本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 先決條件
<a name="prerequisites"></a>

## 收集部署參數詳細資訊
<a name="gather-deployment-parameter-details"></a>

在 AWS 上部署工作負載探索之前，請檢閱 Amazon OpenSearch Service [服務連結角色](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/slr-es.html)和 AWS Config 的組態詳細資訊。

### 驗證您是否具有 AWSServiceRoleForAmazonOpenSearchService 角色
<a name="verify-whether-you-have-an-awsserviceroleforamazonopensearchservice-role"></a>

部署會在 Amazon Virtual Private Cloud (Amazon VPC) 內建立 Amazon OpenSearch Service 叢集。範本使用服務連結角色來建立 OpenSearch Service 叢集。不過，如果您已在帳戶中建立角色，請使用現有的角色。

若要檢查您是否已經有此角色：

1. 針對您計劃部署此解決方案的帳戶，登入 [Identity and Access Management (IAM) 主控台](https://console.aws.amazon.com/iam/)。

1. 在 **Search (搜尋)** 方塊中，輸入 `AWSServiceRoleForAmazonOpenSearchService`。

1. 如果您的搜尋傳回角色，請在啟動堆疊時`No`為 **CreateOpensearchServiceRole** 參數選取 。

### 確認已設定 AWS Config
<a name="verify-aws-config-is-set-up"></a>

AWS 上的工作負載探索使用 AWS Config 來收集大部分的資源組態。部署解決方案或匯入新區域時，您必須確認 AWS Config 是否已設定並如預期運作。**AlreadyHaveConfigSetup** CloudFormation 參數會通知 AWS 上的工作負載探索是否設定 AWS Config。

下列程式碼片段取自 [AWS CLI 命令參考](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/get-status.html)。在您打算在 AWS 上部署工作負載探索的區域中執行 命令，或匯入 AWS 上的工作負載探索。

輸入以下命令：

```
aws configservice get-status
```

如果您收到類似輸出的回應，則在該區域中會執行組態記錄器和交付通道。`Yes` 針對 **AlreadyHaveConfigSetup** CloudFormation 參數選取 。

輸出：

```
Configuration Recorders:

name: default
recorder: ON
last status: SUCCESS

Delivery Channels:

name: default
last stream delivery status: SUCCESS
last history delivery status: SUCCESS
last snapshot delivery status: SUCCESS
```

如果您正在設定 AWS CloudFormation StackSets，則必須在已設定 AWS Config 的區域批次中包含此區域。

### 驗證帳戶中的 AWS Config 詳細資訊
<a name="verify-your-aws-config-details-in-your-account"></a>

部署將嘗試設定 AWS Config。如果您已在計劃部署至 或讓 AWS 上的工作負載探索可探索的帳戶中使用 AWS Config，請在部署此解決方案時選取相關參數。此外，為了成功部署，請確定您未限制 AWS Config 掃描的資源。

若要檢查您目前的 AWS Config 組態：

1. 登入 [AWS Config](https://console.aws.amazon.com/config/) 主控台。

1. 選擇**設定**，並確保已選取**記錄此區域支援的所有資源**和**包含全域資源**方塊。

### 驗證 VPC 組態
<a name="verify-your-vpc-configuration"></a>

如果部署到現有的 VPC，[請確認您的私有子網路可以將請求路由到 AWS 服務](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html)。

如果您選擇在現有 VPC 中部署解決方案的選項，則必須確保 AWS Lambda 函數上的工作負載探索和 VPC 私有子網路中執行的 Amazon ECS 任務可以連接到其他 AWS 服務。啟用此項目的標準方法是使用 [NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)。您可以列出帳戶中的 NAT 閘道，如下列程式碼範例所示。

```
aws ec2 describe-route-tables --filters Name=association.subnet-id,Values=<private-subnet-id1>,<private-subnet-id2> --query 'RouteTables[].Routes[].NatGatewayId'
```

輸出：

```
[
    "nat-1111111111111111",
    "nat-2222222222222222"
]
```

**注意**  
如果傳回的結果少於兩個，子網路沒有正確數量的 NAT 閘道。

如果您的 VPC 沒有 NAT 閘道，則必須佈建它們，或確定您擁有 AWS [ APIs區段中列出的所有 AWS](aws-apis.md) 服務的 [VPC 端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)。