预调配和编排 - AWS 规范性指导
晚于推进Excel

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

预调配和编排

创建、管理和分发已批准的云产品目录给用户。

随着组织的发展,以一致、可扩展和可重复的方式预调配基础设施变得更具挑战性。简化的预调配和编排可帮助您实现一致的监管并满足合规性要求,同时使用户能够仅部署经批准的云产品。

在组织中重复使用预先批准的产品可让您的开发者更快、更一致地构建应用程序,同时满足组织的安全和治理要求。

晚于

部署 hub-and-spoke目录模型

在服务目录中作为投资组合管理的软件资产按 hub-and-spoke模式与一个或多个账户中的用户共享。您可以使用私有市场和专属优惠来策划各种第三方解决方案,并与您的基础设施即代码(IaC)模板一起分发。

要使您的构建者能够使用预先批准的产品,请定义一个流程来审核、批准这些产品并将其发布给您的用户。首先设计和实施包含这些预先批准产品的集中管理存储库。设计一个系统,当组织中的用户需要使用每种产品时,授予对此存储库中许可证和产品的访问权限。

允许组织中的构建者向发布机制提交产品以供批准,以便这些产品在获得批准后可供组织中的所有用户使用。

整理模板以供重复使用

在为解决方案编写 IaC 模板并定义 hub-and-spoke模型后,应为每个分支账户定义两类模板:预配置/强制使用和可供使用。已预调配/强制执行模板作为基础功能直接从管理账户预调配到每个成员账户。可供使用模板可供构建者以自助方式浏览和预调配。

应用默认参数以便重复使用

实现包含构建者可以预先选择的默认参数的 IaC 模板。这使构建者无需评估每个参数的详细信息即可与治理保持一致,并防止他们做出错误的选择。此方法仅公开设置所需的内容。例如,AWS Service Catalog 使用约束功能来实现此方法,该功能可控制应用于特定产品组合中产品的规则。当构建者团队使用自助式模板预调配时,会预先配置此自定义。

建立审批流程

如果用户有合理的业务理由使用某个产品,即使他们没有获得该产品的访问权限,也应该能够提交访问该产品的请求。构建一个通知系统,在用户正在使用的产品有更新时通知用户,这样他们就可以遵守最新的安全更新。

建立工作流程,让构建者通过自助服务门户提交新产品以供审核。构建者可以使用门户来定义产品的受众,并确定应有权访问该产品的用户组。对于每次提交,请使用您定义的流程来审核、批准产品并将其发布到自助服务门户。 

推进

创建自助服务门户

创建自助服务门户,用于分发、浏览和使用经批准的云产品。组织中的用户可以使用此门户搜索构建基础设施和将应用程序部署到其环境所需的产品。为有权访问门户中产品的用户设置权限边界,并对用户可以使用许可产品的次数设置限制。定义一组基本资源,这些资源可以直接预调配或在每个分支账户中作为自助服务模式提供,因为这些账户是通过使用诸如自定义 AWS Control Tower 之类的解决方案创建的。

启用私有市场

私人市场提供已购买产品(软件、数据和专业服务)的精选目录,并以一种 hub-and-spoke模式(具有一个管理帐户和多个成员帐户)实施,因此分支账户只能订阅经批准的软件。这种产品治理有助于控制软件成本并简化法律和合同审查。在管理账户级别创建私有市场,作为主要中心。

管理权限

启用控制措施,仅允许授权用户和工作负载在供应商定义的限制内使用许可证。这有助于降低昂贵的审计和意外许可调整的风险。

Excel

与采购系统集成

通过将现有采购流程整合到 AWS Marketplace 中,完善现有采购流程。这是通过将您的采购系统(Coupa 或 SAP Ariba)扩展到私有市场来实现的,以便您的用户可以遵循现有的采购和批准流程来获取软件。创建相应的 IAM 管理权限, AWS Marketplace 用于生成配置采购解决方案所需的信息,并配置您的采购解决方案以完成集成。例如,您可以设置punchou t,将采购订单附加到 AWS 发票上,然后调整采购流程以使用标准配置解决方案。

让您的构建者能够通过内部 API 访问预先批准的产品,以便用户可以将产品整合到应用程序,或者构建自己的个性化门户供其团队使用产品。整合用于创建新产品的提交和发布流程,并允许用户通过申请新许可证和访问产品 APIs。 

与您的 ITSM 工具集成

如果适用,请使用 IT 服务管理(ITSM)工具进行连接,并自动更新您的配置管理数据库(CMDB)。建立流程和机制来评估您的组织使用的产品。建立一种机制,告知预先批准产品的用户需要更新以确保合规性。使用 ITSM 工具分析您的环境,并在需要关键更新时将安全性和合规性更新推送到整个组织的产品。 

实施生命周期管理和版本分发系统

在整个开发生命周期中维护 IaC 模板的版本以及根据模板预调配的服务版本。您可以使用为目录实施的 hub-and-spoke模型来定义是否需要在分支级别进行强制更新(例如,是否有并发版本可用于自助配置),以及哪些版本需要标记为过时。使用 hub-and-spoke目录还有助于根据需要管理新版本的审计和分发。