As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Planeje a implantação
Esta seção descreve a região, o [custo](cost.md), a [segurança](aws-well-architected-design-considerations.md#security) e outras considerações antes da implantação da solução.
## Regiões da AWS compatíveis
Essa solução usa o serviço Amazon Cognito, que atualmente não está disponível em todas as regiões da AWS. Para obter a disponibilidade mais atual dos serviços da AWS por região, consulte a [Lista de serviços regionais da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
O Workload Discovery na AWS está disponível nas seguintes regiões da AWS:
| Nome da região | |
| --- | --- |
| Leste dos EUA (Norte da Virgínia) | Canadá (Central) |
| Leste dos EUA (Ohio) | Europa (Londres) |
| Oeste dos EUA (Oregon) | Europa (Frankfurt) |
| Ásia-Pacífico (Mumbai) | Europa (Irlanda) |
| Ásia-Pacífico (Seul) | Europa (Paris) |
| Ásia-Pacífico (Singapura) | Europa (Estocolmo) |
| Ásia-Pacífico (Sydney) | América do Sul (São Paulo) |
| Ásia-Pacífico (Tóquio) | |
O Workload Discovery na AWS não está disponível nas seguintes regiões da AWS:
| Nome da região | Serviço indisponível |
| --- | --- |
| AWS GovCloud (Leste dos EUA) | AWS AppSync |
| AWS GovCloud (Oeste dos EUA) | AWS AppSync |
| China (Pequim) | Amazon Cognito |
| China (Ningxia) | Amazon Cognito |
# Custo
Você é responsável pelo custo dos serviços da AWS provisionados durante a execução desta solução. A partir dessa revisão, o custo de execução dessa solução usando a opção de implantação de instância única na região Leste dos EUA (Norte da Virgínia) é de aproximadamente **0,58 USD por hora ou **425,19 USD** por** mês.
**nota**
O custo da execução do Workload Discovery na AWS na Nuvem AWS depende da configuração de implantação que você escolher. Os exemplos a seguir fornecem detalhamento de custos para configurações de implantação de uma única instância e várias instâncias na região Leste dos EUA (Norte da Virgínia). Os serviços da AWS listados nas tabelas de exemplo abaixo são cobrados mensalmente.
Recomendamos criar um [orçamento](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) por meio do [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) para ajudar a gerenciar custos. Os preços estão sujeitos a alterações. Para obter detalhes completos, consulte a página de preços de cada serviço da AWS usado nesta solução.
## Exemplos de tabelas de custos
### Opção 1: implantação de instância única (padrão)
Ao implantar essa solução usando um CloudFormation modelo da AWS, modifique o **OpensearchMultiAz**parâmetro para `No` implantar uma única instância para o domínio OpenSearch Service e modifique o **CreateNeptuneReplica**parâmetro para `No` implantar uma única instância para o armazenamento de dados Neptune. A opção de implantação de instância única tem um custo menor, mas reduz a disponibilidade do Workload Discovery na AWS no caso de uma falha na zona de disponibilidade.
| Serviço da AWS | Tipo de instância | Custo por hora [USD] | Custo mensal [USD] |
| --- | --- | --- | --- |
| Amazon Neptune | `db.r5.large` | \$10,348 | \$1254,04 |
| OpenSearch Serviço Amazon | `m6g.large.search` | 0,128 US\$1 | \$193,44 |
| Amazon VPC (gateway NAT) | N/D | 0,090 USD | \$165,7 |
| AWS Config | N/D | 0,003 USD por recurso | 0,003 USD por recurso |
| Amazon ECS (tarefa do AWS Fargate) | N/D | \$10,02 | \$112,01 |
| Total | | **\$10,586** | **\$1425,19** |
### Opção 2: implantação de várias instâncias
Ao implantar essa solução usando um CloudFormation modelo da AWS, modifique o **OpensearchMultiAz**parâmetro para `Yes` implantar duas instâncias em duas zonas de disponibilidade para o domínio do OpenSearch serviço e modifique o **CreateNeptuneReplica**parâmetro para `Yes` implantar duas instâncias em duas zonas de disponibilidade para o armazenamento de dados Neptune. A opção de implantação de várias instâncias custará mais para ser executada, mas aumentará a disponibilidade do Workload Discovery na AWS no caso de uma falha na zona de disponibilidade.
| Serviço da AWS | Tipo de instância | Custo por hora | Custo mensal [USD] |
| --- | --- | --- | --- |
| Amazon Neptune | `db.r5.large` | \$10,696 | \$1508,08 |
| OpenSearch Serviço Amazon | `m6g.large.search` | 0,256 US\$1 | \$1186,88 |
| Amazon VPC (gateway NAT) | N/D | 0,090 USD | \$165,7 |
| AWS Config | N/D | 0,003 USD por recurso | 0,003 USD por recurso |
| Amazon ECS (tarefa do AWS Fargate) | N/D | \$10,02 | \$112,01 |
| Total | | **\$11.062** | **\$1772,67** |
+ Seu custo final depende do número de recursos que o AWS Config detecta. Serão cobrados 0,003 USD por item de recurso registrado, além do valor fornecido na tabela.
**Importante**
O custo do Amazon Neptune e do OpenSearch Amazon Service varia, dependendo do tipo de instância que você selecionar.
# Segurança
Quando você cria sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Esse [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) reduz sua carga operacional porque a AWS opera, gerencia e controla os componentes, incluindo o sistema operacional do host, a camada de virtualização e a segurança física das instalações nas quais os serviços operam. Para obter mais informações sobre a segurança da AWS, visite o [Centro de Segurança da AWS](https://aws.amazon.com/security/).
## Acesso ao recurso
### Perfis do IAM
As funções do IAM permitem que os clientes atribuam políticas e permissões de acesso granulares a serviços e usuários na nuvem da AWS. São necessárias várias funções para executar o Workload Discovery na AWS e descobrir recursos nas contas da AWS.
### Amazon Cognito
O Amazon Cognito é usado para autenticar o acesso com credenciais fortes e de curta duração, concedendo acesso aos componentes necessários para o Workload Discovery na AWS.
## Acesso à rede
### Amazon VPC
O Workload Discovery na AWS é implantado em uma Amazon VPC e configurado de acordo com as melhores práticas para oferecer segurança e alta disponibilidade. Para obter detalhes adicionais, consulte as [melhores práticas de segurança para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html). Os endpoints VPC permitem o trânsito sem Internet entre os serviços e são configurados quando disponíveis.
Os grupos de segurança são usados para controlar e isolar o tráfego de rede entre os componentes necessários para executar o Workload Discovery na AWS.
Recomendamos que você revise os grupos de segurança e restrinja ainda mais o acesso conforme necessário quando a implantação estiver em execução.
### Amazon CloudFront
Essa solução implanta uma interface de usuário de console web [hospedada](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html) em um bucket Amazon S3 que é distribuído pela Amazon. CloudFront Ao usar o recurso de identidade de acesso de origem, o conteúdo desse bucket do Amazon S3 pode ser acessado somente por meio de. CloudFront Para obter mais informações, consulte [Restringir o acesso a uma origem do Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) no * CloudFront Amazon Developer Guide*.
CloudFront ativa mitigações de segurança adicionais para acrescentar cabeçalhos de segurança HTTP à resposta de cada visualizador. Para obter detalhes adicionais, consulte [Adicionar ou remover cabeçalhos HTTP nas CloudFront respostas](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-response-headers.html).
Essa solução usa o CloudFront certificado padrão que tem um protocolo de segurança mínimo suportado de TLS v1.0. Para impor o uso do TLS v1.2 ou do TLS v1.3, você deve usar um certificado SSL personalizado em vez do certificado padrão. CloudFront Para obter mais informações, consulte [Como configuro minha CloudFront distribuição para usar um certificado SSL/TLS](https://aws.amazon.com/premiumsupport/knowledge-center/install-ssl-cloudfront/).
## Configuração do aplicativo
### AWS AppSync
O Workload Discovery no AWS APIs GraphQL tem a validação de solicitações fornecida pela AppSync AWS de acordo com a especificação [GraphQL](https://spec.graphql.org/June2018/#sec-Validation). Além disso, a autenticação e a autorização são implementadas usando o IAM e o Amazon Cognito, que usam o JWT fornecido pelo Amazon Cognito quando um usuário se autentica com sucesso na interface de usuário da web.
### AWS Lambda
Por padrão, as funções do Lambda são configuradas com a versão estável mais recente do runtime da linguagem. Nenhum dado ou segredo confidencial é registrado. As interações de serviço são realizadas com o menor privilégio necessário. As funções que definem esses privilégios não são compartilhadas entre as funções.
### OpenSearch Serviço Amazon
Os domínios do Amazon OpenSearch Service são configurados com uma política de acesso que restringe o acesso para interromper quaisquer solicitações não assinadas feitas ao OpenSearch cluster de serviços. Isso é restrito a uma única função Lambda.
O cluster OpenSearch de serviços é construído com a node-to-node criptografia ativada para adicionar uma camada extra de proteção de dados aos [recursos de segurança](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/security.html) do OpenSearch serviço existentes.
# Cotas
Service quotas, ou limites, representam o máximo de recursos ou operações de serviço permitidos em uma conta AWS.
## Cotas para serviços da AWS nesta solução
Verifique se você tem cota suficiente para cada um dos [serviços implementados nessa solução](aws-services-in-this-solution.md). Para obter mais informações, consulte [Cotas dos serviços da AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
Use os links a seguir para acessar a página desse serviço. Para ver as cotas de serviço de todos os serviços da AWS na documentação sem trocar de página, veja as informações na página de [endpoints e cotas do serviço](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information) no PDF.
| | |
| --- |--- |
| [Amplificar](https://docs.aws.amazon.com/general/latest/gr/amplify.html) | [Amazon ECR](https://docs.aws.amazon.com/general/latest/gr/ecr.html) |
| [Athena](https://docs.aws.amazon.com/general/latest/gr/athena.html) | [Lambda](https://docs.aws.amazon.com/general/latest/gr/lambda-service.html) |
| [CloudFront](https://docs.aws.amazon.com/general/latest/gr/cf_region.html) | [OpenSearch Serviço](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html) |
| [Cognito](https://docs.aws.amazon.com/general/latest/gr/cognito_identity.html) | [Neptune](https://docs.aws.amazon.com/general/latest/gr/neptune.html) |
| [Config](https://docs.aws.amazon.com/general/latest/gr/awsconfig.html) | [Amazon S3](https://docs.aws.amazon.com/general/latest/gr/s3.html) |
| [Amazon ECS](https://docs.aws.amazon.com/general/latest/gr/ecs-service.html) | |
## CloudFormation Cotas da AWS
Sua conta da AWS tem CloudFormation cotas da AWS que você deve conhecer ao [lançar a pilha](launch-the-stack.md) nesta solução. Ao compreender essas cotas, você pode evitar erros de limitação que o impediriam de implantar essa solução com êxito. Para obter mais informações, consulte [as CloudFormation cotas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html) da AWS no *Guia do CloudFormation usuário da AWS*.
## Cotas do AWS Lambda
Sua conta tem uma cota de execução simultânea do AWS Lambda de 1.000. Se a solução for usada em uma conta em que há outras cargas de trabalho em execução e usando o Lambda, defina essa cota com um valor apropriado. Esse valor é ajustável; para obter mais informações, consulte as [cotas do AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html) no Guia do usuário do *AWS Lambda*.
**nota**
Essa solução exige que 150 execuções da cota de execução simultânea estejam disponíveis na conta na qual a solução está sendo implantada. Se houver menos de 150 execuções disponíveis nessa conta, a CloudFormation implantação falhará.
## Cotas da Amazon VPC
Sua conta da AWS pode conter cinco VPCs e dois Elastic IPs (EIPs). Se a solução for usada em uma conta com outro VPCs ou EIPs, isso poderá impedir que você implante essa solução com êxito. Se você corre o risco de atingir essa cota, você pode fornecer sua própria VPC para implantação, fornecendo-a seguindo as etapas na seção [Launch the Stack](launch-the-stack.md). Para obter mais informações, consulte as [cotas da Amazon VPC no Guia](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) do usuário da Amazon *[VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)*.
# Escolhendo a conta de implantação
Se você estiver implantando o Workload Discovery na AWS em uma organização da AWS, a solução deverá ser instalada em uma conta de administrador delegada na qual [StackSets](https://aws.amazon.com/blogs/mt/cloudformation-stacksets-delegated-administration/)os recursos multirregionais do [AWS Config tenham sido habilitados](https://docs.aws.amazon.com/config/latest/developerguide/aggregated-register-delegated-administrator.html).
Se você não estiver usando o AWS Organizations, recomendamos que você implante o Workload Discovery na AWS em uma conta dedicada da AWS criada especificamente para essa solução. Essa abordagem significa que o Workload Discovery na AWS está isolado de suas cargas de trabalho existentes e fornece um único local para configurar a solução, como adicionar usuários e importar novas regiões. Também é mais fácil rastrear os custos incorridos durante a execução da solução.
Depois que o Workload Discovery na AWS for implantado, você poderá importar regiões de qualquer conta que já tenha provisionado.