佈建和協同運作 - AWS 方案指引
Start進階Excel

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

佈建和協同運作

建立、管理和分發核准的雲端產品目錄給使用者。

隨著組織的成長,以一致、可擴展且可重複的方式佈建基礎設施變得更具挑戰性。簡化佈建和協同運作可協助您實現一致的控管,並滿足您的合規要求,同時允許使用者僅部署核准的雲端產品。

在組織中重複使用預先核准的產品,可讓開發人員更快速且更一致地建置應用程式,同時滿足組織的安全和管理需求。

Start

部署hub-and-spoke目錄模型

在服務目錄中管理為產品組合的軟體資產,會以hub-and-spoke模式與一或多個帳戶中的使用者共用。您可以使用私有市集和私有優惠來策劃各種第三方解決方案,並將其與您的基礎設施一起分發為程式碼 (IaC) 範本。

若要讓您的建置器能夠使用預先核准的產品,請定義程序來檢閱、核准這些產品並將其發佈給您的使用者。首先,設計和實作包含這些預先核准產品的集中受管儲存庫。當您組織中的使用者需要取用每個產品時,設計一個系統來授予此儲存庫中授權和產品的存取權。

允許組織中的建置者提交產品以核准發佈機制,因此這些產品在核准後可供組織中的所有使用者使用。

整理範本以重複使用

當您為您的解決方案編纂 IaC 範本並定義hub-and-spoke模型時,您應該為每個輻條帳戶定義兩類範本:佈建/強制執行可供取用佈建/強制執行的範本會直接從管理帳戶佈建到每個成員帳戶,做為基礎功能。可供建置者以自助方式瀏覽和佈建的 範本。

套用預設參數以重複使用

實作 IaC 範本,其中包含建置器可以預先選取的預設參數。這可讓建置器符合控管,而無需評估每個參數的詳細資訊,並防止他們做出不正確的選擇。此方法只會公開設定所需的內容。例如, AWS Service Catalog 實作此方法時具有限制功能,可控制套用至特定產品組合中產品的規則。當建置器團隊使用 範本的自助式佈建時,會預先設定此自訂。

建立核准程序

如果使用者有使用該產品的業務理由,他們應該能夠提交請求來存取他們未核准的產品。建置通知系統,在使用者使用的產品有更新可用時通知他們,讓他們可以遵守最新的安全性更新。

為建置器建立工作流程,透過自助式入口網站提交新產品以供檢閱。建置器可以使用 入口網站來定義產品的受眾,並識別應可存取產品的使用者群組。對於每個提交,請使用您定義的程序來檢閱、核准產品,並將產品發佈到自助式入口網站。 

進階

建立自助式入口網站

建立自助式入口網站以分發、瀏覽和使用核准的雲端產品。組織中的使用者可以使用此入口網站來搜尋他們建置基礎設施所需的產品,並將應用程式部署至其環境。為有權存取入口網站中產品的使用者建立許可界限,並設定使用者可使用授權產品的次數限制。定義一組基本資源,這些資源可以直接佈建或做為每個口語帳戶中的自助式模型提供,因為帳戶是透過使用自訂等解決方案建立的 AWS Control Tower

啟用私有市集

私有市集提供購買產品 (軟體、資料和專業服務) 的精選目錄,並以hub-and-spoke模式 (具有一個管理帳戶和多個成員帳戶) 實作,以便輻條帳戶只能訂閱核准的軟體。此產品控管有助於控制軟體成本,並簡化法律和合約審查。在管理帳戶層級建立私有市集,以做為主要中樞。

管理權利

啟用控制項,僅允許授權的使用者和工作負載在廠商定義的限制內使用授權。這有助於降低昂貴稽核和意外授權調校的風險。

Excel

與採購系統整合

透過將現有採購程序整合到 來補充這些程序AWS Marketplace。這可透過將您的採購系統 (Coupa 或 SAPriba) 擴展到私有市場來完成,以便您的使用者可以遵循現有的採購和核准程序來取得軟體。建立適當的 IAM 受管許可、使用 AWS Marketplace 產生必要的資訊來設定您的採購解決方案,以及設定您的採購解決方案以完成整合。例如,您可以設定打孔、將採購訂單連接至 AWS 發票,然後調整您的採購程序以使用標準佈建解決方案。

讓您的建置器能夠透過內部 API 存取預先核准的產品,讓使用者可以將產品納入其應用程式,或建置自己的個人化入口網站,讓團隊使用產品。整合用於建立新產品的提交和發佈程序,並允許使用者透過 APIs請求新的授權和產品存取權。 

與您的 ITSM 工具整合

如果適用,請使用 IT 服務管理 (ITSM) 工具連線,並自動化對組態管理資料庫 (CMDB) 的任何更新。建立程序和機制來評估組織使用的產品。建立機制,通知使用者需要更新以取得合規的預先核准產品。使用您的 ITSM 工具來分析您的環境,並在需要重大更新時,將安全性和合規更新推送至整個組織的產品。 

實作生命週期管理和版本分佈系統

在整個開發生命週期中維護 IaC 範本的版本,以及從範本佈建的服務版本。您可以使用針對目錄實作的hub-and-spoke模型來定義是否需要在輻條層級強制更新 (例如,如果同時版本可用於自助式佈建),以及哪些版本需要標記為過時。使用hub-and-spoke目錄也有助於根據需要管理新版本的稽核和分發。