As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Faça o inventário automático de AWS recursos em várias contas e regiões
<a name="automate-aws-resource-inventory"></a>

*Matej Macek, Amazon Web Services*

## Resumo
<a name="automate-aws-resource-inventory-summary"></a>

Esse padrão descreve uma abordagem automatizada para manter um inventário abrangente de AWS recursos em várias contas e. Regiões da AWS O padrão foi desenvolvido para ajudar engenheiros de infraestrutura e de segurança a aprimorar as práticas de gerenciamento de recursos. Ele usa AWS Config para monitorar alterações de recursos, o Amazon Athena para consultas e o Amazon Quick Sight para painéis interativos. Você implementa essa solução implantando uma AWS CloudFormation pilha.

Essa solução é semelhante à apresentada em [Visualização de AWS Config dados usando o Amazon Athena e o Amazon Quick](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/) Sight AWS (postagem do blog). Esse padrão amplia a solução mencionada para atender aos seguintes requisitos comuns e fornecer os benefícios principais listados abaixo:
+ **Foco em conformidade**: essa abordagem pode ajudar você a atender a requisitos regulatórios, como [PCI DSS](https://www.pcisecuritystandards.org/), [NIST SP 800-53](https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final), [ISO/IEC 27001](https://www.iso.org/standard/27001), [HIPAA](https://www.hhs.gov/programs/hipaa/index.html), [GDPR](https://gdpr.eu/) e outros requisitos que exigem inventários precisos de ativos.
+ **Estrutura de personalização** — Ela fornece uma base para a criação de painéis do Quick Sight para vários AWS recursos, para que você possa personalizar a solução de acordo com seus requisitos específicos.
+ **Aprimoramentos orientados pelo usuário**: essa abordagem incorpora feedback de casos de uso reais e atende a solicitações por uma solução mais abrangente.

As equipes de infraestrutura, segurança e finanças frequentemente enfrentam desafios de visibilidade e de colaboração em ambientes dinâmicos com várias contas ou regiões. Esta solução foi desenvolvida para enfrentar esses desafios e reduzir significativamente o tempo e o esforço necessários para criar e manter um inventário de recursos. Isso resulta em uma visão centralizada dos recursos, auxiliando na melhoria das decisões de alocação de recursos, na identificação e mitigação de riscos, na otimização de custos e no aumento da visibilidade e da colaboração de maneira geral. Essa abordagem reduz a distância entre soluções conceituais e as necessidades reais de implementação, voltadas à segurança, à conformidade e às operações.

## Pré-requisitos e limitações
<a name="automate-aws-resource-inventory-prereqs"></a>

**Pré-requisitos **
+ As seguintes Contas da AWS devem estar ativas:
  + *Conta gerencial*: uma conta centralizada para faturamento, criação de contas e controle de acesso em toda a organização
  + *Conta de auditoria*: um hub centralizado para monitoramento de segurança, verificações de conformidade e notificações de divergências
  + *Conta de arquivamento de log*: uma conta centralizada para armazenar e analisar os dados coletados
+ Na conta de auditoria, um AWS Config [agregador](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) que coleta e agrega dados de configuração de suas contas e regiões de destino
+ Na conta de arquivamento de log, configure o seguinte:
  + Um bucket do Amazon Simple Storage Service (Amazon [S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) onde você armazena os dados do agregador AWS Config 
  + Uma [assinatura](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html) do Amazon Quick
  + Uma [conexão autorizada](https://docs.aws.amazon.com/quicksight/latest/user/athena.html) entre o Quick Sight e o Amazon Athena
  + As [permissões](https://docs.aws.amazon.com/athena/latest/ug/s3-permissions.html) para acessar o bucket do Amazon S3 por meio de uma consulta do Athena
+ AWS Command Line Interface (AWS CLI), [instalado](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) e [configurado](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ Permissões para implantar uma CloudFormation pilha que provisiona os seguintes recursos:
  + Uma AWS Lambda função
  + Uma configuração de notificação do Amazon S3
  + Banco de dados, tabelas e visualizações do Athena
  + Conjuntos de dados e fontes de dados do Quick Sight
+ Permissões para executar automações em AWS Systems Manager
+ Permissões para acessar o Quick

**Limitações**
+ A solução depende de. AWS Config AWS Config geralmente registra as alterações de configuração em seus recursos logo após a detecção de uma alteração ou na frequência especificada por você. Entretanto, esse registro é feito em caráter de melhor esforço e, às vezes, pode demorar mais tempo.
+ Essa solução rastreia somente [os tipos de recursos AWS Config compatíveis](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
+ A solução não rastreia o inventário de recursos em outros provedores de nuvem ou em ambientes on-premises.
+ Alguns Serviços da AWS não estão disponíveis em todos Regiões da AWS. Para saber a disponibilidade da região, consulte a página de [endpoints e cotas do serviço](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) na AWS documentação e escolha o link para o serviço.

## Arquitetura
<a name="automate-aws-resource-inventory-architecture"></a>

O diagrama a seguir mostra um processo simplificado para coletar, organizar, analisar e visualizar dados de configuração e conformidade em várias contas em uma AWS organização.

![\[Coleta e visualização de dados de configuração e de conformidade em toda a organização.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/67a9667a-da19-4dcb-a2fe-62bc94a0541b/images/c9245de1-ac85-4a9e-a0c0-dbcc27a8bb5d.png)


O diagrama mostra o seguinte fluxo de trabalho:

1. Em um cronograma periódico, o AWS Config agregador coleta dados de configuração e conformidade sobre os recursos nas contas e regiões de destino e, em seguida, entrega os dados ao bucket do Amazon S3 na conta de arquivamento de registros.

1. Adicionar novos AWS Config dados ao bucket do Amazon S3 invoca uma função. AWS Lambda 

1. A função do Lambda particiona os dados ao configurar chaves com valores que correspondem à região e à data de cada arquivo de snapshot. Isso ajuda a consultar e processar AWS Glue com eficiência os dados de configuração e conformidade.

1. O Amazon Athena usa um AWS Glue [esquema](https://docs.aws.amazon.com/glue/latest/dg/schema-registry.html) para executar consultas SQL nos dados armazenados no bucket do Amazon S3. Ele utiliza os metadados do esquema AWS Glue para entender a estrutura dos dados.

1. As [visualizações](https://docs.aws.amazon.com/athena/latest/ug/views.html) no Athena definem e extraem os conjuntos de dados de destino.

1. [Os painéis](https://docs.aws.amazon.com/quicksight/latest/user/using-dashboards.html) no Quick Sight ajudam você a visualizar e analisar os conjuntos de dados.

## Ferramentas
<a name="automate-aws-resource-inventory-tools"></a>

**Serviços da AWS**
+ O [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) é um serviço de consultas interativas que facilita a análise de dados diretamente no Amazon S3 usando SQL padrão.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)ajuda você a configurar AWS recursos, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida em Contas da AWS e. Regiões da AWS
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)fornece uma visão detalhada dos recursos em seu computador Conta da AWS e de como eles estão configurados. Ajuda a identificar como os recursos estão relacionados entre si e como suas configurações foram alteradas ao longo do tempo. Um AWS Config [agregador](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) coleta dados AWS Config de configuração e conformidade de várias regiões Contas da AWS .
+ O [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html) é um serviço totalmente gerenciado de extração, transformação e carregamento (ETL). Ele ajuda você a categorizar de forma confiável, limpar, enriquecer e mover dados de forma confiável entre armazenamento de dados e fluxos de dados. Esse padrão usa um [registro AWS Glue[de catálogo de dados](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) e esquema](https://docs.aws.amazon.com/glue/latest/dg/schema-registry.html).
+ O [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)é um serviço de gerenciamento de contas que ajuda você a consolidar várias Contas da AWS em uma organização que você cria e gerencia centralmente.
+ [O Amazon Quick Sight](https://docs.aws.amazon.com/quicksuite/latest/userguide/quick-bi.html) é um serviço de inteligência de negócios (BI) que ajuda você a transformar dados brutos em insights significativos por meio de visualizações, painéis e relatórios interativos. O Quick Sight é um componente essencial do Amazon Quick.
+ O [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.
+ O [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) ajuda você a gerenciar suas aplicações e infraestrutura em execução na Nuvem AWS. Ele simplifica o gerenciamento de aplicativos e recursos, reduz o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus AWS recursos com segurança em grande escala. [AWS Systems Manager A automação](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) simplifica as tarefas comuns de manutenção, implantação e remediação para muitos. Serviços da AWS

**Repositório de código**

O AWS CloudFormation modelo para esse padrão está disponível no GitHub repositório de [AWS Config visualização](https://github.com/aws-samples/aws-management-and-governance-samples/blob/master/AWSConfig/AWS-Config-Visualization/README.md). Este CloudFormation modelo implanta um runbook AWS Systems Manager de automação configurado AWS Config para uso com o Amazon Athena. Essa automação se prepara AWS Glue para se conectar ao bucket designado do Amazon S3, cria visualizações no Amazon Athena e configura o Quick Sight para visualização do painel.

## Práticas recomendadas
<a name="automate-aws-resource-inventory-best-practices"></a>
+ Recomendamos que você siga as melhores práticas em [Configurar e governar um AWS ambiente seguro com várias contas sem orientação AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/welcome.html) AWS prescritiva.
+ Recomendamos que você crie um AWS Config agregador que colete dados de configuração e conformidade de toda AWS a organização. Para obter mais informações, consulte [Agregação de dados multirregionais de várias contas na documentação](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html). AWS Config 
+ [Antes de implantar essa solução, recomendamos que você revise as informações de preços atuais do [Amazon](https://aws.amazon.com/s3/pricing/) S3 [AWS Config](https://aws.amazon.com/config/pricing/), [Athena](https://aws.amazon.com/athena/pricing/) e Quick.](https://aws.amazon.com/quicksight/pricing/)

## Épicos
<a name="automate-aws-resource-inventory-epics"></a>

### Implante a CloudFormation pilha
<a name="deploy-the-cfnshort-stack"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Faça o download do CloudFormation modelo. | Baixe o modelo [Config- QuickSight CloudFormation -Visualization-ssm-automation.yaml](https://github.com/aws-samples/aws-management-and-governance-samples/blob/master/AWSConfig/AWS-Config-Visualization/cft/Config-QuickSight-Visualization-SSM-Automation.yaml). | Administrador da AWS, administrador de nuvem, DevOps engenheiro | 
| Modifique o CloudFormation modelo. | Conclua esta etapa somente se você estiver usando [AWS Control Tower](https://aws.amazon.com/controltower/)e AWS Config for gerenciado por AWS Control Tower. Você precisa modificar o CloudFormation modelo.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | DevOps engenheiro, administrador da AWS | 
| Crie uma CloudFormation pilha. | Siga as instruções em [Criar uma pilha a partir do CloudFormation console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). Observe o seguinte:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Administrador da AWS, administrador de nuvem, DevOps engenheiro | 

### Execução da automação no Systems Manager
<a name="run-the-automation-in-sys"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Encontre seu nome de usuário do Quick. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Administrador da AWS, administrador de nuvem, DevOps engenheiro | 
| Localize o nome do canal de entrega e o nome do bucket do Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Administrador da AWS, administrador de nuvem, DevOps engenheiro | 
| Execute a automação no Systems Manager. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Administrador da AWS, administrador de nuvem, DevOps engenheiro | 

### Visualize dados no Quick Sight
<a name="visualize-data-in-qsight"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Atualize os dados. | Para agendar a atualização de conjuntos de dados de acordo com suas necessidades específicas, siga as instruções apresentadas em [Refreshing SPICE data](https://docs.aws.amazon.com/quicksight/latest/user/refreshing-imported-data.html). | Administrador da AWS, DevOps engenheiro, administrador de nuvem | 
| Crie uma análise do . | Para criar um painel no Quick Sight que ajude você a visualizar os recursos, siga as instruções em [Iniciando uma análise no Quick Sight](https://docs.aws.amazon.com/quicksuite/latest/userguide/creating-an-analysis.html). | Administrador do Quick Suite | 
| Crie um dashboard. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Administrador do Quick Suite | 

### Limpar (opcional)
<a name="optional-clean-up"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Exclua os recursos criados pela automação do Systems Manager. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Administrador da AWS, administrador de nuvem, DevOps engenheiro | 
| Exclua a CloudFormation pilha. | Para excluir os recursos na `Config-QuickSight-Visualization-SSM-Automation` pilha, siga as instruções em [Excluir uma pilha do CloudFormation console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html). | Administrador da AWS, administrador de nuvem, DevOps engenheiro | 

## Solução de problemas
<a name="automate-aws-resource-inventory-troubleshooting"></a>


| Problema | Solução | 
| --- | --- | 
| O Amazon Quick está tentando se conectar ao `us-east-1` Região da AWS, mas a criação de recursos nessa região não é permitida. | Uma política de controle de serviços está restringindo sua assinatura do Amazon Quick nesta região. Na política de controle de serviço, especifique manualmente o alvo Região da AWS. Substitua `<REGION_ID>` pelo identificador da região apropriada:<pre>https://<REGION_ID>.quicksight.aws.amazon.com/sn/start/dashboards</pre>Este é um exemplo:<pre>https://eu-central-1.quicksight.aws.amazon.com/sn/start/dashboards</pre> | 
| Ao usar o Amazon Athena, você recebe a seguinte mensagem:`Before you run your first query, you need to set up a query result location in Amazon S3.` | Certifique-se de ter preparado um bucket do Amazon S3 no qual você armazenará os resultados das consultas do Amazon Athena. Em seguida, siga as instruções apresentadas em [Especificar um local para resultados de consultas com uso do console do Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/query-results-specify-location-console.html). | 

## Recursos relacionados
<a name="automate-aws-resource-inventory-resources"></a>

**AWS documentação**
+ [AWS Config documentação](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [Documentação do Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html)

**AWS postagem no blog**
+ [Automatize a visualização AWS Config de dados com AWS Systems Manager](https://aws.amazon.com/blogs/mt/automate-aws-config-data-visualization-with-aws-systems-manager/)
+ [Como registrar alterações na configuração de recursos periodicamente com AWS Config](https://aws.amazon.com/blogs/mt/how-to-record-resource-configuration-changes-periodically-with-aws-config/)

**Outros recursos**
+ [Centro de aprendizagem da comunidade Amazon Quick](https://community.amazonquicksight.com/c/learning-center/10/none)
+ [Galeria da comunidade Amazon Quick](https://community.amazonquicksight.com/c/gallery/44)