Mengatur deteksi AWS CloudFormation drift di organisasi multi-wilayah dan multi-akun - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatEpikSumber daya terkaitInformasi tambahanLampiran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengatur deteksi AWS CloudFormation drift di organisasi multi-wilayah dan multi-akun

Ram Kandaswamy, Amazon Web Services

Ringkasan

Pengguna Amazon Web Services (AWS) sering mencari cara yang efisien untuk mendeteksi ketidakcocokan konfigurasi sumber daya, termasuk drift dalam AWS CloudFormation tumpukan, dan memperbaikinya sesegera mungkin. Ini terutama terjadi ketika AWS Control Tower digunakan.

Pola ini memberikan solusi preskriptif yang secara efisien memecahkan masalah dengan menggunakan perubahan konfigurasi sumber daya terkonsolidasi dan bertindak atas perubahan tersebut untuk menghasilkan hasil. Solusi ini dirancang untuk skenario di mana ada beberapa AWS CloudFormation tumpukan yang dibuat di lebih dari satu Wilayah AWS, atau di lebih dari satu akun, atau kombinasi keduanya. Tujuan solusinya adalah sebagai berikut:

  • Sederhanakan proses deteksi drift

  • Siapkan notifikasi dan peringatan

  • Menyiapkan pelaporan konsolidasi

Prasyarat dan batasan

Prasyarat

  • AWS Config diaktifkan di semua Wilayah dan akun yang harus dipantau

Batasan

  • Laporan yang dihasilkan hanya mendukung format output nilai yang dipisahkan koma (CSV) dan JSON.

Arsitektur

Diagram berikut menunjukkan AWS Organizations pengaturan dengan beberapa akun. AWS Config aturan berkomunikasi antar akun.  

Proses lima langkah untuk memantau tumpukan di dua akun AWS Organizations.

Alur kerja mencakup langkah-langkah berikut:

  1. AWS Config Aturan mendeteksi penyimpangan.

  2. Hasil deteksi drift yang ditemukan di akun lain dikirim ke akun manajemen.

  3. CloudWatch Aturan Amazon memanggil AWS Lambda fungsi.

  4. Fungsi Lambda menanyakan AWS Config aturan untuk hasil agregat.

  5. Fungsi Lambda memberi tahu Amazon Simple Notification Service (Amazon SNS), yang mengirimkan pemberitahuan email tentang drift.

Otomatisasi dan skala

Solusi yang disajikan di sini dapat diskalakan untuk Wilayah dan akun tambahan.

Alat

Layanan AWS

  • AWS Configmemberikan tampilan rinci tentang konfigurasi AWS sumber daya di Anda Akun AWS. Ini mencakup bagaimana sumber daya terkait satu sama lain dan bagaimana sumber daya tersebut dikonfigurasi di masa lalu sehingga Anda dapat melihat bagaimana konfigurasi dan hubungan berubah dari waktu ke waktu.

  • Amazon CloudWatch membantu Anda memantau metrik sumber AWS daya Anda dan aplikasi yang Anda jalankan AWS secara real time.

  • AWS Lambdaadalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.

  • Amazon Simple Notification Service (Amazon SNS) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email.

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Buat agregator.

  1. Masuk ke AWS Management Console dan buka AWS Config konsol di https://console.aws.amazon.com/config.

  2. Buat agregator di akun manajemen.

  3. Pastikan replikasi data diaktifkan sehingga AWS Config dapat mengambil data dari akun sumber.

  4. Pilih semua Wilayah dan akun yang berlaku. Anda dapat memilih akun berdasarkan AWS Organizations. Kami merekomendasikan pendekatan ini karena akun baru dalam organisasi secara otomatis merupakan bagian dari agregator.

Arsitek awan

Buat aturan AWS terkelola.

Tambahkan aturan cloudformation-stack-drift-detection-check AWS terkelola. Aturan membutuhkan satu nilai parameter:cloudformationArn.

Masukkan peran IAM Amazon Resource Name (ARN) yang memiliki izin untuk mendeteksi stack drift. Peran harus memiliki kebijakan kepercayaan yang memungkinkan AWS Config untuk mengambil peran.

Arsitek awan

Buat bagian kueri lanjutan dari agregator.

Untuk mengambil tumpukan hanyut dari berbagai sumber, buat kueri berikut:

SELECT resourceId, configuration.driftInformation.stackDriftStatus WHERE resourceType = 'AWS::CloudFormation::Stack'  AND configuration.driftInformation.stackDriftStatus IN ('DRIFTED')
Arsitek awan, Pengembang

Mengotomatiskan menjalankan kueri dan mempublikasikan.

  1. Buat fungsi Lambda dengan menggunakan kode yang dilampirkan. Lambda akan mempublikasikan hasilnya ke topik SNS yang disediakan sebagai variabel lingkungan dalam fungsi Lambda.

  2. Untuk menerima peringatan, buat langganan email ke topik SNS.

Arsitek awan, Pengembang

Buat CloudWatch aturan.

Buat CloudWatch aturan berbasis jadwal untuk memanggil fungsi Lambda, yang bertanggung jawab untuk memperingatkan.

Arsitek awan

Sumber daya terkait

Sumber Daya

Informasi tambahan

Pertimbangan-pertimbangan

Sebaiknya gunakan solusi yang disajikan dalam pola ini daripada menggunakan solusi khusus yang melibatkan panggilan API pada interval tertentu untuk memulai deteksi drift pada setiap kumpulan CloudFormation tumpukan atau tumpukan. Solusi khusus yang menggunakan panggilan API pada interval tertentu dapat menyebabkan sejumlah besar panggilan API dan memengaruhi kinerja. Karena jumlah panggilan API, pelambatan dapat terjadi. Masalah potensial lainnya adalah keterlambatan deteksi jika perubahan sumber daya diidentifikasi hanya berdasarkan jadwal.

Karena set tumpukan terbuat dari tumpukan, Anda dapat menggunakan solusi ini. Detail instance stack juga tersedia sebagai bagian dari solusi.

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip