利用 亚马逊云科技 云运营服务提高云端可见性和监管 — 第 1 部分

关键词： 亚马逊云科技 Systems Manager 、 最佳实践 、 客户解决方案 、 管理与监管 、 管理工具 、 技术指南 、A mazon Quicksight 、A W S Backu p 。

许多客户正在 迁移 到 亚马逊云科技，以利用成本降低、提高员工工作效率、提高运营弹性并提高业务灵活性。当他们采用 亚马逊云科技 时，他们将利用 多账户架构 来满足业务、治理、安全和运营需求。运营团队（其中一些可能已经习惯在现场）可以利用这个机会来提高他们在 亚马逊云科技 上的整个资产的可见性和管理。

这篇由两部分组成的文章提供了基础工具，可帮助您集中和自动化操作，并通过 亚马逊云科技 云运营服务 改善监管和可见性。 本博客中描述的模式适用于 亚马逊云科技 Organizations 组织 或组织单位 (OU) 级别以及跨区域。这使得解决方案可以扩展和扩展到新的成员 亚马逊云科技 账户。重点将放在虚拟服务器管理任务上，但这些模式可以扩展到其他操作任务。下图说明了架构：

使用 亚马逊云科技 Organizations、亚马逊云科技 Systems Manager 和 亚马逊云科技 Config 进行基础跨账户监管的架构图。

先决条件

• 您已经有一个由 亚马逊云科技 Organizations 管理的多账户架构。
• 亚马逊云科技 O rganization s 已启用 亚马逊云科技 Config、亚马逊云科技 Systems Manager 和 A WS Backup 的可信访问权限 。
• 您熟悉使用 亚马逊云科技 Systems Manager 管理亚马逊弹性云计算（亚马逊 EC2）实例 和 亚马逊云科技 Systems Manager 代理（SSM 代理） 。

解决方案概述

集中化治理和配置管理
以下步骤是大规模运营和治理的基础，也是集中化工具和自动化任务的基础。

1 — 使用 亚马逊云科技 Systems Manager 在所有账户和地区 设置 亚马逊云科技 Config

亚马逊云科技 Config 允许您详细跟踪您的 亚马逊云科技 资源（及其配置的任何更改）。这支持许多运营用例，例如资源管理、审计和合规性、配置管理和安全分析。我们建议您按照以下 步骤 在所有账户和区域启用 亚马逊云科技 Config 录制 。我们建议您选择整个组织或组织单位作为目标，并选择要记录的所有相关区域。配置计划可以设置为 “每日”，因此添加到组织中的任何新账户或区域都会被检测并包含在工具中。对于本文中的用例，我们仅选择了要记录的 EC2 实例和 SSM 资源。

亚马逊云科技 Systems Manager 快速设置 — 配置记录在整个组织中部署配置

2 — 在组织层面 设置 亚马逊云科技 Config 聚合器

A WS Config 聚合器 是您跨多个账户和区域的 亚马逊云科技 Config 信息的集中视图。您应该在组织层面进行此设置，以汇总 亚马逊云科技 Config（您在步骤 1 中进行了配置）记录的所有账户的配置和合规数据。这将启用两个关键操作工具：

a. 集中资源列表 ：具有搜索和筛选功能的跨多个账户区域的所有资源的集中清单，包括其配置数据。您可以在 “ 汇总资源” 页面 中访问此清单 。

亚马逊云科技 Config 聚合器显示组织内所有 EC2 实例

b. 高级查询： 亚马逊云科技 Config 高级查询 是一项查询资源信息和配置状态的功能。对于运营团队来说，这是一个非常强大的工具，因为您可以通过集中方式即时从整个多账户多区域 亚马逊云科技 资产中获取实时密钥信息。它利用结构化查询语言 (SQL) 语法，并允许将数据导出到 CSV。示例查询包括：列出所有正在运行/已停止的 EC2 实例，列出 AMI ID 为 12345 的所有 EC2，列出所有未使用的 EBS 卷，以及列出所有未加密的 EBS 卷。您可以通过在 亚马逊云科技 Config 控制台 中导航到高级查询来访问高级查询工具 。确保选择步骤 2 中设置的聚合器作为查询的 “查询范围”。此设置对临时查询很有用，但 由于是 SQL 的子集，查询语法会有 一些限制 。

亚马逊云科技 Config 高级查询 — 针对组织级聚合器运行的示例查询（“描述当前正在运行的所有 EC2 实例”）

3 — 跨账户和区域 设置 亚马逊云科技 Config 规则

亚马逊云科技 Config 规则 会根据运营和安全最佳实践定期 评估您的 亚马逊云科技 资源的配置设置。 亚马逊云科技 Config 一致 性包 是一组规则。您应该在组织层面设置一致性包，以便所有新成员帐户自动包含在评估范围内。目前，有两种方法可用于在组织层面部署一致性包：

集中式合规报告和补救措施 ：跨账户和区域的所有资源规则的合规状态将在 聚合器控制面板 中集中显示 （在步骤 2 中设置）。您还可以为不合规的规则和一致性包 （超出本博客的范围）定义 补救措施 （手动或自动）。这篇博客文章将仅重点介绍自定义合规包（强制执行 SSM 代理，如步骤 4 所述）中的一条规则，但随着 亚马逊云科技 采用率的提高，您可以增加应用的规则数量。 您还可以利用 亚马逊云科技 提供的 亚马逊云科技 Config 一致性包示例模板 ，其中包括 CIS、PCI、CISA、FedRamp 和 HIPAA 等标准的操作最佳实践，以及特定工作负载的安全要求，例如 亚马逊关系数据库服务 (Amazon RDS)、亚马逊云科技 Lambda 或各种容器服务 。

4 — 强制在所有 EC2 实例 上使用 SSM 代理
SSM 代理是 Amazon EC2 实例大规模管理和操作的 “心跳”。它定期提供有关实例的详细操作系统级信息，并通过自动化为许多有用的 节点管理 活动提供遥测数据。我们强烈建议您在 亚马逊云科技 上采用托管节点方法，以最大限度地提高控制和可见性（即所有 EC2 实例都要使用 SSM 代理 进行配置 ）。您可以通过 亚马逊云科技 Config 托管规则 ec2- instance-by-systance-by-manager（由系统管理员管理）在整个组织中强制执行此操作（如步骤 3 中所述）。您可以将此规则作为独立规则部署，也可以在自定义一致性包中部署。可以添加针对不合规实例的规则修复操作来安装或配置代理。您可以在 “聚合 规则” 页面 中查看所有不 合 规账户和实例。

不合规的 亚马逊云科技 Config 规则的集中视图显示了跨区域的 EC2 实例未由 SSM 代理管理的账户。

未由 SSM 代理管理的单个 EC2 实例的详细列表。

结论

在这篇博客文章中，我们向您展示了如何使用亚马逊云科技 Cloud Operations服务让您的多账户多区域 A WS 组织做好大规模集中管理和可见性准备。 我们涵盖了自动强制执行所有现有和新账户的 亚马逊云科技 Config 记录和 亚马逊云科技 Config 规则和一致性包、创建 亚马逊云科技 Config 聚合器以集中查看资源清单和配置一致性，以及强制执行 SSM 代理以正确管理所有 EC2 实例。我们鼓励您采用这些基本模式来快速提高云资源的可见性并集中管理。

在本系列 的 第 2 部分 中，我们将以这些步骤为基础，展示如何集中管理、可视化和报告操作任务，例如修补、强制性软件合规和备份。

作者简介