Ringkasan Prasyarat dan batasan Arsitektur Alat Praktik terbaik Epik Pemecahan Masalah Sumber daya terkait

Pantau penggunaan Gambar Mesin Amazon bersama di beberapa Akun AWS

Naveen Suthar dan Sandeep Gawande, Amazon Web Services

Ringkasan

Amazon Machine Images (AMIs) digunakan untuk membuat instans Amazon Elastic Compute Cloud (Amazon EC2) di lingkungan Amazon Web Services (AWS) Anda. Anda dapat membuat AMIs akun AWS terpusat yang terpisah, yang disebut akun pembuat dalam pola ini. Anda kemudian dapat membagikan AMI di beberapa Akun AWS yang sama Wilayah AWS, yang disebut akun konsumen dalam pola ini. Mengelola AMIs dari satu akun memberikan skalabilitas dan menyederhanakan tata kelola. Di akun konsumen, Anda dapat mereferensikan AMI bersama di templat peluncuran Amazon EC2 Auto Scaling dan grup node Amazon Elastic Kubernetes Service (Amazon EKS).

Ketika AMI bersama tidak digunakan lagi, dideregistrasi, atau tidak dibagikan, yang Layanan AWS merujuk ke AMI di akun konsumen tidak dapat menggunakan AMI ini untuk meluncurkan instans baru. Setiap peristiwa penskalaan otomatis atau peluncuran ulang instance yang sama gagal. Hal ini dapat menyebabkan masalah di lingkungan produksi, seperti downtime aplikasi atau penurunan kinerja. Ketika peristiwa berbagi dan penggunaan AMI terjadi dalam beberapa kali Akun AWS, akan sulit untuk memantau aktivitas ini.

Pola ini membantu Anda memantau penggunaan dan status AMI bersama di seluruh akun di Wilayah yang sama. Ini menggunakan tanpa server Layanan AWS, seperti Amazon, Amazon DynamoDB EventBridge, AWS Lambda, dan Amazon Simple Email Service (Amazon SES). Anda menyediakan infrastruktur sebagai kode (IAc) dengan menggunakan HashiCorp Terraform. Solusi ini memberikan peringatan ketika layanan di akun konsumen mereferensikan AMI yang dideregistrasi atau tidak dibagikan.

Prasyarat dan batasan

Prasyarat

Dua atau lebih aktif Akun AWS: satu akun kreator dan satu atau lebih akun konsumen
Satu atau lebih AMIs yang dibagikan dari akun pembuat ke akun konsumen
Terraform CLI, diinstal (dokumentasi Terraform)
AWS Penyedia Terraform, dikonfigurasi (dokumentasi Terraform)
(Opsional, tetapi disarankan) Backend Terraform, dikonfigurasi (dokumentasi Terraform)
Git, diinstal

Batasan

Pola ini memantau AMIs yang telah dibagikan ke akun tertentu dengan menggunakan ID akun. Pola ini tidak memantau AMIs yang telah dibagikan ke organisasi dengan menggunakan ID organisasi.
AMIs hanya dapat dibagikan ke akun yang berada dalam hal yang sama Wilayah AWS. Pola ini memantau AMIs dalam satu Wilayah target. Untuk memantau penggunaan AMIs di beberapa Wilayah, Anda menerapkan solusi ini di setiap Wilayah.
Pola ini tidak memantau apa pun AMIs yang dibagikan sebelum solusi ini diterapkan. Jika Anda ingin memantau yang dibagikan sebelumnya AMIs, Anda dapat membatalkan pembagian AMI dan kemudian membagikannya kembali dengan akun konsumen.

Versi produk

Terraform versi 1.2.0 atau yang lebih baru
AWS Penyedia Terraform versi 4.20 atau yang lebih baru

Arsitektur

Tumpukan teknologi target

Sumber daya berikut disediakan sebagai IAc melalui Terraform:

Tabel Amazon DynamoDB
EventBridge Aturan Amazon
AWS Identity and Access Management Peran (IAM)
AWS Lambda fungsi
Amazon SES

Arsitektur target

Arsitektur untuk memantau penggunaan AMI bersama dan memperingatkan pengguna jika AMI tidak dibagikan atau dideregistrasi

Diagram menunjukkan alur kerja berikut:

AMI di akun pembuat dibagikan dengan akun konsumen dalam hal yang sama Wilayah AWS.
Saat AMI dibagikan, EventBridge aturan di akun pembuat akan menangkap ModifyImageAttribute acara dan memulai fungsi Lambda di akun pembuat.
Fungsi Lambda menyimpan data yang terkait dengan AMI dalam tabel DynamoDB di akun pembuat.
Saat akun Layanan AWS konsumen menggunakan AMI bersama untuk meluncurkan EC2 instans Amazon atau saat AMI bersama dikaitkan dengan templat peluncuran, EventBridge aturan di akun konsumen menangkap penggunaan AMI bersama.
EventBridge Aturan memulai fungsi Lambda di akun konsumen. Fungsi Lambda melakukan hal berikut:
1. Fungsi Lambda memperbarui data terkait AMI dalam tabel DynamoDB di akun konsumen.
2. Fungsi Lambda mengasumsikan peran IAM di akun pembuat dan memperbarui tabel Lambda di akun pembuat. Dalam Mapping tabel, ia membuat item yang memetakan ID instance atau meluncurkan ID template ke ID AMI masing-masing.
AMI yang dikelola secara terpusat di akun pembuat tidak digunakan lagi, dideregistrasi, atau tidak dibagikan.
EventBridge Aturan di akun pembuat menangkap DeregisterImage peristiwa ModifyImageAttribute atau dengan remove tindakan dan memulai fungsi Lambda.
Fungsi Lambda memeriksa tabel DynamoDB untuk menentukan apakah AMI digunakan di salah satu akun konsumen. Jika tidak ada instance IDs atau template peluncuran IDs yang terkait dengan AMI dalam Mapping tabel, maka prosesnya selesai.
Jika ada instance IDs atau template peluncuran IDs yang terkait dengan AMI dalam Mapping tabel, maka fungsi Lambda menggunakan Amazon SES untuk mengirim pemberitahuan email ke pelanggan yang dikonfigurasi.

Alat

Layanan AWS

Amazon DynamoDB adalah layanan database NoSQL yang dikelola sepenuhnya yang menyediakan kinerja yang cepat, dapat diprediksi, dan terukur.
Amazon EventBridge adalah layanan bus acara tanpa server yang membantu Anda menghubungkan aplikasi Anda dengan data real-time dari berbagai sumber. Misalnya, AWS Lambda fungsi, titik akhir pemanggilan HTTP menggunakan tujuan API, atau bus acara di tempat lain. Akun AWS
AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke sumber daya AWS dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.
AWS Lambdaadalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.
Amazon Simple Email Service (Amazon SES) membantu Anda mengirim dan menerima email dengan menggunakan alamat email dan domain Anda sendiri.

Alat lainnya

HashiCorp Terraform adalah alat infrastruktur sebagai kode (IAc) yang membantu Anda menggunakan kode untuk menyediakan dan mengelola infrastruktur dan sumber daya cloud.
Python adalah bahasa pemrograman komputer tujuan umum.

Repositori kode

Kode untuk pola ini tersedia di repositori GitHub cross-account-ami-monitoring-terraform-samples.

Praktik terbaik

Ikuti Praktik terbaik untuk bekerja dengan AWS Lambda fungsi.
Ikuti Praktik terbaik untuk membangun AMIs.
Saat membuat peran IAM, ikuti prinsip hak istimewa terkecil dan berikan izin minimum yang diperlukan untuk melakukan tugas. Untuk informasi selengkapnya, lihat Berikan hak istimewa terkecil dan praktik terbaik Keamanan dalam dokumentasi IAM.
Siapkan pemantauan dan peringatan untuk AWS Lambda fungsi. Untuk informasi selengkapnya, lihat Memantau dan memecahkan masalah fungsi Lambda.

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat profil AWS CLI bernama.	Untuk akun pembuat dan setiap akun konsumen, buat profil bernama AWS Command Line Interface (AWS CLI). Untuk petunjuk, lihat Mengatur AWS CLI di Pusat Sumber Daya AWS Memulai.	DevOps insinyur
Kloning repositori.	Masukkan perintah berikut. Ini mengkloning repositori cross-account-ami-monitoring-terraform-samples dari dengan menggunakan SSH. GitHub `git clone git@github.com:aws-samples/cross-account-ami-monitoring-terraform-samples.git`	DevOps insinyur
Perbarui file provider.tf.	Masukkan perintah berikut untuk menavigasi ke `terraform` folder di repositori kloning. `cd cross-account-ami-monitoring/terraform` Buka file `provider.tf`. Perbarui konfigurasi AWS Penyedia Terraform untuk akun pembuat dan akun konsumen sebagai berikut: Untuk`alias`, masukkan nama untuk konfigurasi penyedia. Untuk`region`, masukkan target Wilayah AWS tempat Anda ingin menerapkan solusi ini. Untuk`profile`, masukkan profil AWS CLI bernama untuk mengakses akun. Jika Anda mengonfigurasi lebih dari satu akun konsumen, buat profil untuk setiap akun konsumen tambahan. Simpan dan tutup file `provider.tf`. Untuk informasi selengkapnya tentang mengonfigurasi penyedia, lihat Beberapa konfigurasi penyedia dalam dokumentasi Terraform.	DevOps insinyur
Perbarui file terraform.tfvars.	Buka file `terraform.tfvars`. Dalam `account_email_mapping` parameter, konfigurasikan peringatan untuk akun pembuat dan akun konsumen sebagai berikut: Untuk`account`, masukkan ID akun. Untuk`email`, masukkan alamat email tempat Anda ingin mengirim peringatan. Anda hanya dapat memasukkan satu alamat email untuk setiap akun. Jika Anda mengonfigurasi lebih dari satu akun konsumen, masukkan akun dan alamat email untuk setiap akun konsumen tambahan. Simpan dan tutup file `terraform.tfvars`.	DevOps insinyur
Perbarui file main.tf.	Selesaikan langkah-langkah ini hanya jika Anda menerapkan solusi ini ke lebih dari satu akun konsumen. Jika Anda menerapkan solusi ini hanya ke satu akun konsumen, tidak diperlukan modifikasi file ini. Buka file `main.tf`. Untuk setiap akun konsumen tambahan, buat modul baru yang didasarkan pada `consumer_account_A` modul di template. Untuk setiap akun konsumen, untuk`provider`, nilainya harus sesuai dengan alias yang Anda masukkan dalam `provider.tf` file. Simpan dan tutup file `main.tf`.	DevOps insinyur

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Menyebarkan solusinya.	Di CLI Terraform, masukkan perintah berikut untuk menyebarkan AWS sumber daya di akun pembuat dan konsumen: Masukkan perintah berikut untuk menginisialisasi Terraform. `terraform init` Masukkan perintah berikut untuk memvalidasi konfigurasi Terraform. `terraform validate` Masukkan perintah berikut untuk membuat rencana eksekusi Terraform. `terraform plan` Tinjau perubahan konfigurasi dalam paket Terraform dan konfirmasikan bahwa Anda ingin menerapkan perubahan ini. Masukkan perintah berikut untuk menyebarkan sumber daya. `terraform apply`	DevOps insinyur
Verifikasi identitas alamat email.	Saat Anda menerapkan paket Terraform, Terraform membuat identitas alamat email untuk setiap akun konsumen di Amazon SES. Sebelum pemberitahuan dapat dikirim ke alamat email tersebut, Anda harus memverifikasi alamat email tersebut. Untuk petunjuk, lihat Memverifikasi identitas alamat email dalam dokumentasi Amazon SES.	AWS Umum

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Validasi penerapan di akun pembuat.	Masuk ke akun pembuat. Di bilah navigasi, konfirmasikan bahwa sedang melihat target Wilayah AWS. Jika Anda berada di Wilayah lain, pilih nama Wilayah yang ditampilkan saat ini, lalu pilih Wilayah target. Buka Konsol DynamoDB. Di panel navigasi, pilih Tabel. Dalam daftar tabel, validasi bahwa `AmiShare` tabel ada. Buka Konsol Lambda. Di panel navigasi, pilih Fungsi. Dalam daftar fungsi, validasi bahwa `ami-share` fungsi tersebut ada. Buka konsol IAM. Di panel navigasi, pilih Peran. Dalam daftar peran, validasi bahwa `external-ddb-role` peran tersebut ada. Buka konsol EventBridge . Di panel navigasi, pilih Aturan. Dalam daftar aturan, validasi bahwa `modify_image_attribute_event` aturan ada. Buka konsol Amazon SES. Di panel navigasi, pilih Identitas Terverifikasi. Dalam daftar identitas, validasi bahwa identitas alamat email telah terdaftar dan diverifikasi untuk setiap akun konsumen.	DevOps insinyur
Validasi penyebaran di akun konsumen.	Masuk ke akun konsumen. Di bilah navigasi, konfirmasikan bahwa sedang melihat target Wilayah AWS. Jika Anda berada di Wilayah lain, pilih nama Wilayah yang ditampilkan saat ini, lalu pilih Wilayah target. Buka Konsol DynamoDB. Di panel navigasi, pilih Tabel. Dalam daftar tabel, validasi bahwa `Mapping` tabel ada. Buka Konsol Lambda. Di panel navigasi, pilih Fungsi. Dalam daftar fungsi, validasi bahwa `ami-deregister-function` fungsi `ami-usage-function` dan ada. Buka konsol EventBridge . Di panel navigasi, pilih Aturan. Dalam daftar aturan, validasi bahwa `ami_usage_events` dan `ami_deregister_events` aturan ada.	DevOps insinyur

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat AMI di akun pembuat.	Di akun pembuat, buat AMI pribadi. Untuk petunjuknya, lihat Membuat AMI dari EC2 instans Amazon. Bagikan AMI baru dengan salah satu akun konsumen. Untuk petunjuk, lihat Berbagi AMI dengan spesifik Akun AWS.	DevOps insinyur
Gunakan AMI di akun konsumen.	Di akun konsumen, gunakan AMI bersama untuk membuat EC2 instance Amazon atau templat peluncuran. Untuk petunjuknya, lihat Bagaimana cara meluncurkan EC2 instans Amazon dari AMI kustom (AWS Re:Post Knowledge Center) atau Membuat template peluncuran untuk grup Auto Scaling (dokumentasi Amazon Auto EC2 Scaling).	DevOps insinyur
Validasi pemantauan dan peringatan.	Masuk ke akun pembuat. Buka EC2 konsol Amazon. Di panel navigasi, pilih AMIs. Pilih AMI dalam daftar, lalu pilih Tindakan, Edit izin AMI. Di bagian Akun bersama, pilih akun konsumen, lalu pilih Hapus yang dipilih. Pilih Simpan perubahan. Validasi bahwa alamat email target yang Anda tetapkan untuk akun konsumen menerima pemberitahuan bahwa pembagian dibatalkan untuk AMI.	DevOps insinyur

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Hapus sumber daya.	Masukkan perintah berikut untuk menghapus sumber daya yang digunakan oleh pola ini dan hentikan pemantauan bersama AMIs. `terraform destroy` Konfirmasikan `destroy` perintah dengan memasukkan`yes`.	DevOps insinyur

Pemecahan Masalah

Isu	Solusi
Saya tidak menerima peringatan email.	Mungkin ada beberapa alasan mengapa email Amazon SES tidak dikirim. Periksa hal-hal berikut: Di bagian Epik, gunakan epik penyebaran sumber daya Validasi untuk mengonfirmasi bahwa infrastruktur telah disediakan dengan benar di semua. Akun AWS Validasi peristiwa fungsi Lambda di Amazon CloudWatch Logs. Untuk petunjuk, lihat Menggunakan CloudWatch konsol di dokumentasi Lambda. Konfirmasikan bahwa tidak ada masalah izin, seperti penolakan eksplisit dalam kebijakan berbasis identitas atau sumber daya apa pun. Untuk informasi selengkapnya, lihat Logika evaluasi kebijakan dalam dokumentasi IAM. Di Amazon SES, validasi bahwa status identitas alamat email telah Diverifikasi. Untuk informasi selengkapnya, lihat Memverifikasi identitas alamat email.

Isu

Solusi

Saya tidak menerima peringatan email.

Mungkin ada beberapa alasan mengapa email Amazon SES tidak dikirim. Periksa hal-hal berikut:

Di bagian Epik, gunakan epik penyebaran sumber daya Validasi untuk mengonfirmasi bahwa infrastruktur telah disediakan dengan benar di semua. Akun AWS
Validasi peristiwa fungsi Lambda di Amazon CloudWatch Logs. Untuk petunjuk, lihat Menggunakan CloudWatch konsol di dokumentasi Lambda. Konfirmasikan bahwa tidak ada masalah izin, seperti penolakan eksplisit dalam kebijakan berbasis identitas atau sumber daya apa pun. Untuk informasi selengkapnya, lihat Logika evaluasi kebijakan dalam dokumentasi IAM.
Di Amazon SES, validasi bahwa status identitas alamat email telah Diverifikasi. Untuk informasi selengkapnya, lihat Memverifikasi identitas alamat email.

Sumber daya terkait

AWS dokumentasi

Membangun fungsi Lambda dengan Python (dokumentasi Lambda)
Buat AMI ( EC2 dokumentasi Amazon)
Bagikan AMI dengan spesifik Akun AWS ( EC2 dokumentasi Amazon)
Batalkan pendaftaran AMI Anda (dokumentasi Amazon) EC2

Dokumentasi Terraform

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Pantau aktivitas aplikasi menggunakan Wawasan CloudWatch Log

Menyiapkan peringatan untuk penutupan akun terprogram di AWS Organizations