployments.md)。

使用以下过程创建允许根据 CloudWatch 警报 AWS AppConfig 进行回滚的 IAM 角色。本节包括以下过程。

1. [步骤 1：根据警报创建回滚权限策略 CloudWatch](#getting-started-with-appconfig-cloudwatch-alarms-permissions-policy)

1. [步骤 2：根据警报创建用于回滚的 IAM 角色 CloudWatch](#getting-started-with-appconfig-cloudwatch-alarms-permissions-role)

1. [第 3 步：添加信任关系](#getting-started-with-appconfig-cloudwatch-alarms-permissions-trust)

### 步骤 1：根据警报创建回滚权限策略 CloudWatch
<a name="getting-started-with-appconfig-cloudwatch-alarms-permissions-policy"></a>

使用以下过程创建授予调用 `DescribeAlarms` API 操作 AWS AppConfig 权限的 IAM 策略。

**根据警报创建用于回滚的 IAM 权限策略 CloudWatch**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在导航窗格中，选择 **策略**，然后选择 **创建策略**。

1. 在**创建策略**页面上，选择 **JSON** 选项卡。

1. 将 JSON 选项卡上的默认内容替换以下权限策略，然后选择 **Next: Tags**。
**注意**  
要返回有关 CloudWatch 复合警报的信息，必须为 [DescribeAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarms.html)API 操作分配`*`权限，如下所示。如果 `DescribeAlarms` 的范围较窄，则无法返回有关复合警报的信息。

------
#### [ JSON ]

****  

   ```
   {
           "Version":"2012-10-17",		 	 	 
           "Statement": [
               {
                   "Effect": "Allow",
                   "Action": [
                       "cloudwatch:DescribeAlarms"
                   ],
                   "Resource": "*"
               }
           ]
       }
   ```

------

1. 为该角色输入标签，然后选择 **Next: Review**。

1. 在**查看**页面上，将 **SSMCloudWatchAlarmDiscoveryPolicy** 输入到 **名称** 字段中。

1. 选择**创建策略**。系统将让您返回到 **Policies** 页面。

### 步骤 2：根据警报创建用于回滚的 IAM 角色 CloudWatch
<a name="getting-started-with-appconfig-cloudwatch-alarms-permissions-role"></a>

使用以下过程创建 IAM 角色并向其分配您在上一过程中创建的策略。

**根据警报创建用于回滚的 IAM 角色 CloudWatch**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在导航窗格中，选择 **Roles (角色)**，然后选择 **Create role (创建角色)**。

1. 在 **Select type of trusted entity (选择受信任实体的类型)** 下，选择 **AWS service (Amazon Web Services 服务)**。

1. 在紧靠**选择将使用此角色的服务**下面，选择 **EC2：允许 EC2 实例调用 AWS 服务，并代表您 **，然后选择 **下一步: 权限**。

1. 在**附加的权限策略**页面上，搜索**SSMCloudWatchAlarmDiscoveryPolicy**。

1. 选择此策略，然后选择 **Next: Tags**。

1. 为该角色输入标签，然后选择 **Next: Review**。

1. 在 **创建角色** 页面上，将 **SSMCloudWatchAlarmDiscoveryRole** 输入到 **角色名称** 字段中，然后选择 **创建角色**。

1. 在 **Roles** 页面上，选择您刚刚创建的角色。此时将打开**摘要**页面。

### 第 3 步：添加信任关系
<a name="getting-started-with-appconfig-cloudwatch-alarms-permissions-trust"></a>

使用以下过程将您刚刚创建的角色配置为信任 AWS AppConfig。

**为添加信任关系 AWS AppConfig**

1. 在刚刚创建的角色的**摘要**页面上，选择**信任关系**选项卡，然后选择**编辑信任关系**。

1. 编辑策略以仅包含“`appconfig.amazonaws.com`”，如以下示例中所示：

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "appconfig.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. 选择**更新信任策略**。