Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Inventaria automaticamente AWS le risorse su più account e regioni
*Matej Macek, Amazon Web Services*
## Riepilogo
Questo modello delinea un approccio automatizzato per mantenere un inventario completo di AWS risorse su più account e. Regioni AWSÈ progettato per aiutare gli ingegneri dell'infrastruttura e della sicurezza a migliorare le loro pratiche di gestione delle risorse. Viene utilizzato AWS Config per tenere traccia delle modifiche alle risorse, Amazon Athena per le interrogazioni e Amazon Quick Sight per dashboard interattivi. Implementa questa soluzione distribuendo uno stack. AWS CloudFormation
Questa soluzione è simile a quella presentata in [Visualizzazione dei AWS Config dati con Amazon Athena e Amazon](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/) Quick AWS Sight (post di blog). Questo modello amplia tale soluzione per soddisfare i seguenti requisiti comuni e fornire i seguenti vantaggi chiave:
+ **Incentrato sulla conformità** [https://www.hhs.gov/programs/hipaa/index.html](https://www.hhs.gov/programs/hipaa/index.html)
+ **Framework di personalizzazione**: fornisce una base per la creazione di dashboard Quick Sight per varie risorse, in modo da poter personalizzare la soluzione in base alle proprie esigenze specifiche. AWS
+ **Miglioramenti basati sull'utente**: questo approccio incorpora il feedback proveniente da casi d'uso reali e risponde alle richieste di una soluzione più completa.
I team di infrastruttura, sicurezza e finanza spesso affrontano problemi di visibilità e collaborazione in ambienti dinamici, con più account o più regioni. Questa soluzione è progettata per affrontare queste sfide e ridurre in modo significativo il tempo e gli sforzi necessari per creare e mantenere un inventario delle risorse. Il risultato è una visione centralizzata delle risorse che consente di migliorare le decisioni di allocazione delle risorse, identificare e mitigare i rischi, ottimizzare i costi e migliorare la visibilità e la collaborazione complessive. Questo approccio colma il divario tra le soluzioni concettuali e le esigenze di implementazione nel mondo reale per scopi operativi, di sicurezza e di conformità.
## Prerequisiti e limitazioni
**Prerequisiti**
+ Sono attivi i seguenti: Account AWS
+ *Account di gestione*: un account centralizzato per la fatturazione, la creazione di account e il controllo degli accessi all'interno dell'organizzazione
+ *Account di controllo*: un hub centralizzato per il monitoraggio della sicurezza, i controlli di conformità e le notifiche di deviazione
+ *Account di archiviazione dei log*: un account centralizzato per l'archiviazione e l'analisi dei dati raccolti
+ Nell'account di controllo, un AWS Config [aggregatore che raccoglie e aggrega](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) i dati di configurazione dagli account e dalle regioni di destinazione
+ Nell'account di archiviazione dei log, imposta quanto segue:
+ Un bucket Amazon Simple Storage Service (Amazon [S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) in cui archiviare i dati dall'aggregatore AWS Config
+ Un [abbonamento](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html) Amazon Quick
+ Una [connessione autorizzata](https://docs.aws.amazon.com/quicksight/latest/user/athena.html) tra Quick Sight e Amazon Athena
+ [Autorizzazioni](https://docs.aws.amazon.com/athena/latest/ug/s3-permissions.html) per accedere al bucket Amazon S3 tramite una query Athena
+ AWS Command Line Interface [https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
+ Autorizzazioni per distribuire uno CloudFormation stack che fornisce le seguenti risorse:
+ Una funzione AWS Lambda
+ Una configurazione di notifica di Amazon S3
+ Database, tabelle e viste Athena
+ Set di dati e fonti di dati Quick Sight
+ Autorizzazioni per eseguire automazioni in AWS Systems Manager
+ Autorizzazioni per accedere a Quick
**Limitazioni**
+ La soluzione si basa su. AWS Config AWS Config in genere registra le modifiche alla configurazione delle risorse subito dopo che viene rilevata una modifica o alla frequenza specificata. Tuttavia, questa operazione viene effettuata con la massima diligenza possibile e a volte può richiedere più tempo.
+ Questa soluzione tiene traccia solo dei [tipi di risorse AWS Config supportati](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
+ La soluzione non tiene traccia dell'inventario delle risorse di altri provider cloud o ambienti locali.
+ Alcuni Servizi AWS non sono disponibili in tutti Regioni AWS. Per informazioni sulla disponibilità regionale, consulta la pagina [Endpoint e quote del servizio](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) nella AWS documentazione e scegli il link relativo al servizio.
## Architecture
Il diagramma seguente mostra un processo semplificato per la raccolta, l'organizzazione, l'analisi e la visualizzazione dei dati di configurazione e conformità tra più account di un'organizzazione. AWS
Il diagramma mostra il flusso di lavoro seguente:
1. In base a una pianificazione periodica, l' AWS Config aggregatore raccoglie i dati di configurazione e conformità relativi alle risorse negli account e nelle regioni di destinazione, quindi invia i dati al bucket Amazon S3 nell'account di archiviazione dei log.
1. L'aggiunta di nuovi AWS Config dati al bucket Amazon S3 richiama una funzione. AWS Lambda
1. La funzione Lambda partiziona i dati configurando chiavi con valori che corrispondono alla regione e alla data di ogni file di istantanea. Ciò consente di interrogare AWS Glue ed elaborare in modo efficiente i dati di configurazione e conformità.
1. Amazon Athena utilizza uno AWS Glue [schema](https://docs.aws.amazon.com/glue/latest/dg/schema-registry.html) per eseguire query SQL sui dati archiviati nel bucket Amazon S3. Utilizza i metadati dello schema AWS Glue per comprendere la struttura dei dati.
1. [Le viste](https://docs.aws.amazon.com/athena/latest/ug/views.html) in Athena definiscono ed estraggono i set di dati di destinazione.
1. [Le dashboard](https://docs.aws.amazon.com/quicksight/latest/user/using-dashboards.html) di Quick Sight ti aiutano a visualizzare e analizzare i set di dati.
## Tools (Strumenti)
**Servizi AWS**
+ [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) è un servizio di query interattivo che ti aiuta ad analizzare i dati direttamente in Amazon S3 utilizzando SQL standard.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)ti aiuta a configurare AWS le risorse, fornirle in modo rapido e coerente e gestirle durante tutto il loro ciclo di vita in e. Account AWS Regioni AWS
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)fornisce una visione dettagliata delle risorse presenti Account AWS e di come sono configurate. Ti aiuta a identificare in che modo le risorse sono correlate tra loro e in che modo le loro configurazioni sono cambiate nel tempo. Un AWS Config [aggregatore](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) raccoglie dati di AWS Config configurazione e conformità da più Account AWS regioni.
+ [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html)è un servizio di estrazione, trasformazione e caricamento (ETL) completamente gestito. Ti aiuta a classificare, pulire, arricchire e spostare i dati in modo affidabile tra archivi di dati e flussi di dati. [Questo modello utilizza un [catalogo AWS Glue dati](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) e un registro degli schemi.](https://docs.aws.amazon.com/glue/latest/dg/schema-registry.html)
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) è un servizio di calcolo che consente di eseguire il codice senza gestire i server o effettuarne il provisioning. Esegue il codice solo quando necessario e si ridimensiona automaticamente, quindi paghi solo per il tempo di elaborazione che utilizzi.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)è un servizio di gestione degli account che ti aiuta a consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente.
+ [Amazon Quick Sight](https://docs.aws.amazon.com/quicksuite/latest/userguide/quick-bi.html) è un servizio di business intelligence (BI) che ti aiuta a trasformare i dati grezzi in informazioni significative attraverso visualizzazioni interattive, dashboard e report. Quick Sight è un componente fondamentale di Amazon Quick.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) è un servizio di archiviazione degli oggetti basato sul cloud che consente di archiviare, proteggere e recuperare qualsiasi quantità di dati.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)ti aiuta a gestire le applicazioni e l'infrastruttura in esecuzione in Cloud AWS. Semplifica la gestione delle applicazioni e delle risorse, riduce i tempi di rilevamento e risoluzione dei problemi operativi e aiuta a gestire le AWS risorse in modo sicuro su larga scala. [AWS Systems Manager L'automazione](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) semplifica le attività comuni di manutenzione, implementazione e riparazione per molti. Servizi AWS
**Archivio di codice**
Il AWS CloudFormation modello per questo pattern è disponibile nel repository di [AWS Config visualizzazione](https://github.com/aws-samples/aws-management-and-governance-samples/blob/master/AWSConfig/AWS-Config-Visualization/README.md) GitHub . Questo CloudFormation modello distribuisce un runbook di AWS Systems Manager automazione configurato AWS Config per l'uso con Amazon Athena. Questa automazione si prepara AWS Glue a connettersi con il bucket Amazon S3 designato, crea viste in Amazon Athena e configura Quick Sight per la visualizzazione del dashboard.
## Best practice
+ Ti consigliamo di seguire le best practice illustrate nella sezione [Configurazione e gestione di un ambiente sicuro con più account con on Prescriptive](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/welcome.html) Guidance. AWS AWS Control Tower AWS
+ Ti consigliamo di creare un AWS Config aggregatore che raccolga i dati di configurazione e conformità per l'intera organizzazione. AWS Per ulteriori informazioni, consulta [Aggregazione di dati multiaccount e più regioni nella documentazione](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html). AWS Config
+ [Prima di distribuire questa soluzione, ti consigliamo di consultare le informazioni sui prezzi correnti per [Amazon](https://aws.amazon.com/s3/pricing/) S3 [AWS Config](https://aws.amazon.com/config/pricing/), [Athena](https://aws.amazon.com/athena/pricing/) e Quick.](https://aws.amazon.com/quicksight/pricing/)
## Epiche
### Distribuisci lo stack CloudFormation
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Scarica il CloudFormation modello. | Scarica il modello [Config- QuickSight CloudFormation -Visualization-SSM-Automation.yaml](https://github.com/aws-samples/aws-management-and-governance-samples/blob/master/AWSConfig/AWS-Config-Visualization/cft/Config-QuickSight-Visualization-SSM-Automation.yaml). | Amministratore AWS, amministratore cloud, DevOps ingegnere |
| Modifica il CloudFormation modello. | Completa questo passaggio solo se utilizzi [AWS Control Tower](https://aws.amazon.com/controltower/)ed AWS Config è gestito da AWS Control Tower. Devi modificare il CloudFormation modello.[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | DevOps ingegnere, amministratore AWS |
| Crea uno CloudFormation stack. | Segui le istruzioni riportate in [Creare uno stack dalla CloudFormation console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). Tenere presente quanto segue:[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Amministratore AWS, amministratore cloud, DevOps ingegnere |
### Esegui l'automazione in Systems Manager
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Trova il tuo nome utente Quick. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Amministratore AWS, amministratore cloud, DevOps ingegnere |
| Trova il nome del canale di distribuzione e il nome del bucket Amazon S3. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Amministratore AWS, amministratore cloud, DevOps ingegnere |
| Esegui l'automazione in Systems Manager. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Amministratore AWS, amministratore cloud, DevOps ingegnere |
### Visualizza i dati in Quick Sight
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Aggiorna i dati. | Per pianificare gli aggiornamenti dei set di dati in base ai requisiti specifici, segui le istruzioni in [Aggiornamento](https://docs.aws.amazon.com/quicksight/latest/user/refreshing-imported-data.html) dei dati SPICE. | Amministratore AWS, DevOps ingegnere, amministratore cloud |
| Creare un'analisi in . | Per creare una dashboard in Quick Sight che ti aiuti a visualizzare le risorse, segui le istruzioni in [Avvio di un'analisi in Quick Sight](https://docs.aws.amazon.com/quicksuite/latest/userguide/creating-an-analysis.html). | Amministratore di Quick Suite |
| Crea una dashboard. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Amministratore di Quick Suite |
### (Facoltativo) Pulizia
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Eliminare le risorse create dall'automazione Systems Manager. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Amministratore AWS, amministratore cloud, DevOps ingegnere |
| Elimina lo CloudFormation stack. | Per eliminare le risorse nello `Config-QuickSight-Visualization-SSM-Automation` stack, segui le istruzioni in [Eliminare uno stack dalla console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html). CloudFormation | Amministratore AWS, amministratore cloud, DevOps ingegnere |
## Risoluzione dei problemi
| Problema | Soluzione |
| --- | --- |
| Amazon Quick sta tentando di connettersi a `us-east-1` Regione AWS, ma la creazione di risorse in quella regione non è consentita. | Una politica di controllo del servizio limita il tuo abbonamento ad Amazon Quick in questa regione. Nella politica di controllo del servizio, specifica manualmente l'obiettivo Regione AWS. Sostituisci `` con l'identificatore di regione appropriato:https://.quicksight.aws.amazon.com/sn/start/dashboards
Di seguito è riportato un esempio:https://eu-central-1.quicksight.aws.amazon.com/sn/start/dashboards
|
| In Amazon Athena, viene visualizzato il seguente messaggio:
`Before you run your first query, you need to set up a query result location in Amazon S3.` | Assicurati di aver preparato un bucket Amazon S3 in cui archiviare i risultati delle query di Amazon Athena. Segui quindi le istruzioni in [Specificare una posizione per i risultati della query utilizzando la console Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/query-results-specify-location-console.html). |
## Risorse correlate
**AWS documentazione**
+ [AWS Config documentazione](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [Documentazione Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html)
**AWS post sul blog**
+ [Automatizza la visualizzazione AWS Config dei dati con AWS Systems Manager](https://aws.amazon.com/blogs/mt/automate-aws-config-data-visualization-with-aws-systems-manager/)
+ [Come registrare periodicamente le modifiche alla configurazione delle risorse con AWS Config](https://aws.amazon.com/blogs/mt/how-to-record-resource-configuration-changes-periodically-with-aws-config/)
**Altre risorse**
+ [Centro di apprendimento della community Amazon Quick](https://community.amazonquicksight.com/c/learning-center/10/none)
+ [Galleria della community di Amazon Quick](https://community.amazonquicksight.com/c/gallery/44)