Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Detective Python-Skripten zur Verwaltung von Konten
Amazon Detective stellt im GitHub Repository amazon-detective-multiaccount-scripts
Sie können diese nutzen, um die folgenden Aufgaben durchzuführen:
-
Aktivieren Sie Detective für ein regionsübergreifendes Administratorkonto.
Wenn Sie Detective aktivieren, können Sie dem Verhaltensdiagramm Tag-Werte zuweisen.
-
Fügen Sie Mitgliedskonten zu den Verhaltensdiagrammen eines Administratorkontos in allen Regionen hinzu.
-
Senden Sie optional Einladungs-E-Mails an die Mitgliedskonten. Sie können die Anfrage auch so konfigurieren, dass keine Einladungs-E-Mails gesendet werden.
-
Entfernen Sie Mitgliedskonten aus den regionsübergreifenden Verhaltensdiagrammen eines Administratorkontos.
-
Deaktivieren Sie Detective für ein Administratorkonto in allen Regionen. Wenn ein Administratorkonto Detective deaktiviert, wird das Verhaltensdiagramm des Administratorkontos in jeder Region deaktiviert.
Überblick über das Skript enableDetective.py
Das enableDetective.py
-Skript führt folgende Aktionen aus:
-
Aktiviert Detective für ein Administratorkonto in jeder angegebenen Region, falls für das Administratorkonto Detective in dieser Region noch nicht aktiviert ist.
Wenn Sie das Skript verwenden, um Detective zu aktivieren, können Sie dem Verhaltensdiagramm Tag-Werte zuweisen.
-
Sendet optional Einladungen vom Administratorkonto an die angegebenen Mitgliedskonten für jedes Verhaltensdiagramm.
Die Einladungs-E-Mail-Nachrichten verwenden den Standardnachrichteninhalt und können nicht angepasst werden.
Sie können die Anfrage auch so konfigurieren, dass keine Einladungs-E-Mails gesendet werden.
-
Nimmt die Einladungen für die Mitgliedskonten automatisch an.
Da das Skript die Einladungen automatisch annimmt, können Mitgliedskonten diese Nachrichten ignorieren.
Wir empfehlen, sich direkt an die Mitgliedskonten zu wenden, um sie darüber zu informieren, dass die Einladungen automatisch angenommen werden.
Überblick über das Skript disableDetective.py
Das disableDetective.py
-Skript löscht die angegebenen Mitgliedskonten aus den Verhaltensdiagrammen des Administratorkontos in den angegebenen Regionen.
Es bietet auch eine Option zum Deaktivieren von Detective für das Administratorkonto in den angegebenen Regionen.
Erforderliche Berechtigungen für die Skripts
Die Skripts erfordern eine bereits bestehende AWS Rolle im Administratorkonto und in allen Mitgliedskonten, die Sie hinzufügen oder entfernen.
Anmerkung
Der Rollenname muss in allen Konten identisch sein.
IAMDie in der Richtlinie empfohlenen bewährten Methoden sind die Verwendung von Rollen mit dem geringsten Geltungsbereich. Um den Arbeitsablauf des Skripts zum Erstellen eines Diagramms, zum Erstellen von Elementen und zum Hinzufügen von Elementen zum Diagramm auszuführen, sind folgende Berechtigungen erforderlich:
Detektiv: CreateGraph
Detektiv: CreateMembers
Detektiv: DeleteGraph
Detektiv: DeleteMembers
Detektiv: ListGraphs
Detektiv: ListMembers
Detektiv: AcceptInvitation
Vertrauensbeziehung der Rolle
Das Rollenvertrauensverhältnis muss es Ihrer Instance oder Ihren lokalen Anmeldeinformationen ermöglichen, die Rolle zu übernehmen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "
arn:aws:iam::<ACCOUNTID>:user/<USERNAME>
" }, "Action": "sts:AssumeRole" } ] }
Wenn Sie nicht über eine gemeinsame Rolle verfügen, die die erforderlichen Berechtigungen umfasst, müssen Sie in jedem Mitgliedskonto eine Rolle mit mindestens diesen Berechtigungen erstellen. Sie müssen die Rolle auch im Administratorkonto erstellen.
Wenn Sie die Rolle erstellen, sollten Sie unbedingt wie folgt vorgehen:
-
Verwenden Sie in jedem Konto denselben Rollennamen.
-
Fügen Sie die oben genannten erforderlichen Berechtigungen hinzu (empfohlen) oder wählen Sie die AmazonDetectiveFullAccessverwaltete Richtlinie aus.
Fügen Sie wie oben beschrieben einen Block für Rollenvertrauensbeziehungen hinzu.
Um diesen Prozess zu automatisieren, können Sie die EnableDetective.yaml
AWS CloudFormation
Vorlage verwenden. Da die Vorlage nur globale Ressourcen erstellt, kann sie in jeder Region ausgeführt werden.
Einrichtung der Ausführungsumgebung für die Python-Skripte
Sie können die Skripts entweder von einer EC2 Instanz oder von einem lokalen Computer aus ausführen.
Eine EC2 Instanz starten und konfigurieren
Eine Möglichkeit, die Skripte auszuführen, besteht darin, sie von einer EC2 Instanz aus auszuführen.
Um eine EC2 Instanz zu starten und zu konfigurieren
-
Starten Sie eine EC2 Instanz in Ihrem Administratorkonto. Einzelheiten zum Starten einer EC2 Instance finden Sie unter Erste Schritte mit Amazon EC2 Linux-Instances im EC2Amazon-Benutzerhandbuch.
-
Ordnen Sie der Instance eine IAM Rolle zu, die über Berechtigungen verfügt, damit die Instance
AssumeRole
innerhalb des Administratorkontos aufrufen kann.Wenn Sie die
EnableDetective.yaml
AWS CloudFormation Vorlage verwendet haben,EnableDetective
wurde eine Instanzrolle mit einem Profil namens erstellt.Andernfalls finden Sie Informationen zum Erstellen einer Instanzrolle im Blogbeitrag Einfache Ersetzung oder Anfügen einer IAM Rolle an eine bestehende EC2 Instanz mithilfe der EC2 Konsole
. -
Installieren der erforderlichen Software:
-
APT:
sudo apt-get -y install python3-pip python3 git
-
RPM:
sudo yum -y install python3-pip python3 git
-
Boto (Mindestversion 1.15):
sudo pip install boto3
-
-
Klonen Sie das Repository auf die EC2 Instanz.
git clone https://github.com/aws-samples/amazon-detective-multiaccount-scripts.git
Konfiguration eines lokalen Computers zur Ausführung der Skripts
Sie können die Skripts auch von Ihrem lokalen Computer aus ausführen.
So konfigurieren Sie einen lokalen Computer für die Ausführung der Skripts
-
Stellen Sie sicher, dass Sie auf Ihrem lokalen Computer Anmeldeinformationen für Ihr Administratorkonto eingerichtet haben, mit denen Sie
AssumeRole
aufrufen können. -
Installieren der erforderlichen Software:
-
Python 3
-
Boto (Mindestversion 1.15)
-
GitHub Skripte
Plattform
Anweisungen zur Einrichtung
Windows
-
Installieren Sie Python 3 (https://www.python.org/downloads/windows/
). -
Öffnen Sie eine Befehlszeile.
-
Um Boto zu installieren, führen Sie folgenden Befehl aus:
pip install boto3
-
Laden Sie den Quellcode des Skripts von () herunter. GitHub https://github.com/aws-samples/amazon-detective-multiaccount-scripts
Mac
-
Installieren Sie Python 3 (https://www.python.org/downloads/mac-osx/
). -
Öffnen Sie eine Befehlszeile.
-
Um Boto zu installieren, führen Sie folgenden Befehl aus:
pip install boto3
-
Laden Sie den Quellcode des Skripts von () herunter. GitHub https://github.com/aws-samples/amazon-detective-multiaccount-scripts
Linux
-
Führen Sie einen der folgenden Schritte aus, um Python 3 zu installieren:
-
sudo apt-get -y install install python3-pip python3 git
-
sudo yum install git python
-
-
Um Boto zu installieren, führen Sie folgenden Befehl aus:
sudo pip install boto3
-
Klonen Sie den Skriptquellcode von https://github.com/aws-samples/amazon-detective-multiaccount-scripts
.
-
Erstellen einer .csv
-Liste von Mitgliedskonten, die hinzugefügt oder entfernt werden sollen
Um die Mitgliedskonten zu identifizieren, die zu den Verhaltensdiagrammen hinzugefügt oder daraus entfernt werden sollen, stellen Sie eine .csv
-Datei bereit, die die Liste der Konten enthält.
Führen Sie jedes Konto in einer separaten Zeile auf. Jeder Mitgliedskontoeintrag enthält die AWS Konto-ID und die E-Mail-Adresse des Root-Benutzers des Kontos.
Sehen Sie sich das folgende Beispiel an:
111122223333,srodriguez@example.com 444455556666,rroe@example.com
Ausführen von enableDetective.py
Sie können das enableDetective.py
Skript von einer EC2 Instanz oder Ihrem lokalen Computer aus ausführen.
So führen Sie enableDetective.py
aus
-
Kopieren Sie die
.csv
Datei in dasamazon-detective-multiaccount-scripts
Verzeichnis auf Ihrer EC2 Instanz oder Ihrem lokalen Computer. -
Wechseln Sie in das
amazon-detective-multiaccount-scripts
-Verzeichnis. -
Führen Sie das
enableDetective.py
-Skript aus.enableDetective.py --master_account
administratorAccountID
--assume_roleroleName
--input_fileinputFileName
--tagstagValueList
--enabled_regionsregionList
--disable_email
Ersetzen Sie bei der Ausführung des Skripts die folgenden Werte:
administratorAccountID
-
Die AWS Konto-ID für das Administratorkonto.
roleName
-
Der Name der AWS Rolle, die im Administratorkonto und in jedem Mitgliedskonto übernommen werden soll.
inputFileName
-
Der Name der
.csv
-Datei, die die Liste der Mitgliedskonten enthält, die zu den Verhaltensdiagrammen des Administratorkontos hinzugefügt werden sollen. tagValueList
-
(Optional) Eine komma-getrennte Liste von Tag-Werten, die einem neuen Verhaltensdiagramm zugewiesen werden sollen.
Für jeden Tag-Wert lautet das Format
. Beispielsweise:key
=value
--tags Department=Finance,Geo=Americas
regionList
-
(Optional) Eine komma-getrennte Liste von Regionen, in denen die Mitgliedskonten dem Verhaltensdiagramm des Administratorkontos hinzugefügt werden sollen. Beispielsweise:
--enabled_regions us-east-1,us-east-2,us-west-2
Für das Administratorkonto ist Detective möglicherweise noch nicht in einer Region aktiviert. In diesem Fall aktiviert das Skript Detective und erstellt ein neues Verhaltensdiagramm für das Administratorkonto.
Wenn Sie keine Liste mit Regionen angeben, funktioniert das Skript in allen Regionen, die Detective unterstützt.
--disable_email
-
(Optional) Falls enthalten, sendet Detective keine Einladungs-E-Mails an die Mitgliedskonten.
Ausführen von disableDetective.py
Sie können das disableDetective.py
Skript von einer EC2 Instanz oder Ihrem lokalen Computer aus ausführen.
So führen Sie disableDetective.py
aus
-
Kopieren Sie die
.csv
-Datei in das Verzeichnisamazon-detective-multiaccount-scripts
. -
Um die
.csv
-Datei zu verwenden, um die aufgelisteten Mitgliedskonten aus den Verhaltensdiagrammen des Administratorkontos in einer bestimmten Liste von Regionen zu löschen, führen Sie dasdisableDetective.py
-Skript wie folgt aus:disabledetective.py --master_account
administratorAccountID
--assume_roleroleName
--input_fileinputFileName
--disabled_regionsregionList
-
Um Detective für das Administratorkonto in allen Regionen zu deaktivieren, führen Sie das
disableDetective.py
-Skript mit der--delete-master
-Markierung aus.disabledetective.py --master_account
administratorAccountID
--assume_roleroleName
--input_fileinputFileName
--disabled_regionsregionList
--delete_master
Ersetzen Sie bei der Ausführung des Skripts die folgenden Werte:
administratorAccountID
-
Die AWS Konto-ID für das Administratorkonto.
roleName
-
Der Name der AWS Rolle, die im Administratorkonto und in jedem Mitgliedskonto übernommen werden soll.
inputFileName
-
Der Name der
.csv
-Datei, die die Liste der Mitgliedskonten enthält, die aus den Verhaltensdiagrammen des Administratorkontos entfernt werden sollen.Sie müssen eine
.csv
-Datei bereitstellen, auch wenn Sie Detective deaktivieren. regionList
-
(Optional) Eine komma-getrennte Liste von Regionen, in denen einer der folgenden Schritte ausgeführt werden kann:
-
Entfernen der Mitgliedskonten aus den Verhaltensdiagrammen des Administratorkontos.
-
Wenn das
--delete-master
-Flag enthalten ist, Detective deaktivieren.
Beispielsweise:
--disabled_regions us-east-1,us-east-2,us-west-2
Wenn Sie keine Liste mit Regionen angeben, funktioniert das Skript in allen Regionen, die Detective unterstützt.
-