Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Verwaltung **Topics** + [Kostenmanagement](costmanagement-pattern-list.md) + [Datenverarbeitung für Endbenutzer](endusercomputing-pattern-list.md) + [Datenverarbeitung in Hochleistung](highperformancecomputing-pattern-list.md) + [Hybride Cloud](hybrid-pattern-list.md) + [Management & Governance](governance-pattern-list.md) + [Nachrichtenübermittlung und Kommunikation](messagingandcommunications-pattern-list.md) + [Strategie für mehrere Konten](multiaccountstrategy-pattern-list.md) # Kostenmanagement **Topics** + [Erstellen Sie mit dem AWS Cost Explorer detaillierte Kosten- und Nutzungsberichte für AWS Glue-Jobs](create-detailed-cost-and-usage-reports-for-aws-glue-jobs-by-using-aws-cost-explorer.md) + [Erstellen Sie mit dem AWS Cost Explorer detaillierte Kosten- und Nutzungsberichte für Amazon EMR-Cluster](create-detailed-cost-and-usage-reports-for-amazon-emr-clusters-by-using-aws-cost-explorer.md) + [Mehr Muster](costmanagement-more-patterns-pattern-list.md) # Erstellen Sie mit dem AWS Cost Explorer detaillierte Kosten- und Nutzungsberichte für AWS Glue-Jobs *Parijat Bhide und Aromal Raj Jayarajan, Amazon Web Services* ## Zusammenfassung Dieses Muster zeigt, wie Sie die Nutzungskosten von AWS Glue Glue-Datenintegrationsaufträgen verfolgen können, indem Sie [benutzerdefinierte Kostenzuweisungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/custom-tags.html) konfigurieren. Sie können diese Tags verwenden, um detaillierte Kosten- und Nutzungsberichte im AWS Cost Explorer für Jobs in mehreren Dimensionen zu erstellen. Sie können beispielsweise die Nutzungskosten auf Team-, Projekt- oder Kostenstellenebene verfolgen. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktives AWS-Konto + Ein oder mehrere [AWS Glue Glue-Jobs](https://docs.aws.amazon.com/glue/latest/dg/how-it-works.html), für die benutzerdefinierte Tags aktiviert sind ## Architektur **Zieltechnologie-Stack** + AWS Glue + AWS Cost Explorer Das folgende Diagramm zeigt, wie Sie Tags anwenden können, um die Nutzungskosten für AWS Glue Glue-Jobs nachzuverfolgen. ![\[Erstellung und Anwendung von Tags in AWS Glue Glue-Jobs zur Nachverfolgung der Nutzungskosten im AWS Cost Explorer.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/e0ae6643-713d-423a-9013-b41b30638053/images/f2b74ef1-494d-439b-9aec-5a9d601126a6.png) Das Diagramm zeigt den folgenden Workflow: 1. Ein Dateningenieur oder AWS-Administrator erstellt benutzerdefinierte Kostenzuweisungs-Tags für die AWS Glue-Jobs. 1. Ein AWS-Administrator aktiviert die Tags. 1. Die Tags melden Metadaten an AWS Cost Explorer. ## Tools + [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html) ist ein vollständig verwalteter Service zum Extrahieren, Transformieren und Laden (ETL). Er hilft Ihnen dabei, Daten zuverlässig zu kategorisieren, zu bereinigen, anzureichern und zwischen Datenspeichern und Datenströmen zu verschieben. + Mit [AWS Cost Explorer](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-what-is.html) können Sie Ihre AWS-Kosten und -Nutzung anzeigen und analysieren. ## Epen ### Erstellen und aktivieren Sie Tags für Ihre AWS Glue Glue-Jobs | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie benutzerdefinierte Kostenzuweisungs-Tags für Ihre AWS Glue Glue-Jobs. | **So fügen Sie einem vorhandenen AWS Glue Glue-Job Tags hinzu**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-detailed-cost-and-usage-reports-for-aws-glue-jobs-by-using-aws-cost-explorer.html)**So fügen Sie Tags zu einem neuen AWS Glue Glue-Job hinzu**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-detailed-cost-and-usage-reports-for-aws-glue-jobs-by-using-aws-cost-explorer.html)Weitere Informationen finden Sie unter [AWS-Tags in AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) im *AWS Glue Developer Guide.* | Dateningenieur | | Aktivieren Sie die benutzerdefinierten Tags für die Kostenzuweisung. | Folgen Sie den Anweisungen unter [Aktivierung von benutzerdefinierten Kostenzuweisungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html) im *AWS-Abrechnungsbenutzerhandbuch*. | AWS-Administrator | ### Erstellen Sie Kosten- und Nutzungsberichte für Ihre AWS Glue Glue-Jobs | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie Kosten- und Nutzungsberichte für Ihre AWS Glue Glue-Jobs mithilfe von Tag-Filtern in AWS Cost Explorer. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-detailed-cost-and-usage-reports-for-aws-glue-jobs-by-using-aws-cost-explorer.html)Weitere Informationen finden Sie unter [Erkunden Ihrer Daten mit Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-exploring-data.html) im *AWS Cost Management-Benutzerhandbuch*. | Allgemein AWS, AWS-Administrator | # Erstellen Sie mit dem AWS Cost Explorer detaillierte Kosten- und Nutzungsberichte für Amazon EMR-Cluster *Parijat Bhide und Aromal Raj Jayarajan, Amazon Web Services* ## Zusammenfassung Dieses Muster zeigt, wie Sie die Nutzungskosten von Amazon EMR-Clustern verfolgen können, indem Sie [benutzerdefinierte Kostenzuweisungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/custom-tags.html) konfigurieren. Sie können diese Tags verwenden, um detaillierte Kosten- und Nutzungsberichte in AWS Cost Explorer für Cluster in mehreren Dimensionen zu erstellen. Sie können beispielsweise die Nutzungskosten auf Team-, Projekt- oder Kostenstellenebene verfolgen. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktives AWS-Konto + Ein oder mehrere [EMR-Cluster](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-gs.html), für die benutzerdefinierte Tags aktiviert sind ## Architektur **Zieltechnologie-Stack** + Amazon EMR + AWS Cost Explorer **Zielarchitektur** Das folgende Diagramm zeigt, wie Sie Tags anwenden können, um die Nutzungskosten für bestimmte Amazon EMR-Cluster nachzuverfolgen. ![\[Verwendung von Kostenzuweisungs-Tags für Amazon EMR-Cluster.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/3e470077-e3b1-43cf-8cb9-0895fe39e664/images/fb6b78cb-47bb-4ba1-848a-98dba02bdbb2.png) Das Diagramm zeigt den folgenden Workflow: 1. Ein Dateningenieur oder AWS-Administrator erstellt benutzerdefinierte Kostenzuweisungs-Tags für die Amazon EMR-Cluster. 1. Ein AWS-Administrator aktiviert die Tags. 1. Die Tags melden Metadaten an AWS Cost Explorer. ## Tools **Tools** + [Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-what-is-emr.html) ist eine verwaltete Cluster-Plattform, die die Ausführung von Big-Data-Frameworks auf AWS vereinfacht, um große Datenmengen zu verarbeiten und zu analysieren. + Mit [AWS Cost Explorer](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-what-is.html) können Sie Ihre AWS-Kosten und -Nutzung anzeigen und analysieren. ## Epen ### Tags für Ihre Amazon EMR-Cluster erstellen und aktivieren | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie benutzerdefinierte Kostenzuweisungs-Tags für Ihre Amazon EMR-Cluster. | **So fügen Sie Tags zu einem vorhandenen Amazon EMR-Cluster hinzu**Folgen Sie den Anweisungen unter [Hinzufügen von Tags zu einem vorhandenen Cluster](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-tags-add.html) im *Amazon EMR Management Guide*.**So fügen Sie Tags zu einem neuen Amazon EMR-Cluster hinzu**Folgen Sie den Anweisungen unter [Hinzufügen von Tags zu einem neuen Cluster](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-tags-add-new.html) im *Amazon EMR Management Guide*.Weitere Informationen zur Einrichtung eines Amazon EMR-Clusters finden Sie unter [Planen und Konfigurieren von Clustern](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan.html) im *Amazon EMR Management Guide*. | Dateningenieur | | Aktivieren Sie die benutzerdefinierten Tags für die Kostenzuweisung. | Folgen Sie den Anweisungen unter [Aktivierung von benutzerdefinierten Kostenzuweisungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html) im *AWS-Abrechnungsbenutzerhandbuch*. | AWS-Administrator | ### Erstellen Sie Kosten- und Nutzungsberichte für Ihre Amazon EMR-Cluster | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie Kosten- und Nutzungsberichte für Ihre Amazon EMR-Cluster mithilfe von Tag-Filtern in AWS Cost Explorer. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-detailed-cost-and-usage-reports-for-amazon-emr-clusters-by-using-aws-cost-explorer.html)Weitere Informationen finden Sie unter [Erkunden Ihrer Daten mit Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-exploring-data.html) im *AWS Cost Management-Benutzerhandbuch*. | Allgemein AWS, AWS-Administrator | # Mehr Muster **Topics** + [Automatisieren Sie den AWS Infrastrukturbetrieb mithilfe von Amazon Bedrock](automate-aws-infrastructure-operations-by-using-amazon-bedrock.md) + [Automatische Inventarisierung von AWS Ressourcen für mehrere Konten und Regionen](automate-aws-resource-inventory.md) + [Automatisieren Sie die Erstellung von Amazon WorkSpaces Applications-Ressourcen mit AWS CloudFormation](automate-the-creation-of-appstream-2-0-resources-using-aws-cloudformation.md) + [Automatisches Archivieren von Elementen in Amazon S3 mithilfe von DynamoDB TTL](automatically-archive-items-to-amazon-s3-using-dynamodb-ttl.md) + [Automatisches Stoppen und Starten einer Amazon RDS-DB-Instance mithilfe von AWS Systems Manager Maintenance Windows](automatically-stop-and-start-an-amazon-rds-db-instance-using-aws-systems-manager-maintenance-windows.md) + [Erstellen Sie detaillierte Kosten- und Nutzungsberichte für Amazon RDS und Amazon Aurora](create-detailed-cost-and-usage-reports-for-amazon-rds-and-amazon-aurora.md) + [Schätzung der Speicherkosten für eine Amazon DynamoDB-Tabelle](estimate-storage-costs-for-an-amazon-dynamodb-table.md) + [Schätzen Sie die Kosten einer DynamoDB-Tabelle für On-Demand-Kapazität](estimate-the-cost-of-a-dynamodb-table-for-on-demand-capacity.md) + [Richten Sie ereignisgesteuertes Auto Scaling in Amazon EKS mithilfe von Amazon EKS Pod Identity und KEDA ein](event-driven-auto-scaling-with-eks-pod-identity-and-keda.md) + [Koordinieren Sie die Ressourcenabhängigkeit und die Aufgabenausführung mithilfe des AWS Fargate WaitCondition Hook-Konstrukts](use-the-aws-fargate-waitcondition-hook-construct.md) # Datenverarbeitung für Endbenutzer **Topics** + [Implementieren Sie die SAML 2.0-Authentifizierung für Amazon mithilfe WorkSpaces von Auth0 und AWS Managed Microsoft AD](implement-saml-authentication-for-amazon-workspaces-by-using-auth0-and-aws-managed-microsoft-ad.md) + [Mehr Muster](endusercomputing-more-patterns-pattern-list.md) # Implementieren Sie die SAML 2.0-Authentifizierung für Amazon mithilfe WorkSpaces von Auth0 und AWS Managed Microsoft AD *Siva Vinnakota und Shantanu Padhye, Amazon Web Services* ## Zusammenfassung In diesem Muster wird untersucht, wie Sie Auth0 integrieren können AWS Directory Service for Microsoft Active Directory , um eine robuste SAML 2.0-Authentifizierungslösung für Ihre WorkSpaces Amazon-Umgebung zu erstellen. Es wird erklärt, wie ein Verbund zwischen diesen eingerichtet werden kann AWS-Services , um erweiterte Funktionen wie Multi-Faktor-Authentifizierung (MFA) und benutzerdefinierte Anmeldeabläufe zu ermöglichen und gleichzeitig einen nahtlosen Desktop-Zugriff zu gewährleisten. AWS Managed Microsoft AD Ganz gleich, ob Sie nur eine Handvoll oder Tausende von Benutzern verwalten, diese Integration bietet Flexibilität und Sicherheit für Ihr Unternehmen. Dieses Muster enthält die Schritte für den Einrichtungsprozess, sodass Sie diese Lösung in Ihrer eigenen Umgebung implementieren können. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktiver AWS-Konto + AWS Managed Microsoft AD + Ein bereitgestellter Desktop in Amazon WorkSpaces Personal, der verknüpft ist mit AWS Managed Microsoft AD + Eine Amazon Elastic Compute Cloud (Amazon EC2) -Instanz + Ein Auth0-Konto **Einschränkungen** Einige AWS-Services sind nicht in allen AWS-Regionen verfügbar. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie [AWS-Services unter Nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie auf der Seite [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus. ## Architektur Der SAML 2.0-Authentifizierungsprozess für eine WorkSpaces Client-Anwendung besteht aus fünf Schritten, die in der folgenden Abbildung veranschaulicht werden. Diese Schritte stellen einen typischen Ablauf für die Anmeldung dar. Sie können diesen verteilten Authentifizierungsansatz verwenden, nachdem Sie die Anweisungen in diesem Muster befolgt haben, um eine strukturierte und sichere Methode für den Benutzerzugriff bereitzustellen. ![\[Workflow für den SAML 2.0-Authentifizierungsprozess für eine WorkSpaces Client-Anwendung.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/5a0f227c-c111-495b-9fde-98ae7832bb10/images/957b2a11-e898-4c4f-ae4e-c2e85bfa93a0.png) Arbeitsablauf: 1. **Registrierung**. Der Benutzer startet die Client-Anwendung für WorkSpaces und gibt den WorkSpaces Registrierungscode für sein SAML-fähiges WorkSpaces Verzeichnis ein. WorkSpaces gibt die Auth0 Identity Provider (IdP) -URL an die Client-Anwendung zurück. 1. **Einloggen.**Der WorkSpaces Client leitet mithilfe der Auth0-URL zum Webbrowser des Benutzers weiter.  Der Benutzer authentifiziert sich mit seinem Benutzernamen und Passwort. Auth0 gibt eine SAML-Assertion an den Client-Browser zurück. Die SAML-Assertion ist ein verschlüsseltes Token, das die Identität des Benutzers bestätigt. 1. **Authentifizieren Sie sich.** Der Clientbrowser sendet die SAML-Assertion an den AWS-Anmeldung Endpunkt, um sie zu validieren. AWS-Anmeldung ermöglicht es dem Aufrufer, eine AWS Identity and Access Management (IAM-) Rolle anzunehmen. Dadurch wird ein Token zurückgegeben, das temporäre Anmeldeinformationen für die IAM-Rolle enthält. 1. **WorkSpaces einloggen**. Der WorkSpaces Client präsentiert das Token dem WorkSpaces Service-Endpunkt. WorkSpaces tauscht das Token gegen ein Sitzungstoken aus und gibt das Sitzungstoken mit einer Anmelde-URL an den WorkSpaces Client zurück. Wenn der WorkSpaces Client die Anmeldeseite lädt, wird der Wert für den Benutzernamen mit dem `NameId` Wert aufgefüllt, der in der SAML-Antwort übergeben wurde. 1. **Streamen.** Der Benutzer gibt sein Passwort ein und authentifiziert sich anhand des WorkSpaces Verzeichnisses. WorkSpaces Gibt nach der Authentifizierung ein Token an den Client zurück. Der Client leitet zurück zum WorkSpaces Dienst und präsentiert das Token. Dadurch wird eine Streaming-Sitzung zwischen dem WorkSpaces Client und dem vermittelt WorkSpace. **Anmerkung** Informationen zur Einrichtung eines nahtlosen Single Sign-On-Erlebnisses, für das keine Kennwortabfrage erforderlich ist, finden Sie in der Dokumentation unter [Certificate-based Authentication und WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/certificate-based-authentication.html). WorkSpaces ## Tools **AWS-Services** + [Amazon WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces.html) ist ein vollständig verwalteter Service für virtuelle Desktop-Infrastrukturen (VDI), der Benutzern Cloud-basierte Desktops bietet, ohne Hardware beschaffen und bereitstellen oder komplexe Software installieren zu müssen. + [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)ermöglicht Ihren verzeichnissensitiven Workloads und AWS Ressourcen die Verwendung von Microsoft Active Directory in der. AWS Cloud **Andere Tools** + [Auth0](https://auth0.com/) ist eine Authentifizierungs- und Autorisierungsplattform, mit der Sie den Zugriff auf Ihre Anwendungen verwalten können. ## Epen ### Konfigurieren Sie den Active Directory-LDAP-Connector in Auth0 | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Installieren Sie den Active Directory-LDAP-Connector in Auth0 mit. AWS Managed Microsoft AD | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-saml-authentication-for-amazon-workspaces-by-using-auth0-and-aws-managed-microsoft-ad.html) | Cloud-Administrator, Cloud-Architekt | | Erstellen Sie eine Anwendung in Auth0, um die SAML-Metadaten-Manifestdatei zu generieren. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-saml-authentication-for-amazon-workspaces-by-using-auth0-and-aws-managed-microsoft-ad.html) | Cloud-Administrator, Cloud-Architekt | ### IdP, Rolle und Richtlinie für SAML 2.0 in IAM einrichten | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie einen SAML 2.0-IdP in IAM. | Um SAML 2.0 als IdP einzurichten, folgen Sie den Schritten, die in [Erstellen eines SAML-Identitätsanbieters in IAM in der IAM-Dokumentation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) beschrieben sind. | Cloud-Administrator | | Erstellen Sie eine IAM-Rolle und -Richtlinie für den SAML 2.0-Verbund. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-saml-authentication-for-amazon-workspaces-by-using-auth0-and-aws-managed-microsoft-ad.html) | Cloud-Administrator | ### Konfigurieren Sie Assertionen in Auth0 | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Konfigurieren Sie Auth0- und SAML-Assertionen. | Sie können Auth0-Aktionen verwenden, um Assertionen in SAML 2.0-Antworten zu konfigurieren. Eine SAML-Assertion ist ein verschlüsseltes Token, das die Identität des Benutzers bestätigt.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-saml-authentication-for-amazon-workspaces-by-using-auth0-and-aws-managed-microsoft-ad.html)Damit ist die Einrichtung der SAML 2.0-Authentifizierung für WorkSpaces persönliche Desktops abgeschlossen. Im Abschnitt [Architektur](#implement-saml-authentication-for-amazon-workspaces-by-using-auth0-and-aws-managed-microsoft-ad-architecture) wird der Authentifizierungsprozess nach der Einrichtung veranschaulicht. | Cloud-Administrator | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | Probleme mit der SAML 2.0-Authentifizierung in WorkSpaces** ** | Wenn Sie bei der Implementierung der SAML 2.0-Authentifizierung für WorkSpaces Personal auf Probleme stoßen, folgen Sie den Schritten und Links, die im [AWS re:POST-Artikel](https://repost.aws/knowledge-center/workspaces-saml-authentication-issues) zur Fehlerbehebung bei der SAML 2.0-Authentifizierung beschrieben sind.Weitere Informationen zur Untersuchung von SAML 2.0-Fehlern beim Zugriff finden Sie unter: WorkSpaces[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-saml-authentication-for-amazon-workspaces-by-using-auth0-and-aws-managed-microsoft-ad.html) | ## Zugehörige Ressourcen + [Richten Sie SAML 2.0 für WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html) ein (Dokumentation) WorkSpaces + [Auth0-Dokumentation](https://auth0.com/docs) # Mehr Muster **Topics** + [Automatisieren Sie die Erstellung von Amazon WorkSpaces Applications-Ressourcen mit AWS CloudFormation](automate-the-creation-of-appstream-2-0-resources-using-aws-cloudformation.md) + [Verbessern Sie die Anrufqualität auf den Agentenarbeitsplätzen in Amazon Connect Connect-Kontaktzentren](improve-call-quality-on-agent-workstations-in-amazon-connect-contact-centers.md) + [Führen Sie AWS Systems Manager Automation Automation-Aufgaben synchron über AWS Step Functions aus](run-aws-systems-manager-automation-tasks-synchronously-from-aws-step-functions.md) # Datenverarbeitung in Hochleistung **Topics** + [Stellen Sie mithilfe von Terraform und DRA ein Lustre-Dateisystem für die Hochleistungsdatenverarbeitung bereit](deploy-lustre-file-system-for-high-performance-data-processing-with-terraform-dra.md) + [Richten Sie ein Grafana-Überwachungs-Dashboard für AWS ein ParallelCluster](set-up-a-grafana-monitoring-dashboard-for-aws-parallelcluster.md) + [Mehr Muster](highperformancecomputing-more-patterns-pattern-list.md) # Stellen Sie mithilfe von Terraform und DRA ein Lustre-Dateisystem für die Hochleistungsdatenverarbeitung bereit *Arun Bagal und Ishwar Chauthaiwale, Amazon Web Services* ## Zusammenfassung Dieses Muster stellt automatisch ein Lustre-Dateisystem bereit AWS und integriert es mit Amazon Elastic Compute Cloud (Amazon EC2) und Amazon Simple Storage Service (Amazon S3). Mit dieser Lösung können Sie schnell eine High Performance Computing (HPC) -Umgebung mit integriertem Speicher, Rechenressourcen und Amazon S3 S3-Datenzugriff einrichten. Es kombiniert die Speicherfunktionen von Lustre mit den flexiblen Rechenoptionen von Amazon EC2 und dem skalierbaren Objektspeicher in Amazon S3, sodass Sie datenintensive Workloads in den Bereichen maschinelles Lernen, HPC und Big-Data-Analysen bewältigen können. Das Muster verwendet ein HashiCorp Terraform-Modul und Amazon FSx for Lustre, um den folgenden Prozess zu optimieren: + Bereitstellung eines Lustre-Dateisystems + Einrichtung einer Data Repository Association (DRA) zwischen FSx for Lustre und einem S3-Bucket, um das Lustre-Dateisystem mit Amazon S3 S3-Objekten zu verknüpfen + Eine Instanz erstellen EC2 + Mounten des Lustre-Dateisystems mit dem Amazon S3-verknüpften DRA auf der Instance EC2 Zu den Vorteilen dieser Lösung gehören: + Modularer Aufbau. Sie können die einzelnen Komponenten dieser Lösung einfach warten und aktualisieren. + Skalierbarkeit. Sie können schnell konsistente Umgebungen in unseren AWS-Konten Regionen bereitstellen. + Flexibilität. Sie können die Bereitstellung an Ihre spezifischen Bedürfnisse anpassen. + Bewährte Verfahren. Dieses Muster verwendet vorkonfigurierte Module, die AWS bewährten Methoden folgen. Weitere Informationen zu Lustre-Dateisystemen finden Sie auf der [Lustre-Website](https://www.lustre.org/). ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktiver AWS-Konto + Eine IAM-Richtlinie AWS Identity and Access Management (Least Privilege) (siehe [Anweisungen](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)) **Einschränkungen** FSx for Lustre beschränkt das Lustre-Dateisystem auf eine einzige Availability Zone, was problematisch sein kann, wenn Sie hohe Verfügbarkeitsanforderungen haben. Wenn die Availability Zone, die das Dateisystem enthält, ausfällt, ist der Zugriff auf das Dateisystem bis zur Wiederherstellung verloren. Um eine hohe Verfügbarkeit zu erreichen, können Sie DRA verwenden, um das Lustre-Dateisystem mit Amazon S3 zu verknüpfen und Daten zwischen Availability Zones zu übertragen. **Produktversionen** + [Terraform Version 1.9.3 oder höher](https://developer.hashicorp.com/terraform/install?product_intent=terraform) + [HashiCorp AWS-Provider-Version 4.0.0 oder höher](https://registry.terraform.io/providers/hashicorp/aws/latest) ## Architektur Das folgende Diagramm zeigt die Architektur für FSx für Lustre und die ergänzende Architektur AWS-Services in. AWS Cloud ![\[FSx für die Lustre-Bereitstellung mit AWS KMS, Amazon EC2, Amazon CloudWatch Logs und Amazon S3.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/51d38589-e752-42cd-9f46-59c3c8d0bfd3/images/c1c21952-fd6f-4b1d-9bf8-09b2f4f4459f.png) Die Architektur umfasst Folgendes: + Ein S3-Bucket wird als langlebiger, skalierbarer und kostengünstiger Speicherort für Daten verwendet. Die Integration zwischen FSx for Lustre und Amazon S3 bietet ein leistungsstarkes Dateisystem, das nahtlos mit Amazon S3 verknüpft ist. + FSx for Lustre betreibt und verwaltet das Lustre-Dateisystem. + Amazon CloudWatch Logs sammelt und überwacht Protokolldaten aus dem Dateisystem. Diese Protokolle bieten Einblicke in die Leistung, den Zustand und die Aktivität Ihres Lustre-Dateisystems. + Amazon EC2 wird verwendet, um mithilfe des Open-Source-Lustre-Clients auf Lustre-Dateisysteme zuzugreifen. EC2 Instanzen können auf Dateisysteme von anderen Availability Zones innerhalb derselben Virtual Private Cloud (VPC) zugreifen. Die Netzwerkkonfiguration ermöglicht den Zugriff über Subnetze innerhalb der VPC. Nachdem das Lustre-Dateisystem auf der Instanz bereitgestellt wurde, können Sie mit den Dateien und Verzeichnissen arbeiten, als würden Sie ein lokales Dateisystem verwenden. + AWS Key Management Service (AWS KMS) erhöht die Sicherheit des Dateisystems, indem Daten im Ruhezustand verschlüsselt werden. **Automatisierung und Skalierung** Terraform erleichtert die Bereitstellung, Verwaltung und Skalierung Ihrer Lustre-Dateisysteme in mehreren Umgebungen. FSx Bei Lustre hat ein einzelnes Dateisystem Größenbeschränkungen, sodass Sie möglicherweise horizontal skalieren müssen, indem Sie mehrere Dateisysteme erstellen. Sie können Terraform verwenden, um je nach Ihren Workload-Anforderungen mehrere Lustre-Dateisysteme bereitzustellen. ## Tools **AWS-Services** + [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) hilft Ihnen dabei, die Protokolle all Ihrer Systeme und Anwendungen zu zentralisieren, AWS-Services sodass Sie sie überwachen und sicher archivieren können. + [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html) bietet skalierbare Rechenkapazität in der AWS Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren. + [Amazon FSx for Lustre](https://docs.aws.amazon.com/fsx/latest/LustreGuide/what-is.html) macht es einfach und kostengünstig, ein leistungsstarkes Lustre-Dateisystem zu starten, auszuführen und zu skalieren. + [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) hilft Ihnen dabei, kryptografische Schlüssel zu erstellen und zu kontrollieren, um Ihre Daten zu schützen. + [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt. **Code-Repository** Der Code für dieses Muster ist im Repository GitHub [Provision FSx for Lustre Filesystem using Terraform](https://github.com/aws-samples/provision-fsx-lustre-with-terraform) verfügbar. ## Best Practices + Die folgenden Variablen definieren das Lustre-Dateisystem. Stellen Sie sicher, dass Sie diese entsprechend Ihrer Umgebung korrekt konfigurieren, wie im Abschnitt [Epics](#deploy-lustre-file-system-for-high-performance-data-processing-with-terraform-dra-epics) beschrieben. + `storage_capacity`— Die Speicherkapazität des Lustre-Dateisystems, in. GiBs Die Mindest- und Standardeinstellung ist 1200 GiB. + `deployment_type`— Der Bereitstellungstyp für das Lustre-Dateisystem. Eine Erläuterung der beiden Optionen `PERSISTENT_1` und `PERSISTENT_2` (Standard) finden Sie in der Dokumentation [FSx zu Lustre](https://docs.aws.amazon.com/fsx/latest/LustreGuide/using-fsx-lustre.html#persistent-file-system). + `per_unit_storage_throughput`— Der Lese- und Schreibdurchsatz in MBs pro Sekunde pro TiB.   + `subnet_id`— Die ID des privaten Subnetzes, in dem Sie Lustre bereitstellen FSx möchten. + `vpc_id`— Die ID Ihrer virtuellen privaten Cloud, AWS in der Sie Lustre bereitstellen FSx möchten. + `data_repository_path`— Der Pfad zum S3-Bucket, der mit dem Lustre-Dateisystem verknüpft wird. + `iam_instance_profile`— Das IAM-Instance-Profil, das zum Starten der EC2 Instance verwendet werden soll. + `kms_key_id`— Der Amazon-Ressourcenname (ARN) des AWS KMS Schlüssels, der für die Datenverschlüsselung verwendet wird. + Stellen Sie mithilfe der `vpc_id` Variablen und den korrekten Netzwerkzugriff und die korrekte Platzierung innerhalb der `security_group` VPC sicher. + Führen Sie den `terraform plan` Befehl wie im Abschnitt [Epics](#deploy-lustre-file-system-for-high-performance-data-processing-with-terraform-dra-epics) beschrieben aus, um eine Vorschau der Änderungen anzuzeigen und sie zu überprüfen, bevor Sie sie übernehmen. Dies hilft dabei catch potenzielle Probleme zu erkennen und stellt sicher, dass Sie wissen, was bereitgestellt wird. + Verwenden Sie den `terraform validate` Befehl, wie im Abschnitt [Epics](#deploy-lustre-file-system-for-high-performance-data-processing-with-terraform-dra-epics) beschrieben, um nach Syntaxfehlern zu suchen und um zu bestätigen, dass Ihre Konfiguration korrekt ist. ## Epen ### So richten Sie Ihre Umgebung ein | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Installieren Sie Terraform. | [Folgen Sie den Anweisungen in der Terraform-Dokumentation, um Terraform auf Ihrem lokalen Computer zu installieren.](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli) | AWS DevOps, DevOps Ingenieur | | Richten Sie AWS Anmeldeinformationen ein. | Folgen Sie den Anweisungen in der [AWS Dokumentation](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html), um das Profil AWS Command Line Interface (AWS CLI) für das Konto einzurichten. | AWS DevOps, DevOps Ingenieur | | Klonen Sie das GitHub Repository. | Um das GitHub Repository zu klonen, führen Sie den folgenden Befehl aus:
git clone https://github.com/aws-samples/provision-fsx-lustre-with-terraform.git
| AWS DevOps, DevOps Ingenieur | ### Konfiguration und Bereitstellung FSx für Lustre | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Aktualisieren Sie die Bereitstellungskonfiguration. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-lustre-file-system-for-high-performance-data-processing-with-terraform-dra.html) | AWS DevOps, DevOps Ingenieur | | Initialisieren Sie die Terraform-Umgebung. | Um Ihre Umgebung für die Ausführung des `fsx_deployment` Terraform-Moduls zu initialisieren, führen Sie Folgendes aus:
terraform init
| AWS DevOps, DevOps Ingenieur | | Validieren Sie die Terraform-Syntax. | Führen Sie Folgendes aus, um nach Syntaxfehlern zu suchen und zu bestätigen, dass Ihre Konfiguration korrekt ist:
terraform validate
| AWS DevOps, DevOps Ingenieur | | Validieren Sie die Terraform-Konfiguration. | Führen Sie Folgendes aus, um einen Terraform-Ausführungsplan zu erstellen und eine Vorschau der Bereitstellung anzuzeigen:
terraform plan -var-file terraform.tfvars
| AWS DevOps, DevOps Ingenieur | | Stellen Sie das Terraform-Modul bereit. | Führen Sie Folgendes aus, um die FSx for Lustre-Ressourcen bereitzustellen:
terraform apply -var-file terraform.tfvars
| AWS DevOps, DevOps Ingenieur | ### AWS Ressourcen bereinigen | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | AWS Ressourcen entfernen. | Nachdem Sie Ihre FSx for Lustre-Umgebung nicht mehr genutzt haben, können Sie die von Terraform bereitgestellten AWS Ressourcen entfernen, um unnötige Kosten zu vermeiden. Das im Code-Repository bereitgestellte Terraform-Modul automatisiert diese Bereinigung.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-lustre-file-system-for-high-performance-data-processing-with-terraform-dra.html) | AWS DevOps, DevOps Ingenieur | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | FSx für Lustre gibt Fehler zurück. | Hilfe bei Problemen mit FSx Lustre finden Sie unter [Fehlerbehebung bei Amazon FSx for Lustre in der FSx for Lustre-Dokumentation](https://docs.aws.amazon.com/fsx/latest/LustreGuide/troubleshooting.html). | ## Zugehörige Ressourcen + [Amazon FSx for Lustre mithilfe von Terraform erstellen (AWS Anbieterreferenz in der Terraform-Dokumentation](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/fsx_lustre_file_system)) + [Erste Schritte mit Amazon FSx for Lustre](https://docs.aws.amazon.com/fsx/latest/LustreGuide/getting-started.html) (FSx für Lustre-Dokumentation) + [AWS Blogbeiträge über Amazon FSx for Lustre](https://aws.amazon.com/blogs/storage/tag/amazon-fsx-for-lustre/) # Richten Sie ein Grafana-Überwachungs-Dashboard für AWS ein ParallelCluster *Dario La Porta und William Lu, Amazon Web Services* ## Zusammenfassung AWS ParallelCluster unterstützt Sie bei der Bereitstellung und Verwaltung von HPC-Clustern (High Performance Computing). Es unterstützt die Open-Source-Job-Scheduler AWS Batch und Slurm. Obwohl AWS CloudWatch für die Protokollierung und Metriken in Amazon integriert ParallelCluster ist, bietet es kein Monitoring-Dashboard für die Arbeitslast. Das [Grafana-Dashboard für AWS ParallelCluster](https://github.com/aws-samples/aws-parallelcluster-monitoring) (GitHub) ist ein Überwachungs-Dashboard für AWS ParallelCluster. Es bietet Einblicke in den Job Scheduler und detaillierte Überwachungsmetriken auf Betriebssystemebene (OS). Weitere Informationen zu den in dieser Lösung enthaltenen Dashboards finden Sie unter [Beispiel-Dashboards im Repository](https://github.com/aws-samples/aws-parallelcluster-monitoring#example-dashboards). GitHub Diese Metriken helfen Ihnen dabei, den HPC-Workload und seine Leistung besser zu verstehen. Der Dashboard-Code wird jedoch nicht für die neuesten Versionen von AWS ParallelCluster oder die Open-Source-Pakete aktualisiert, die in der Lösung verwendet werden. Dieses Muster verbessert die Lösung und bietet die folgenden Vorteile: + Unterstützt AWS ParallelCluster v3 + Verwendet die neueste Version von Open-Source-Paketen, darunter Prometheus, Grafana, Prometheus Slurm Exporter und NVIDIA DCGM-Exporter + Erhöht die Anzahl der CPU-Kerne und die Anzahl der CPU-Kerne, die von den Slurm-Jobs verwendet werden GPUs + Fügt ein Dashboard zur Jobüberwachung hinzu + Verbessert das Dashboard zur GPU-Knotenüberwachung für Knoten mit 4 oder 8 Grafikprozessoren (GPUs) Diese Version der erweiterten Lösung wurde in der HPC-Produktionsumgebung eines AWS-Kunden implementiert und verifiziert. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + [AWS ParallelCluster CLI](https://docs.aws.amazon.com/parallelcluster/latest/ug/pcluster-v3.html), installiert und konfiguriert. + Eine unterstützte [Netzwerkkonfiguration](https://docs.aws.amazon.com/parallelcluster/latest/ug/iam-roles-in-parallelcluster-v3.html) für AWS ParallelCluster. Dieses Muster verwendet die [AWS-Konfiguration ParallelCluster mit zwei Subnetzen](https://docs.aws.amazon.com/parallelcluster/latest/ug/network-configuration-v3.html#network-configuration-v3-two-subnets), was ein öffentliches Subnetz, ein privates Subnetz, ein Internet-Gateway und ein NAT-Gateway erfordert. + Alle ParallelCluster AWS-Clusterknoten müssen über Internetzugang verfügen. Dies ist erforderlich, damit die Installationsskripte die Open-Source-Software und die Docker-Images herunterladen können. + Ein [key pair](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html) in Amazon Elastic Compute Cloud (Amazon EC2). Ressourcen, die über dieses key pair verfügen, haben Secure Shell (SSH) -Zugriff auf den Hauptknoten. **Einschränkungen** + Dieses Muster wurde entwickelt, um Ubuntu 20.04 LTS zu unterstützen. Wenn Sie eine andere Version von Ubuntu oder Amazon Linux oder CentOS verwenden, müssen Sie die mit dieser Lösung bereitgestellten Skripts ändern. Diese Änderungen sind in diesem Muster nicht enthalten. **Produktversionen** + Ubuntu 20.04 LTS + ParallelCluster 3.X **Überlegungen zur Abrechnung und zu den Kosten** + Die nach diesem Muster bereitgestellte Lösung fällt nicht unter das kostenlose Kontingent. Für Amazon EC2, Amazon FSx for Lustre, das NAT-Gateway in Amazon VPC und Amazon Route 53 fallen Gebühren an. ## Architektur **Zielarchitektur** Das folgende Diagramm zeigt, wie ein Benutzer auf das Monitoring-Dashboard für AWS ParallelCluster auf dem Hauptknoten zugreifen kann. Auf dem Hauptknoten werden NICE DCV, Prometheus, Grafana, Prometheus Slurm Exporter, Prometheus Node Exporter und NGINX Open Source ausgeführt. Auf den Rechenknoten wird der Prometheus Node Exporter ausgeführt, und sie führen auch den NVIDIA DCGM-Exporter aus, wenn der Knoten enthält. GPUs Der Hauptknoten ruft Informationen von den Rechenknoten ab und zeigt diese Daten im Grafana-Dashboard an. ![\[Zugriff auf das Überwachungs-Dashboard für AWS ParallelCluster auf dem Hauptknoten.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/a2132c94-98e0-4b90-8be0-99ebfa546442/images/d2255792-f66a-4ef2-8f04-cc3d5482db5f.png) In den meisten Fällen ist der Hauptknoten nicht stark ausgelastet, da der Job-Scheduler keine nennenswerte Menge an CPU oder Arbeitsspeicher benötigt. Benutzer greifen mithilfe von SSL auf Port 443 auf das Dashboard auf dem Hauptknoten zu. Alle autorisierten Zuschauer können die Monitoring-Dashboards anonym einsehen. Nur der Grafana-Administrator kann Dashboards ändern. Sie konfigurieren in der `aws-parallelcluster-monitoring/docker-compose/docker-compose.head.yml` Datei ein Passwort für den Grafana-Administrator. ## Tools **AWS-Services** + [NICE DCV](https://docs.aws.amazon.com/dcv/#nice-dcv) ist ein leistungsstarkes Remote-Display-Protokoll, mit dem Sie Remote-Desktops und Anwendungsstreaming von jeder Cloud oder jedem Rechenzentrum auf jedes Gerät unter unterschiedlichen Netzwerkbedingungen bereitstellen können. + [AWS ParallelCluster](https://docs.aws.amazon.com/parallelcluster/latest/ug/what-is-aws-parallelcluster.html) unterstützt Sie bei der Bereitstellung und Verwaltung von HPC-Clustern (High Performance Computing). Es unterstützt die Open-Source-Job-Scheduler AWS Batch und Slurm. + [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt. + [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen dabei, AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk zu starten. **Andere Tools** + [Docker](https://www.docker.com/) ist eine Reihe von Platform-as-a-Service (PaaS) -Produkten, die Virtualisierung auf Betriebssystemebene nutzen, um Software in Containern bereitzustellen. + [Grafana](https://grafana.com/docs/grafana/latest/introduction/) ist eine Open-Source-Software, mit der Sie Metriken, Protokolle und Traces abfragen, visualisieren, darauf hinweisen und untersuchen können. + [NGINX Open Source](https://nginx.org/en/docs/?_ga=2.187509224.1322712425.1699399865-405102969.1699399865) ist ein Open-Source-Webserver und Reverse-Proxy. + [NVIDIA Data Center GPU Manager (DCGM)](https://docs.nvidia.com/data-center-gpu-manager-dcgm/index.html) ist eine Suite von Tools zur Verwaltung und Überwachung von NVIDIA-Grafikprozessoren (GPUs) für Rechenzentren in Clusterumgebungen. In diesem Muster verwenden Sie den [DCGM-Exporter, mit dem Sie GPU-Metriken](https://github.com/NVIDIA/dcgm-exporter) aus Prometheus exportieren können. + [Prometheus](https://prometheus.io/docs/introduction/overview/) *ist ein Open-Source-Toolkit zur Systemüberwachung, das seine Metriken als Zeitreihendaten mit zugehörigen Schlüssel-Wert-Paaren sammelt und speichert, die als Labels bezeichnet werden.* In diesem Muster verwenden Sie auch [Prometheus Slurm Exporter](https://github.com/vpenso/prometheus-slurm-exporter), um Metriken zu sammeln und zu exportieren, und Sie verwenden [Prometheus Node Exporter, um Metriken aus den Rechenknoten](https://github.com/prometheus/node_exporter) zu exportieren. + [Ubuntu](https://help.ubuntu.com/) ist ein Linux-basiertes Open-Source-Betriebssystem, das für Unternehmensserver, Desktops, Cloud-Umgebungen und IoT entwickelt wurde. **Code-Repository** Der Code für dieses Muster ist im GitHub [pcluster-monitoring-dashboard](https://github.com/aws-samples/parallelcluster-monitoring-dashboard)Repository verfügbar. ## Epen ### Erstellen Sie die erforderlichen Ressourcen | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie einen S3-Bucket. | Erstellen Sie einen Amazon-S3-Bucket. Sie verwenden diesen Bucket, um die Konfigurationsskripten zu speichern. Anweisungen finden Sie in der Amazon S3 S3-Dokumentation unter [Bucket erstellen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). | Allgemeines AWS | | Klonen Sie das Repository | Klonen Sie das GitHub [pcluster-monitoring-dashboard](https://github.com/aws-samples/parallelcluster-monitoring-dashboard/tree/main/aws-parallelcluster-monitoring)Repo, indem Sie den folgenden Befehl ausführen.
git clone https://github.com/aws-samples/parallelcluster-monitoring-dashboard.git
| DevOps Ingenieur | | Erstellen Sie ein Admin-Passwort. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-grafana-monitoring-dashboard-for-aws-parallelcluster.html) | Linux-Shell-Skripting | | Kopieren Sie die erforderlichen Dateien in den S3-Bucket. | Kopieren Sie das Skript [post\$1install.sh](https://github.com/aws-samples/parallelcluster-monitoring-dashboard/blob/main/post_install.sh) und den [aws-parallelcluster-monitoring](https://github.com/aws-samples/parallelcluster-monitoring-dashboard/tree/main/aws-parallelcluster-monitoring)Ordner in den S3-Bucket, den Sie erstellt haben. Anweisungen finden Sie in der Amazon S3 S3-Dokumentation unter [Hochladen von Objekten](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html). | Allgemeines AWS | | Konfigurieren Sie eine zusätzliche Sicherheitsgruppe für den Hauptknoten. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-grafana-monitoring-dashboard-for-aws-parallelcluster.html) | AWS-Administrator | | Konfigurieren Sie eine IAM-Richtlinie für den Hauptknoten. | Erstellen Sie eine identitätsbasierte Richtlinie für den Hauptknoten. Diese Richtlinie ermöglicht es dem Knoten, Metrikdaten von Amazon abzurufen CloudWatch. Das GitHub Repo enthält eine [Beispielrichtlinie](https://github.com/aws-samples/parallelcluster-monitoring-dashboard/blob/main/policies/head_node.json). Anweisungen finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) in der Dokumentation zu AWS Identity and Access Management (IAM). | AWS-Administrator | | Konfigurieren Sie eine IAM-Richtlinie für die Rechenknoten. | Erstellen Sie eine identitätsbasierte Richtlinie für die Rechenknoten. Diese Richtlinie ermöglicht es dem Knoten, die Tags zu erstellen, die die Job-ID und den Job-Besitzer enthalten. Das GitHub Repo enthält eine [Beispielrichtlinie](https://github.com/aws-samples/parallelcluster-monitoring-dashboard/blob/main/policies/compute_node.json). Anweisungen finden Sie in der [IAM-Dokumentation unter Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html).Wenn Sie die bereitgestellte Beispieldatei verwenden, ersetzen Sie die folgenden Werte:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-grafana-monitoring-dashboard-for-aws-parallelcluster.html) | AWS-Administrator | ### Den Cluster erstellen | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Ändern Sie die bereitgestellte Cluster-Vorlagendatei. | Erstellen Sie den ParallelCluster AWS-Cluster. Verwenden Sie die bereitgestellte CloudFormation AWS-Vorlagendatei [cluster.yaml](https://github.com/aws-samples/parallelcluster-monitoring-dashboard/blob/main/cluster.yaml) als Ausgangspunkt für die Erstellung des Clusters. Ersetzen Sie die folgenden Werte in der bereitgestellten Vorlage:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-grafana-monitoring-dashboard-for-aws-parallelcluster.html) | AWS-Administrator | | Erstellen Sie den -Cluster. | Geben Sie in der ParallelCluster AWS-CLI den folgenden Befehl ein. Dadurch wird die CloudFormation Vorlage bereitgestellt und der Cluster erstellt. Weitere Informationen zu diesem Befehl finden Sie unter [pcluster create-cluster](https://docs.aws.amazon.com/parallelcluster/latest/ug/pcluster.create-cluster-v3.html) in der AWS-Dokumentation. ParallelCluster 
pcluster create-cluster -n  -c cluster.yaml
| AWS-Administrator | | Überwachen Sie die Cluster-Erstellung. | Geben Sie den folgenden Befehl ein, um die Clustererstellung zu überwachen. Weitere Informationen zu diesem Befehl finden Sie unter [pcluster describe-cluster](https://docs.aws.amazon.com/parallelcluster/latest/ug/pcluster.describe-cluster-v3.html) in der AWS-Dokumentation. ParallelCluster 
pcluster describe-cluster -n
| AWS-Administrator | ### Verwendung der Grafana-Dashboards | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Zugang zum Grafana-Portal. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-grafana-monitoring-dashboard-for-aws-parallelcluster.html) | AWS-Administrator | ### Bereinigen Sie die Lösung, um die damit verbundenen Kosten zu vermeiden | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Löschen Sie den Cluster. | Geben Sie den folgenden Befehl ein, um den Cluster zu löschen. Weitere Informationen zu diesem Befehl finden Sie unter [pcluster delete-cluster](https://docs.aws.amazon.com/parallelcluster/latest/ug/pcluster.delete-cluster-v3.html) in der AWS-Dokumentation. ParallelCluster 
pcluster delete-cluster -n
| AWS-Administrator | | Löschen Sie die IAM-Richtlinien. | Löschen Sie die Richtlinien, die Sie für den Hauptknoten und den Rechenknoten erstellt haben. Weitere Informationen zum Löschen von Richtlinien finden Sie unter [Löschen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-delete.html) in der IAM-Dokumentation. | AWS-Administrator | | Löschen Sie die Sicherheitsgruppe und die Sicherheitsregel. | Löschen Sie die Sicherheitsgruppe, die Sie für den Hauptknoten erstellt haben. Weitere Informationen finden Sie unter [Löschen von Sicherheitsgruppenregeln](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html#deleting-security-group-rules) und [Löschen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html#deleting-security-groups) in der Amazon VPC-Dokumentation. | AWS-Administrator | | Löschen Sie den S3-Bucket. | Löschen Sie den S3-Bucket, den Sie zum Speichern der Konfigurationsskripten erstellt haben. Weitere Informationen finden Sie unter [Löschen eines Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html) in der Amazon S3 S3-Dokumentation. | Allgemeines AWS | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | Auf den Hauptknoten kann im Browser nicht zugegriffen werden. | Überprüfen Sie die Sicherheitsgruppe und vergewissern Sie sich, dass der eingehende Port 443 geöffnet ist. | | Grafana öffnet nicht. | Suchen Sie auf dem Hauptknoten im Container-Log nach`docker logs Grafana`. | | Einige Metriken enthalten keine Daten. | Überprüfen Sie auf dem Hauptknoten die Container-Logs aller Container. | ## Zugehörige Ressourcen **AWS-Dokumentation** + [IAM-Richtlinien für Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-for-amazon-ec2.html) **Andere AWS-Ressourcen** + [AWS ParallelCluster](https://aws.amazon.com/hpc/parallelcluster/) + [Überwachungs-Dashboard für AWS ParallelCluster](https://aws.amazon.com/blogs/compute/monitoring-dashboard-for-aws-parallelcluster/) (AWS-Blogbeitrag) **Sonstige Ressourcen** + [Prometheus-Überwachungssystem](https://prometheus.io/) + [Grafana](https://grafana.com/) # Mehr Muster **Topics** + [Implementieren Sie KI-gestützte Kubernetes-Diagnose und -Fehlerbehebung mit der Integration von K8SGPT und Amazon Bedrock](implement-ai-powered-kubernetes-diagnostics-and-troubleshooting-with-k8sgpt-and-amazon-bedrock-integration.md) # Hybride Cloud **Topics** + [Richten Sie mithilfe von AWS CDK eine CI/CD Pipeline für Hybrid-Workloads auf Amazon ECS Anywhere ein und GitLab](set-up-a-ci-cd-pipeline-for-hybrid-workloads-on-amazon-ecs-anywhere-by-using-aws-cdk-and-gitlab.md) + [Mehr Muster](hybrid-more-patterns-pattern-list.md) # Richten Sie mithilfe von AWS CDK eine CI/CD Pipeline für Hybrid-Workloads auf Amazon ECS Anywhere ein und GitLab *Rafael Ortiz, Amazon Web Services* ## Zusammenfassung Amazon ECS Anywhere ist eine Erweiterung des Amazon Elastic Container Service (Amazon ECS). Es bietet Unterstützung für die Registrierung einer *externen Instanz*, z. B. eines lokalen Servers oder einer virtuellen Maschine (VM), in Ihrem Amazon ECS-Cluster. Diese Funktion hilft, Kosten zu senken und komplexe lokale Container-Orchestrierung und -Operationen zu minimieren. Sie können ECS Anywhere verwenden, um Containeranwendungen sowohl in lokalen als auch in Cloud-Umgebungen bereitzustellen und auszuführen. Dadurch entfällt für Ihr Team die Notwendigkeit, mehrere Bereiche und Fähigkeiten zu erlernen oder komplexe Software eigenständig zu verwalten. Dieses Muster beschreibt einen step-by-step Ansatz zur Bereitstellung eines Amazon ECS-Clusters mit Amazon ECS Anywhere Anywhere-Instances mithilfe von Amazon Web Services (AWS) Cloud Development Kit (AWS CDK) -Stacks. Anschließend verwenden Sie AWS CodePipeline , um eine Pipeline für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD) einzurichten. Anschließend replizieren Sie Ihr GitLab Code-Repository auf AWS CodeCommit und stellen Ihre containerisierte Anwendung auf dem Amazon ECS-Cluster bereit. Dieses Muster soll denjenigen helfen, die eine lokale Infrastruktur verwenden, um Containeranwendungen auszuführen und die Anwendungscodebasis GitLab zu verwalten. Sie können diese Workloads mithilfe von AWS-Cloud-Services verwalten, ohne Ihre bestehende lokale Infrastruktur zu stören. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktives AWS-Konto. + Eine Container-Anwendung, die auf einer lokalen Infrastruktur ausgeführt wird. + Ein GitLab Repository, in dem Sie Ihre Anwendungscodebasis verwalten. Weitere Informationen finden Sie unter [Repository](https://docs.gitlab.com/ee/user/project/repository/) (GitLab). + AWS-Befehlszeilenschnittstelle (AWS CLI), installiert und konfiguriert. Weitere Informationen finden Sie unter [Installation oder Aktualisierung der neuesten Version der AWS-CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) (AWS-CLI-Dokumentation). + AWS CDK Toolkit, global installiert und konfiguriert. Weitere Informationen finden [Sie unter Installieren des AWS-CDK](https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html#getting_started_install) (AWS-CDK-Dokumentation). + npm, installiert und konfiguriert für das AWS-CDK in. TypeScript Weitere Informationen finden Sie unter [Node.js und npm herunterladen und installieren (npm-Dokumentation](https://docs.npmjs.com/downloading-and-installing-node-js-and-npm)). **Einschränkungen** + Einschränkungen und Überlegungen finden Sie unter [Externe Instances (Amazon ECS Anywhere)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-anywhere.html#ecs-anywhere-considerations) in der Amazon ECS-Dokumentation. **Produktversionen** + AWS CDK Toolkit Version 2.27.0 oder höher + npm Version 7.20.3 oder höher + Node.js Version 16.6.1 oder höher ## Architektur **Zieltechnologie-Stack** + AWS-CDK + AWS CloudFormation + AWS CodeBuild + AWS CodeCommit + AWS CodePipeline + Amazon ECS Anywhere + Amazon Elastic Container Registry (Amazon ECR) + AWS Identity and Access Management (IAM) + AWS-Systemmanager + GitLab Repositorium **Zielarchitektur** ![\[Architekturdiagramm der Einrichtung des Amazon ECS-Clusters und der CI/CD Pipeline.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/b0f35986-a839-4b01-8eb0-4748182ddafc/images/85b8d4d9-3591-4d69-a54b-64aa543498f1.png) Dieses Diagramm stellt zwei primäre Workflows dar, die in diesem Muster beschrieben werden: die Bereitstellung des Amazon ECS-Clusters und die Einrichtung der CI/CD Pipeline, die die CI/CD Pipeline einrichtet und bereitstellt, wie folgt: 1. **Bereitstellung des Amazon ECS-Clusters** 1. Wenn Sie den ersten AWS-CDK-Stack bereitstellen, erstellt er einen CloudFormation Stack auf AWS. 1. Dieser CloudFormation Stack stellt einen Amazon ECS-Cluster und zugehörige AWS-Ressourcen bereit. 1. Um eine externe Instance bei einem Amazon ECS-Cluster zu registrieren, müssen Sie den AWS Systems Manager Agent (SSM Agent) auf Ihrer VM installieren und die VM als von AWS Systems Manager verwaltete Instance registrieren.  1. Sie müssen auch den Amazon ECS-Container-Agenten und Docker auf Ihrer VM installieren, um sie als externe Instance beim Amazon ECS-Cluster zu registrieren. 1. Wenn die externe Instance registriert und mit dem Amazon ECS-Cluster konfiguriert ist, kann sie mehrere Container auf Ihrer VM ausführen, die als externe Instance registriert ist. 1. Der Amazon ECS-Cluster ist aktiv und kann die Anwendungs-Workloads über Container ausführen. Die Amazon ECS Anywhere Anywhere-Container-Instance wird in einer lokalen Umgebung ausgeführt, ist aber mit dem Amazon ECS-Cluster in der Cloud verknüpft. 1. **Einrichtung und Bereitstellung der Pipeline CI/CD ** 1. Wenn Sie den zweiten AWS-CDK-Stack bereitstellen, erstellt er einen weiteren CloudFormation Stack auf AWS. 1. Dieser CloudFormation Stack stellt eine Pipeline in CodePipeline und zugehörigen AWS-Ressourcen bereit. 1. Sie übertragen Änderungen am Anwendungscode per Push und führen sie in ein lokales GitLab Repository zusammen.  1. Das GitLab Repository wird automatisch in das Repository repliziert. CodeCommit 1. Die Aktualisierungen des CodeCommit Repos werden automatisch gestartet. CodePipeline  1. CodePipeline kopiert Code aus der CodeCommit integrierten implementierbaren Anwendung und erstellt sie. CodeBuild 1. CodePipeline erstellt ein Docker-Image der CodeBuild Build-Umgebung und überträgt es in das Amazon ECR-Repository. 1. CodePipeline initiiert CodeDeploy Aktionen, die das Container-Image aus dem Amazon ECR-Repo abrufen. 1. CodePipeline stellt das Container-Image auf dem Amazon ECS-Cluster bereit. **Automatisierung und Skalierung** Dieses Muster verwendet das AWS-CDK als Infrastructure-as-Code-Tool (IaC) zur Konfiguration und Bereitstellung dieser Architektur. AWS CDK unterstützt Sie bei der Orchestrierung der AWS-Ressourcen und der Einrichtung von Amazon ECS Anywhere und der CI/CD Pipeline. ## Tools **AWS-Services** + Das [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/latest/guide/home.html) ist ein Softwareentwicklungs-Framework, das Sie bei der Definition und Bereitstellung der AWS-Cloud-Infrastruktur im Code unterstützt. + [AWS CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/welcome.html) ist ein Versionskontrollservice, mit dem Sie Git-Repositorys privat speichern und verwalten können, ohne Ihr eigenes Quellcodeverwaltungssystem verwalten zu müssen. + [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html) hilft Ihnen dabei, die verschiedenen Phasen einer Softwareversion schnell zu modellieren und zu konfigurieren und die Schritte zu automatisieren, die für die kontinuierliche Veröffentlichung von Softwareänderungen erforderlich sind. + [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer Befehlszeilen-Shell mit AWS-Services interagieren können. + [Amazon Elastic Container Registry (Amazon ECR)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html) ist ein verwalteter Container-Image-Registry-Service, der sicher, skalierbar und zuverlässig ist. + [Amazon Elastic Container Service (Amazon ECS)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/Welcome.html) ist ein hoch skalierbarer, schneller Container-Management-Service, der das Ausführen, Beenden und Verwalten von Containern in einem Cluster vereinfacht. Dieses Muster verwendet auch [Amazon ECS Anywhere](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-anywhere.html), das Unterstützung für die Registrierung eines lokalen Servers oder einer VM in Ihrem Amazon ECS-Cluster bietet. **Andere Tools** + [Node.js](https://nodejs.org/en/docs/) ist eine ereignisgesteuerte JavaScript Laufzeitumgebung, die für die Erstellung skalierbarer Netzwerkanwendungen entwickelt wurde. + [npm](https://docs.npmjs.com/about-npm) ist eine Softwareregistrierung, die in einer Node.js -Umgebung ausgeführt wird und verwendet wird, um Pakete gemeinsam zu nutzen oder auszuleihen und die Bereitstellung von privaten Paketen zu verwalten. + [Vagrant](https://developer.hashicorp.com/vagrant/docs) ist ein Open-Source-Hilfsprogramm für den Aufbau und die Wartung portabler virtueller Softwareentwicklungsumgebungen. Zu Demonstrationszwecken verwendet dieses Muster Vagrant, um eine lokale VM zu erstellen. **Code-Repository** Der Code für dieses Muster ist in der GitHub [CI/CD-Pipeline für Amazon ECS Anywhere unter Verwendung des AWS CDK-Repositorys](https://github.com/aws-samples/amazon-ecs-anywhere-cicd-pipeline-cdk-sample) verfügbar. ## Best Practices Beachten Sie bei der Bereitstellung dieses Musters die folgenden bewährten Methoden: + [Bewährte Methoden für die Entwicklung und Bereitstellung einer Cloud-Infrastruktur mit dem AWS CDK](https://docs.aws.amazon.com/cdk/v2/guide/best-practices.html) + [Bewährte Methoden für die Entwicklung von Cloud-Anwendungen mit AWS CDK](https://aws.amazon.com/blogs/devops/best-practices-for-developing-cloud-applications-with-aws-cdk/) (AWS-Blogbeitrag) ## Epen ### Überprüfen Sie die AWS-CDK-Konfiguration | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Überprüfen Sie die AWS-CDK-Version. | Überprüfen Sie die Version des AWS CDK Toolkit, indem Sie den folgenden Befehl eingeben.
cdk --version
Für dieses Muster ist Version 2.27.0 oder höher erforderlich. Wenn Sie eine frühere Version haben, folgen Sie den Anweisungen in der [AWS CDK-Dokumentation](https://docs.aws.amazon.com/cdk/latest/guide/cli.html), um sie zu aktualisieren. | DevOps Ingenieur | | Überprüfen Sie die NPM-Version. | Überprüfen Sie die Version von npm, indem Sie den folgenden Befehl eingeben.
npm --version
Dieses Muster erfordert Version 7.20.3 oder höher. Wenn Sie eine frühere Version haben, folgen Sie den Anweisungen in der [npm-Dokumentation, um sie zu aktualisieren](https://docs.npmjs.com/try-the-latest-stable-version-of-npm). | DevOps Ingenieur | | Richten Sie AWS-Anmeldeinformationen ein. | Richten Sie AWS-Anmeldeinformationen ein, indem Sie den `aws configure` Befehl eingeben und den Anweisungen folgen.
$aws configure
AWS Access Key ID [None]: 
AWS Secret Access Key [None]: 
Default region name [None]: 
Default output format [None]:
| DevOps Ingenieur | ### Bootstrap für die AWS-CDK-Umgebung | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Klonen Sie das AWS-CDK-Code-Repository. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-ci-cd-pipeline-for-hybrid-workloads-on-amazon-ecs-anywhere-by-using-aws-cdk-and-gitlab.html) | DevOps Ingenieur | | Bootstrapping für die Umwelt. | Stellen Sie die CloudFormation Vorlage für das Konto und die AWS-Region bereit, die Sie verwenden möchten, indem Sie den folgenden Befehl eingeben.
cdk bootstrap /
Weitere Informationen finden Sie unter [Bootstrapping](https://docs.aws.amazon.com/cdk/latest/guide/bootstrapping.html) in der AWS CDK-Dokumentation. | DevOps Ingenieur | ### Aufbau und Bereitstellung der Infrastruktur für Amazon ECS Anywhere | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Installieren Sie die Paketabhängigkeiten und kompilieren Sie die TypeScript Dateien. | Installieren Sie die Paketabhängigkeiten und kompilieren Sie die TypeScript Dateien, indem Sie die folgenden Befehle eingeben.
$cd EcsAnywhereCdk
$npm install
$npm fund
Mit diesen Befehlen werden alle Pakete aus dem Beispiel-Repository installiert. Weitere Informationen finden Sie unter [npm ci](https://docs.npmjs.com/cli/v7/commands/npm-ci) und [npm install](https://docs.npmjs.com/cli/v7/commands/npm-install) in der npm-Dokumentation. Wenn Sie bei der Eingabe dieser Befehle Fehler über fehlende Pakete erhalten, lesen Sie den Abschnitt [zur Fehlerbehebung](#set-up-a-ci-cd-pipeline-for-hybrid-workloads-on-amazon-ecs-anywhere-by-using-aws-cdk-and-gitlab-troubleshooting) in diesem Muster. | DevOps Ingenieur | | Erstellen Sie das Projekt. | Geben Sie den folgenden Befehl ein, um den Projektcode zu erstellen.
npm run build
Weitere Informationen zum Erstellen und Bereitstellen des Projekts finden Sie unter [Ihre erste AWS-CDK-App](https://docs.aws.amazon.com/cdk/latest/guide/hello_world.html#:~:text=the%20third%20parameter.-,Synthesize%20an%20AWS%20CloudFormation%20template,-Synthesize%20an%20AWS) in der AWS-CDK-Dokumentation. | DevOps Ingenieur | | Stellen Sie den Amazon ECS Anywhere Anywhere-Infrastruktur-Stack bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-ci-cd-pipeline-for-hybrid-workloads-on-amazon-ecs-anywhere-by-using-aws-cdk-and-gitlab.html) | DevOps Ingenieur | | Überprüfen Sie die Erstellung und Ausgabe des Stacks. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-ci-cd-pipeline-for-hybrid-workloads-on-amazon-ecs-anywhere-by-using-aws-cdk-and-gitlab.html) | DevOps Ingenieur | ### Richten Sie eine lokale VM ein | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Richten Sie Ihre VM ein. | Erstellen Sie eine Vagrant-VM, indem Sie den `vagrant up` Befehl aus dem Stammverzeichnis eingeben, in dem sich Vagrantfile befindet. [Weitere Informationen finden Sie in der Vagrant-Dokumentation.](https://developer.hashicorp.com/vagrant/docs/cli/up) | DevOps Ingenieur | | Registrieren Sie Ihre VM als externe Instanz. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-ci-cd-pipeline-for-hybrid-workloads-on-amazon-ecs-anywhere-by-using-aws-cdk-and-gitlab.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-ci-cd-pipeline-for-hybrid-workloads-on-amazon-ecs-anywhere-by-using-aws-cdk-and-gitlab.html)Dadurch wird Ihre VM als externe Amazon ECS Anywhere Anywhere-Instance eingerichtet und die Instance im Amazon ECS-Cluster registriert. Weitere Informationen finden Sie unter [Registrierung einer externen Instance in einem Cluster](https://docs.amazonaws.cn/en_us/AmazonECS/latest/developerguide/ecs-anywhere-registration.html) in der Amazon ECS-Dokumentation. Wenn Sie Probleme haben, lesen Sie den Abschnitt [Fehlerbehebung](#set-up-a-ci-cd-pipeline-for-hybrid-workloads-on-amazon-ecs-anywhere-by-using-aws-cdk-and-gitlab-troubleshooting). | DevOps Ingenieur | | Überprüfen Sie den Status von Amazon ECS Anywhere und der externen VM. | Verwenden Sie die folgenden Befehle, um zu überprüfen, ob Ihre VM mit der Amazon ECS-Steuerebene verbunden ist und läuft.
$aws ssm describe-instance-information
$aws ecs list-container-instances --cluster $CLUSTER_NAME
| DevOps Ingenieur | ### Stellen Sie die CI/CD Pipeline bereit | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie einen Zweig im CodeCommit Repo. | Erstellen Sie einen Branch mit dem Namen `main` im CodeCommit Repo, indem Sie den ersten Commit für das Repository erstellen. Sie können der AWS-Dokumentation folgen, um [einen Commit zu erstellen CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/how-to-create-commit.html#create-first-commit). Nachfolgend finden Sie einen Beispielbefehl.
aws codecommit put-file \
  --repository-name EcsAnywhereRepo \
  --branch-name main \
  --file-path README.md \
  --file-content "Test" \
  --name "Dev Ops" \
  --email "devops@example.com" \
  --commit-message "Adding README."
| DevOps Ingenieur | | Richten Sie die Repo-Mirroring ein. | Sie können ein GitLab Repository von und zu externen Quellen spiegeln. Sie können auswählen, welches Repository als Quelle dient. Branches, Tags und Commits werden automatisch synchronisiert. Richten Sie einen Push-Mirror zwischen dem GitLab Repository, das Ihre Anwendung hostet, und dem CodeCommit Repository ein. Anweisungen finden Sie unter [Einen Push-Mirror von GitLab bis einrichten CodeCommit](https://docs.gitlab.com/ee/user/project/repository/mirror/push.html#set-up-a-push-mirror-from-gitlab-to-aws-codecommit) (GitLab Dokumentation).Standardmäßig synchronisiert die Spiegelung das Repository automatisch. Wenn Sie die Repositorys manuell aktualisieren möchten, finden Sie weitere Informationen unter [Einen Mirror aktualisieren (Dokumentation](https://docs.gitlab.com/ee/user/project/repository/mirror/#update-a-mirror))GitLab . | DevOps Ingenieur | | Stellen Sie den CI/CD Pipeline-Stack bereit. | Stellen Sie den `EcsAnywherePipelineStack` Stack bereit, indem Sie den folgenden Befehl eingeben.
$cdk  deploy EcsAnywherePipelineStack
| DevOps Ingenieur | | Testen Sie die CI/CD Pipeline. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-a-ci-cd-pipeline-for-hybrid-workloads-on-amazon-ecs-anywhere-by-using-aws-cdk-and-gitlab.html) | DevOps Ingenieur | ### Bereinigen | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Bereinigen und löschen Sie die Ressourcen. | Nachdem Sie dieses Muster durchgegangen sind, sollten Sie die von Ihnen erstellten proof-of-concept Ressourcen entfernen. Geben Sie zum Aufräumen die folgenden Befehle ein.
$cdk destroy EcsAnywherePipelineStack
$cdk destroy EcsAnywhereInfraStack
| DevOps Ingenieur | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | Fehler bezüglich fehlender Pakete bei der Installation von Paketabhängigkeiten. | Geben Sie einen der folgenden Befehle ein, um fehlende Pakete zu beheben.
$npm ci
oder
$npm install -g @aws-cdk/
| | Wenn Sie den `aws ssm create-activation` Befehl auf der VM ausführen, erhalten Sie die folgende Fehlermeldung.`An error occurred (ValidationException) when calling the CreateActivation operation: Nonexistent role or missing ssm service principal in trust policy: arn:aws:iam::000000000000:role/EcsAnywhereInstanceRole` | Der `EcsAnywhereInfraStack` Stack ist nicht vollständig bereitgestellt, und die IAM-Rolle, die für die Ausführung dieses Befehls erforderlich ist, wurde noch nicht erstellt. Überprüfen Sie den Stack-Status in der CloudFormation Konsole. Versuchen Sie den Befehl erneut, nachdem sich der Status auf `CREATE_COMPLETE` geändert hat. | | Eine Amazon ECS-Zustandsprüfung wird zurückgegeben`UNHEALTHY`, und der folgende Fehler wird im Abschnitt **Services** des Clusters in der Amazon ECS-Konsole angezeigt.`service EcsAnywhereService was unable to place a task because no container instance met all of its requirements. Reason: No Container Instances were found in your cluster.` | Starten Sie den Amazon ECS-Agenten auf Ihrer Vagrant-VM neu, indem Sie die folgenden Befehle eingeben.
$vagrant ssh
$sudo systemctl restart ecs
$sudo systemctl status ecs
| ## Zugehörige Ressourcen + [Amazon ECS Anywhere Anywhere-Marketingseite](https://aws.amazon.com/ecs/anywhere/) + [Dokumentation zu Amazon ECS Anywhere](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-anywhere.html#ecs-anywhere-considerations) + [Amazon ECS Anywhere Anywhere-Demo](https://www.youtube.com/watch?v=-eud6yUXsJM) (Video) + [Beispiele für Amazon ECS Anywhere Anywhere-Workshops](https://github.com/aws-samples/aws-ecs-anywhere-workshop-samples) (GitHub) + [Spiegelung von Repositorys](https://docs.gitlab.com/ee/user/project/repository/mirror/) (GitLab Dokumentation) # Mehr Muster **Topics** + [Automatisieren Sie die Einrichtung von regionsübergreifendem Peering mit AWS Transit Gateway](automate-the-setup-of-inter-region-peering-with-aws-transit-gateway.md) + [Stellen Sie containerisierte Anwendungen bereit, wenn AWS IoT Greengrass V2 sie als Docker-Container ausgeführt werden](deploy-containerized-applications-on-aws-iot-greengrass-version-2-running-as-a-docker-container.md) + [Verwalten Sie lokale Containeranwendungen, indem Sie Amazon ECS Anywhere mit dem AWS CDK einrichten](manage-on-premises-container-applications-by-setting-up-amazon-ecs-anywhere-with-the-aws-cdk.md) + [Ändern Sie HTTP-Header, wenn Sie von F5 zu einem Application Load Balancer auf AWS migrieren](modify-http-headers-when-you-migrate-from-f5-to-an-application-load-balancer-on-aws.md) + [Rehosten Sie lokale Workloads in der AWS-Cloud: Migrationscheckliste](rehost-on-premises-workloads-in-the-aws-cloud-migration-checklist.md) + [Verwenden Sie BMC Discovery-Abfragen, um Migrationsdaten für die Migrationsplanung zu extrahieren](use-bmc-discovery-queries-to-extract-migration-data-for-migration-planning.md) # Management & Governance **Topics** + [Identifizieren und benachrichtigen Sie, wenn Amazon Data Firehose-Ressourcen nicht mit einem AWS KMS Schlüssel verschlüsselt sind](identify-and-alert-when-amazon-data-firehose-resources-are-not-encrypted-with-an-aws-kms-key.md) + [Automatisieren Sie Amazon VPC IPAM IPv4 CIDR-Zuweisungen für neue mithilfe von AFT AWS-Konten](automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.md) + [Automatisieren Sie das Hinzufügen oder Aktualisieren von Windows-Registrierungseinträgen mit AWS Systems Manager](automate-adding-or-updating-windows-registry-entries-using-aws-systems-manager.md) + [Automatisches Erstellen eines RFC in AMS mit Python](automatically-create-an-rfc-in-ams-using-python.md) + [Automatisches Stoppen und Starten einer Amazon RDS-DB-Instance mithilfe von AWS Systems Manager Maintenance Windows](automatically-stop-and-start-an-amazon-rds-db-instance-using-aws-systems-manager-maintenance-windows.md) + [Zentralisieren Sie die Verteilung von Softwarepaketen in AWS Organizations mithilfe von Terraform](centralize-software-package-distribution-in-aws-organizations-by-using-terraform.md) + [Konfigurieren Sie die Protokollierung für .NET-Anwendungen in Amazon CloudWatch Logs mithilfe von NLog](configure-logging-for-net-applications-in-amazon-cloudwatch-logs-by-using-nlog.md) + [Kopieren Sie AWS Service Catalog-Produkte zwischen verschiedenen AWS-Konten und AWS-Regionen](copy-aws-service-catalog-products-across-different-aws-accounts-and-aws-regions.md) + [Erstellen Sie eine RACI- oder RASCI-Matrix für ein Cloud-Betriebsmodell](create-a-raci-or-rasci-matrix-for-a-cloud-operating-model.md) + [Erstellen Sie mithilfe der CloudWatch Amazon-Anomalieerkennung Alarme für benutzerdefinierte Metriken](create-alarms-for-custom-metrics-using-amazon-cloudwatch-anomaly-detection.md) + [Erstellen Sie eine AWS Cloud9 Cloud9-IDE, die Amazon EBS-Volumes mit Standardverschlüsselung verwendet](create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption.md) + [Automatisches Erstellen von Tag-basierten CloudWatch Amazon-Dashboards](create-tag-based-amazon-cloudwatch-dashboards-automatically.md) + [Dokumentieren Sie Ihr AWS-Landingzone-Design](document-your-aws-landing-zone-design.md) + [Verbessern Sie die Betriebsleistung, indem Sie Amazon DevOps Guru in mehreren AWS-Regionen, Konten und OUs mit dem AWS CDK aktivieren](improve-operational-performance-by-enabling-amazon-devops-guru-across-multiple-aws-regions-accounts-and-ous-with-the-aws-cdk.md) + [Steuern Sie Berechtigungssätze für mehrere Konten mithilfe von Account Factory for Terraform](govern-permission-sets-aft.md) + [Implementieren Sie Account Factory for Terraform (AFT) mithilfe einer Bootstrap-Pipeline](implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.md) + [AWS Service Catalog-Produkte in mehreren AWS-Konten und AWS-Regionen verwalten](manage-aws-service-catalog-products-in-multiple-aws-accounts-and-aws-regions.md) + [Überwachen Sie SAP RHEL Pacemaker-Cluster mithilfe von AWS-Services](monitor-sap-rhel-pacemaker-clusters-by-using-aws-services.md) + [Überwachen Sie die Anwendungsaktivität mithilfe von CloudWatch Logs Insights](monitor-application-activity-by-using-cloudwatch-logs-insights.md) + [Überwachen Sie die Nutzung eines gemeinsam genutzten Amazon Machine Image über mehrere AWS-Konten](monitor-use-of-a-shared-amazon-machine-image-across-multiple-aws-accounts.md) + [EBS-Snapshot-Details für Ihr AWS-Konto oder Ihre Organisation anzeigen](view-ebs-snapshot-details-for-your-aws-account-or-organization.md) + [Mehr Muster](governance-more-patterns-pattern-list.md) # Identifizieren und benachrichtigen Sie, wenn Amazon Data Firehose-Ressourcen nicht mit einem AWS KMS Schlüssel verschlüsselt sind *Ram Kandaswamy, Amazon Web Services* ## Zusammenfassung Aus Compliance-Gründen müssen einige Organisationen die Verschlüsselung für Datenlieferressourcen wie Amazon Data Firehose aktiviert haben. Dieses Muster zeigt eine Möglichkeit, Ressourcen zu überwachen, zu erkennen und zu benachrichtigen, wenn Ressourcen nicht den Vorschriften entsprechen. Um die Verschlüsselungsanforderungen aufrechtzuerhalten, kann dieses Muster für die automatische Überwachung und Erkennung von Amazon Data Firehose-Lieferressourcen verwendet werden, die nicht mit einem AWS Key Management Service (AWS KMS) -Schlüssel verschlüsselt sind. AWS Die Lösung sendet Warnmeldungen und kann so erweitert werden, dass automatische Problembehebungen durchgeführt werden. Diese Lösung kann auf ein einzelnes Konto oder eine Umgebung mit mehreren Konten angewendet werden, z. B. auf eine Umgebung, die eine AWS landing zone verwendet oder. AWS Control Tower ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Amazon Data Firehose-Lieferstream + Ausreichende Berechtigungen und Vertrautheit mit dem CloudFormation, was bei dieser Infrastrukturautomatisierung verwendet wird **Einschränkungen** + Die Lösung funktioniert nicht in Echtzeit, da sie AWS CloudTrail Ereignisse zur Erkennung verwendet und es eine Verzögerung zwischen der Erstellung einer unverschlüsselten Ressource und dem Senden der Benachrichtigung gibt. ## Architektur **Zieltechnologie-Stack** Die Lösung verwendet serverlose Technologie und die folgenden Dienste: + AWS CloudTrail + Amazon CloudWatch + AWS Command Line Interface (AWS CLI) + AWS Identity and Access Management (ICH BIN) + Amazon Data Firehose + AWS Lambda + Amazon-Simple-Notification-Service (Amazon-SNS) **Zielarchitektur** ![\[Prozess zum Generieren von Warnmeldungen, wenn Data Firehose-Ressourcen nicht verschlüsselt sind.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/897ba8cf-d1c2-4149-98e7-09d3d90d13d6/images/d694f718-bd0c-4d14-a2e4-e0ea58dc048e.png) Das Diagramm veranschaulicht diese Schritte: 1. Ein Benutzer erstellt oder ändert Amazon Data Firehose. 1. Ein CloudTrail Ereignis wurde erkannt und abgeglichen. 1. Lambda wird aufgerufen. 1. Ressourcen, die nicht den Vorschriften entsprechen, werden identifiziert. 1. E-Mail-Benachrichtigung wird gesendet. **Automatisierung und Skalierung** Sie können diese Lösung verwenden CloudFormation StackSets , um diese Lösung mit einem einzigen Befehl auf mehrere Konten AWS-Regionen oder Konten anzuwenden. ## Tools + [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)ist ein Programm AWS-Service , das Ihnen dabei hilft, Unternehmensführung, Compliance sowie Betriebs- und Risikoprüfungen Ihres Unternehmens zu ermöglichen AWS-Konto. Von einem Benutzer, einer Rolle oder einem ausgeführte Aktionen AWS-Service werden als Ereignisse in aufgezeichnet CloudTrail. Zu den Ereignissen gehören Aktionen AWS-Managementkonsole, die im Rahmen der API-Operationen AWS CLI AWS SDKs,, und ausgeführt wurden. + [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) bietet einen Stream von Systemereignissen, die Änderungen an AWS Ressourcen beschreiben, nahezu in Echtzeit. + [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie mithilfe AWS-Services von Befehlen in Ihrer Befehlszeilen-Shell interagieren können.  + [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ist ein Webdienst, mit dem Sie den Zugriff auf AWS Ressourcen sicher kontrollieren können. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen.  + [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) ist ein vollständig verwalteter Service für die Bereitstellung von Streaming-Daten in Echtzeit. Mit Firehose müssen Sie keine Anwendungen schreiben oder Ressourcen verwalten. Sie konfigurieren Ihre Datenproduzenten zum Senden von Daten an Firehose. Die Daten werden dann automatisch an das angegebene Ziel geliefert. + [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)ist ein Rechendienst, der die Ausführung von Code unterstützt, ohne Server bereitzustellen oder zu verwalten. Lambda führt Ihren Code nur bei Bedarf aus und skaliert automatisch – von einigen Anforderungen pro Tag bis zu Tausenden pro Sekunde. Sie zahlen nur für die Rechenzeit, die Sie tatsächlich verbrauchen — es fallen keine Gebühren an, wenn Ihr Code nicht ausgeführt wird.  + [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) ist ein verwalteter Service, der die Nachrichtenzustellung von Verlagen an Abonnenten (auch bekannt als Produzenten und Verbraucher) ermöglicht. ## Epen ### Setzen Sie Verschlüsselung zur Einhaltung gesetzlicher Vorschriften durch | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Bereitstellen CloudFormation StackSets. | Verwenden Sie in der die `firehose-encryption-checker.yaml` Vorlage (im Anhang) AWS CLI, um das Stack-Set zu erstellen, indem Sie den folgenden Befehl ausführen.  Geben Sie ein gültiges Amazon SNS SNS-Thema Amazon Resource Name (ARN) für den Parameter ein. Die Bereitstellung sollte erfolgreich CloudWatch Event-Regeln, die Lambda-Funktion und eine IAM-Rolle mit den erforderlichen Berechtigungen erstellen, wie in der Vorlage beschrieben.
aws cloudformation create-stack-set    --stack-set-name my-stack-set   --template-body file://firehose-encryption-checker.yaml
| Cloud-Architekt, Systemadministrator | | Erstellen Sie Stack-Instanzen. | Stacks können sowohl in einem Konto AWS-Regionen Ihrer Wahl als auch in einem oder mehreren Konten erstellt werden.  Führen Sie den folgenden Befehl aus, um Stack-Instances zu erstellen. Ersetzen Sie den Stacknamen, die Kontonummern und die Regionen durch Ihre eigenen.
aws cloudformation create-stack-instances     --stack-set-name my-stack-set    --accounts 123456789012 223456789012   --regions us-east-1 us-east-2 us-west-1 us-west-2     --operation-preferences FailureToleranceCount=1
| Cloud-Architekt, Systemadministrator | ## Zugehörige Ressourcen + [Arbeitet mit CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) + [Was ist Amazon CloudWatch Events?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) ## Anlagen [Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/897ba8cf-d1c2-4149-98e7-09d3d90d13d6/attachments/attachment.zip) # Automatisieren Sie Amazon VPC IPAM IPv4 CIDR-Zuweisungen für neue mithilfe von AFT AWS-Konten *Kien Pham und Alex Pazik, Amazon Web Services* ## Zusammenfassung Dieses Muster zeigt, wie Amazon VPC IP Address Manager (IPAM) IPv4 CIDR-Zuweisungen für neue Benutzer mithilfe AWS-Konten von [AWS Control Tower Account Factory for Terraform](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) (AFT) automatisiert werden. Dies erfolgt mithilfe einer Anpassung auf Kontoebene, bei der mithilfe des Moduls ein IPv4 CIDR-Block von IPAM einer neuen Virtual Private Cloud (VPC) zugewiesen wird. `aft-account-customizations` Mit IPAM können Sie IP-Adressen in großem Umfang organisieren, zuweisen, überwachen und prüfen, sodass Sie IP-Adressen für Ihre Workloads einfach planen, verfolgen und überwachen können. AWS Sie können [einen IPAM- und einen IPAM-Pool erstellen](https://docs.aws.amazon.com/vpc/latest/ipam/create-ipam.html), um während des Kontoverkaufs einer neuen VPC einen IPv4 CIDR-Block zuzuweisen. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktiver, der in einer unterstützten Version AWS Control Tower aktiviert ist AWS-Konto und eine AFT-Datei installiert ist [AWS-Region](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html) + Ein unterstützter [Anbieter von Versionskontrollsystemen (VCS)](https://github.com/aws-ia/terraform-aws-control_tower_account_factory?tab=readme-ov-file#input_vcs_provider) wie BitBucket GitHub, und Enterprise GitHub + [Terraform Command Line Interface (CLI) installiert](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli) + Eine Laufzeitumgebung, in der Sie das Terraform-Modul ausführen können, das AFT installiert + AWS Command Line Interface [(AWS CLI) [installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und konfiguriert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html) **Einschränkungen** + Einige AWS-Services sind nicht in allen verfügbar AWS-Regionen. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie unter [AWS Dienste nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie unter [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus. **Produktversionen** + [AWS Control Tower landing zone](https://docs.aws.amazon.com/controltower/latest/userguide/2022-all.html#version-3.0) Version 3.0 oder höher, früher als Version 4.0 + [AFT](https://github.com/aws-ia/terraform-aws-control_tower_account_factory) Version 1.13.0 oder höher, früher als Version 2.0.0 + Terraform OSS Version 1.2.0 oder höher, früher als Version 2.0.0 + [Terraform AWS Provider](https://registry.terraform.io/providers/hashicorp/aws/latest/docs) (`terraform-provider-aws`) Version 5.11.0 oder höher, früher als Version 6.0.0 + [Terraform-Modul für](https://github.com/aws-ia/terraform-aws-ipam) IPAM () Version 2.1.0 oder höher `aws-ia/ipam/aws` ## Architektur Das folgende Diagramm zeigt den Arbeitsablauf und die Komponenten dieses Musters. ![\[Workflow zur Erstellung der Amazon VPC IPv4 IPAM-CIDR-Zuweisung.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/986cfc7d-058b-4490-9029-6cd1eadd1dd2/images/f90b84dd-0420-460e-ac0f-9f22b4a9fdc4.png) Der Workflow besteht aus den folgenden Hauptaufgaben: 1. **Änderungen auslösen** — Die Änderungen an der Terraform- und IPAM-Anpassung werden in das GitHub Repository übernommen und per Push übertragen. Diese Aufgabe löst die Pipeline automatisch aus. AWS CodeBuild 1. **Automatisieren Sie den Build** — Innerhalb CodeBuild werden mehrere Build-Projekte ausgelöst AWS Step Functions. 1. **Anpassung anwenden** — Step Functions koordiniert CodeBuild die Planung und Anwendung von Terraform-Änderungen. Bei dieser Aufgabe wird das AFT-Terraform-Modul verwendet, um die IP-Zuweisung des IPAM-Pools zum verkauften Konto zu koordinieren. AWS ## Tools **AWS-Services** + [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)ist ein vollständig verwalteter Build-Service, der Sie beim Kompilieren von Quellcode, beim Ausführen von Komponententests und beim Erstellen von Artefakten unterstützt, die sofort einsatzbereit sind. + [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html)hilft Ihnen dabei, die verschiedenen Phasen einer Softwareversion schnell zu modellieren und zu konfigurieren und die Schritte zu automatisieren, die für die kontinuierliche Veröffentlichung von Softwareänderungen erforderlich sind. + [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)orchestriert die Funktionen mehrerer anderer Funktionen [AWS-Services](https://docs.aws.amazon.com/controltower/latest/userguide/integrated-services.html), darunter AWS Organizations AWS Service Catalog, und AWS IAM Identity Center. Es kann Ihnen helfen, eine Umgebung mit AWS mehreren Konten einzurichten und zu verwalten und dabei die vorgeschriebenen Best Practices zu befolgen. + [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt. + [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen. + [AWS SDK für Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html)ist ein Softwareentwicklungskit, mit dem Sie Ihre Python-Anwendung, -Bibliothek oder Ihr Skript integrieren können AWS-Services. + [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html)hilft Ihnen dabei, Kataloge von IT-Services, für AWS die eine Genehmigung erteilt wurde, zentral zu verwalten. Endbenutzer können schnell nur die jeweils benötigten genehmigten IT-Services bereitstellen, wobei die Einschränkungen Ihrer Organisation berücksichtigt werden. + [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)ist ein serverloser Orchestrierungsservice, mit dem Sie AWS Lambda Funktionen und andere Funktionen kombinieren können, um geschäftskritische Anwendungen AWS-Services zu erstellen. + [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS. Amazon VPC IP Address Manager (IPAM) ist eine VPC-Funktion, die es Ihnen erleichtert, IP-Adressen für Ihre Workloads zu planen, nachzuverfolgen und zu überwachen. AWS **Andere Tools** + [GitHub](https://docs.github.com/)ist eine Entwicklerplattform, mit der Entwickler ihren Code erstellen, speichern, verwalten und teilen können. + [HashiCorp Terraform](https://www.terraform.io/) ist ein IaC-Tool (Infrastructure as Code), mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können. Dazu gehören Komponenten auf niedriger Ebene wie Recheninstanzen, Speicher und Netzwerke sowie Komponenten auf hoher Ebene wie DNS-Einträge und Software-as-a-Service (SaaS) -Funktionen. + [Python](https://www.python.org/) ist eine Allzweck-Computerprogrammiersprache. Sie können es verwenden, um Anwendungen zu erstellen, Aufgaben zu automatisieren und Dienste auf der zu entwickeln. [AWS Cloud](https://aws.amazon.com/developer/language/python/) **Code-Repository** + Der Code für dieses Muster ist im GitHub [AWS Control Tower Account Factory for Terraform-Repository](https://github.com/aws-ia/terraform-aws-control_tower_account_factory) verfügbar. ## Best Practices Wir empfehlen Ihnen, bei der Bereitstellung von AFT bewährte Methoden zu befolgen, um eine sichere, effiziente und erfolgreiche Implementierung zu gewährleisten. Zu den wichtigsten Richtlinien und Empfehlungen für die Implementierung und den Betrieb von AFT gehören: + **Gründliche Überprüfung der Eingaben** — Prüfen und verstehen Sie jede [Eingabe](https://github.com/aws-ia/terraform-aws-control_tower_account_factory) sorgfältig. Die korrekte Eingangskonfiguration ist entscheidend für die Einrichtung und den Betrieb von AFT. + **Regelmäßige Vorlagenaktualisierungen** — Halten Sie die Vorlagen mit den neuesten AWS Funktionen und Terraform-Versionen auf dem neuesten Stand. Regelmäßige Updates helfen Ihnen dabei, neue Funktionen zu nutzen und die Sicherheit zu gewährleisten. + **Versionierung — Geben** Sie die Version Ihres AFT-Moduls an und verwenden Sie, wenn möglich, eine separate AFT-Bereitstellung zum Testen. + **Umfang** — Verwenden Sie AFT nur, um Infrastruktur-Leitplanken und Anpassungen bereitzustellen. Verwenden Sie es nicht, um Ihre Anwendung bereitzustellen. + **Linting und Validierung** — Die AFT-Pipeline erfordert eine verknüpfte und validierte Terraform-Konfiguration. Führen Sie Lint, Validation und Test aus, bevor Sie die Konfiguration in die AFT-Repositorys übertragen. + **Terraform-Module** — Erstellen Sie wiederverwendbaren Terraform-Code als Module und geben Sie immer die Terraform- und AWS Provider-Versionen an, die den Anforderungen Ihres Unternehmens entsprechen. ## Epen ### Richten Sie Ihre Umgebung ein und konfigurieren Sie AWS sie | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Bereitstellen AWS Control Tower. | Richten Sie es AWS Control Tower in Ihrer AWS Umgebung ein und konfigurieren Sie es, um eine zentrale Verwaltung und Steuerung Ihrer zu gewährleisten AWS-Konten. Weitere Informationen finden Sie AWS Control Tower in der AWS Control Tower Dokumentation unter [Erste Schritte mit](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html). | Cloud-Administrator | | Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit. | Richten Sie AFT in einem neuen, dedizierten AFT-Verwaltungskonto ein. Weitere Informationen finden Sie in der [Dokumentation unter Konfiguration und Start Ihrer AWS Control Tower Account Factory für Terraform](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html#aft-configure-and-launch). AWS Control Tower | Cloud-Administrator | | Schließen Sie AFT nach der Bereitstellung ab. | Wenn die Bereitstellung der AFT-Infrastruktur abgeschlossen ist, führen Sie die Schritte unter Schritte [nach der Bereitstellung in der AWS Control Tower Dokumentation aus](https://docs.aws.amazon.com/controltower/latest/userguide/aft-post-deployment.html). | Cloud-Administrator | ### IPAM erstellen | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Delegieren Sie einen IPAM-Administrator. | Gehen Sie wie folgt vor, um ein IPAM-Administratorkonto in Ihrer AWS Organisation zu delegieren:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.html)Alternativ können Sie den folgenden Befehl verwenden AWS CLI und ausführen:
aws ec2 enable-ipam-organization-admin-account \
    --delegated-admin-account-id 012345678901
Weitere Informationen finden Sie unter [Integrieren von IPAM mit Konten in einer AWS Organisation](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html) in der Amazon VPC-Dokumentation und [enable-ipam-organization-adminunter -account](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ipam-organization-admin-account.html) in der AWS CLI Befehlsreferenz. Um IPAM weiterhin verwenden zu können, müssen Sie sich mit dem delegierten Administratorkonto anmelden. Das im nächsten Schritt angegebene SSO-Profil oder die AWS Umgebungsvariablen müssen es Ihnen ermöglichen, sich bei diesem Konto anzumelden und Berechtigungen zum Erstellen eines IPAM-Pool der obersten Ebene und eines regionalen IPAM-Pool zu erteilen. | AWS-Administrator | | Erstellen Sie einen IPAM-Pool der obersten Ebene und einen regionalen IPAM-Pool. | Das GitHub Repository dieses Musters enthält eine Terraform-Vorlage, mit der Sie Ihren IPAM-Pool auf oberster Ebene und Ihren regionalen Pool erstellen können. Anschließend können Sie die Pools mithilfe von () für eine Organisation, eine Organisationseinheit (OU) oder eine andere Ressource freigeben. AWS-Konto AWS Resource Access Manager AWS RAMGehen Sie dazu wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.html)Notieren Sie sich die Ressourcenpool-ID, die nach der Erstellung ausgegeben wird. Sie benötigen die ID, wenn Sie die Kontoanfrage einreichen. Wenn Sie die Ressourcenpool-ID vergessen haben, können Sie sie später von der abrufen AWS-Managementkonsole. Stellen Sie sicher, dass sich die erstellten Pools CIDRs nicht mit anderen Pools in Ihrer Arbeitsregion überschneiden. Sie können einen Pool ohne CIDR erstellen, aber Sie können den Pool erst für Zuweisungen verwenden, wenn Sie ein CIDR dafür bereitgestellt haben. Sie können einem Pool jederzeit etwas hinzufügen CIDRs , indem Sie den Pool bearbeiten. | AWS-Administrator | ### Integrieren Sie IPAM mit AFT | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Beginnen Sie mit der Erstellung der Kontoanpassung. | Führen Sie die folgenden Befehle von Ihrem Terminal aus aus, um mit der Anpassung eines neuen Kontos zu beginnen:
# Default name for customization repo
cd aft-account-customizations # Replace with your actual repo name if different than the default
mkdir -p APG-AFT-IPAM/terraform # Replace APG-AFT-IPAM with your desired customization name
cd APG-AFT-IPAM/terraform
| DevOps Ingenieur | | `aft-providers.jinja`Datei erstellen. | Fügen Sie der `aft-providers.jinja` Datei dynamischen Code hinzu, der das zu verwendende Terraform-Backend und den zu verwendenden Terraform-Anbieter angibt.Gehen Sie dazu wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.html) | DevOps Ingenieur | | `backend.jinja`Datei erstellen. | Fügen Sie der `backend.jinja` Datei dynamischen Code hinzu, der das zu verwendende Terraform-Backend und den zu verwendenden Terraform-Anbieter angibt.Gehen Sie dazu wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.html) | DevOps Ingenieur | | `main.tf`Datei erstellen. | Erstellen Sie eine neue `main.tf` Datei und fügen Sie Code hinzu, der zwei Datenquellen definiert, die zwei Werte von AWS Systems Manager (`aws_ssm`) abrufen und die VPC erstellen.Gehen Sie dazu wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.html) | DevOps Ingenieur | | `variables.tf`Datei erstellen. | Erstellen Sie eine `variables.tf` Datei, die die vom Terraform-Modul verwendeten Variablen deklariert.Gehen Sie dazu wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.html) | DevOps Ingenieur | | `terraform.tfvars`Datei erstellen. | Erstellen Sie eine `terraform.tfvars` Datei, die die Werte der Variablen definiert, die an die `main.tf` Datei übergeben werden.Gehen Sie dazu wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.html) | DevOps Ingenieur | | `outputs.tf`Datei erstellen. | Erstellen Sie eine neue `outputs.tf` Datei, die einige Werte in CodeBuild verfügbar macht.Gehen Sie dazu wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.html) | DevOps Ingenieur | | Bestätigen Sie die Anpassung. | Führen Sie die folgenden Befehle aus, um die neue Anpassung in das Repository für Kontoanpassungen zu übernehmen:
# Assumes you are still in the /terraform directory
cd .. # Skip if you are in the account customization root directory (APG-AFT-IPAM)
git add .
git commit -m "APG customization"
git push origin
| DevOps Ingenieur | | Wenden Sie die Anpassung an. | Fügen Sie der `account-requests.tf` Datei, die ein neues Konto mit der neu erstellten Kontoanpassung anfordert, Code hinzu. Die benutzerdefinierten Felder erstellen Systems Manager Manager-Parameter im Verkäuferkonto, die erforderlich sind, um die VPC mit dem richtigen IPAM-zugewiesenen CIDR zu erstellen. IPv4 Gehen Sie dazu wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.html) | AWS DevOps | | Validieren Sie die Anpassung. | Melden Sie sich bei dem neu verkauften Konto an und vergewissern Sie sich, dass die Anpassung erfolgreich angewendet wurde.Gehen Sie dazu wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.html) | DevOps Ingenieur | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | Sie stoßen auf Fehler bei der Erstellung oder Verwaltung von Ressourcen, die auf unzureichende Berechtigungen zurückzuführen sind. | Überprüfen Sie die AWS Identity and Access Management (IAM-) Rollen und Richtlinien, die Step Functions und anderen an der Bereitstellung beteiligten Diensten zugeordnet sind. CodeBuild Vergewissern Sie sich, dass sie über die erforderlichen Berechtigungen verfügen. Wenn es Probleme mit den Berechtigungen gibt, passen Sie die IAM-Richtlinien an, um den erforderlichen Zugriff zu gewähren. | | Während der Bereitstellung erreichen Sie die AWS-Service Kontingente. | Bevor Sie die Pipeline bereitstellen, überprüfen Sie die AWS-Service Kontingente für Ressourcen wie Amazon Simple Storage Service (Amazon S3) -Buckets, IAM-Rollen und AWS Lambda Funktionen. Beantragen Sie bei Bedarf eine Erhöhung der Kontingente. Weitere Informationen finden Sie unter [AWS-Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) in der *Allgemeinen AWS -Referenz*. | ## Zugehörige Ressourcen **AWS-Service Dokumentation** + [AWS Control Tower Benutzerhandbuch](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) + [Wie funktioniert IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/how-it-works-ipam.html) + [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) + [AWS-Service Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) **Sonstige Ressourcen** + [Terraform Provider-Dokumentation AWS](https://registry.terraform.io/providers/hashicorp/aws/latest/docs) # Automatisieren Sie das Hinzufügen oder Aktualisieren von Windows-Registrierungseinträgen mit AWS Systems Manager *Appasaheb Bagali, Amazon Web Services* ## Zusammenfassung AWS Systems Manager ist ein Fernverwaltungstool für Amazon Elastic Compute Cloud (Amazon EC2) -Instances. Systems Manager bietet Transparenz und Kontrolle über Ihre Infrastruktur auf Amazon Web Services. Dieses vielseitige Tool kann verwendet werden, um Änderungen an der Windows-Registrierung zu korrigieren, die im Bericht über Sicherheitslücken als Sicherheitslücken identifiziert wurden.  In diesem Muster werden die Schritte beschrieben, mit EC2 denen Sie Ihre Instanzen, auf denen das Windows-Betriebssystem ausgeführt wird, schützen können, indem Registrierungsänderungen automatisiert werden, die zum Schutz Ihrer Umgebung empfohlen werden. Das Muster verwendet den Befehl Run, um ein Command-Dokument auszuführen. Der Code ist angehängt, und ein Teil davon ist im *Codeabschnitt* enthalten. ## Voraussetzungen und Einschränkungen + Ein aktives AWS-Konto + Berechtigungen für den Zugriff auf die EC2 Instanz und den Systems Manager ## Architektur **Zieltechnologie-Stack** + Eine virtuelle private Cloud (VPC) mit zwei Subnetzen und einem NAT-Gateway (Network Address Translation) + Ein Systems Manager Manager-Befehlsdokument zum Hinzufügen oder Aktualisieren des Registrierungsnamens und -werts + Systems Manager Run Command, um das Command-Dokument auf den angegebenen EC2 Instanzen auszuführen **Zielarchitektur** ![\[So fügen Sie Windows-Registrierungseinträge mithilfe von AWS Systems Manager automatisch hinzu oder aktualisieren diese.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/2ecf680d-9f36-4070-8a19-2af262db7fcc/images/c992bcb0-d894-4aa7-9bb3-3d60c9c79e8d.png) ## Tools **Tools** + [IAM-Richtlinien und -Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) — AWS Identity and Access Management (IAM) ist ein Webservice, mit dem Sie den Zugriff auf AWS-Ressourcen sicher kontrollieren können. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen. + [Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) — Amazon Simple Storage Service (Amazon S3) ist ein Speicher für das Internet. Der Service ist darauf ausgelegt, Cloud Computing für Entwickler zu erleichtern. In diesem Muster wird ein S3-Bucket zum Speichern der Systems Manager Manager-Protokolle verwendet. + [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) — AWS Systems Manager ist ein AWS-Service, mit dem Sie Ihre Infrastruktur auf AWS anzeigen und steuern können. Systems Manager unterstützt Sie bei der Aufrechterhaltung von Sicherheit und Compliance, indem *es Ihre verwalteten Instanzen* scannt und festgestellte Richtlinienverstöße meldet (oder Korrekturmaßnahmen ergreift). + [AWS Systems Manager Command-Dokument](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html) — AWS Systems Manager Command-Dokumente werden von Run Command verwendet. Die meisten Befehlsdokumente werden auf allen Linux- und Windows Server-Betriebssystemen unterstützt, die von Systems Manager unterstützt werden. + [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) — Mit AWS Systems Manager Run Command können Sie die Konfiguration Ihrer verwalteten Instances remote und sicher verwalten. Mit Run Command können Sie allgemeine Verwaltungsaufgaben automatisieren und einmalige Konfigurationsänderungen in großem Umfang durchführen. **Code** Sie können den folgenden Beispielcode verwenden, um einen Microsoft Windows-Registrierungsnamen`Version`, einen Registrierungspfad zu `HKCU:\Software\ScriptingGuys\Scripts` und einen Wert für hinzuzufügen oder zu aktualisieren`2`. ``` #Windows registry path which needs to add/update $registryPath ='HKCU:\\Software\\ScriptingGuys\\Scripts' #Windows registry Name which needs to add/update $Name = 'Version' #Windows registry value which needs to add/update $value = 2 # Test-Path cmdlet to see if the registry key exists. IF(!(Test-Path $registryPath)) { New-Item -Path $registryPath -Force | Out-Null New-ItemProperty -Path $registryPath -Name $name -Value $value ` -PropertyType DWORD - Force | Out- Null } ELSE { New-ItemProperty -Path $registryPath -Name $name -Value $value ` -PropertyType DWORD -Force | Out-Null } echo 'Registry Path:'$registryPath echo 'Registry Name:'$registryPath echo 'Registry Value:'(Get-ItemProperty -Path $registryPath -Name $Name).version ``` Das vollständige Codebeispiel für das Systems Manager Manager-Befehlsdokument JavaScript Object Notation (JSON) ist beigefügt.  ## Epen ### Einrichten einer VPC | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie eine VPC. | Erstellen Sie in der AWS-Managementkonsole eine VPC mit öffentlichen und privaten Subnetzen und einem NAT-Gateway. Weitere Informationen finden Sie in der [AWS-Dokumentation](https://docs.aws.amazon.com/batch/latest/userguide/create-public-private-vpc.html). | Cloud-Administrator | | Erstellen Sie Sicherheitsgruppen. | Stellen Sie sicher, dass jede Sicherheitsgruppe den Zugriff für das Remote Desktop Protocol (RDP) von der Quell-IP-Adresse aus ermöglicht. | Cloud-Administrator | ### Erstellen Sie eine IAM-Richtlinie und eine IAM-Rolle | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie eine IAM-Richtlinie. | Erstellen Sie eine IAM-Richtlinie, die Zugriff auf Amazon S3 EC2, Amazon und Systems Manager bietet. | Cloud-Administrator | | Erstellen Sie eine IAM-Rolle. | Erstellen Sie eine IAM-Rolle und fügen Sie die IAM-Richtlinie hinzu, die den Zugriff auf Amazon S3 EC2, Amazon und Systems Manager ermöglicht. | Cloud-Administrator | ### Führen Sie die Automatisierung aus | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie das Systems Manager Manager-Befehlsdokument. | Erstellen Sie ein Systems Manager Manager-Befehlsdokument, das die Microsoft Windows-Registrierungsänderungen bereitstellt, die hinzugefügt oder aktualisiert werden sollen. | Cloud-Administrator | | Führen Sie den Run Command von Systems Manager aus. | Führen Sie den Systems Manager Run Command aus und wählen Sie das Befehlsdokument und die Systems Manager Manager-Zielinstanzen aus. Dadurch wird die Änderung der Microsoft Windows-Registrierung im ausgewählten Befehlsdokument auf die Zielinstanzen übertragen. | Cloud-Administrator | ## Zugehörige Ressourcen + [AWS Systems Manager](https://aws.amazon.com/systems-manager/) + [AWS Systems Manager Manager-Dokumente](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html) + [AWS Systems Manager Befehl ausführen](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) ## Anlagen [Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/2ecf680d-9f36-4070-8a19-2af262db7fcc/attachments/attachment.zip) # Automatisches Erstellen eines RFC in AMS mit Python *Gnanasekaran Kailasam, Amazon Web Services* ## Zusammenfassung AWS Managed Services (AMS) hilft Ihnen dabei, Ihre Cloud-basierte Infrastruktur effizienter und sicherer zu betreiben, indem es Ihre Amazon Web Services (AWS) -Infrastruktur kontinuierlich verwaltet. Um eine Änderung an Ihrer verwalteten Umgebung vorzunehmen, müssen Sie einen neuen Änderungsantrag (RFC) erstellen und einreichen, der eine Change Type (CT) -ID für einen bestimmten Vorgang oder eine bestimmte Aktion enthält. Die manuelle Erstellung eines RFC kann jedoch etwa fünf Minuten dauern, und Teams in Ihrer Organisation müssen möglicherweise RFCs täglich mehrere Anfragen einreichen. Dieses Muster hilft Ihnen, den RFC-Erstellungsprozess zu automatisieren, die Erstellungszeit für jeden RFC zu reduzieren und manuelle Fehler zu vermeiden.    Dieses Muster beschreibt, wie Sie mithilfe von Python-Code automatisch den `Stop EC2 instance` RFC erstellen, der Amazon Elastic Compute Cloud (Amazon EC2) -Instances in Ihrem AMS-Konto stoppt. Sie können dann den Ansatz dieses Musters und die Python-Automatisierung auf andere RFC-Typen anwenden.  ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein AMS Advanced-Konto. Weitere Informationen dazu finden Sie in den [AMS-Betriebsplänen](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-ams-op-plans.html) in der AWS Managed Services Services-Dokumentation. + Mindestens eine bestehende EC2-Instance in Ihrem AMS-Konto. + Kenntnisse darüber, wie man RFCs in AMS etwas erstellt und einreicht. + Vertrautheit mit Python. **Einschränkungen** + Sie können es nur RFCs für Änderungen in Ihrem AMS-Konto verwenden. Ihr AWS-Konto verwendet unterschiedliche Verfahren für ähnliche Änderungen. ## Architektur **Technologie-Stack** + AMS + AWS-Befehlszeilenschnittstelle (AWS Command Line Interface, AWS CLI) + AWS SDK für Python (Boto3) + Python und die erforderlichen Pakete (JSON und Boto3) **Automatisierung und Skalierung** Dieses Muster enthält Beispielcode zur Automatisierung des `Stop EC2 instance` RFC, Sie können den Beispielcode und die Vorgehensweise dieses Musters jedoch auch für andere RFCs Zwecke verwenden. ## Tools + [AWS Managed Services](https://docs.aws.amazon.com/managedservices/latest/ctexguide/ex-rfc-use-examples.html) — AMS hilft Ihnen dabei, Ihre AWS-Infrastruktur effizienter und sicherer zu betreiben. + [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) — AWS Command Line Interface (AWS CLI) ist ein einheitliches Tool zur Verwaltung Ihrer AWS-Services. In AMS bietet die Change-Management-API Operationen zum Erstellen und Verwalten RFCs. + [AWS SDK for Python (Boto3)](https://docs.aws.amazon.com/pythonsdk/) — Das SDK für Python macht es einfach, Ihre Python-Anwendung, -Bibliothek oder Ihr Skript in AWS-Services zu integrieren. **Code** Die `AMS Stop EC2 Instance.zip` Datei (angehängt) enthält den Python-Code zum Erstellen eines `Stop EC2 instance` RFC. Sie können diesen Code auch so konfigurieren, dass er einen einzelnen RFC für mehrere EC2-Instances sendet. ## Epen ### Option 1 — Umgebung für macOS oder Linux einrichten | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Installieren und validieren Sie Python. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automatically-create-an-rfc-in-ams-using-python.html) | AWS-Systemadministrator | | Installieren Sie AWS CLI. | Führen Sie den `pip install awscli --upgrade –user` Befehl aus, um AWS CLI zu installieren*.* | AWS-Systemadministrator | | Installieren Sie Boto3. | Führen Sie den `pip install boto3` Befehl aus, um Boto3 zu installieren. | AWS-Systemadministrator | | Installieren Sie JSON. | Führen Sie den `pip install json` Befehl aus, um JSON zu installieren. | AWS-Systemadministrator | | Richten Sie AMS CLI ein. | Melden Sie sich bei der AWS-Managementkonsole an, öffnen Sie die AMS-Konsole und wählen Sie dann **Dokumentation** aus. Laden Sie die ZIP-Datei herunter, die die AMS-CLI enthält, entpacken Sie sie und installieren Sie sie dann auf Ihrem lokalen Computer.Nachdem Sie AMS CLI installiert haben, führen Sie den `aws amscm help` Befehl aus. Die Ausgabe enthält Informationen über den AMS-Change-Management-Prozess. | AWS-Systemadministrator | ### Option 2 — Umgebung für Windows einrichten | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Installieren und validieren Sie Python. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automatically-create-an-rfc-in-ams-using-python.html) | AWS-Systemadministrator | | Installieren Sie AWS CLI. | Führen Sie den `pip install awscli --upgrade –user` Befehl aus, um AWS CLI zu installieren. | AWS-Systemadministrator | | Installieren Sie Boto3. | Führen Sie den `pip install boto3` Befehl aus, um Boto3 zu installieren. | AWS-Systemadministrator | | Installieren Sie JSON. | Führen Sie den `pip install json` Befehl aus, um JSON zu installieren. | AWS-Systemadministrator | | Richten Sie AMS CLI ein. | Melden Sie sich bei der AWS-Managementkonsole an, öffnen Sie die AMS-Konsole und wählen Sie dann **Dokumentation** aus. Laden Sie die ZIP-Datei herunter, die die AMS-CLI enthält, entpacken Sie sie und installieren Sie sie dann auf Ihrem lokalen Computer.Nachdem Sie AMS CLI installiert haben, führen Sie den `aws amscm help` Befehl aus. Die Ausgabe enthält Informationen über den AMS-Change-Management-Prozess | AWS-Systemadministrator | ### Extrahieren Sie die CT-ID und die Ausführungsparameter für den RFC | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Extrahieren Sie die CT-ID, Version und Ausführungsparameter für den RFC. | Jeder RFC hat eine andere CT-ID, Version und Ausführungsparameter. Sie können diese Informationen mit einer der folgenden Optionen extrahieren:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automatically-create-an-rfc-in-ams-using-python.html)Um die Python-Automatisierung dieses Musters für andere anzupassen RFCs, ersetzen Sie den CT-Typ und die Parameterwerte in der `ams_stop_ec2_instance` Python-Codedatei aus der `AMS Stop EC2 Instance.zip` Datei (angehängt) durch die Werte, die Sie extrahiert haben. | AWS-Systemadministrator | ### Führen Sie die Python-Automatisierung aus | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Führen Sie die Python-Automatisierung aus. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automatically-create-an-rfc-in-ams-using-python.html) | AWS-Systemadministrator | ## Zugehörige Ressourcen + [Was sind Änderungstypen?](https://docs.aws.amazon.com/managedservices/latest/ctexguide/understanding-cts.html) + [CLI-Tutorial: Zweistufiger Stack mit hoher Verfügbarkeit (Linux/RHEL)](https://docs.aws.amazon.com/managedservices/latest/ctexguide/tut-create-ha-stack.html) ## Anlagen [Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/2b6c68fd-a27e-4c8b-934d-caec50c196ed/attachments/attachment.zip) # Automatisches Stoppen und Starten einer Amazon RDS-DB-Instance mithilfe von AWS Systems Manager Maintenance Windows *Ashita Dsilva, Amazon Web Services* ## Zusammenfassung Dieses Muster zeigt, wie eine Amazon Relational Database Service (Amazon RDS) -DB-Instance mithilfe von AWS Systems Manager Maintenance Windows nach einem bestimmten Zeitplan automatisch gestoppt und gestartet wird (z. B. das Herunterfahren einer DB-Instance außerhalb der Geschäftszeiten, um die Kosten zu senken). Zu diesem Zweck ist Systems Manager für typische Anwendungsfälle kostengünstig. AWS Systems Manager Automation stellt die Runbooks `AWS-StopRdsInstance` und `AWS-StartRdsInstance` Runbooks zum Stoppen und Starten von Amazon RDS-DB-Instances bereit. Das bedeutet, dass Sie keine benutzerdefinierte Logik mit AWS Lambda Funktionen schreiben oder eine Amazon CloudWatch Events-Regel erstellen müssen. Systems Manager bietet zwei Funktionen für die Planung von Aufgaben: [State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-state-about.html) und [Maintenance Windows](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-maintenance.html). State Manager legt die erforderliche Statuskonfiguration für Ressourcen in Ihrem Amazon Web Services (AWS) -Konto einmalig oder nach einem bestimmten Zeitplan fest und verwaltet sie. Maintenance Windows führt während eines bestimmten Zeitfensters Aufgaben für die Ressourcen in Ihrem Konto aus. Sie können zwar den Ansatz dieses Musters mit State Manager oder Maintenance Windows verwenden, wir empfehlen jedoch, Maintenance Windows zu verwenden, da damit eine oder mehrere Aufgaben auf der Grundlage der zugewiesenen Priorität ausgeführt werden können und auch AWS Lambda Funktionen und AWS Step Functions Aufgaben ausgeführt werden können. Weitere Informationen zu State Manager und Maintenance Windows finden Sie unter [Choising between State Manager und Maintenance Windows](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-vs-maintenance-windows.html) in der Systems Manager Manager-Dokumentation. Dieses Muster enthält detaillierte Schritte zur Konfiguration von zwei separaten Wartungsfenstern, die Cron-Ausdrücke verwenden, um eine Amazon RDS-DB-Instance zu stoppen und dann zu starten.  ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktiver AWS-Konto. + Eine bestehende Amazon RDS-DB-Instance, die Sie nach einem bestimmten Zeitplan beenden und starten möchten. + Cron-Ausdrücke für Ihren gewünschten Zeitplan. Beispielsweise `cron(0 9 ? * MON-FRI *)` führt der Ausdruck die Aufgabe an jedem Montag, Dienstag, Mittwoch, Donnerstag und Freitag um 09:00 Uhr aus. Weitere Informationen finden Sie in der Systems Manager Manager-Dokumentation [unter Cron- und Rate-Ausdrücke für Wartungsfenster](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html#reference-cron-and-rate-expressions-maintenance-window). + Vertrautheit mit Systems Manager. + Berechtigungen zum Starten und Stoppen der RDS-Instanz. Weitere Informationen finden Sie im Abschnitt [Epics](#automatically-stop-and-start-an-amazon-rds-db-instance-using-aws-systems-manager-maintenance-windows-epics). **Einschränkungen** + Eine Amazon RDS-DB-Instance kann für bis zu sieben Tage gleichzeitig gestoppt werden. Nach sieben Tagen wird die DB-Instance automatisch neu gestartet, um sicherzustellen, dass sie alle erforderlichen Wartungsupdates erhält. + Sie können eine DB-Instance nicht stoppen, bei der es sich um eine Read Replica handelt oder die über eine Read Replica verfügt. + Sie können eine Amazon RDS for SQL Server-DB-Instance in einer Multi-AZ-Konfiguration nicht stoppen. + Servicekontingente gelten für Maintenance Windows und Systems Manager Automation. Weitere Informationen zu Servicekontingenten finden Sie in der Allgemeine AWS-Referenz Dokumentation unter [AWS Systems Manager Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/ssm.html).  + Einige AWS-Services sind nicht in allen AWS-Regionen verfügbar. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie [AWS-Services unter Nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie auf der Seite [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus. ## Architektur Das folgende Diagramm zeigt den Workflow zum automatischen Stoppen und Starten einer Amazon RDS-DB-Instance. ![\[Workflow zum automatischen Stoppen und Starten einer Amazon RDS-DB-Instance\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/45b81621-5674-4bcf-bf7c-75ae6f62524e/images/7d943830-716e-46a3-be44-7e668c3c01ff.png) Der Workflow umfasst die folgenden Schritte: 1. Erstellen Sie ein Wartungsfenster und verwenden Sie Cron-Ausdrücke, um den Stopp- und Startzeitplan für Ihre Amazon RDS-DB-Instances zu definieren. 2. Registrieren Sie mithilfe des `AWS-StartRdsInstance` Runbooks `AWS-StopRdsInstance` oder eine Systems Manager Automation-Task im Wartungsfenster. 3. Registrieren Sie ein Ziel für das Wartungsfenster, indem Sie eine tagbasierte Ressourcengruppe für Ihre Amazon RDS-DB-Instances verwenden. **Technologie-Stack** + AWS CloudFormation + AWS Identity and Access Management (IAM) + Amazon RDS + Systems Manager **Automatisierung und Skalierung** Sie können mehrere Amazon RDS-DB-Instances gleichzeitig stoppen und starten, indem Sie die erforderlichen Amazon RDS-DB-Instances taggen, eine Ressourcengruppe erstellen, die alle markierten DB-Instances umfasst, und diese Ressourcengruppe als Ziel für das Wartungsfenster registrieren. ## Tools + [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)ist ein Service, der Sie bei der Modellierung und Einrichtung Ihrer AWS Ressourcen unterstützt. + [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ist ein Webservice, mit dem Sie den Zugriff auf AWS Ressourcen sicher kontrollieren können. + [Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Welcome.html) ist ein Webservice, der die Einrichtung, den Betrieb und die Skalierung einer relationalen Datenbank in der erleichtert. AWS Cloud + [AWS -Ressourcengruppen](https://docs.aws.amazon.com/ARG/latest/userguide/welcome.html)hilft Ihnen, AWS Ressourcen in Gruppen zu organisieren, Ressourcen mit Tags zu versehen und Aufgaben für gruppierte Ressourcen zu verwalten, zu überwachen und zu automatisieren. + [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)ist eine AWS-Service , mit der Sie Ihre Infrastruktur anzeigen und steuern können AWS. Dieses Muster verwendet die folgenden Funktionen von Systems Manager: + AWS Systems Manager Die [Automatisierung](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) vereinfacht allgemeine Wartungs- und Bereitstellungsaufgaben von Amazon Elastic Compute Cloud (Amazon EC2) -Instances und anderen AWS Ressourcen. + [AWS Systems Manager Maintenance Windows](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-maintenance.html) hilft Ihnen dabei, einen Zeitplan für die Ausführung potenziell störender Aktionen an Ihren Instances zu definieren. ## Epen ### Erstellen und konfigurieren Sie die IAM-Servicerolle für Systems Manager Automation | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Konfigurieren Sie die IAM-Servicerolle für Systems Manager Automation. | Melden Sie sich bei der an AWS-Managementkonsole und erstellen Sie eine Servicerolle für Systems Manager Automation. Sie können eine der folgenden beiden Methoden verwenden, um diese Servicerolle zu erstellen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automatically-stop-and-start-an-amazon-rds-db-instance-using-aws-systems-manager-maintenance-windows.html)Der Systems Manager Automation-Workflow ruft Amazon RDS auf, indem er eine Servicerolle verwendet, um Start- und Stoppaktionen auf der Amazon RDS-DB-Instance durchzuführen.Die Servicerolle muss mit der folgenden [Inline-Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) konfiguriert werden, die über Berechtigungen zum Starten und Stoppen der Amazon RDS-DB-Instance verfügt:
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RdsStartStop",
            "Effect": "Allow",
            "Action": [
                "rds:StopDBInstance",
                "rds:StartDBInstance"
            ],
            "Resource": ""               
        },
        {
            "Sid": "RdsDescribe",
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        }
    ]
}
Stellen Sie sicher, dass Sie es `` durch den Amazon Resource Name (ARN) Ihrer Amazon RDS-DB-Instance ersetzen.Wenn Sie mit der Verwendung von IAM-Richtlinien und -Rollen nicht vertraut sind, folgen Sie den Anweisungen im Abschnitt *Lösungsübersicht* des AWS Systems Manager Blogposts „[Amazon RDS stop and start use“ planen](https://aws.amazon.com/blogs/database/schedule-amazon-rds-stop-and-start-using-aws-systems-manager/).Stellen Sie sicher, dass Sie den ARN der Servicerolle aufzeichnen. | AWS-Administrator | ### Erstellen Sie eine Ressourcengruppe | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Kennzeichnen Sie die Amazon RDS-DB-Instances. | Öffnen Sie die [Amazon RDS-Konsole](https://console.aws.amazon.com/rds/) und kennzeichnen Sie die Amazon RDS-DB-Instances, die Sie der Ressourcengruppe hinzufügen möchten. Ein Tag besteht aus Metadaten, die einer AWS Ressource zugewiesen sind, und besteht aus einem Schlüssel-Wert-Paar. **Wir empfehlen, *Action* als **Tag-Schlüssel** und *StartStop*als Wert zu verwenden.**Weitere Informationen dazu finden Sie in der Amazon RDS-Dokumentation unter [Hinzufügen, Auflisten und Entfernen von Tags](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html#Tagging.HowTo). | AWS-Administrator | | Erstellen Sie eine Ressourcengruppe für Ihre markierten Amazon RDS-DB-Instances. | Öffnen Sie die [AWS -Ressourcengruppen Konsole](https://console.aws.amazon.com/resource-groups) und erstellen Sie eine Ressourcengruppe auf der Grundlage des Tags, das Sie für Ihre Amazon RDS-DB-Instances erstellt haben.Stellen Sie sicher, dass Sie unter **Gruppierungskriterien** **AWS: :RDS:: DBInstance** als Ressourcentyp auswählen und dann das Schlüssel-Wert-Paar des Tags angeben (z. B. „Action-“). StartStop Dadurch wird sichergestellt, dass der Service nur nach Amazon RDS-DB-Instances sucht und nicht nach anderen Ressourcen, die über dieses Tag verfügen. ****Stellen Sie sicher, dass Sie den Namen der Ressourcengruppe aufzeichnen.Weitere Informationen und detaillierte Schritte finden Sie in der AWS -Ressourcengruppen Dokumentation unter [Erstellen einer tagbasierten Abfrage und Erstellen einer Gruppe](https://docs.aws.amazon.com/ARG/latest/userguide/gettingstarted-query.html#gettingstarted-query-tag-based).  | AWS-Administrator | ### Konfigurieren Sie ein Wartungsfenster zum Stoppen der Amazon RDS-DB-Instances | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie ein Wartungsfenster. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automatically-stop-and-start-an-amazon-rds-db-instance-using-aws-systems-manager-maintenance-windows.html)Die Aufgabe zum Stoppen der DB-Instance wird fast sofort ausgeführt, wenn sie initiiert wird, und erstreckt sich nicht über die gesamte Dauer des Wartungsfensters. Dieses Muster enthält die Mindestwerte für die **Dauer** und die **Initiierung von Aufgaben beenden**, da es sich dabei um die erforderlichen Parameter für ein Wartungsfenster handelt.Weitere Informationen und detaillierte Schritte finden Sie unter [Erstellen eines Wartungsfensters (Konsole)](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-maintenance-create-mw.html) in der Systems Manager Manager-Dokumentation. | AWS-Administrator | | Weisen Sie dem Wartungsfenster ein Ziel zu. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automatically-stop-and-start-an-amazon-rds-db-instance-using-aws-systems-manager-maintenance-windows.html)Weitere Informationen und detaillierte Schritte finden Sie unter [Zuweisen von Zielen zu einem Wartungsfenster (Konsole)](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-maintenance-assign-targets.html) in der Systems Manager Manager-Dokumentation. | AWS-Administrator | | Weisen Sie dem Wartungsfenster eine Aufgabe zu. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automatically-stop-and-start-an-amazon-rds-db-instance-using-aws-systems-manager-maintenance-windows.html)****Die Option **Servicerolle** definiert die Servicerolle, die für das Wartungsfenster zur Ausführung von Aufgaben erforderlich ist. Diese Rolle ist jedoch nicht identisch mit der Servicerolle, die Sie zuvor für Systems Manager Automation erstellt haben.Weitere Informationen und detaillierte Schritte finden Sie unter [Zuweisen von Aufgaben zu einem Wartungsfenster (Konsole)](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-maintenance-assign-tasks.html) in der Systems Manager Manager-Dokumentation. | AWS-Administrator | ### Konfigurieren Sie ein Wartungsfenster zum Starten der Amazon RDS-DB-Instances | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Konfigurieren Sie ein Wartungsfenster, um die Amazon RDS-DB-Instances zu starten. | Wiederholen Sie die Schritte aus dem *Fenster Wartung konfigurieren, um die Amazon RDS-DB-Instances zu beenden*. Epic, um ein weiteres Wartungsfenster zu konfigurieren, um die Amazon RDS-DB-Instances zu einem geplanten Zeitpunkt zu starten.Sie müssen die folgenden Änderungen vornehmen, wenn Sie das Wartungsfenster für den Start der DB-Instances konfigurieren:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automatically-stop-and-start-an-amazon-rds-db-instance-using-aws-systems-manager-maintenance-windows.html) | AWS-Administrator | ## Zugehörige Ressourcen + [Verwenden Sie Dokumente von Systems Manager Automation, um Instanzen zu verwalten und Kosten außerhalb der Geschäftszeiten zu senken](https://aws.amazon.com/blogs/mt/systems-manager-automation-documents-manage-instances-cut-costs-off-hours/) (AWS Blogbeitrag) # Zentralisieren Sie die Verteilung von Softwarepaketen in AWS Organizations mithilfe von Terraform *Pradip Kumar Pandey, Chintamani Aphale, T.V.R.L.Phani Kumar Dadi, Pratap Kumar Nanda, Aarti Rajput und Mayuri Shinde, Amazon Web Services* ## Zusammenfassung Unternehmen verwalten häufig mehrere AWS-Konten , die auf mehrere verteilt sind, um AWS-Regionen eine starke Isolationsbarriere zwischen Workloads zu schaffen. Um sicher und konform zu bleiben, installieren ihre Verwaltungsteams agentenbasierte Tools wie [CrowdStrike[SentinelOne](https://www.sentinelone.com/platform/)](https://www.crowdstrike.com/falcon-platform/), oder [TrendMicro](https://www.trendmicro.com/en_sg/business.html)Tools für Sicherheitsscans sowie den [ CloudWatch Amazon-Agenten](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html), den [Datadog Agent](https://www.datadoghq.com/) oder [AppDynamics Agenten](https://www.appdynamics.com/product/how-it-works/agents-and-controller) für die Überwachung. Diese Teams stehen oft vor Herausforderungen, wenn sie die Verwaltung und Verteilung von Softwarepaketen in dieser großen Landschaft zentral automatisieren wollen. [Distributor](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html), eine Funktion von [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html), automatisiert den Prozess der Paketierung und Veröffentlichung von Software auf verwalteten Microsoft Windows- und Linux-Instanzen in der Cloud und auf lokalen Servern über eine einzige, vereinfachte Oberfläche. Dieses Muster zeigt, wie Sie Terraform verwenden können, um den Prozess der Verwaltung der Softwareinstallation weiter zu vereinfachen und Skripts mit minimalem Aufwand für eine große Anzahl von Instanzen und Mitgliedskonten auszuführen. AWS Organizations Diese Lösung funktioniert für Amazon-, Linux- und Windows-Instances, die von Systems Manager verwaltet werden. ## Voraussetzungen und Einschränkungen + Ein [Distributor-Paket](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor-working-with-packages-create.html), das die zu installierende Software enthält + [Terraform](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli) Version 0.15.0 oder höher + Amazon Elastic Compute Cloud (Amazon EC2) -Instances, die [von Systems Manager verwaltet](https://docs.aws.amazon.com/systems-manager/latest/userguide/managed_instances.html) werden und über grundlegende [Berechtigungen für den Zugriff auf Amazon Simple Storage Service (Amazon S3](https://repost.aws/knowledge-center/ec2-instance-access-s3-bucket)) im Zielkonto verfügen + Eine landing zone für Ihre Organisation, die eingerichtet wird mit [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) + (Optional) [Account Factory für Terraform (](https://catalog.workshops.aws/control-tower/en-US/customization/aft)AFT) ## Architektur **Einzelheiten zur Ressource** Dieses Muster verwendet [Account Factory for Terraform (AFT)](https://catalog.workshops.aws/control-tower/en-US/customization/aft), um alle erforderlichen AWS Ressourcen und die Code-Pipeline für die Bereitstellung der Ressourcen in einem Bereitstellungskonto zu erstellen. Die Code-Pipeline läuft in zwei Repositorys: + **Die globale Anpassung** enthält Terraform-Code, der auf allen bei AFT registrierten Konten ausgeführt wird. + **Kontoanpassungen** enthalten Terraform-Code, der im Bereitstellungskonto ausgeführt wird. Sie können diese Lösung auch ohne AFT bereitstellen, indem Sie [Terraform-Befehle](https://developer.hashicorp.com/terraform/intro) im Ordner für Kontoanpassungen ausführen. Der Terraform-Code stellt die folgenden Ressourcen bereit: + AWS Identity and Access Management (IAM) Rolle und Richtlinien + [SystemsManager- AutomationExecutionRole](https://docs.aws.amazon.com/systems-manager/latest/userguide/running-automations-multiple-accounts-regions.html) gewährt dem Benutzer Berechtigungen zum Ausführen von Automatisierungen in den Zielkonten. + [SystemsManager- AutomationAdministrationRole](https://docs.aws.amazon.com/systems-manager/latest/userguide/running-automations-multiple-accounts-regions.html) gewährt dem Benutzer Berechtigungen zum Ausführen von Automatisierungen in mehreren Konten und Organisationseinheiten ()OUs. + Komprimierte Dateien und manifest.json für das Paket + In Systems Manager enthält ein [Paket](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor-working-with-packages-create.html) mindestens eine ZIP-Datei mit Software oder installierbaren Ressourcen. + Das JSON-Manifest enthält Verweise auf Ihre Paketcodedateien. + S3-Bucket + Das verteilte Paket, das von der gesamten Organisation gemeinsam genutzt wird, wird sicher in einem Amazon S3 S3-Bucket gespeichert. + AWS Systems Manager Dokumente (SSM-Dokumente) + `DistributeSoftwarePackage`enthält die Logik zur Verteilung des Softwarepakets an jede Zielinstanz in den Mitgliedskonten. + `AddSoftwarePackageToDistributor`enthält die Logik, um die installierbaren Software-Ressourcen zu verpacken und sie der Automatisierung hinzuzufügen, eine Funktion von AWS Systems Manager. + Systems Manager -Zuordnung. + Für die Bereitstellung der Lösung wird eine Systems Manager Manager-Zuordnung verwendet. **Architektur und Arbeitsablauf** ![\[Architekturdiagramm zur Zentralisierung der Verteilung von Softwarepaketen in AWS Organizations\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/da584449-e12b-4878-a61d-00d8cea3d3d7/images/2718f2c4-f816-4e34-89b8-8182c128e6db.png) Die Abbildung zeigt die folgenden Schritte: 1. Um die Lösung von einem zentralen Konto aus auszuführen, laden Sie Ihre Pakete oder Software zusammen mit den Bereitstellungsschritten in einen S3-Bucket hoch. 1. Ihr maßgeschneidertes Paket wird im Bereich [Dokumente](https://ap-southeast-2.console.aws.amazon.com/systems-manager/documents?region=ap-southeast-2) der Systems Manager Manager-Konsole auf der Registerkarte **Mein Eigentum** verfügbar. 1. State Manager, eine Funktion von Systems Manager, erstellt, plant und führt eine Zuordnung für das Paket in der gesamten Organisation aus. Die Zuordnung gibt an, dass das Softwarepaket auf einem verwalteten Knoten installiert und ausgeführt werden muss, bevor es auf dem Zielknoten installiert werden kann. 1. Die Assoziation weist Systems Manager an, das Paket auf dem Zielknoten zu installieren. 1. Für alle nachfolgenden Installationen oder Änderungen können Benutzer dieselbe Zuordnung regelmäßig oder manuell von einem einzigen Standort aus ausführen, um kontenübergreifende Bereitstellungen durchzuführen. 1. Bei Mitgliedskonten sendet Automation Bereitstellungsbefehle an den Distributor. 1. Der Distributor verteilt Softwarepakete auf mehrere Instanzen. Diese Lösung verwendet das interne Verwaltungskonto AWS Organizations, aber Sie können auch ein Konto (delegierter Administrator) angeben, das dieses Konto im Namen der Organisation verwaltet. ## Tools **AWS-Services** + [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt. Dieses Muster verwendet Amazon S3, um das verteilte Paket zu zentralisieren und sicher zu speichern. + [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)hilft Ihnen bei der Verwaltung Ihrer Anwendungen und Infrastruktur, die in der AWS Cloud ausgeführt werden. Es vereinfacht das Anwendungs- und Ressourcenmanagement, verkürzt die Zeit für die Erkennung und Lösung betrieblicher Probleme und hilft Ihnen, Ihre AWS Ressourcen sicher und in großem Umfang zu verwalten. Dieses Muster verwendet die folgenden Systems Manager Manager-Funktionen: + Der [Distributor](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html) unterstützt Sie beim Paketieren und Veröffentlichen von Software auf verwalteten Systems Manager-Instanzen. + Die [Automatisierung](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) vereinfacht allgemeine Wartungs-, Bereitstellungs- und Problembehebungsaufgaben für viele AWS Dienste. + [Documents](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents.html) führt Aktionen auf Ihren von Systems Manager verwalteten Instanzen in Ihrer Organisation und Ihren Konten durch. + [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsservice, der Ihnen hilft, mehrere AWS Konten in einer Organisation zu konsolidieren, die Sie erstellen und zentral verwalten. **Andere Tools** + [Terraform](https://www.terraform.io/) ist ein IaC-Tool (Infrastructure as Code) HashiCorp , mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können. **Code-Repository** Die Anweisungen und der Code für dieses Muster sind im Repository für die GitHub [zentralisierte Paketverteilung](https://github.com/aws-samples/aws-organization-centralised-package-distribution) verfügbar. ## Best Practices + Um einer Assoziation Tags zuzuweisen, verwenden Sie die [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) oder die [AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html). Das Hinzufügen von Tags zu einer Zuordnung über die Systems-Manager-Konsole wird nicht unterstützt. Weitere Informationen finden Sie unter [Tagging Systems Manager Manager-Ressourcen](https://docs.aws.amazon.com/systems-manager/latest/userguide/tagging-resources.html) in der Systems Manager Manager-Dokumentation. + Um eine Zuordnung mithilfe einer neuen Version eines Dokuments auszuführen, das von einem anderen Konto aus geteilt wurde, legen Sie die Dokumentversion auf `default` fest. + Um nur den Zielknoten zu taggen, verwenden Sie einen Tag-Schlüssel. Wenn Sie Ihre Knoten mithilfe mehrerer Tag-Schlüssel als Ziel verwenden möchten, verwenden Sie die Option Resource Group. ## Epen ### Konfigurieren Sie Quelldateien und Konten | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Klonen Sie das Repository | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-software-package-distribution-in-aws-organizations-by-using-terraform.html) | DevOps Ingenieur | | Aktualisieren Sie globale Variablen. | Aktualisieren Sie die folgenden Eingabeparameter in der `global-customization/variables.tf` Datei. Diese Variablen gelten für alle Konten, die von AFT erstellt und verwaltet werden.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-software-package-distribution-in-aws-organizations-by-using-terraform.html) | DevOps Ingenieur | | Kontovariablen aktualisieren. | Aktualisieren Sie die folgenden Eingabeparameter in der `account-customization/variables.tf` Datei. Diese Variablen gelten nur für bestimmte Konten, die von AFT erstellt und verwaltet werden.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-software-package-distribution-in-aws-organizations-by-using-terraform.html) | DevOps Ingenieur | ### Passen Sie Parameter und Bereitstellungsdateien an | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Aktualisieren Sie die Eingabeparameter für die State Manager-Zuordnung. | Aktualisieren Sie die folgenden Eingabeparameter in der `account-customization/association.tf` Datei, um den Status zu definieren, den Sie für Ihre Instances beibehalten möchten. Sie können die Standardparameterwerte verwenden, wenn sie Ihren Anwendungsfall unterstützen.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-software-package-distribution-in-aws-organizations-by-using-terraform.html) | DevOps Ingenieur | | Bereiten Sie die komprimierten Dateien und die `manifest.json` Datei für das Paket vor. | Dieses Muster enthält PowerShell installierbare Beispieldateien (.msi für Windows und .rpm für Linux) mit Installations- und Deinstallationsskripten im Ordner. `account-customization/package`[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-software-package-distribution-in-aws-organizations-by-using-terraform.html) | DevOps Ingenieur | ### Führen Sie Terraform-Befehle aus, um Ressourcen bereitzustellen | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Initialisieren Sie die Terraform-Konfiguration. | Um die Lösung automatisch mit AFT bereitzustellen, senden Sie den Code an: AWS CodeCommit
$ git add *
$ git commit -m "message"
$ git push
Sie können diese Lösung auch ohne AFT bereitstellen, indem Sie einen Terraform-Befehl aus dem `account-customization` Ordner ausführen. Um das Arbeitsverzeichnis zu initialisieren, das die Terraform-Dateien enthält, führen Sie folgenden Befehl aus:
$ terraform init
| DevOps Ingenieur | | Änderungen in der Vorschau anzeigen. | Führen Sie den folgenden Befehl aus, um eine Vorschau der Änderungen anzuzeigen, die Terraform an der Infrastruktur vornehmen wird:
$ terraform plan
Dieser Befehl wertet die Terraform-Konfiguration aus, um den gewünschten Status der deklarierten Ressourcen zu ermitteln. Außerdem wird der gewünschte Status mit der tatsächlichen Infrastruktur verglichen, die im Workspace bereitgestellt werden soll. | DevOps Ingenieur | | Änderungen übernehmen. | Führen Sie den folgenden Befehl aus, um die Änderungen zu implementieren, die Sie an den `variables.tf` Dateien vorgenommen haben:
$ terraform apply
| DevOps Ingenieur | ### Ressourcen validieren | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Bestätigen Sie die Erstellung von SSM-Dokumenten. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-software-package-distribution-in-aws-organizations-by-using-terraform.html)Sie sollten die `AddSoftwarePackageToDistributor` Pakete `DistributeSoftwarePackage` und sehen. | DevOps Ingenieur | | Bestätigen Sie den erfolgreichen Einsatz von Automatisierungen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-software-package-distribution-in-aws-organizations-by-using-terraform.html) | DevOps Ingenieur | | Stellen Sie sicher, dass das Paket für die ausgewählten Mitgliedskonten-Instanzen bereitgestellt wurde. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/centralize-software-package-distribution-in-aws-organizations-by-using-terraform.html) | DevOps Ingenieur | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | Die State Manager-Zuordnung ist fehlgeschlagen oder befindet sich im Status „Ausstehend“. | [Informationen zur Fehlerbehebung finden](https://repost.aws/knowledge-center/ssm-state-manager-association-fail) Sie im AWS Knowledge Center. | | Eine geplante Verknüpfung konnte nicht ausgeführt werden. | Ihre Zeitplanspezifikation ist möglicherweise ungültig. State Manager unterstützt derzeit nicht die Angabe von Monaten in Cron-Ausdrücken für Assoziationen. Verwenden Sie [Cron- oder Rate-Ausdrücke](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html), um den Zeitplan zu bestätigen. | ## Zugehörige Ressourcen + [Zentralisierte Paketverteilung](https://github.com/aws-samples/aws-organization-centralised-package-distribution) (GitHub Repository) + [Account Factory für Terraform (AFT)](https://catalog.workshops.aws/control-tower/en-US/customization/aft) + [Anwendungsfälle und bewährte Verfahren (Dokumentation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-best-practices.html))AWS Systems Manager # Konfigurieren Sie die Protokollierung für .NET-Anwendungen in Amazon CloudWatch Logs mithilfe von NLog *Bibhuti Sahu und Rob Hill (AWS), Amazon Web Services* ## Zusammenfassung Dieses Muster beschreibt, wie das NLog Open-Source-Logging-Framework verwendet wird, um die Nutzung von.NET-Anwendungen und Ereignisse in [Amazon CloudWatch Logs zu protokollieren](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html). In der CloudWatch Konsole können Sie die Protokollnachrichten der Anwendung nahezu in Echtzeit einsehen. Sie können auch [Messwerte](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) einrichten und [Alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) so konfigurieren, dass Sie benachrichtigt werden, wenn ein Metrik-Schwellenwert überschritten wird. Mithilfe von CloudWatch Application Insights können Sie automatisierte oder benutzerdefinierte Dashboards anzeigen, die potenzielle Probleme für die überwachten Anwendungen aufzeigen. CloudWatch Application Insights soll Ihnen helfen, laufende Probleme mit Ihren Anwendungen und Ihrer Infrastruktur schnell zu isolieren. Um Protokollnachrichten in CloudWatch Logs zu schreiben, fügen Sie das `AWS.Logger.NLog` NuGet Paket dem .NET-Projekt hinzu. Anschließend aktualisieren Sie die `NLog.config` Datei, um CloudWatch Logs als Ziel zu verwenden. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktives AWS-Konto. + Eine.NET-Web- oder Konsolenanwendung, die: + Verwendet unterstützte.NET Framework- oder .NET Core-Versionen. Weitere Informationen finden Sie unter *Produktversionen*. + Wird verwendet NLog , um Protokolldaten an Application Insights zu senden. + Berechtigungen zum Erstellen einer IAM-Rolle für einen AWS-Service. Weitere Informationen finden Sie unter [Berechtigungen für Servicerollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#id_roles_create_service-permissions). + Berechtigungen zur Übergabe einer Rolle an einen AWS-Service. Weitere Informationen finden Sie unter [Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html). **Produktversionen** + .NET Framework Version 3.5 oder höher + .NET Core-Versionen 1.0.1, 2.0.0 oder höher ## Architektur **Zieltechnologie-Stack** + NLog + CloudWatch Amazon-Protokolle **Zielarchitektur** ![\[Architekturdiagramm zum NLog Schreiben von Protokolldaten für eine.NET-Anwendung in Amazon ClodWatch Logs.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/0ac9c3ad-2a28-415f-afc3-7fe3494b2b63/images/daea9f2f-7242-4ed2-843e-655d843dcfdf.png) 1. Die .NET-Anwendung schreibt Protokolldaten in das NLog Logging-Framework. 1. NLog schreibt die Protokolldaten in CloudWatch Logs. 1. Sie verwenden CloudWatch Alarme und benutzerdefinierte Dashboards, um die .NET-Anwendung zu überwachen. ## Tools **AWS-Services** + [Amazon CloudWatch Application Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-application-insights.html) hilft Ihnen dabei, den Zustand Ihrer Anwendungen und der zugrunde liegenden AWS-Ressourcen zu beobachten. + [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) hilft Ihnen dabei, die Protokolle all Ihrer Systeme, Anwendungen und AWS-Services zu zentralisieren, sodass Sie sie überwachen und sicher archivieren können. + [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden. + Bei den [AWS-Tools für PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html) handelt es sich um eine Reihe von PowerShell Modulen, die Ihnen helfen, Operationen auf Ihren AWS-Ressourcen von der PowerShell Befehlszeile aus zu skripten. **Andere Tools** + [Logger. NLog](https://www.nuget.org/packages/AWS.Logger.NLog)ist ein NLog Ziel, das Protokolldaten in CloudWatch Logs aufzeichnet. + [NLog](https://nlog-project.org/)ist ein Open-Source-Protokollierungsframework für .NET-Plattformen, mit dem Sie Protokolldaten in Ziele wie Datenbanken, Protokolldateien oder Konsolen schreiben können. + [PowerShell](https://learn.microsoft.com/en-us/powershell/)ist ein Automatisierungs- und Konfigurationsverwaltungsprogramm von Microsoft, das unter Windows, Linux und macOS läuft. + [Visual Studio](https://docs.microsoft.com/en-us/visualstudio/get-started/visual-studio-ide?view=vs-2022) ist eine integrierte Entwicklungsumgebung (IDE), die Compiler, Tools zur Codevervollständigung, Grafikdesigner und andere Funktionen zur Unterstützung der Softwareentwicklung umfasst. ## Best Practices + Legen Sie eine [Aufbewahrungsrichtlinie](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) für die Zielprotokollgruppe fest. Dies muss außerhalb der NLog Konfiguration erfolgen. Standardmäßig werden Protokolldaten auf unbestimmte Zeit in CloudWatch Logs gespeichert. + Halten Sie sich an die [Best Practices für die Verwaltung von AWS-Zugriffsschlüsseln](https://docs.aws.amazon.com/accounts/latest/reference/credentials-access-keys-best-practices.html). ## Epen ### Richten Sie Zugriff und Tools ein | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie eine IAM-Richtlinie. | Folgen Sie den Anweisungen unter [Richtlinien mit dem JSON-Editor erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) in der IAM-Dokumentation. Geben Sie die folgende JSON-Richtlinie ein, die über die geringsten Rechte verfügt, die erforderlich sind, damit CloudWatch Logs Logs Logs lesen und schreiben kann.
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:GetLogEvents",
                "logs:PutLogEvents",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
| AWS-Administrator, AWS DevOps | | Erstellen Sie eine IAM-Rolle. | Folgen Sie den Anweisungen unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) in der IAM-Dokumentation. Wählen Sie die Richtlinie aus, die Sie zuvor erstellt haben. Dies ist die Rolle, die CloudWatch Logs bei der Durchführung von Protokollierungsaktionen einnimmt. | AWS-Administrator, AWS DevOps | | Richten Sie AWS-Tools für ein PowerShell. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/configure-logging-for-net-applications-in-amazon-cloudwatch-logs-by-using-nlog.html) | Allgemeines AWS | ### Konfiguration NLog | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Installieren Sie das NuGet Paket. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/configure-logging-for-net-applications-in-amazon-cloudwatch-logs-by-using-nlog.html) | App-Developer | | Konfigurieren Sie das Logging-Ziel. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/configure-logging-for-net-applications-in-amazon-cloudwatch-logs-by-using-nlog.html)Eine Beispielkonfigurationsdatei finden Sie im Abschnitt [Zusätzliche Informationen](#configure-logging-for-net-applications-in-amazon-cloudwatch-logs-by-using-nlog-additional) dieses Musters. Wenn Sie Ihre Anwendung ausführen, NLog werden die Protokollmeldungen geschrieben und an CloudWatch Logs gesendet. | App-Developer | ### Validieren und überwachen Sie die Protokolle | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Überprüfen Sie die Protokollierung. | Folgen Sie den Anweisungen unter An [ CloudWatch Protokolle gesendete Protokolldaten anzeigen in der Dokumentation zu](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#ViewingLogData) den CloudWatch Protokollen. Stellen Sie sicher, dass Protokollereignisse für die .NET-Anwendung aufgezeichnet werden. Wenn keine Protokollereignisse aufgezeichnet werden, finden Sie weitere Informationen im Abschnitt [Problembehandlung](#configure-logging-for-net-applications-in-amazon-cloudwatch-logs-by-using-nlog-troubleshooting) in diesem Muster. | Allgemeines AWS | | Überwachen Sie den.NET-Anwendungsstapel. | Konfigurieren Sie die Überwachung nach CloudWatch Bedarf für Ihren Anwendungsfall. Sie können [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), [CloudWatch Metrics Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/query_with_cloudwatch-metrics-insights.html) und [CloudWatch Application Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-application-insights.html) verwenden, um Ihren .NET-Workload zu überwachen. Sie können auch [Alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) so konfigurieren, dass Sie Benachrichtigungen erhalten können, und Sie können ein benutzerdefiniertes [Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) zur Überwachung der Arbeitslast von einer einzigen Ansicht aus erstellen. | Allgemeines AWS | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | Protokolldaten werden nicht in CloudWatch Logs angezeigt. | Stellen Sie sicher, dass die IAM-Richtlinie mit der IAM-Rolle verknüpft ist, die CloudWatch Logs annimmt. Anweisungen dazu finden Sie im Abschnitt *Zugriff und Tools einrichten* im Abschnitt [Epics](#configure-logging-for-net-applications-in-amazon-cloudwatch-logs-by-using-nlog-epics). | ## Zugehörige Ressourcen + [Arbeiten mit Log-Gruppen und Log-Streams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) (CloudWatch Logs-Dokumentation) + [Amazon CloudWatch Logs und .NET Logging Frameworks](https://aws.amazon.com/blogs/developer/amazon-cloudwatch-logs-and-net-logging-frameworks/) (AWS-Blogbeitrag) ## Zusätzliche Informationen Im Folgenden finden Sie eine `NLog.config` Beispieldatei. ```
``` # Kopieren Sie AWS Service Catalog-Produkte zwischen verschiedenen AWS-Konten und AWS-Regionen *Sachin Vighe und Santosh Kale, Amazon Web Services* ## Zusammenfassung AWS Service Catalog ist ein regionaler Service. Das bedeutet, dass die [Portfolios und Produkte](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/what-is_concepts.html) von AWS Service Catalog nur in der AWS-Region sichtbar sind, in der sie erstellt wurden. Wenn Sie einen [AWS Service Catalog-Hub](https://aws.amazon.com/about-aws/whats-new/2020/06/aws-service-catalog-now-supports-sharing-portfolios-across-an-organization-from-a-delegated-member-account/) in einer neuen Region einrichten, müssen Sie Ihre vorhandenen Produkte neu erstellen, was ein zeitaufwändiger Vorgang sein kann. Der Ansatz dieses Musters trägt dazu bei, diesen Prozess zu vereinfachen, indem beschrieben wird, wie Produkte von einem AWS Service Catalog-Hub in einem AWS-Quellkonto oder einer AWS-Quellregion auf einen neuen Hub in einem Zielkonto oder einer Zielregion kopiert werden. Weitere Informationen zum Hub-and-Spoke-Modell von AWS Service Catalog finden Sie unter [Hub-and-Spoke-Modell von AWS Service Catalog: So automatisieren Sie die Bereitstellung und Verwaltung von AWS Service Catalog für viele Konten](https://aws.amazon.com/blogs/mt/aws-service-catalog-hub-and-spoke-model-how-to-automate-the-deployment-and-management-of-service-catalog-to-many-accounts/) im AWS Management and Governance-Blog.  Das Muster enthält auch die separaten Codepakete, die zum Kopieren von AWS Service Catalog-Produkten zwischen Konten oder in andere Regionen erforderlich sind. Durch die Verwendung dieses Musters kann Ihr Unternehmen Zeit sparen, bestehende und frühere Produktversionen in einem neuen AWS Service Catalog-Hub verfügbar machen, das Risiko manueller Fehler minimieren und den Ansatz auf mehrere Konten oder Regionen skalieren. **Anmerkung** Der Abschnitt *Epics* dieses Musters bietet zwei Optionen zum Kopieren von Produkten. Sie können Option 1 verwenden, um Produkte zwischen Konten zu kopieren, oder Option 2 wählen, um Produkte zwischen Regionen zu kopieren. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktives AWS-Konto. + Bestehende AWS Service Catalog-Produkte in einem Quellkonto oder einer Region. + Ein vorhandener AWS Service Catalog-Hub in einem Zielkonto oder einer Zielregion. + Wenn Sie Produkte zwischen Konten kopieren möchten, müssen Sie das AWS Service Catalog-Portfolio, das die Produkte enthält, teilen und dann in Ihr Zielkonto importieren. Weitere Informationen dazu finden Sie unter [Teilen und Importieren von Portfolios](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing.html) in der AWS-Servicekatalog-Dokumentation. **Einschränkungen** + AWS Service Catalog-Produkte, die Sie zwischen Regionen oder Konten kopieren möchten, dürfen nicht zu mehr als einem Portfolio gehören. ## Architektur Das folgende Diagramm zeigt das Kopieren von AWS Service Catalog-Produkten von einem Quellkonto in ein Zielkonto. ![\[Eine kontenübergreifende Rolle in Region 1, eine Lambda-Ausführungsrolle und eine Lambda-Funktion in Region 2.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/7ede5d17-89eb-4455-928f-6953d145ac9f/images/26738220-1ed2-4f84-911b-3c88e954b60e.png) Das folgende Diagramm zeigt das Kopieren von AWS Service Catalog-Produkten von einer Quellregion in eine Zielregion. ![\[Produkte, die mithilfe der scProductCopy Lambda-Funktion in Region 2 kopiert wurden.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/7ede5d17-89eb-4455-928f-6953d145ac9f/images/0a936792-3bdc-45c2-ba05-17e828615061.png) **Technologie-Stack** + Amazon CloudWatch + AWS Identity and Access Management (IAM) + AWS Lambda + AWS Service Catalog **Automatisierung und Skalierung** Sie können den Ansatz dieses Musters skalieren, indem Sie eine Lambda-Funktion verwenden, die je nach der Anzahl der eingegangenen Anfragen oder der Anzahl der AWS Service Catalog-Produkte, die Sie kopieren müssen, skaliert werden kann. Weitere Informationen dazu finden Sie unter [Lambda-Funktionsskalierung](https://docs.aws.amazon.com/lambda/latest/dg/invocation-scaling.html) in der AWS Lambda Lambda-Dokumentation. ## Tools + [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer Befehlszeilen-Shell mit AWS-Services interagieren können. + [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden. + [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Rechenservice, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen. Er führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen. + Mit [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html) können Sie Kataloge von IT-Services, die für AWS zugelassen sind, zentral verwalten. Endbenutzer können schnell nur die jeweils benötigten genehmigten IT-Services bereitstellen, wobei die Einschränkungen Ihrer Organisation berücksichtigt werden. **Code** Sie können das ` cross-account-copy` Paket (angehängt) verwenden, um AWS Service Catalog-Produkte zwischen Konten zu kopieren, oder das `cross-region-copy` Paket (angehängt), um Produkte zwischen Regionen zu kopieren. Das `cross-account-copy` Paket enthält die folgenden Dateien: + `copyconf.properties`— Die Konfigurationsdatei, die die Regions- und AWS-Konto-ID-Parameter für das Kopieren von Produkten zwischen Konten enthält. + `scProductCopyLambda.py`— Die Python-Funktion zum Kopieren von Produkten zwischen Konten. + `createDestAccountRole.sh`— Das Skript zum Erstellen einer IAM-Rolle im Zielkonto. + `createSrcAccountRole.sh`— Das Skript zum Erstellen einer IAM-Rolle im Quellkonto. + `copyProduct.sh`— Das Skript zum Erstellen und Aufrufen der Lambda-Funktion zum Kopieren von Produkten zwischen Konten. Das `cross-region-copy` Paket enthält die folgenden Dateien: + `copyconf.properties`— Die Konfigurationsdatei, die die Regions- und AWS-Konto-ID-Parameter für das Kopieren von Produkten zwischen Regionen enthält. + `scProductCopyLambda.py`— Die Python-Funktion zum Kopieren von Produkten zwischen Regionen. + `copyProduct.sh`— Das Skript zum Erstellen einer IAM-Rolle und zum Erstellen und Aufrufen der Lambda-Funktion zum Kopieren von Produkten zwischen Regionen. ## Epen ### Option 1 — AWS Service Catalog-Produkte kontenübergreifend kopieren | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Aktualisieren Sie die Konfigurationsdatei. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/copy-aws-service-catalog-products-across-different-aws-accounts-and-aws-regions.html) | AWS-Administrator, AWS-Systemadministrator, Cloud-Administrator | | Konfigurieren Sie Ihre Anmeldeinformationen für AWS CLI im Zielkonto. | Konfigurieren Sie Ihre Anmeldeinformationen für den Zugriff auf AWS CLI in Ihrem Zielkonto, indem Sie den `aws configure` Befehl ausführen und die folgenden Werte angeben:
$aws configure 
AWS Access Key ID [None]:  
AWS Secret Access Key [None]:  
Default region name [None]: Region
Default output format [None]:
Weitere Informationen dazu finden Sie in der Dokumentation zur AWS-Befehlszeilenschnittstelle unter [Grundlagen der Konfiguration](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html).  | AWS-Administrator, AWS-Systemadministrator, Cloud-Administrator | | Konfigurieren Sie Ihre Anmeldeinformationen für AWS CLI im Quellkonto. | Konfigurieren Sie Ihre Anmeldeinformationen für den Zugriff auf AWS CLI in Ihrem Quellkonto, indem Sie den `aws configure` Befehl ausführen und die folgenden Werte angeben: 
$aws configure
AWS Access Key ID [None]: 
AWS Secret Access Key [None]: 
Default region name [None]: Region
Default output format [None]:
Weitere Informationen dazu finden Sie in der Dokumentation zur AWS-Befehlszeilenschnittstelle unter [Grundlagen der Konfiguration](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html).  | AWS-Administrator, AWS-Systemadministrator, Cloud-Administrator | | Erstellen Sie eine Lambda-Ausführungsrolle in Ihrem Zielkonto. | Führen Sie das `createDestAccountRole.sh ` Skript in Ihrem Zielkonto aus. Das Skript implementiert die folgenden Aktionen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/copy-aws-service-catalog-products-across-different-aws-accounts-and-aws-regions.html) | AWS-Administrator, AWS-Systemadministrator, Cloud-Administrator | | Erstellen Sie die kontoübergreifende IAM-Rolle in Ihrem Quellkonto. | Führen Sie das `createSrcAccountRole.sh ` Skript in Ihrem Quellkonto aus. Das Skript implementiert die folgenden Aktionen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/copy-aws-service-catalog-products-across-different-aws-accounts-and-aws-regions.html) | AWS-Administrator, AWS-Systemadministrator, Cloud-Administrator | | Führen Sie das CopyProduct-Skript im Zielkonto aus. | Führen Sie das `copyProduct.sh ` Skript in Ihrem Zielkonto aus. Das Skript implementiert die folgenden Aktionen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/copy-aws-service-catalog-products-across-different-aws-accounts-and-aws-regions.html) | AWS-Administrator, AWS-Systemadministrator, Cloud-Administrator | ### Option 2 — AWS Service Catalog-Produkte von einer Quellregion in eine Zielregion kopieren | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Aktualisieren Sie die Konfigurationsdatei. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/copy-aws-service-catalog-products-across-different-aws-accounts-and-aws-regions.html) | AWS-Systemadministrator, Cloud-Administrator, AWS-Administrator | | Konfigurieren Sie Ihre Anmeldeinformationen für AWS CLI. | Konfigurieren Sie Ihre Anmeldeinformationen für den Zugriff auf AWS CLI in Ihrer Umgebung, indem Sie den `aws configure` Befehl ausführen und die folgenden Werte angeben:
$aws configure
AWS Access Key ID [None]: 
AWS Secret Access Key [None]: 
Default region name [None]: Region
Default output format [None]:
Weitere Informationen dazu finden Sie in der Dokumentation zur AWS-Befehlszeilenschnittstelle unter [Grundlagen der Konfiguration](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html).  | AWS-Administrator, AWS-Systemadministrator, Cloud-Administrator | | Führen Sie das CopyProduct-Skript aus. | Führen Sie das `copyProduct.sh` Skript in Ihrer Zielregion aus. Das Skript implementiert die folgenden Aktionen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/copy-aws-service-catalog-products-across-different-aws-accounts-and-aws-regions.html) | AWS-Administrator, AWS-Systemadministrator, Cloud-Administrator | ## Zugehörige Ressourcen + [Eine Lambda-Ausführungsrolle erstellen (AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) Lambda-Dokumentation) + [Eine Lambda-Funktion erstellen (AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-awscli.html) Lambda-Dokumentation) + [AWS-Servicekatalog-API-Referenz](https://docs.aws.amazon.com/servicecatalog/latest/dg/API_Operations_AWS_Service_Catalog.html) + [Dokumentation zum AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/what-is_concepts.html) ## Anlagen [Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/7ede5d17-89eb-4455-928f-6953d145ac9f/attachments/attachment.zip) # Erstellen Sie eine RACI- oder RASCI-Matrix für ein Cloud-Betriebsmodell *Teddy Germade, Jerome Descreux, Florian Leroux und Josselin LE MINEUR, Amazon Web Services* ## Zusammenfassung Das Cloud Center of Excellence (CCoE) oder CEE (Cloud Enablement Engine) ist ein kompetentes und verantwortungsbewusstes Team, das sich auf die Betriebsbereitschaft für die Cloud konzentriert. Ihr Hauptaugenmerk liegt auf der Umstellung der Informations-IT-Organisation von einem lokalen Betriebsmodell auf ein Cloud-Betriebsmodell. Das CCo E sollte ein funktionsübergreifendes Team sein, das Vertreter aus den Bereichen Infrastruktur, Anwendungen, Betrieb und Sicherheit umfasst. Eine der Schlüsselkomponenten eines Cloud-Betriebsmodells ist eine *RACI-Matrix oder *RASCI-Matrix**. Dies wird verwendet, um die Rollen und Verantwortlichkeiten für alle Parteien zu definieren, die an Migrationsaktivitäten und Cloud-Operationen beteiligt sind. Der Matrixname leitet sich von den in der Matrix definierten Zuständigkeitstypen ab: verantwortlich (R), rechenschaftspflichtig (A), unterstützend (S), konsultiert (C) und informiert (I). Die Art der Unterstützung ist optional. Wenn Sie sie einbeziehen, wird sie als *RASCI-Matrix bezeichnet, und wenn Sie sie ausschließen, wird sie als *RACI-Matrix** bezeichnet. Wenn Sie mit der beigefügten Vorlage beginnen, kann Ihr CCo E-Team eine RACI- oder RASCI-Matrix für Ihre Organisation erstellen. Die Vorlage enthält Teams, Rollen und Aufgaben, die in Cloud-Betriebsmodellen üblich sind. Die Grundlage dieser Matrix bilden die Aufgaben im Zusammenhang mit der Betriebsintegration und den CCo E-Funktionen. Sie können diese Vorlage jedoch an die Anforderungen der Struktur und des Anwendungsfalls Ihres Unternehmens anpassen. Der Implementierung einer RACI-Matrix sind keine Grenzen gesetzt. Dieser Ansatz funktioniert für große Organisationen, Start-ups und alles dazwischen. In kleinen Organisationen kann dieselbe Ressource mehrere Rollen übernehmen. ## Epen ### Erstelle die Matrix | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Identifizieren Sie die wichtigsten Interessengruppen. | Identifizieren Sie wichtige Service- und Teammanager, die mit den strategischen Zielen Ihres Cloud-Betriebsmodells verknüpft sind. | Projektmanager | | Passen Sie die Matrixvorlage an. | Laden Sie die Vorlage im Abschnitt [Anlagen](#attachments-b3df3d2c-c596-4736-bbaa-8edbcf335352) herunter und aktualisieren Sie dann die RACI- oder RASCI-Matrix wie folgt:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-raci-or-rasci-matrix-for-a-cloud-operating-model.html) | Projektmanager | | Planen Sie Besprechungen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-raci-or-rasci-matrix-for-a-cloud-operating-model.html) | Projektmanager | | Vervollständigen Sie die Matrix. | Gehen Sie in der Besprechung mit allen Beteiligten wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-raci-or-rasci-matrix-for-a-cloud-operating-model.html) | Projektmanager | | Teilen Sie die RASCI-Matrix. | Wenn die RACI- oder RASCI-Matrix vollständig ist, lassen Sie sie von der Unternehmensleitung genehmigen. Speichern Sie sie in einem gemeinsam genutzten Repository oder an einem zentralen Ort, wo alle Beteiligten darauf zugreifen können. Wir empfehlen, Standardprozesse zur Dokumentenkontrolle zu verwenden, um Änderungen an der Matrix aufzuzeichnen und zu genehmigen. | Projektmanager | ## Zugehörige Ressourcen + [AWS-Modell mit geteilter Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) ## Anlagen [Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/b3df3d2c-c596-4736-bbaa-8edbcf335352/attachments/attachment.zip) # Erstellen Sie mithilfe der CloudWatch Amazon-Anomalieerkennung Alarme für benutzerdefinierte Metriken *Ram Kandaswamy und Raheem Jiwani, Amazon Web Services* ## Zusammenfassung In der Amazon Web Services (AWS) Cloud können Sie Amazon verwenden, um Alarme CloudWatch zu erstellen, die Messwerte überwachen und Benachrichtigungen senden oder automatisch Änderungen vornehmen, wenn ein Schwellenwert überschritten wird. Um zu vermeiden, dass Sie durch [statische Schwellenwerte](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) eingeschränkt werden, können Sie Alarme erstellen, die auf vergangenen Mustern basieren und Sie benachrichtigen, wenn bestimmte Messwerte außerhalb des normalen Betriebsfensters liegen. Sie könnten beispielsweise die Antwortzeiten Ihrer API von Amazon API Gateway aus überwachen und Benachrichtigungen über Anomalien erhalten, die Sie daran hindern, ein Service Level Agreement (SLA) einzuhalten. Dieses Muster beschreibt, wie Sie die CloudWatch Anomalieerkennung für benutzerdefinierte Metriken verwenden. Das Muster zeigt Ihnen, wie Sie eine benutzerdefinierte Metrik in Amazon CloudWatch Logs Insights erstellen oder eine benutzerdefinierte Metrik mit einer AWS Lambda Lambda-Funktion veröffentlichen und anschließend die Anomalieerkennung einrichten und Benachrichtigungen mit Amazon Simple Notification Service (Amazon SNS) erstellen. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktives AWS-Konto. + Ein vorhandenes SNS-Thema, das für das Senden von E-Mail-Benachrichtigungen konfiguriert ist. Weitere Informationen dazu finden Sie unter [Erste Schritte mit Amazon SNS in der Amazon SNS SNS-Dokumentation](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html). + [Eine bestehende Anwendung, konfiguriert mit CloudWatch Logs.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) **Einschränkungen** + CloudWatch Metriken unterstützen keine Millisekunden-Zeitintervalle. Weitere Informationen zur Granularität regulärer und benutzerdefinierter Metriken finden Sie auf [Amazon CloudWatch FAQs](https://aws.amazon.com/cloudwatch/faqs/). ## Architektur ![\[CloudWatch Verwenden eines Amazon SNS SNS-Themas, um eine E-Mail-Benachrichtigung zu senden, wenn ein Alarm ausgelöst wird.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/d47e6f7f-e469-4cb9-b34b-8c4b78d71820/images/49f30340-9552-430a-893a-d0608bb09e38.png) Das Diagramm zeigt den folgenden Workflow: 1. Protokolle, die Metriken verwenden, die von CloudWatch Logs erstellt und aktualisiert wurden, werden gestreamt. CloudWatch 1. Ein Alarm wird auf der Grundlage von Schwellenwerten ausgelöst und sendet eine Warnung an ein SNS-Thema. 1. Amazon SNS sendet Ihnen eine E-Mail-Benachrichtigung. **Technologie-Stack** + CloudWatch + AWS Lambda + Amazon SNS ## Tools + [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) bietet eine zuverlässige, skalierbare und flexible Überwachungslösung. + [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Rechenservice, mit dem Sie Code ausführen können, ohne Server bereitzustellen oder zu verwalten. + [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) ist ein verwalteter Service, der die Nachrichtenzustellung von Verlagen an Abonnenten ermöglicht. ## Epen ### Richten Sie die Anomalieerkennung für eine benutzerdefinierte Metrik ein | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Option 1 — Erstellen Sie eine benutzerdefinierte Metrik mit einer Lambda-Funktion. | Laden Sie die `lambda_function.py` Datei (angehängt) herunter und ersetzen Sie dann die `lambda_function.py` Beispieldatei im [aws-lambda-developer-guide](https://github.com/awsdocs/aws-lambda-developer-guide/tree/main/sample-apps/blank-python/function)Repository in der AWS-Dokumentation GitHub. Dadurch erhalten Sie eine Lambda-Beispielfunktion, die benutzerdefinierte Metriken an CloudWatch Logs sendet. Die Lambda-Funktion verwendet die Boto3-API für die Integration mit. CloudWatch Nachdem Sie die Lambda-Funktion ausgeführt haben, können Sie sich bei der AWS-Managementkonsole anmelden, die CloudWatch Konsole öffnen und die veröffentlichte Metrik ist in Ihrem veröffentlichten Namespace verfügbar. | DevOps Ingenieur, AWS DevOps | | Option 2 — Erstellen Sie benutzerdefinierte Metriken aus CloudWatch Protokollgruppen. | Melden Sie sich bei der AWS-Managementkonsole an, öffnen Sie die CloudWatch Konsole und wählen Sie dann **Protokollgruppen** aus. Wählen Sie die Protokollgruppe aus, für die Sie eine Metrik erstellen möchten. Wählen Sie **Aktionen** und dann **Metrikfilter erstellen** aus. Geben Sie **unter Filtermuster** das Filtermuster ein, das Sie verwenden möchten. Weitere Informationen finden Sie in der CloudWatch Dokumentation unter [Filter- und Mustersyntax](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html). Um Ihr Filtermuster zu testen, geben Sie unter **Testmuster ein oder mehrere Protokollereignisse ein**. Jedes Protokollereignis muss innerhalb einer einzelnen Zeile liegen, da Zeilenumbrüche verwendet werden, um Protokollereignisse im Anzeigebereich **Log event messages (Ereignismeldungen protokollieren)** zu trennen. Nachdem Sie das Muster getestet haben, können Sie unter **Metrikdetails einen Namen und einen Wert für Ihre Metrik** eingeben. Weitere Informationen und Schritte zum Erstellen einer benutzerdefinierten Metrik finden Sie in der CloudWatch Dokumentation unter [Erstellen eines Metrikfilters für eine Protokollgruppe](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html). | DevOps Ingenieur, AWS DevOps | | Erstellen Sie einen Alarm für Ihre benutzerdefinierte Metrik. | Wählen Sie auf der CloudWatch Konsole **Alarme** und dann **Create Alarm** aus. **Wählen Sie Metrik auswählen** und geben Sie den Namen der Metrik, die Sie zuvor erstellt haben, in das Suchfeld ein. Wählen Sie die Registerkarte **Graphische Metriken** und konfigurieren Sie die Optionen entsprechend Ihren Anforderungen.Wählen Sie unter **Bedingungen** die Option **Anomalieerkennung** statt **Statische** Schwellenwerte aus. Dies zeigt Ihnen ein Band, das auf zwei standardmäßigen Standardabweichungen basiert. Sie können Schwellenwerte einrichten und diese an Ihre Anforderungen anpassen.Wählen Sie **Weiter** aus.Das Band ist dynamisch und hängt von der Qualität der Datenpunkte ab. Wenn Sie mit der Aggregation weiterer Daten beginnen, werden das Band und die Schwellenwerte automatisch aktualisiert.  | DevOps Ingenieur, AWS DevOps | | Richten Sie SNS-Benachrichtigungen ein. | Wählen Sie unter **Benachrichtigung** das SNS-Thema aus, das benachrichtigt werden soll, wenn sich der Alarm im `ALARM` Status, `OK` Status oder `INSUFFICIENT_DATA` Status befindet.Um zu erreichen, dass der Alarm mehrere Benachrichtigungen für den gleichen Alarmstatus oder für verschiedene Statuswerte sendet, wählen Sie **Benachrichtigung hinzufügen**. Wählen Sie **Weiter** aus. Geben Sie einen Namen und eine Beschreibung für den Alarm ein. Der Name darf nur ASCII-Zeichen enthalten. Klicken Sie anschließend auf **Weiter**.Vergewissern Sie sich unter **Vorschau und Erstellen**, dass die Informationen und Bedingungen korrekt sind, und wählen Sie dann Alarm **erstellen** aus. | DevOps Ingenieur, AWS DevOps | ## Zugehörige Ressourcen + [Veröffentlichen von benutzerdefinierten Metriken auf CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/publishingMetrics.html) + [Verwenden der CloudWatch Erkennung von Anomalien](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Anomaly_Detection.html) + [Alarmereignisse und Amazon EventBridge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-and-eventbridge.html) + [Was sind die besten Methoden, die Sie bei der Übertragung benutzerdefinierter Metriken auf Cloud Watch beachten sollten?](https://www.youtube.com/watch?v=mVffHIzIL60) (Video) + [Einführung in CloudWatch Application Insights](https://www.youtube.com/watch?v=PBO636_t9n0) (Video) + [Erkennen Sie Anomalien mit CloudWatch (Video](https://www.youtube.com/watch?v=8umIX-pUy3k)) ## Anlagen [Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/d47e6f7f-e469-4cb9-b34b-8c4b78d71820/attachments/attachment.zip) # Erstellen Sie eine AWS Cloud9 Cloud9-IDE, die Amazon EBS-Volumes mit Standardverschlüsselung verwendet *Janardhan Malyala und Dhrubajyoti Mukherjee, Amazon Web Services* ## Zusammenfassung **Hinweis**: ist AWS Cloud9 für Neukunden nicht mehr verfügbar. Bestandskunden von AWS Cloud9 können den Service weiterhin wie gewohnt nutzen. [Weitere Informationen](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/) Sie können [standardmäßig Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) verwenden, um die Verschlüsselung Ihrer Amazon Elastic Block Store (Amazon EBS) -Volumes und Snapshot-Kopien in der Amazon Web Services (AWS) -Cloud zu erzwingen.  Sie können eine integrierte Entwicklungsumgebung (IDE) von AWS Cloud9 erstellen, die standardmäßig verschlüsselte EBS-Volumes verwendet. Die [serviceverknüpfte Rolle](https://docs.aws.amazon.com/cloud9/latest/user-guide/using-service-linked-roles.html) AWS Identity and Access Management (IAM) für AWS Cloud9 erfordert jedoch Zugriff auf den AWS Key Management Service (AWS KMS) -Schlüssel für diese EBS-Volumes. Wenn kein Zugriff bereitgestellt wird, kann die AWS Cloud9 Cloud9-IDE möglicherweise nicht gestartet werden, und das Debuggen kann schwierig sein.  Dieses Muster enthält die Schritte zum Hinzufügen der serviceverknüpften Rolle für AWS Cloud9 zum AWS-KMS-Schlüssel, der von Ihren EBS-Volumes verwendet wird. Das in diesem Muster beschriebene Setup hilft Ihnen dabei, erfolgreich eine IDE zu erstellen und zu starten, die standardmäßig EBS-Volumes mit Verschlüsselung verwendet. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktives AWS-Konto. + Die Standardverschlüsselung ist für EBS-Volumes aktiviert. Weitere Informationen zur Standardverschlüsselung finden Sie unter [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) in der Dokumentation zu Amazon Elastic Compute Cloud (Amazon EC2). + Ein vorhandener, vom [Kunden verwalteter KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) zur Verschlüsselung Ihrer EBS-Volumes. **Anmerkung** Sie müssen die serviceverknüpfte Rolle für AWS Cloud9 nicht erstellen. Wenn Sie eine AWS Cloud9-Entwicklungsumgebung erstellen, erstellt AWS Cloud9 die serviceverknüpfte Rolle für Sie. ## Architektur ![\[Verwendung einer AWS Cloud9 Cloud9-IDE zur Durchsetzung der Verschlüsselung von EBS-Volumes und -Snapshots.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/dd98fbb4-0949-4299-b701-bc857e13049c/images/6b22b8d1-75d9-4f06-b5d6-5fff7397f22d.png) **Technologie-Stack** + AWS Cloud9 + IAM + AWS KMS ## Tools + [AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/welcome.html) ist eine integrierte Entwicklungsumgebung (IDE), die Sie beim Codieren, Erstellen, Ausführen, Testen und Debuggen von Software unterstützt. Es hilft Ihnen auch dabei, Software in der AWS-Cloud zu veröffentlichen. + [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) bietet Speichervolumes auf Blockebene zur Verwendung mit Amazon Elastic Compute Cloud (Amazon EC2) -Instances. + Mit [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) können Sie den Zugriff auf Ihre AWS-Ressourcen sicher verwalten, indem Sie kontrollieren, wer authentifiziert und autorisiert ist, diese zu verwenden. + [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) unterstützt Sie bei der Erstellung und Kontrolle kryptografischer Schlüssel, um Ihre Daten zu schützen. ## Epen ### Suchen Sie den Standardwert für den Verschlüsselungsschlüssel | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Notieren Sie sich den Standardwert des Verschlüsselungsschlüssels für die EBS-Volumes. | Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die EC2 Amazon-Konsole. Wählen Sie **EC2 Dashboard** und dann **unter Kontoattribute** die Option **Datenschutz und Sicherheit** aus. Kopieren Sie im Bereich **EBS-Verschlüsselung** den Wert im Feld **Standardverschlüsselungsschlüssel** und notieren Sie ihn. | Cloud-Architekt, Ingenieur DevOps | ### Zugriff auf den AWS-KMS-Schlüssel bereitstellen | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Gewähren Sie AWS Cloud9 Zugriff auf den KMS-Schlüssel für EBS-Volumes. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption.html)Weitere Informationen zur Aktualisierung einer Schlüsselrichtlinie finden Sie unter [So ändern Sie eine Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-how-to) (AWS KMS KMS-Dokumentation).Die serviceverknüpfte Rolle für AWS Cloud9 wird automatisch erstellt, wenn Sie Ihre erste IDE starten. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/cloud9/latest/user-guide/using-service-linked-roles.html#create-service-linked-role) in der AWS Cloud9 Cloud9-Dokumentation.  | Cloud-Architekt, Ingenieur DevOps | ### Erstellen und starten Sie die IDE | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen und starten Sie die AWS Cloud9 IDE. | Öffnen Sie die AWS Cloud9 Cloud9-Konsole und wählen Sie **Umgebung erstellen**. ****Konfigurieren Sie die IDE gemäß Ihren Anforderungen, indem Sie die Schritte unter [Erstellen einer EC2 Umgebung](https://docs.aws.amazon.com/cloud9/latest/user-guide/create-environment-main.html) in der AWS Cloud9 Cloud9-Dokumentation befolgen.  | Cloud-Architekt, Ingenieur DevOps | ## Zugehörige Ressourcen + [Von AWS Cloud9 verwendete EBS-Volumes verschlüsseln](https://docs.aws.amazon.com/cloud9/latest/user-guide/move-environment.html#encrypting-volumes) + [Eine serviceverknüpfte Rolle für AWS Cloud9 erstellen](https://docs.aws.amazon.com/cloud9/latest/user-guide/using-service-linked-roles.html#create-service-linked-role) + [Erstellen Sie eine EC2 Umgebung in AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/create-environment-main.html) ## Zusätzliche Informationen **Wichtige Aktualisierungen der AWS KMS KMS-Richtlinien** Ersetzen Sie `` durch Ihre AWS-Konto-ID. ``` { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam:::role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam:::role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ``` **Verwendung eines kontoübergreifenden Schlüssels** Wenn Sie einen kontoübergreifenden KMS-Schlüssel verwenden möchten, müssen Sie einen Grant in Kombination mit der KMS-Schlüsselrichtlinie verwenden. Dies ermöglicht den kontoübergreifenden Zugriff auf den Schlüssel. Führen Sie in demselben Konto, mit dem Sie die Cloud9-Umgebung erstellt haben, den folgenden Befehl im Terminal aus. ``` aws kms create-grant \ --region \ --key-id \ --grantee-principal arn:aws:iam:::role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9 \ --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant" ``` Nachdem Sie diesen Befehl ausgeführt haben, können Sie Cloud9-Umgebungen erstellen, indem Sie die EBS-Verschlüsselung mit einem Schlüssel in einem anderen Konto verwenden. # Automatisches Erstellen von Tag-basierten CloudWatch Amazon-Dashboards *Janak Vadaria, Vinodkumar Mandalapu und RAJNEESH TYAGI, Amazon Web Services* ## Zusammenfassung Das manuelle Erstellen verschiedener CloudWatch Amazon-Dashboards kann zeitaufwändig sein, insbesondere wenn Sie mehrere Ressourcen erstellen und aktualisieren müssen, um Ihre Umgebung automatisch zu skalieren. Eine Lösung, die Ihre CloudWatch Dashboards automatisch erstellt und aktualisiert, kann Ihnen Zeit sparen. Dieses Muster hilft Ihnen bei der Implementierung einer vollautomatischen AWS Cloud Development Kit (AWS CDK) Pipeline, die CloudWatch Dashboards für Ihre AWS Ressourcen auf der Grundlage von Tag-Änderungsereignissen erstellt und aktualisiert, um Golden Signals-Metriken anzuzeigen. Im Bereich Site Reliability Engineering (SRE) bezieht sich Golden Signals auf einen umfassenden Satz von Kennzahlen, die einen umfassenden Überblick über einen Service aus Nutzer- oder Verbrauchersicht bieten. Diese Metriken bestehen aus Latenz, Traffic, Fehlern und Sättigung. Weitere Informationen finden Sie unter [Was ist Site Reliability Engineering (SRE)?](https://aws.amazon.com/what-is/sre/) auf der AWS Website. Die durch dieses Muster bereitgestellte Lösung ist ereignisgesteuert. Nach der Bereitstellung überwacht es kontinuierlich die Tag-Änderungsereignisse und aktualisiert die CloudWatch Dashboards und Alarme automatisch. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktiver AWS-Konto + AWS Command Line Interface (AWS CLI), [installiert und konfiguriert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) + [Voraussetzungen](https://docs.aws.amazon.com/cdk/v2/guide/work-with.html#work-with-prerequisites) für die AWS CDK Version 2 + Eine [Bootstrap-Umgebung auf](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html) AWS + [Python versie 3](https://www.python.org/downloads/) + [AWS SDK for Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html), installiert + [Node.js Version 18 oder höher](https://nodejs.org/en/download/current) + Node Package Manager (npm), [installiert und konfiguriert](https://docs.npmjs.com/downloading-and-installing-node-js-and-npm) für AWS CDK + Mittlere Vertrautheit (Stufe 200) mit dem und AWS CDK AWS CodePipeline **Einschränkungen** Diese Lösung erstellt derzeit automatisierte Dashboards nur für die folgenden AWS-Services: + [Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/) + [AWS Auto Scaling](https://aws.amazon.com/autoscaling/) + [Amazon-Simple-Notification-Service (Amazon-SNS)](https://aws.amazon.com/sns/) + [Amazon-DynamoDB](https://aws.amazon.com/dynamodb/) + [AWS Lambda](https://aws.amazon.com/lambda/) ## Architektur **Zieltechnologie-Stack** + [CloudWatch Dashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) + [CloudWatch Alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) **Zielarchitektur** ![\[Zielarchitektur für die Erstellung von Tag-basierten Dashboards CloudWatch\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/f234fe30-87db-446f-a291-d33928ca2ccb/images/f63ca697-f252-416d-8a1b-0239f38c10c5.png) 1. Ein AWS Tag-Änderungsereignis für die konfigurierten Anwendungs-Tags oder Codeänderungen initiiert eine Pipeline AWS CodePipeline zur Erstellung und Bereitstellung aktualisierter Dashboards. CloudWatch 1. AWS CodeBuild führt ein Python-Skript aus, um die Ressourcen zu finden, für die Tags konfiguriert sind, und speichert die Ressource IDs in einer lokalen Datei in einer CodeBuild Umgebung. 1. CodeBuild führt **cdk synth** aus, um CloudFormation Vorlagen zu generieren, die CloudWatch Dashboards und Alarme bereitstellen. 1. CodePipeline stellt die CloudFormation Vorlagen in der angegebenen Region bereit. AWS-Konto 1. Wenn der CloudFormation Stack erfolgreich bereitgestellt wurde, können Sie sich die CloudWatch Dashboards und Alarme ansehen. **Automatisierung und Skalierung** Diese Lösung wurde mithilfe von automatisiert AWS CDK. Sie finden den Code im CloudWatch Repository GitHub [Golden Signals Dashboards auf Amazon](https://github.com/aws-samples/golden-signals-dashboards-sample-app). Für zusätzliche Skalierung und zur Erstellung benutzerdefinierter Dashboards können Sie mehrere Tag-Schlüssel und -Werte konfigurieren. ## Tools **Amazon-Dienste** + [Amazon EventBridge](https://aws.amazon.com/eventbridge/) ist ein serverloser Event-Bus-Service, der Ihnen hilft, Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen zu verbinden, darunter AWS Lambda Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen. AWS-Konten + [AWS CodePipeline](https://aws.amazon.com/codepipeline/)hilft Ihnen dabei, die verschiedenen Phasen einer Softwareversion schnell zu modellieren und zu konfigurieren und die Schritte zu automatisieren, die für die kontinuierliche Veröffentlichung von Softwareänderungen erforderlich sind. + [AWS CodeBuild](https://aws.amazon.com/codebuild/)ist ein vollständig verwalteter Build-Service, der Ihnen hilft, Quellcode zu kompilieren, Komponententests durchzuführen und Artefakte zu erstellen, die sofort einsatzbereit sind. + [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer Befehlszeilen-Shell mit AWS-Services interagieren können. + [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden. + [Amazon Simple Storage Service (Amazon S3)](https://aws.amazon.com/s3/) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt. ## Best Practices Als bewährte Sicherheitsmethode können Sie Verschlüsselung und Authentifizierung für die Quell-Repositorys verwenden, die eine Verbindung zu Ihren Pipelines herstellen. Weitere bewährte Methoden finden Sie in der Dokumentation unter [CodePipeline Bewährte Methoden und Anwendungsfälle](https://docs.aws.amazon.com/codepipeline/latest/userguide/best-practices.html). CodePipeline ## Epen ### Konfigurieren und implementieren Sie die Beispielanwendung | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Konfigurieren und implementieren Sie die Beispielanwendung. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-tag-based-amazon-cloudwatch-dashboards-automatically.html) | AWS DevOps | | Automatisches Erstellen von Dashboards und Alarmen. | Nachdem Sie die Beispielanwendung bereitgestellt haben, können Sie alle Ressourcen, die diese Lösung unterstützt, mit den erwarteten Tag-Werten erstellen. Dadurch werden automatisch die angegebenen Dashboards und Alarme erstellt.Um diese Lösung zu testen, erstellen Sie eine AWS Lambda Funktion:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-tag-based-amazon-cloudwatch-dashboards-automatically.html) | AWS DevOps | ### Entfernen Sie die Beispielanwendung | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Entferne das `golden-signals-dashboard` Konstrukt. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-tag-based-amazon-cloudwatch-dashboards-automatically.html) | AWS DevOps | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | Der Python-Befehl wurde nicht gefunden (bezieht `findresources.sh` sich auf Zeile 8). | Überprüfen Sie die Version Ihrer Python-Installation. Wenn Sie Python Version 3 installiert haben, `python` ersetzen `python3` Sie es durch Zeile 8 der `resources.sh` Datei und führen Sie den `sh deploy.sh` Befehl erneut aus, um die Lösung bereitzustellen. | ## Zugehörige Ressourcen + [Bootstrapping (Dokumentation](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html))AWS CDK + [Benannte Profile verwenden (Dokumentation](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-methods))AWS CLI + [AWS CDK Werkstatt](https://cdkworkshop.com/) ## Zusätzliche Informationen Die folgende Abbildung zeigt ein Beispiel-Dashboard für Amazon RDS, das als Teil dieser Lösung erstellt wurde. ![\[Beispiel-Dashboard für Amazon RDS\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/f234fe30-87db-446f-a291-d33928ca2ccb/images/706a262f-8650-47ff-ac44-e04ce5f4023e.png) # Dokumentieren Sie Ihr AWS-Landingzone-Design *Michael Daehnert, Florian Langer und Michael Lodemann, Amazon Web Services* ## Zusammenfassung Eine *landing zone* ist eine gut strukturierte Umgebung mit mehreren Konten, die auf bewährten Methoden für Sicherheit und Compliance basiert. Es ist der unternehmensweite Container, der all Ihre Organisationseinheiten (OUs) AWS-Konten, Benutzer und andere Ressourcen enthält. Eine landing zone kann skaliert werden, um den Bedürfnissen eines Unternehmens jeder Größe gerecht zu werden. AWS bietet zwei Optionen für die Erstellung Ihrer landing zone: eine servicebasierte landing zone mithilfe [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)oder eine benutzerdefinierte landing zone, die Sie erstellen. Für jede Option ist ein anderer AWS Wissensstand erforderlich. AWS wurde entwickelt AWS Control Tower , um Ihnen zu helfen, Zeit zu sparen, indem Sie die Einrichtung einer landing zone automatisieren. AWS Control Tower wird von Ihnen verwaltet AWS und verwendet bewährte Verfahren und Richtlinien, um Sie bei der Erstellung Ihrer grundlegenden Umgebung zu unterstützen. AWS Control Tower verwendet integrierte Dienste wie [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html)und [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html), um Konten in Ihrer landing zone bereitzustellen und den Zugriff auf diese Konten zu verwalten. AWS Landezonenprojekte unterscheiden sich in Bezug auf Anforderungen, Implementierungsdetails und operative Maßnahmen. Es gibt Anpassungsaspekte, die bei jeder Landezonenimplementierung berücksichtigt werden müssen. Dies beinhaltet (ist aber nicht beschränkt auf), wie das Zugriffsmanagement gehandhabt wird, welcher Technologie-Stack verwendet wird und welche Überwachungsanforderungen für operative Exzellenz gelten. Dieses Muster bietet eine Vorlage, mit der Sie Ihr Landezonenprojekt dokumentieren können. Mithilfe der Vorlage können Sie Ihr Projekt schneller dokumentieren und Ihren Entwicklungs- und Betriebsteams helfen, Ihre landing zone zu verstehen. ## Voraussetzungen und Einschränkungen **Einschränkungen** Dieses Muster beschreibt nicht, was eine landing zone ist oder wie sie implementiert wird. Weitere Informationen zu diesen Themen finden Sie im Abschnitt [Verwandte Ressourcen](#document-your-aws-landing-zone-design-resources). ## Epen ### Erstellen Sie das Entwurfsdokument | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Identifizieren Sie die wichtigsten Interessengruppen. | Identifizieren Sie wichtige Service- und Teammanager, die mit Ihrer landing zone verbunden sind. | Projektmanager | | Passen Sie die Vorlage an. | Laden Sie die Vorlage im Bereich [Anlagen](#attachments-9e39a05a-8f51-4fe3-8999-522feafed6ca) herunter und aktualisieren Sie die Vorlage dann wie folgt:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/document-your-aws-landing-zone-design.html) | Projektmanager | | Füllen Sie die Vorlage aus. | Füllen Sie die Vorlage in Besprechungen mit den Beteiligten oder mithilfe eines write-and-review Prozesses wie folgt aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/document-your-aws-landing-zone-design.html) | Projektmanager | | Teilen Sie das Entwurfsdokument. | Wenn Ihre Entwurfsdokumentation für die landing zone vollständig ist, speichern Sie sie in einem gemeinsam genutzten Repository oder an einem zentralen Ort, wo alle Beteiligten darauf zugreifen können. Wir empfehlen, dass Sie Standardprozesse zur Dokumentenkontrolle verwenden, um Änderungen am Konstruktionsdokument aufzuzeichnen und zu genehmigen. | Projektmanager | ## Zugehörige Ressourcen + [AWS Control Tower Dokumentation](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) + [Plane deine AWS Control Tower landing zone](https://docs.aws.amazon.com/controltower/latest/userguide/planning-your-deployment.html) + [AWS Strategie für mehrere Konten für Ihre AWS Control Tower landing zone](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) + [Administrative Tipps für die Einrichtung der landing zone](https://docs.aws.amazon.com/controltower/latest/userguide/tips-for-admin-setup.html) + [Erwartungen an die Konfiguration der landing zone](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-configure.html) + [Anpassungen für AWS Control Tower](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/) (AWS Lösungsbibliothek) + [Einrichtung einer sicheren und skalierbaren AWS Umgebung mit mehreren Konten](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/welcome.html) (AWS Prescriptive Guidance) ## Anlagen [Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/9e39a05a-8f51-4fe3-8999-522feafed6ca/attachments/attachment.zip) # Verbessern Sie die Betriebsleistung, indem Sie Amazon DevOps Guru in mehreren AWS-Regionen, Konten und OUs mit dem AWS CDK aktivieren *Dr. Rahul Sharad Gaikwad, Amazon Web Services* ## Zusammenfassung Dieses Muster zeigt die Schritte zur Aktivierung des Amazon DevOps Guru-Service in mehreren Amazon Web Services (AWS) -Regionen, Konten und Organisationseinheiten (OUs) mithilfe des AWS Cloud Development Kit (AWS CDK) in TypeScript. Sie können AWS CDK-Stacks verwenden, um AWS CloudFormation StackSets vom (primären) AWS-Administratorkonto aus bereitzustellen, um Amazon DevOps Guru für mehrere Konten zu aktivieren, anstatt sich bei jedem Konto anzumelden und DevOps Guru für jedes Konto einzeln zu aktivieren. Amazon DevOps Guru bietet Funktionen für künstliche Intelligenz (AIOps), mit denen Sie die Verfügbarkeit Ihrer Anwendungen verbessern und betriebliche Probleme schneller lösen können. DevOps Guru reduziert Ihren manuellen Aufwand, indem es Empfehlungen anwendet, die auf maschinellem Lernen (ML) basieren, ohne dass ML-Kenntnisse erforderlich sind. DevOps Guru analysiert Ihre Ressourcen und Betriebsdaten. Wenn es Anomalien feststellt, bietet es Kennzahlen, Ereignisse und Empfehlungen, die Ihnen helfen, das Problem zu lösen. Dieses Muster beschreibt drei Bereitstellungsoptionen für die Aktivierung von Amazon DevOps Guru: + Für alle Stack-Ressourcen in mehreren Konten und Regionen + Für alle Stack-Ressourcen auf OUs + Für bestimmte Stack-Ressourcen über mehrere Konten und Regionen ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktives AWS-Konto. + AWS-Befehlszeilenschnittstelle (AWS CLI), installiert und konfiguriert. (Weitere Informationen finden Sie unter [Installation, Aktualisierung und Deinstallation der AWS-CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) in der AWS-CLI-Dokumentation.) + AWS CDK Toolkit, installiert und konfiguriert. (Siehe [AWS CDK Toolkit](https://docs.aws.amazon.com/cdk/latest/guide/cli.html) in der AWS CDK-Dokumentation.) + Node Package Manager (npm), installiert und konfiguriert für das AWS-CDK in. TypeScript (Weitere Informationen finden Sie unter [Node.js und npm herunterladen und installieren in der npm-Dokumentation](https://docs.npmjs.com/downloading-and-installing-node-js-and-npm).) + Python3 wurde installiert und konfiguriert, um ein Python-Skript auszuführen, um Datenverkehr in die serverlose Beispielanwendung einzuschleusen. (Siehe [Python-Setup und -Verwendung](https://docs.python.org/3/using/index.html) in der Python-Dokumentation.) + Pip, installiert und konfiguriert, um die Python-Anforderungsbibliothek zu installieren. (Weitere Informationen finden Sie in den [Pip-Installationsanweisungen](https://pypi.org/project/pip/) auf der PyPl Website.) **Produktversionen** + AWS CDK Toolkit Version 1.107.0 oder höher + npm Version 7.9.0 oder höher + Node.js Version 15.3.0 oder höher ## Architektur **Technologien** Die Architektur für dieses Muster umfasst die folgenden Dienste: + [ DevOps Amazon-Guru](https://aws.amazon.com/devops-guru/) + [AWS CloudFormation](https://aws.amazon.com/cloudformation/) + [Amazon API Gateway](https://aws.amazon.com/api-gateway/) + [AWS Lambda](https://aws.amazon.com/lambda/) + [Amazon-DynamoDB](https://aws.amazon.com/dynamodb/) + [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) + [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) **AWS-CDK-Stapel** Das Muster verwendet die folgenden AWS-CDK-Stacks:  + `CdkStackSetAdminRole`— Erstellt eine Administratorrolle für AWS Identity and Access Management (IAM), um eine Vertrauensbeziehung zwischen dem Administrator und den Zielkonten herzustellen. + `CdkStackSetExecRole`— Erstellt eine IAM-Rolle, um dem Administratorkonto zu vertrauen. + `CdkDevopsGuruStackMultiAccReg`— Aktiviert DevOps Guru in mehreren AWS-Regionen und Konten für alle Stacks und richtet Amazon Simple Notification Service (Amazon SNS) -Benachrichtigungen ein. + `CdkDevopsGuruStackMultiAccRegSpecStacks`— Aktiviert DevOps Guru in mehreren AWS-Regionen und Konten für bestimmte Stacks und richtet Amazon SNS SNS-Benachrichtigungen ein. + `CdkDevopsguruStackOrgUnit`— Aktiviert DevOps Guru Across OUs und richtet Amazon SNS SNS-Benachrichtigungen ein.  + `CdkInfrastructureStack`— Stellt serverlose Beispielanwendungskomponenten wie API Gateway, Lambda und DynamoDB im Administratorkonto bereit, um die Fehlerinjektion und die Generierung von Erkenntnissen zu demonstrieren. **Beispiel für eine Anwendungsarchitektur** Das folgende Diagramm zeigt die Architektur einer serverlosen Beispielanwendung, die in mehreren Konten und Regionen bereitgestellt wurde. Das Muster verwendet das Administratorkonto, um alle AWS-CDK-Stacks bereitzustellen. Es verwendet auch das Administratorkonto als eines der Zielkonten für die Einrichtung DevOps von Guru. 1. Wenn DevOps Guru aktiviert ist, erstellt es zunächst eine Baseline-Analyse für das Verhalten der einzelnen Ressourcen und nimmt dann Betriebsdaten aus CloudWatch den bereitgestellten Kennzahlen auf. 1. Wenn es eine Anomalie erkennt, korreliert es diese mit den Ereignissen aus CloudTrail und generiert daraus Erkenntnisse. 1. Die Erkenntnisse liefern eine korrelierte Abfolge von Ereignissen sowie vorgeschriebene Empfehlungen, die es dem Betreiber ermöglichen, die verursachende Ressource zu identifizieren. 1. Amazon SNS sendet Benachrichtigungen an den Betreiber. ![\[Eine serverlose Beispielanwendung, die in mehreren Konten und Regionen bereitgestellt wurde.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/6075ca48-862a-4aa0-93c6-10bad8195a5c/images/beeb0992-aaa8-4f08-b983-685b6b8b8d5e.png) **Automatisierung und Skalierung** Das mit diesem Muster bereitgestellte [GitHub Repository](https://github.com/aws-samples/amazon-devopsguru-cdk-samples.git) verwendet das AWS-CDK als Infrastructure-as-Code-Tool (IaC), um die Konfiguration für diese Architektur zu erstellen. AWS CDK hilft Ihnen dabei, Ressourcen zu orchestrieren und DevOps Guru für mehrere AWS-Konten, Regionen und zu aktivieren. OUs ## Tools **AWS-Services** + [AWS CDK](https://docs.aws.amazon.com/cdk/latest/guide/home.html) — Das AWS Cloud Development Kit (AWS CDK) hilft Ihnen dabei, Ihre Cloud-Infrastruktur als Code in einer der fünf unterstützten Programmiersprachen zu definieren: TypeScript,, Python JavaScript, Java und C\$1. + [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) — Die AWS-Befehlszeilenschnittstelle (AWS CLI) ist ein einheitliches Tool, das eine konsistente Befehlszeilenschnittstelle für die Interaktion mit AWS-Services und -Ressourcen bietet. **Code** Der Quellcode für dieses Muster ist im [Amazon DevOps Guru CDK Samples-Repository](https://github.com/aws-samples/amazon-devopsguru-cdk-samples.git) verfügbar. GitHub Der AWS-CDK-Code ist TypeScript eingeschrieben. Folgen Sie den Anweisungen im nächsten Abschnitt, um das Repository zu klonen und zu verwenden. **Wichtig** Einige der Geschichten in diesem Muster enthalten AWS CDK- und AWS CLI-Befehlsbeispiele, die für Unix, Linux und macOS formatiert sind. Ersetzen Sie unter Windows das Fortsetzungszeichen mit dem umgekehrten Schrägstrich (\$1) am Ende jeder Zeile durch ein Caret-Zeichen (^). ## Epen ### Bereiten Sie die AWS-Ressourcen für die Bereitstellung vor | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Konfigurieren Sie benannte AWS-Profile. | Richten Sie Ihre benannten AWS-Profile wie folgt ein, um Stacks in einer Umgebung mit mehreren Konten bereitzustellen.Für das Administratorkonto:
$aws configure --profile administrator
AWS Access Key ID [****]: 
AWS Secret Access Key [****]: 
Default region name [None]: 
Default output format [None]: json
Für das Zielkonto:
$aws configure --profile target
AWS Access Key ID [****: 
AWS Secret Access Key [****]: 
Default region name [None]: 
Default output format [None]: json
Weitere Informationen finden Sie unter [Verwenden von benannten Profilen](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles) in der AWS-CLI-Dokumentation. | DevOps Ingenieur | | Überprüfen Sie die AWS-Profilkonfigurationen. | (Optional) Sie können Ihre AWS-Profilkonfigurationen in den `config` Dateien `credentials` und überprüfen, indem Sie den Anweisungen unter [Konfigurationseinstellungen einrichten und anzeigen](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-methods) in der AWS-CLI-Dokumentation folgen. | DevOps Ingenieur | | Überprüfen Sie die AWS-CDK-Version. | Überprüfen Sie die Version des AWS CDK Toolkit, indem Sie den folgenden Befehl ausführen:
$cdk --version
Für dieses Muster ist Version 1.107.0 oder höher erforderlich. Wenn Sie eine frühere Version von AWS CDK haben, folgen Sie den Anweisungen in der [AWS CDK-Dokumentation](https://docs.aws.amazon.com/cdk/latest/guide/cli.html), um sie zu aktualisieren. | DevOps Ingenieur | | Klonen Sie den Projektcode. | Klonen Sie das GitHub Repository für dieses Muster mit dem folgenden Befehl:
$git clone https://github.com/aws-samples/amazon-devopsguru-cdk-samples.git
| DevOps Ingenieur | | Installieren Sie die Paketabhängigkeiten und kompilieren Sie die TypeScript Dateien. | Installieren Sie die Paketabhängigkeiten und kompilieren Sie die TypeScript Dateien, indem Sie die folgenden Befehle ausführen:
$cd amazon-devopsguru-cdk-samples
$npm install
$npm fund
Mit diesen Befehlen werden alle Pakete aus dem Beispiel-Repository installiert.Wenn Sie eine Fehlermeldung über fehlende Pakete erhalten, verwenden Sie einen der folgenden Befehle:
$npm ci
 –oder –
$npm install -g @aws-cdk/
Die Liste der Paketnamen und Versionen finden Sie im `Dependencies` Abschnitt der `/amazon-devopsguru-cdk-samples/package.json` Datei. Weitere Informationen finden Sie unter [npm ci](https://docs.npmjs.com/cli/v7/commands/npm-ci) und [npm install](https://docs.npmjs.com/cli/v7/commands/npm-install) in der npm-Dokumentation. | DevOps Ingenieur | ### Erstellen (synthetisieren) Sie die AWS-CDK-Stacks | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Konfigurieren Sie eine E-Mail-Adresse für Amazon SNS SNS-Benachrichtigungen. | Gehen Sie wie folgt vor, um eine E-Mail-Adresse für Amazon SNS SNS-Benachrichtigungen anzugeben:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-operational-performance-by-enabling-amazon-devops-guru-across-multiple-aws-regions-accounts-and-ous-with-the-aws-cdk.html) | DevOps Ingenieur | | Erstellen Sie den Projektcode. | Erstellen Sie den Projektcode und synthetisieren Sie die Stacks, indem Sie den folgenden Befehl ausführen:
npm run build && cdk synth
Die Ausgabe sollte folgendermaßen oder ähnlich aussehen: 
$npm run build && cdk synth
> cdk-devopsguru@0.1.0 build
> tsc
Successfully synthesized to ~/amazon-devopsguru-cdk-samples/cdk.out
Supply a stack id (CdkDevopsGuruStackMultiAccReg,CdkDevopsGuruStackMultiAccRegSpecStacks, CdkDevopsguruStackOrgUnit, CdkInfrastructureStack, CdkStackSetAdminRole, CdkStackSetExecRole) to display its template.
Weitere Informationen und Schritte finden Sie unter [Ihre erste AWS-CDK-App](https://docs.aws.amazon.com/cdk/latest/guide/hello_world.html) in der AWS-CDK-Dokumentation. | DevOps Ingenieur | | Listet die AWS-CDK-Stacks auf. | Führen Sie den folgenden Befehl aus, um alle AWS-CDK-Stacks aufzulisten:
$cdk list
Der Befehl zeigt die folgende Liste an:
CdkDevopsGuruStackMultiAccReg
CdkDevopsGuruStackMultiAccRegSpecStacks
CdkDevopsguruStackOrgUnit
CdkInfrastructureStack
CdkStackSetAdminRole
CdkStackSetExecRole
| DevOps Ingenieur | ### Option 1 — Aktivieren Sie DevOps Guru für alle Stack-Ressourcen über mehrere Konten | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Stellen Sie die AWS CDK-Stacks für die Erstellung von IAM-Rollen bereit. | Dieses Muster verwendet [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html), um Stack-Operationen über mehrere Konten hinweg durchzuführen. Wenn Sie Ihr erstes Stack-Set erstellen, müssen Sie die folgenden IAM-Rollen erstellen, um die erforderlichen Berechtigungen in Ihren AWS-Konten einzurichten:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-operational-performance-by-enabling-amazon-devops-guru-across-multiple-aws-regions-accounts-and-ous-with-the-aws-cdk.html)Die Rollen müssen genau diese Namen haben.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-operational-performance-by-enabling-amazon-devops-guru-across-multiple-aws-regions-accounts-and-ous-with-the-aws-cdk.html)Weitere Informationen finden Sie in der CloudFormation AWS-Dokumentation unter [Gewähren selbstverwalteter Berechtigungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html). | DevOps Ingenieur | | Stellen Sie den AWS CDK-Stack bereit, um DevOps Guru für mehrere Konten zu aktivieren. | Der AWS `CdkDevopsGuruStackMultiAccReg` CDK-Stack erstellt Stack-Sets zur Bereitstellung von Stack-Instances über mehrere Konten und Regionen hinweg. Führen Sie den folgenden CLI-Befehl mit den angegebenen Parametern aus, um den Stack bereitzustellen:
$cdk deploy CdkDevopsGuruStackMultiAccReg \
  --profile administrator \
  --parameters AdministratorAccountId= \
  --parameters TargetAccountId= \
  --parameters RegionIds=","
Derzeit ist Amazon DevOps Guru in den AWS-Regionen verfügbar, die in den [häufig gestellten Fragen zu DevOps Guru](https://aws.amazon.com/devops-guru/faqs/) aufgeführt sind. | DevOps Ingenieur | ### Option 2 — Aktivieren Sie DevOps Guru für alle Stack-Ressourcen OUs | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Organisationseinheit extrahieren IDs. | Identifizieren Sie auf der [AWS Organizations](https://console.aws.amazon.com/organizations/v2/home/accounts) IDs Organizations-Konsole die Organisationseinheiten, in denen Sie DevOps Guru aktivieren möchten. | DevOps Ingenieur | | Aktivieren Sie vom Service verwaltete Berechtigungen für OUs. | Wenn Sie AWS Organizations für die Kontoverwaltung verwenden, müssen Sie service-verwaltete Berechtigungen gewähren, um DevOps Guru zu aktivieren. Anstatt die IAM-Rollen manuell zu erstellen, verwenden Sie [organisationsbasierte Rollen mit vertrauenswürdigem Zugriff und serviceverknüpften](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) Rollen (). SLRs | DevOps Ingenieur | | Stellen Sie den AWS CDK-Stack bereit, um DevOps Guru Across OUs zu aktivieren. | Der `CdkDevopsguruStackOrgUnit` AWS-CDK-Stack ermöglicht den gesamten DevOps OUs Guru-Service. Um den Stack bereitzustellen, führen Sie den folgenden Befehl mit den angegebenen Parametern aus:
$cdk deploy CdkDevopsguruStackOrgUnit \
  --profile administrator \ 
  --parameters RegionIds="," \
  --parameters OrganizationalUnitIds=","
| DevOps Ingenieur | ### Option 3 — Aktivieren Sie DevOps Guru für bestimmte Stack-Ressourcen über mehrere Konten | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Stellen Sie die AWS CDK-Stacks für die Erstellung von IAM-Rollen bereit. | Wenn Sie die in der ersten Option aufgeführten erforderlichen IAM-Rollen noch nicht erstellt haben, tun Sie dies zuerst:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-operational-performance-by-enabling-amazon-devops-guru-across-multiple-aws-regions-accounts-and-ous-with-the-aws-cdk.html)Weitere Informationen finden Sie in der CloudFormation AWS-Dokumentation unter [Gewähren selbstverwalteter Berechtigungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html). | DevOps Ingenieur | | Löschen Sie vorhandene Stapel. | Wenn Sie bereits die erste Option verwendet haben, um DevOps Guru für alle Stack-Ressourcen zu aktivieren, können Sie den alten Stack mit dem folgenden Befehl löschen:
$cdk destroy CdkDevopsGuruStackMultiAccReg --profile administrator
Sie können den ` RegionIds` Parameter auch ändern, wenn Sie den Stack erneut bereitstellen, um den Fehler *Stacks already exist* zu vermeiden. | DevOps Ingenieur | | Aktualisieren Sie den AWS CDK-Stack mit einer Stack-Liste. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-operational-performance-by-enabling-amazon-devops-guru-across-multiple-aws-regions-accounts-and-ous-with-the-aws-cdk.html) | Dateningenieur | | Stellen Sie den AWS CDK-Stack bereit, um DevOps Guru für bestimmte Stack-Ressourcen über mehrere Konten hinweg zu aktivieren. | Der AWS `CdkDevopsGuruStackMultiAccRegSpecStacks` CDK-Stack ermöglicht DevOps Guru für bestimmte Stack-Ressourcen über mehrere Konten hinweg. Führen Sie den folgenden Befehl aus, um den Stack bereitzustellen:
$cdk deploy CdkDevopsGuruStackMultiAccRegSpecStacks \
  --profile administrator  \
  --parameters AdministratorAccountId= \
  --parameters TargetAccountId= \
  --parameters RegionIds=","
Wenn Sie diesen Stack bereits für Option 1 bereitgestellt haben, ändern Sie den `RegionIds` Parameter (stellen Sie sicher, dass Sie aus [verfügbaren Regionen](https://aws.amazon.com/devops-guru/faqs/) wählen), um den Fehler *Stacks already exist* zu vermeiden. | DevOps Ingenieur | ### Stellen Sie den AWS CDK-Infrastruktur-Stack bereit | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Stellen Sie das Beispiel für einen serverlosen Infrastrukturstapel bereit. | Der `CdkInfrastructureStack` AWS-CDK-Stack stellt serverlose Komponenten wie API Gateway, Lambda und eine DynamoDB-Tabelle bereit, um die Erkenntnisse von Guru zu demonstrieren. DevOps Führen Sie den folgenden Befehl aus, um den Stack bereitzustellen: 
$cdk deploy CdkInfrastructureStack --profile administrator
| DevOps Ingenieur | | Fügen Sie Beispieldatensätze in DynamoDB ein. | Führen Sie den folgenden Befehl aus, um die DynamoDB-Tabelle mit Beispieldatensätzen zu füllen. Geben Sie den richtigen Pfad für das Skript an. `populate-shops-dynamodb-table.json`
$aws dynamodb batch-write-item \
  --request-items file://scripts/populate-shops-dynamodb-table.json \
  --profile administrator
Die Ausgabe des Befehls sieht wie folgt aus:
{
    "UnprocessedItems": {}
}
| DevOps Ingenieur | | Überprüfen Sie die eingefügten Datensätze in DynamoDB. | Um zu überprüfen, ob die DynamoDB-Tabelle die Beispieldatensätze aus der `populate-shops-dynamodb-table.json` Datei enthält, greifen Sie auf die URL für die `ListRestApiEndpointMonitorOperator` API zu, die als Ausgabe des AWS-CDK-Stacks veröffentlicht wird. Sie finden diese URL auch auf der Registerkarte **Outputs** der CloudFormation AWS-Konsole für den `CdkInfrastructureStack` Stack. Die AWS-CDK-Ausgabe würde wie folgt aussehen:
CdkInfrastructureStack.CreateRestApiMonitorOperatorEndpointD1D00045 = https://oure17c5vob.execute-api..amazonaws.com/prod/

CdkInfrastructureStack.ListRestApiMonitorOperatorEndpointABBDB8D8 = https://cdff8icfrn4.execute-api..amazonaws.com/prod/
| DevOps Ingenieur | | Warten Sie, bis die Ressourcen das Baselining abgeschlossen haben. | Dieser serverlose Stack hat einige Ressourcen. Wir empfehlen, dass Sie 2 Stunden warten, bevor Sie die nächsten Schritte ausführen. Wenn Sie diesen Stack in einer Produktionsumgebung bereitgestellt haben, kann es bis zu 24 Stunden dauern, bis das Baselining abgeschlossen ist. Dies hängt von der Anzahl der Ressourcen ab, die Sie in DevOps Guru für die Überwachung ausgewählt haben. | DevOps Ingenieur | ### Generieren Sie Einblicke in DevOps Guru | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Aktualisieren Sie den AWS CDK-Infrastruktur-Stack. | Um DevOps Guru Insights auszuprobieren, können Sie einige Konfigurationsänderungen vornehmen, um ein typisches Betriebsproblem zu reproduzieren.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-operational-performance-by-enabling-amazon-devops-guru-across-multiple-aws-regions-accounts-and-ous-with-the-aws-cdk.html) | DevOps Ingenieur | | Fügen Sie HTTP-Anfragen in die API ein. | Fügen Sie eingehenden Datenverkehr in Form von HTTP-Anfragen in die API ein: `ListRestApiMonitorOperatorEndpointxxxx`[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-operational-performance-by-enabling-amazon-devops-guru-across-multiple-aws-regions-accounts-and-ous-with-the-aws-cdk.html) | DevOps Ingenieur | | Sehen Sie sich DevOps Guru Insights an. | Unter Standardbedingungen zeigt das DevOps Guru-Dashboard im Zähler für laufende Einblicke Null an. Wenn es eine Anomalie erkennt, gibt es eine Warnung in Form eines Einblicks aus. Wählen Sie im Navigationsbereich **Insights** aus, um die Details der Anomalie anzuzeigen, einschließlich einer Übersicht, aggregierter Kennzahlen, relevanter Ereignisse und Empfehlungen. Weitere Informationen zur Überprüfung von Erkenntnissen finden Sie im Blogbeitrag [Gewinnen betrieblicher Erkenntnisse AIOps mit Amazon DevOps Guru](https://aws.amazon.com/blogs/devops/gaining-operational-insights-with-aiops-using-amazon-devops-guru/). | DevOps Ingenieur | ### Bereinigen | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Ressourcen bereinigen und löschen. | Nachdem Sie dieses Muster durchgegangen sind, sollten Sie die Ressourcen, die Sie erstellt haben, entfernen, um weitere Kosten zu vermeiden. Führen Sie die folgenden Befehle aus:
$cdk destroy CdkDevopsGuruStackMultiAccReg --profile administrator
$cdk destroy CdkDevopsguruStackOrgUnit --profile administrator
$cdk destroy CdkDevopsGuruStackMultiAccRegSpecStacks --profile administrator
$cdk destroy CdkInfrastructureStack --profile administrator
$cdk destroy CdkStackSetAdminRole --profile administrator
$cdk destroy CdkStackSetExecRole --profile administrator
$cdk destroy CdkStackSetExecRole --profile target
| DevOps Ingenieur | ## Zugehörige Ressourcen + [ AIOps Mit Amazon DevOps Guru betriebliche Einblicke gewinnen](https://aws.amazon.com/blogs/devops/gaining-operational-insights-with-aiops-using-amazon-devops-guru/) + [Einfache Konfiguration von Amazon DevOps Guru für mehrere Konten und Regionen mit AWS CloudFormation StackSets](https://aws.amazon.com/blogs/devops/configure-devops-guru-multiple-accounts-regions-using-cfn-stacksets/) + [DevOps Guru-Workshop](https://aiops-using-devops-guru.workshop.aws/) # Steuern Sie Berechtigungssätze für mehrere Konten mithilfe von Account Factory for Terraform *Anand Krishna Varanasi und Siamak Heshmati, Amazon Web Services* ## Zusammenfassung Dieses Muster hilft Ihnen bei der Integration von [AWS Control Tower Account Factory Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html), um Berechtigungen für mehrere AWS-Konten Benutzer [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)in großem Umfang zu konfigurieren. Bei diesem Ansatz werden benutzerdefinierte AWS Lambda Funktionen verwendet, um die Zuweisung von [Berechtigungssätzen](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) an Personen zu automatisieren AWS-Konten , die als Organisation verwaltet werden. Dadurch wird der Prozess rationalisiert, da kein manuelles Eingreifen Ihres Plattform-Engineering-Teams erforderlich ist. Diese Lösung kann die betriebliche Effizienz, Sicherheit und Konsistenz verbessern. Sie fördert einen sicheren und standardisierten Onboarding-Prozess für AWS Control Tower und ist daher unverzichtbar für Unternehmen, die Agilität und Zuverlässigkeit ihrer Cloud-Infrastruktur priorisieren. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + AWS-Konten, verwaltet durch. AWS Control Tower Weitere Informationen finden Sie unter [Erste Schritte mit AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html). + Account Factory für Terraform, bereitgestellt in einem speziellen Konto in Ihrer Umgebung. Weitere Informationen finden Sie unter [Deploy AWS Control Tower Account Factory for Terraform](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html). + Eine IAM Identity Center-Instanz, die in Ihrer Umgebung eingerichtet ist. Weitere Informationen finden Sie unter [Erste Schritte mit IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html). + Eine aktive, konfigurierte IAM Identity [Center-Gruppe](https://docs.aws.amazon.com/singlesignon/latest/userguide/users-groups-provisioning.html#groups-concept).  Weitere Informationen finden [Sie unter Hinzufügen von Gruppen zu Ihrer IAM-Identity-Center-Verzeichnis](https://docs.aws.amazon.com/singlesignon/latest/userguide/addgroups.html). + Python Version 3.9 oder höher, installiert **Einschränkungen** + Diese Lösung kann nur mit Konten verwendet werden, die über verwaltet werden AWS Control Tower. Diese Lösung wird mithilfe von Account Factory for Terraform bereitgestellt. + Dieses Muster enthält keine Anweisungen zum Einrichten eines Identitätsverbunds mit einer Identitätsquelle. Weitere Informationen zum Abschließen dieser Einrichtung finden Sie in den [Tutorials zu IAM Identity Center-Identitätsquellen](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) in der IAM Identity Center-Dokumentation. ## Architektur **Überblick über AFT** AFT richtet eine Terraform-Pipeline ein, mit der Sie Ihre Konten bereitstellen und anpassen können. AWS Control Tower AFT folgt einem GitOps Modell, das die Prozesse der Kontobereitstellung in automatisiert. AWS Control Tower Sie erstellen eine *Terraform-Datei mit Kontoanforderung* und übertragen sie in das Repository. Dadurch wird der AFT-Workflow für die Kontobereitstellung initiiert. Nach Abschluss der Kontobereitstellung kann AFT automatisch weitere Anpassungsschritte ausführen. Weitere Informationen finden Sie in der AWS Control Tower Dokumentation [unter AFT-Architektur](https://docs.aws.amazon.com/controltower/latest/userguide/aft-architecture.html). AFT stellt die folgenden Hauptrepositorys bereit: + `aft-account-request`— Dieses Repository enthält Terraform-Code zum Erstellen oder Aktualisieren. AWS-Konten + `aft-account-customizations`— Dieses Repository enthält Terraform-Code zum Erstellen oder Anpassen von Ressourcen pro Konto. + `aft-global-customizations`— Dieses Repository enthält Terraform-Code zum Erstellen oder Anpassen von Ressourcen für alle Konten in großem Umfang. + `aft-account-provisioning-customizations`— Dieses Repository verwaltet Anpassungen, die nur auf bestimmte Konten angewendet werden, die von AFT erstellt und mit AFT verwaltet werden. Sie können dieses Repository beispielsweise verwenden, um Benutzer- oder Gruppenzuweisungen in IAM Identity Center anzupassen oder Kontoschließungen zu automatisieren. **Überblick über die Lösung** Diese maßgeschneiderte Lösung umfasst eine AWS Step Functions Zustandsmaschine und eine AWS Lambda Funktion, mit der Benutzern und Gruppen Berechtigungssätze für mehrere Konten zugewiesen werden. Die über dieses Muster bereitgestellte Zustandsmaschine arbeitet in Verbindung mit einer bereits vorhandenen `aft_account_provisioning_customizations` AFT-Zustandsmaschine. Ein Benutzer sendet entweder bei der Erstellung eines neuen AWS-Konto Kontos oder nach der Erstellung des Kontos eine Anfrage zur Aktualisierung der Benutzer- und Gruppenzuweisungen für IAM Identity Center. Sie tun dies, indem sie eine Änderung in das `aft-account-request` Repository übertragen. Die Anforderung, ein Konto zu erstellen oder zu aktualisieren, initiiert einen Stream in [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Streams.html) Streams. Dadurch wird die Lambda-Funktion gestartet, die IAM Identity Center-Benutzer und -Gruppen für das Ziel aktualisiert. AWS-Konten Im Folgenden finden Sie ein Beispiel für die Parameter, die Sie in der Lambda-Funktion für die Zuweisung von Berechtigungssätzen an Zielbenutzer und -gruppen angeben können: ``` custom_fields = { "InstanceArn" = "", "PermissionSetArn" = "", "PrincipalId" = "", } ``` Die folgenden Parameter sind in dieser Anweisung enthalten: + `InstanceArn`— Der Amazon-Ressourcenname (ARN) der Organisation + `PermissionSetArn`— Der ARN des Berechtigungssatzes + `PrincipalId`— Die ID eines Benutzers oder einer Gruppe in IAM Identity Center, auf den der Berechtigungssatz angewendet werden soll **Anmerkung** Sie müssen den Zielberechtigungssatz, die Benutzer und Gruppen erstellen, bevor Sie diese Lösung ausführen können. Der `InstanceArn` Wert muss zwar konsistent bleiben, Sie können die Lambda-Funktion jedoch ändern, um mehreren Zielidentitäten mehrere Berechtigungssätze zuzuweisen. Die Parameter für Berechtigungssätze müssen auf enden`PermissionSetArn`, und die Parameter für Benutzer und Gruppen müssen auf enden. `PrincipalId` Sie müssen beide Attribute definieren. Im Folgenden finden Sie ein Beispiel dafür, wie Sie mehrere Berechtigungssätze definieren und Benutzer und Gruppen gezielt ansprechen können: ``` custom_fields = { "InstanceArn" = "", "AdminAccessPermissionSetArn" = "", "AdminAccessPrincipalId" = "", "ReadOnlyAccessPermissionSetArn" = "", "ReadOnlyAccessPrincipalId" = "", } ``` Das folgende Diagramm zeigt einen step-by-step Workflow, der zeigt, wie die Lösung die Berechtigungssätze für Benutzer und Gruppen in der Zielumgebung in AWS-Konten großem Umfang aktualisiert. Wenn der Benutzer eine Anfrage zur Kontoerstellung initiiert, initiiert AFT die `aft-account-provisioning-framework` Step Functions-Zustandsmaschine. Diese Zustandsmaschine startet die `extract-alternate-sso` Lambda-Funktion. Die Lambda-Funktion weist Benutzern und Gruppen im Ziel Berechtigungssätze zu. AWS-Konten Diese Benutzer oder Gruppen können aus jeder konfigurierten Identitätsquelle in IAM Identity Center stammen. Beispiele für Identitätsquellen sind Okta, Active Directory oder Ping Identity. ![\[Ablauf der Aktualisierung von Berechtigungssätzen, wenn ein Konto erstellt oder aktualisiert wird.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/14751255-3781-48db-a6b7-1a03e28c1020/images/d1de252d-8ac9-4f7d-a559-4ab3e852f325.png) Das Diagramm zeigt den folgenden Arbeitsablauf bei der Erstellung neuer Konten: 1. Ein Benutzer überträgt eine `custom_fields` Änderung an das `aft-account-request` Repository. 1. AWS CodePipeline startet einen AWS CodeBuild Job, der die benutzerdefinierten Metadaten in der `aft-request-audit` Amazon DynamoDB-Tabelle aufzeichnet. Diese Tabelle enthält Attribute zum Aufzeichnen benutzerdefinierter Metadaten. Das `ddb_event_name` Attribut definiert die Art der AFT-Operation: + Wenn der Wert lautet`INSERT`, weist die Lösung den Zielidentitäten die bei der Erstellung der neuen AWS-Konto Identität festgelegten Berechtigungen zu. + Wenn der Wert lautet`UPDATE`, weist die Lösung den Zielidentitäten die festgelegten Berechtigungen zu, nachdem die erstellt wurde. AWS-Konto 1. Amazon DynamoDB Streams initiiert die `aft_alternate_sso_extract` Lambda-Funktion. 1. Die `aft_alternate_sso_extract` Lambda-Funktion übernimmt eine AWS Identity and Access Management (IAM-) Rolle im AWS Control Tower Verwaltungskonto. 1. Die Lambda-Funktion weist die Berechtigungssätze den Zielbenutzern und -gruppen zu, indem sie einen AWS SDK für Python (Boto3) [create\$1account\$1assignment-API-Aufruf an das IAM Identity Center durchführt](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sso-admin/client/create_account_assignment.html). Es ruft den Berechtigungssatz und die Identitätszuweisungen aus der `aft-request-audit` Amazon DynamoDB-Tabelle ab. 1. Wenn der Step Functions Functions-Workflow abgeschlossen ist, werden die Berechtigungssätze den Zielidentitäten zugewiesen. **Automatisierung und Skalierung** AFT arbeitet skalierbar und verwendet AWS-Services DynamoDB und Lambda, die hochgradig skalierbar sind. CodePipeline AWS CodeBuild Für zusätzliche Automatisierung können Sie diese Lösung in ein Ticket- oder Issue-Management-System wie Jira integrieren. Weitere Informationen finden Sie im Abschnitt [Zusätzliche Informationen](#govern-permission-sets-aft-additional) dieses Musters. ## Tools **AWS-Services** + [Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) ist das Haupttool dieser Lösung. Das `aft-account-provisioning-customizations` Repository enthält den Terraform-Code für die Erstellung von Anpassungen AWS-Konten, z. B. für benutzerdefinierte IAM Identity Center-Benutzer- oder Gruppenzuweisungen. + [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt. + [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen. + [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)ist ein serverloser Orchestrierungsservice, mit dem Sie AWS Lambda Funktionen und andere Funktionen kombinieren können, um geschäftskritische AWS-Services Anwendungen zu erstellen. **Andere Tools** + [Python](https://www.python.org/) ist eine Allzweck-Computerprogrammiersprache. + [Terraform](https://www.terraform.io/) ist ein IaC-Tool (Infrastructure as Code) HashiCorp , mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können. **Code-Repository** Das Code-Repository für AFT ist im GitHub [AWS Control Tower Account Factory for Terraform-Repository](https://github.com/aws-ia/terraform-aws-control_tower_account_factory) verfügbar. Der Code für dieses Muster ist im Repository [Govern SSO Assignments for AWS-Konten Using Account Factory for Terraform (AFT)](https://github.com/aws-samples/aft-custom-sso-assignment) verfügbar. ## Best Practices + Machen Sie sich mit dem Modell der [AWS gemeinsamen Verantwortung vertraut](https://aws.amazon.com/compliance/shared-responsibility-model/). + Folgen Sie den Sicherheitsempfehlungen für AWS Control Tower. Weitere Informationen finden Sie unter [Sicherheit in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/security.html). + Folgen Sie dem Prinzip der geringsten Rechte. Weitere Informationen finden Sie unter [Anwendung von geringsten Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). + Erstellen Sie spezifische und zielgerichtete Berechtigungssätze und IAM-Rollen für Gruppen und Geschäftsbereiche. ## Epen ### Bereitstellen der Lösung | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie eine IAM-Rolle. | Verwenden Sie im AWS Control Tower Verwaltungskonto Terraform, um eine IAM-Rolle zu erstellen. Diese Rolle verfügt über kontoübergreifenden Zugriff und eine Vertrauensrichtlinie, die den Verbundzugriff durch den Identitätsanbieter ermöglicht. Sie verfügt auch über Berechtigungen, um anderen Konten Zugriff zu gewähren. AWS Control Tower Die Lambda-Funktion wird diese Rolle übernehmen. Gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/govern-permission-sets-aft.html) | AWS DevOps, Cloud-Architekt | | Passen Sie die Lösung an Ihre Umgebung an. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/govern-permission-sets-aft.html) | AWS DevOps, Cloud-Architekt | | Stellen Sie die Lösung bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/govern-permission-sets-aft.html) | AWS DevOps, Cloud-Architekt | | Richten Sie eine Code-Repository-Verbindung ein. | Richten Sie eine Verbindung zwischen dem Code-Repository, in dem Sie die Konfigurationsdateien speichern werden, und Ihrem ein AWS-Konto. Anweisungen finden Sie in der AWS CodePipeline Dokumentation unter [Hinzufügen von Drittanbietern zu Pipelines mithilfe CodeConnections](https://docs.aws.amazon.com/codepipeline/latest/userguide/pipelines-connections.html). | AWS DevOps, Cloud-Architekt | ### Verwenden Sie die Lösung | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Starten Sie die AFT-Pipeline, um ein neues Konto bereitzustellen. | Folgen Sie den Anweisungen unter [Bereitstellen eines neuen Kontos bei AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-provision-account.html), um die Pipeline zu starten, die ein neues Konto AWS-Konto in Ihrer AWS Control Tower Umgebung erstellt. Warten Sie, bis der Vorgang zur Kontoerstellung abgeschlossen ist. | AWS DevOps, Cloud-Architekt | | Bestätigen Sie die Änderungen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/govern-permission-sets-aft.html) | AWS DevOps, Cloud-Architekt | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | Die Zuweisung von Berechtigungssätzen funktioniert nicht. | Stellen Sie sicher, dass die Parameter Gruppen-ARN, Organisations-ID und Lambda korrekt sind. Beispiele finden Sie im Abschnitt *Lösungsübersicht* dieses Musters. | | Durch das Aktualisieren von Code im Repository wird die Pipeline nicht gestartet. | Dieses Problem hängt mit der Konnektivität zwischen Ihnen AWS-Konto und dem Repository zusammen. Überprüfen Sie in der AWS-Managementkonsole, ob die Verbindung aktiv ist. Weitere Informationen finden Sie in der AWS CodePipeline Dokumentation unter [GitHub Verbindungen](https://docs.aws.amazon.com/codepipeline/latest/userguide/connections-github.html). | ## Zusätzliche Informationen **Integration mit einem Ticketverwaltungstool** Sie können wählen, ob Sie diese Lösung in ein Ticket- oder Issue-Management-Tool wie Jira oder ServiceNow integrieren möchten. Das folgende Diagramm zeigt einen Beispiel-Workflow für diese Option. Sie können das Ticketverwaltungstool mithilfe der Konnektoren Ihres Tools in die Repositorys der AFT-Lösung integrieren. Informationen zu Jira-Konnektoren finden Sie unter [Jira integrieren](https://support.atlassian.com/jira-cloud-administration/docs/integrate-jira-software-with-github/) mit. GitHub Informationen zu ServiceNow Konnektoren finden Sie unter [Integrieren](https://www.servicenow.com/docs/bundle/washingtondc-it-asset-management/page/product/software-asset-management2/concept/integrate-with-github.html) mit. GitHub Sie können sogar benutzerdefinierte Lösungen erstellen, bei denen Benutzer im Rahmen der Genehmigung von Pull-Requests eine Ticket-ID angeben müssen. Wenn eine Anfrage zur Erstellung eines neuen Objekts mithilfe AWS-Konto von AFT genehmigt wird, könnte dieses Ereignis einen Workflow einleiten, der benutzerdefinierte Felder zum `aft-account-request` GitHub Repository hinzufügt. Sie können jeden benutzerdefinierten Workflow entwerfen, der die Anforderungen Ihres Anwendungsfalls erfüllt. ![\[Workflow, der GitHub Aktionen und ein Ticketverwaltungstool verwendet.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/14751255-3781-48db-a6b7-1a03e28c1020/images/83763f65-32ea-4de0-932f-14a1b2d1d3ad.png) Das Diagramm zeigt den folgenden Workflow: 1. Benutzer fordern in einem Ticketverwaltungstool wie Jira eine benutzerdefinierte Zuweisung von Berechtigungssätzen an. 1. Nachdem der Fall genehmigt wurde, beginnt ein Workflow mit der Aktualisierung der Zuweisung des Berechtigungssatzes. (Optional) Sie können Plugins für die benutzerdefinierte Automatisierung dieses Schritts verwenden. 1. Operatoren senden den Terraform-Code mit den aktualisierten Berechtigungssatzparametern an das `aft-account-request` Repository in einen Entwicklungs- oder Feature-Branch. 1. GitHub Aktionen werden AWS CodeBuild mithilfe eines OpenID Connect (OIDC) -Aufrufs initiiert. CodeBuild [https://aquasecurity.github.io/tfsec/v1.20.0/](https://aquasecurity.github.io/tfsec/v1.20.0/) Es warnt die Betreiber vor Sicherheitsverstößen. 1. Wenn keine Verstöße festgestellt werden, erstellt GitHub Actions eine automatisierte Pull-Anfrage und weist den Code-Besitzern eine Code-Überprüfung zu. Außerdem wird ein Tag für den Pull-Request erstellt. 1. Wenn der Codeinhaber die Codeüberprüfung genehmigt, wird ein weiterer GitHub Aktions-Workflow gestartet. Er überprüft Pull-Request-Standards, darunter: + Wenn der Titel der Pull-Anfrage die Anforderungen erfüllt. + Wenn der Text der Pull-Anfrage genehmigte Fallnummern enthält. + Wenn der Pull-Request ordnungsgemäß markiert ist. 1. Wenn die Pull-Requests den Standards entsprechen, startet GitHub Actions den AFT-Produkt-Workflow. Es verwendet die `ct-aft-account-request` Pipeline in AWS CodePipeline. Diese Pipeline startet die `aft-account-provisioning-framework` benutzerdefinierte Zustandsmaschine in Step Functions. Diese Zustandsmaschine funktioniert wie zuvor im Abschnitt *Lösungsübersicht* dieses Musters beschrieben. # Implementieren Sie Account Factory for Terraform (AFT) mithilfe einer Bootstrap-Pipeline *Vinicius Elias und Edgar Costa Filho, Amazon Web Services* ## Zusammenfassung Dieses Muster bietet eine einfache und sichere Methode für die Bereitstellung von AWS Control Tower Account Factory for Terraform (AFT) über das Verwaltungskonto von. AWS Organizations Der Kern der Lösung ist eine CloudFormation Vorlage, die die AFT-Konfiguration automatisiert, indem eine Terraform-Pipeline erstellt wird, die so strukturiert ist, dass sie für die erste Bereitstellung oder nachfolgende Updates leicht angepasst werden kann. Sicherheit und Datenintegrität haben bei uns oberste Priorität. AWS Daher wird die Terraform-Statusdatei, eine wichtige Komponente, die den Status der verwalteten Infrastruktur und Konfigurationen verfolgt, sicher in einem Amazon Simple Storage Service (Amazon S3) -Bucket gespeichert. Dieser Bucket ist mit verschiedenen Sicherheitsmaßnahmen konfiguriert, darunter serverseitige Verschlüsselung und Richtlinien zur Blockierung des öffentlichen Zugriffs, um sicherzustellen, dass Ihr Terraform-Status vor unbefugtem Zugriff und Datenschutzverletzungen geschützt ist. Das Verwaltungskonto orchestriert und überwacht die gesamte Umgebung, sodass es sich um eine wichtige Ressource in der Umgebung handelt. AWS Control Tower Dieses Muster folgt AWS bewährten Methoden und stellt sicher, dass der Bereitstellungsprozess nicht nur effizient ist, sondern auch den Sicherheits- und Governance-Standards entspricht, um eine umfassende, sichere und effiziente Möglichkeit zur Bereitstellung von AFT in Ihrer Umgebung zu bieten. AWS Weitere Informationen zu AFT finden Sie in der [AWS Control Tower Dokumentation](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html). ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Eine einfache Umgebung mit AWS mehreren Konten mit mindestens den folgenden Konten: Verwaltungskonto, Protokollarchivkonto, Auditkonto und einem zusätzlichen Konto für die AFT-Verwaltung. + Eine etablierte AWS Control Tower Umgebung. Das Verwaltungskonto sollte ordnungsgemäß konfiguriert sein, da die CloudFormation Vorlage darin bereitgestellt wird. + Die erforderlichen Berechtigungen im AWS Verwaltungskonto. Sie benötigen ausreichende Berechtigungen, um Ressourcen wie S3-Buckets, AWS Lambda Funktionen, AWS Identity and Access Management (IAM-) Rollen und Projekte zu erstellen und AWS CodePipeline zu verwalten. + Vertrautheit mit Terraform. Es ist wichtig, die Kernkonzepte und den Arbeitsablauf von Terraform zu verstehen, da die Bereitstellung die Generierung und Verwaltung von Terraform-Konfigurationen beinhaltet. **Einschränkungen** + Beachten Sie die [AWS Ressourcenkontingente](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) in Ihrem Konto. Durch die Bereitstellung werden möglicherweise mehrere Ressourcen erstellt, und das Erreichen von Dienstkontingenten könnte den Bereitstellungsprozess behindern. + Die Vorlage wurde für bestimmte Versionen von Terraform und entwickelt. AWS-Services Für das Aktualisieren oder Ändern von Versionen sind möglicherweise Änderungen an der Vorlage erforderlich. + Die Vorlage unterstützt keine Dienste des selbstverwalteten Versionskontrollsystems (VCS) wie GitHub Enterprise. **Produktversionen** + Terraform Version 1.6.6 oder höher + AFT Version 1.11 oder höher ## Architektur **Zieltechnologie-Stack** + CloudFormation + AWS CodeBuild + AWS CodeCommit + AWS CodePipeline + Amazon EventBridge + IAM + AWS Lambda + Amazon S3 **Zielarchitektur** Das folgende Diagramm veranschaulicht die Implementierung, die in diesem Muster beschrieben wird. ![\[Arbeitsablauf für die Implementierung von AFT mithilfe einer Bootstrap-Pipeline.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/944f9912-87c7-4cc5-8478-7070cf67f7ee/images/4ee74757-940d-4d92-a7f0-fb0db1476247.png) Der Workflow besteht aus drei Hauptaufgaben: dem Erstellen der Ressourcen, dem Generieren des Inhalts und dem Ausführen der Pipeline. *Die Ressourcen erstellen* Die [mit diesem Muster bereitgestellte CloudFormation Vorlage](https://github.com/aws-samples/aft-bootstrap-pipeline/blob/main/code/aft-deployment-pipeline.yaml) erstellt und richtet alle erforderlichen Ressourcen ein, abhängig von den Parametern, die Sie bei der Bereitstellung der Vorlage auswählen. Die Vorlage erstellt mindestens die folgenden Ressourcen: + Eine CodePipeline Pipeline zur Implementierung des AFT + Ein S3-Bucket zum Speichern der Terraform-Statusdatei, die der AFT-Implementierung zugeordnet ist + Zwei CodeBuild Projekte zur Implementierung des Terraform-Plans und zur Anwendung von Befehlen in verschiedenen Phasen der Pipeline + IAM-Rollen für und Dienste CodeBuild CodePipeline + Ein zweiter S3-Bucket zum Speichern von Pipeline-Laufzeitartefakten Je nach ausgewähltem VCS-Anbieter (CodeCommit oder externem VCS) erstellt die Vorlage die folgenden Ressourcen. + Für **CodeCommit**: + Ein CodeCommit Repository zum Speichern des AFT Terraform-Bootstrap-Codes + Eine EventBridge Regel zum Erfassen von CodeCommit Repository-Änderungen in der Filiale `main` + Eine weitere IAM-Rolle für die Regel EventBridge + Für jeden anderen **externen VCS-Anbieter**, wie zum Beispiel: GitHub + Eine Verbindung AWS CodeConnections Wenn Sie CodeCommit als VCS-Anbieter auswählen und den `Generate AFT Files` Parameter auf festlegen, erstellt die Vorlage außerdem die folgenden zusätzlichen Ressourcen`true`, um den Inhalt zu generieren: + Ein S3-Bucket zum Speichern des generierten Inhalts und zur Verwendung als Quelle für das Repository CodeCommit + Eine Lambda-Funktion, um die angegebenen Parameter zu verarbeiten und den entsprechenden Inhalt zu generieren + Eine IAM-Funktion zum Ausführen der Lambda-Funktion + Eine CloudFormation benutzerdefinierte Ressource, die die Lambda-Funktion ausführt, wenn die Vorlage bereitgestellt wird *Der Inhalt wird generiert* Um die AFT-Bootstrap-Dateien und deren Inhalt zu generieren, verwendet die Lösung eine Lambda-Funktion und einen S3-Bucket. Die Funktion erstellt einen Ordner im Bucket und anschließend zwei Dateien innerhalb des Ordners: `main.tf` und. `backend.tf` Die Funktion verarbeitet auch die angegebenen CloudFormation Parameter und füllt diese Dateien mit vordefiniertem Code, wodurch die jeweiligen Parameterwerte ersetzt werden. Den Code, der als Vorlage für die Generierung der Dateien verwendet wird, finden Sie im [GitHub Repository](https://github.com/aws-samples/aft-bootstrap-pipeline) der Lösung. Im Grunde werden die Dateien wie folgt generiert. **main.tf** ``` module "aft" { source = "github.com/aws-ia/terraform-aws-control_tower_account_factory?ref=" # Required variables ct_management_account_id = "" log_archive_account_id = "" audit_account_id = "" aft_management_account_id = "" ct_home_region = "" # Optional variables tf_backend_secondary_region = "" aft_metrics_reporting = "" # AFT Feature flags aft_feature_cloudtrail_data_events = "" aft_feature_enterprise_support = "" aft_feature_delete_default_vpcs_enabled = "" # Terraform variables terraform_version = "" terraform_distribution = "" # VCS variables (if you have chosen an external VCS) vcs_provider = "" account_request_repo_name = "/aft-account-request" account_customizations_repo_name = "/aft-account-customizations" account_provisioning_customizations_repo_name = "/aft-account-provisioning-customizations" global_customizations_repo_name = "/aft-global-customizations" } ``` **Backend.tf** ``` terraform { backend "s3" { region = "" bucket = "" key = "aft-setup.tfstate" } } ``` Wenn Sie den `Generate AFT Files` Parameter während der CodeCommit Repository-Erstellung auf setzen`true`, verwendet die Vorlage den S3-Bucket mit dem generierten Inhalt als Quelle für den `main` Branch, um das Repository automatisch zu füllen. *Die Pipeline ausführen* Nachdem die Ressourcen erstellt und die Bootstrap-Dateien konfiguriert wurden, wird die Pipeline ausgeführt. In der ersten Phase (*Source*) wird der Quellcode aus dem Hauptzweig des Repositorys abgerufen, und in der zweiten Phase (*Build*) wird der Befehl Terraform Plan ausgeführt und die zu überprüfenden Ergebnisse generiert. *In der dritten Phase (*Genehmigung*) wartet die Pipeline auf eine manuelle Aktion, um die letzte Phase (Deploy) zu genehmigen oder abzulehnen.* In der letzten Phase führt die Pipeline den `apply` Terraform-Befehl aus, indem sie das Ergebnis des vorherigen `plan` Terraform-Befehls als Eingabe verwendet. Schließlich werden eine kontoübergreifende Rolle und die Berechtigungen im Verwaltungskonto verwendet, um die AFT-Ressourcen im AFT-Verwaltungskonto zu erstellen. **Anmerkung** Wenn Sie einen externen VCS-Anbieter auswählen, müssen Sie die Verbindung mit den Anmeldeinformationen Ihres VCS-Anbieters autorisieren. Um die Einrichtung abzuschließen, folgen Sie den Schritten unter [Aktualisieren einer ausstehenden Verbindung](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-update.html) in der Dokumentation zur AWS Developer Tools-Konsole. ## Tools **AWS-Services** + [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)hilft Ihnen dabei, AWS-Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus regionsübergreifend AWS-Konten zu verwalten. + [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)ist ein vollständig verwalteter Build-Service, der Ihnen hilft, Quellcode zu kompilieren, Komponententests durchzuführen und Artefakte zu erstellen, die sofort einsatzbereit sind.  + [AWS CodeCommit](https://docs.aws.amazon.com/codecommit/latest/userguide/welcome.html)ist ein Versionskontrolldienst, mit dem Sie Git-Repositorys privat speichern und verwalten können, ohne Ihr eigenes Quellcodeverwaltungssystem verwalten zu müssen. + [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html)hilft Ihnen dabei, die verschiedenen Phasen einer Softwareversion schnell zu modellieren und zu konfigurieren und die Schritte zu automatisieren, die für die kontinuierliche Veröffentlichung von Softwareänderungen erforderlich sind. + [AWS CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/welcome-connections.html)ermöglicht AWS Ressourcen und Dienste, z. B. CodePipeline die Verbindung zu externen Code-Repositorys wie GitHub. + [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)ist ein Rechendienst, der Ihren Code als Reaktion auf Ereignisse ausführt und Rechenressourcen automatisch verwaltet. So können Sie schnell eine moderne, serverlose Anwendung für die Produktion erstellen. + [AWS SDK für Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html)ist ein Softwareentwicklungskit, mit dem Sie Ihre Python-Anwendung, -Bibliothek oder Ihr Skript integrieren können AWS-Services. **Andere Tools** + [Terraform](https://developer.hashicorp.com/terraform?product_intent=terraform) ist ein Infrastructure-as-Code-Tool (IaC), mit dem Sie Infrastrukturen sicher und effizient erstellen, ändern und versionieren können. Dazu gehören Komponenten auf niedriger Ebene wie Recheninstanzen, Speicher und Netzwerke sowie Komponenten auf hoher Ebene wie DNS-Einträge und SaaS-Funktionen. + [Python](https://docs.python.org/3.9/tutorial/index.html) ist eine leicht zu erlernende, leistungsstarke Programmiersprache. Sie verfügt über effiziente Datenstrukturen auf hoher Ebene und bietet einen einfachen, aber effektiven Ansatz für objektorientierte Programmierung. **Code-Repository** Der Code für dieses Muster ist im GitHub [AFT-Bootstrap-Pipeline-Repository](https://github.com/aws-samples/aft-bootstrap-pipeline) verfügbar. Das offizielle AFT-Repository finden Sie unter [AWS Control Tower Account Factory for Terraform in](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main). GitHub ## Best Practices Wenn Sie AFT mithilfe der bereitgestellten CloudFormation Vorlage bereitstellen, empfehlen wir Ihnen, bewährte Methoden zu befolgen, um eine sichere, effiziente und erfolgreiche Implementierung zu gewährleisten. Zu den wichtigsten Richtlinien und Empfehlungen für die Implementierung und den Betrieb des AFT gehören die folgenden. + **Gründliche Überprüfung der Parameter**: Prüfen Sie jeden Parameter in der CloudFormation Vorlage sorgfältig und verstehen Sie ihn. Eine genaue Parameterkonfiguration ist entscheidend für die korrekte Einrichtung und Funktion von AFT. + **Regelmäßige Vorlagenaktualisierungen**: Halten Sie die Vorlage mit den neuesten AWS Funktionen und Terraform-Versionen auf dem neuesten Stand. Regelmäßige Updates helfen Ihnen dabei, neue Funktionen zu nutzen und die Sicherheit zu gewährleisten. + **Versionierung: Legen** Sie die Version Ihres AFT-Moduls fest und verwenden Sie, wenn möglich, eine separate AFT-Bereitstellung zum Testen. + **Umfang**: Verwenden Sie AFT nur, um Infrastruktur-Leitplanken und Anpassungen bereitzustellen. Verwenden Sie es nicht, um Ihre Anwendung bereitzustellen. + **Linting und Validierung**: Die AFT-Pipeline erfordert eine verknüpfte und validierte Terraform-Konfiguration. Führen Sie Lint, Validation und Test aus, bevor Sie die Konfiguration in die AFT-Repositorys übertragen. + **Terraform-Module**: Erstellen Sie wiederverwendbaren Terraform-Code als Module und geben Sie immer die Terraform- und AWS Anbieterversionen an, die den Anforderungen Ihres Unternehmens entsprechen. ## Epen ### Richten Sie die Umgebung ein und konfigurieren Sie sie AWS | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Bereite die AWS Control Tower Umgebung vor. | Richten Sie sie AWS Control Tower in Ihrer AWS Umgebung ein und konfigurieren Sie sie, um eine zentrale Verwaltung und Steuerung für Sie zu gewährleisten AWS-Konten. Weitere Informationen finden Sie AWS Control Tower in der AWS Control Tower Dokumentation unter [Erste Schritte mit](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html). | Cloud-Administrator | | Starten Sie das AFT-Verwaltungskonto. | Verwenden Sie die AWS Control Tower Account Factory, um ein neues Konto AWS-Konto zu eröffnen, das als Ihr AFT-Verwaltungskonto dient. Weitere Informationen finden Sie in der AWS Control Tower Dokumentation unter [Konten mit AWS Service Catalog Account Factory bereitstellen](https://docs.aws.amazon.com/controltower/latest/userguide/provision-as-end-user.html). | Cloud-Administrator | ### Stellen Sie die CloudFormation Vorlage im Verwaltungskonto bereit | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Starten Sie die CloudFormation Vorlage. | In diesem Epic stellen Sie die mit dieser Lösung bereitgestellte CloudFormation Vorlage bereit, um die AFT-Bootstrap-Pipeline in Ihrem AWS Verwaltungskonto einzurichten. Die Pipeline stellt die AFT-Lösung in dem AFT-Verwaltungskonto bereit, das Sie im vorherigen Epic eingerichtet haben.**Schritt 1: Öffnen Sie die Konsole CloudFormation **[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 2: Erstellen Sie einen neuen Stack**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 3: Konfigurieren Sie die Stack-Parameter**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 4: Entscheiden Sie sich für die Dateigenerierung**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 5: Füllen Sie die AWS Control Tower AFT-Kontoinformationen aus**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 6: AFT-Optionen konfigurieren**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 7: Versionen angeben**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 8: Überprüfen und erstellen Sie den Stapel**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 9: Überwachen Sie die Stack-Erstellung**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 10: Überprüfen Sie die Bereitstellung**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html) | Cloud-Administrator | ### Füllen und validieren Sie das AFT-Bootstrap-Repository und die Pipeline | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Option 1: Füllen Sie das AFT-Bootstrap-Repository für ein externes VCS auf. | Wenn Sie den VCS-Anbieter auf ein externes VCS (nicht auf CodeCommit) einstellen, gehen Sie wie folgt vor.(Optional) Nachdem Sie die CloudFormation Vorlage bereitgestellt haben, können Sie den Inhalt im neu erstellten AFT-Bootstrap-Repository auffüllen oder überprüfen und testen, ob die Pipeline erfolgreich ausgeführt wurde.**Schritt 1: Aktualisieren Sie die Verbindung**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 2: Füllen Sie das Repository aus**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 2: Bestätigen Sie Ihre Änderungen und übertragen Sie sie**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html) | Cloud-Administrator | | Option 2: Füllen Sie das AFT-Bootstrap-Repository für aus. CodeCommit | Wenn Sie den VCS-Anbieter auf einstellen CodeCommit, gehen Sie wie folgt vor.(Optional) Nachdem Sie die CloudFormation Vorlage bereitgestellt haben, können Sie den Inhalt im neu erstellten AFT-Bootstrap-Repository auffüllen oder überprüfen und testen, ob die Pipeline erfolgreich ausgeführt wurde.Wenn Sie den `Generate AFT Files` Parameter auf setzen`true`, fahren Sie mit dem nächsten Artikel fort (Validierung der Pipeline).**Schritt 1: Füllen Sie das Repository aus**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 2: Bestätigen Sie Ihre Änderungen und übertragen Sie sie**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html) | Cloud-Administrator | | Überprüfen Sie die AFT-Bootstrap-Pipeline. | **Schritt 1: Sehen Sie sich die Pipeline an**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 2: Genehmigen Sie die Ergebnisse des Terraform-Plans**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 3: Warten Sie auf die Bereitstellung**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html)**Schritt 4: Überprüfen Sie die erstellten Ressourcen**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/implement-account-factory-for-terraform-aft-by-using-a-bootstrap-pipeline.html) | Cloud-Administrator | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | Die in der CloudFormation Vorlage enthaltene benutzerdefinierte Lambda-Funktion schlägt während der Bereitstellung fehl. | Suchen Sie in den CloudWatch Amazon-Protokollen nach der Lambda-Funktion, um den Fehler zu identifizieren. Die Protokolle enthalten detaillierte Informationen und können helfen, das spezifische Problem zu lokalisieren. Vergewissern Sie sich, dass die Lambda-Funktion über die erforderlichen Berechtigungen verfügt und dass die Umgebungsvariablen korrekt festgelegt wurden. | | Sie stoßen auf Fehler bei der Erstellung oder Verwaltung von Ressourcen, die auf unzureichende Berechtigungen zurückzuführen sind. | Überprüfen Sie die IAM-Rollen und -Richtlinien, die mit der Lambda-Funktion verknüpft sind CodeBuild, und andere an der Bereitstellung beteiligte Dienste. Vergewissern Sie sich, dass sie über die erforderlichen Berechtigungen verfügen. Wenn es Probleme mit den Berechtigungen gibt, passen Sie die IAM-Richtlinien an, um den erforderlichen Zugriff zu gewähren. | | Sie verwenden eine veraltete Version der CloudFormation Vorlage mit neueren AWS-Services oder Terraform-Versionen. | Aktualisieren Sie die CloudFormation Vorlage regelmäßig, damit sie mit den neuesten Versionen AWS und Terraform-Versionen kompatibel ist. In den Versionshinweisen oder der Dokumentation finden Sie alle versionsspezifischen Änderungen oder Anforderungen. | | Während der Bereitstellung erreichen Sie die AWS-Service Kontingente. | Bevor Sie die Pipeline bereitstellen, überprüfen Sie die AWS-Service Kontingente für Ressourcen wie S3-Buckets, IAM-Rollen und Lambda-Funktionen. Die Anfrage wird bei Bedarf erhöht. Weitere Informationen finden Sie auf der AWS Website unter [AWS-Service Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html). | | Aufgrund falscher Eingabeparameter in der CloudFormation Vorlage treten Fehler auf. | Überprüfen Sie alle Eingabeparameter noch einmal auf Tippfehler oder falsche Werte. Vergewissern Sie sich, dass Ressourcen-Identifikatoren wie Konto IDs - und Regionsnamen korrekt sind. | ## Zugehörige Ressourcen Sehen Sie sich die folgenden Ressourcen an, um dieses Muster erfolgreich zu implementieren. Diese Ressourcen bieten zusätzliche Informationen und Anleitungen, die bei der Einrichtung und Verwaltung von AFT mit Hilfe CloudFormation von unschätzbarem Wert sein können. **AWS****Dokumentation:** + AWS Control Tower Das [Benutzerhandbuch](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) bietet detaillierte Informationen zur Einrichtung und Verwaltung AWS Control Tower. + CloudFormation Die [Dokumentation](https://docs.aws.amazon.com/cloudformation/index.html) bietet Einblicke in CloudFormation Vorlagen, Stacks und Ressourcenmanagement. **IAM-Richtlinien und bewährte Verfahren:** + [Bewährte Sicherheitsmethoden in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) erläutern, wie Sie mithilfe von IAM-Rollen und -Richtlinien zur Sicherung von AWS Ressourcen beitragen können. **Terraform auf: AWS** + Die [Terraform AWS Provider-Dokumentation](https://registry.terraform.io/providers/hashicorp/aws/latest/docs) enthält umfassende Informationen zur Verwendung von Terraform mit. AWS **AWS-Service Kontingente:** + [AWS-Service Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) enthält Informationen darüber, wie Sie AWS-Service Kontingente einsehen und Erhöhungen beantragen können. # AWS Service Catalog-Produkte in mehreren AWS-Konten und AWS-Regionen verwalten *Ram Kandaswamy, Amazon Web Services* ## Zusammenfassung Der Amazon Web Services (AWS) Service Catalog vereinfacht und beschleunigt die Verwaltung und Verteilung von Infrastructure as Code (IaC) -Vorlagen für Unternehmen. Sie verwenden CloudFormation AWS-Vorlagen, um eine Sammlung von AWS-Ressourcen (*Stacks*) zu definieren, die für ein Produkt erforderlich sind. AWS CloudFormation StackSets erweitert diese Funktionalität, indem es Ihnen ermöglicht, Stacks für mehrere Konten und AWS-Regionen mit einem einzigen Vorgang zu erstellen, zu aktualisieren oder zu löschen. AWS Service Catalog-Administratoren erstellen Produkte mithilfe von CloudFormation Vorlagen, die von Entwicklern verfasst wurden, und veröffentlichen sie. Diese Produkte werden dann einem Portfolio zugeordnet, und es gelten Einschränkungen für die Unternehmensführung. Um Ihre Produkte Benutzern in anderen AWS-Konten oder Organisationseinheiten (OUs) zur Verfügung zu stellen, [teilen Sie in der Regel Ihr Portfolio](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing.html) mit ihnen. Dieses Muster beschreibt einen alternativen Ansatz für die Verwaltung von AWS Service Catalog-Produktangeboten, der auf AWS basiert CloudFormation StackSets. Anstatt Portfolios gemeinsam zu nutzen, verwenden Sie Stack-Set-Einschränkungen, um AWS-Regionen und Konten festzulegen, in denen Ihr Produkt bereitgestellt und verwendet werden kann. Mit diesem Ansatz können Sie Ihre AWS Service Catalog-Produkte in mehreren Konten und AWS-Regionen bereitstellen und sie von einem zentralen Standort aus verwalten, während Sie gleichzeitig Ihre Governance-Anforderungen erfüllen. OUs  Vorteile dieses Ansatzes: + Das Produkt wird über das Hauptkonto bereitgestellt und verwaltet und nicht mit anderen Konten geteilt. + Dieser Ansatz bietet eine konsolidierte Ansicht aller bereitgestellten Produkte (Stacks), die auf einem bestimmten Produkt basieren. + Die Konfiguration mit dem AWS Service Management Connector ist einfacher, da sie nur auf ein Konto abzielt. + Es ist einfacher, Produkte aus dem AWS Service Catalog abzufragen und zu verwenden. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + CloudFormation AWS-Vorlagen für IaC und Versionierung + Einrichtung mehrerer Konten und AWS Service Catalog für die Bereitstellung und Verwaltung von AWS-Ressourcen **Einschränkungen** + Bei diesem Ansatz wird AWS verwendet CloudFormation StackSets, und es StackSets gelten die folgenden Einschränkungen: + StackSets unterstützt die Bereitstellung von CloudFormation Vorlagen über Makros nicht. Wenn Sie ein Makro zur Vorverarbeitung der Vorlage verwenden, können Sie keine StackSets basierte Bereitstellung verwenden. + StackSets bietet die Möglichkeit, einen Stack vom Stack-Set zu trennen, sodass Sie einen bestimmten Stack als Ziel auswählen können, um ein Problem zu beheben. Ein getrennter Stapel kann jedoch nicht erneut mit dem Stack-Set verknüpft werden. + AWS Service Catalog generiert automatisch StackSet Namen. Die Anpassung wird derzeit nicht unterstützt. ## Architektur **Zielarchitektur** ![\[Der Benutzer verwaltet das AWS Service Catalog-Produkt mithilfe der CloudFormation AWS-Vorlage und StackSets.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/16458fcd-861d-4ed4-8b91-47e19289a6bb/images/97d23325-b5c6-4ca9-8288-8dec1650c975.png) 1. Der Benutzer erstellt eine CloudFormation AWS-Vorlage zur Bereitstellung von AWS-Ressourcen im JSON- oder YAML-Format. 1. Die CloudFormation Vorlage erstellt ein Produkt im AWS Service Catalog, das einem Portfolio hinzugefügt wird. 1. Der Benutzer erstellt ein bereitgestelltes Produkt, das CloudFormation Stapel in den Zielkonten erstellt. 1. Jeder Stapel stellt die in den Vorlagen angegebenen Ressourcen bereit. CloudFormation ## Tools **AWS-Services** + [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) hilft Ihnen dabei, AWS-Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über AWS-Konten und Regionen hinweg zu verwalten. + [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer Befehlszeilen-Shell mit AWS-Services interagieren können. + [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden. + Mit [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html) können Sie Kataloge von IT-Services, die für AWS zugelassen sind, zentral verwalten. Endbenutzer können schnell nur die jeweils benötigten genehmigten IT-Services bereitstellen, wobei die Einschränkungen Ihrer Organisation berücksichtigt werden. ## Epen ### Stellen Sie Produkte kontenübergreifend bereit | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie ein Portfolio. | Ein Portfolio ist ein Container, der ein oder mehrere Produkte enthält, die nach bestimmten Kriterien gruppiert sind. Die Verwendung eines Portfolios für Ihre Produkte hilft Ihnen dabei, allgemeine Einschränkungen für Ihr gesamtes Produktsortiment anzuwenden.Um ein Portfolio zu erstellen, folgen Sie den Anweisungen in der [AWS-Servicekatalog-Dokumentation](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/portfoliomgmt-create.html). Wenn Sie die AWS-CLI verwenden, finden Sie hier einen Beispielbefehl:
aws servicecatalog create-portfolio --provider-name my-provider --display-name my-portfolio
Weitere Informationen finden Sie in der [AWS-CLI-Dokumentation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/servicecatalog/create-portfolio.html). | AWS Service Catalog, IAM | | Erstellen Sie eine CloudFormation Vorlage. | Erstellen Sie eine CloudFormation Vorlage, die die Ressourcen beschreibt. Die Eigenschaftswerte von Ressourcen sollten gegebenenfalls parametrisiert werden. | AWS CloudFormation, JSON/YAML | | Erstellen Sie ein Produkt mit Versionsinformationen. | Die CloudFormation Vorlage wird zu einem Produkt, wenn Sie sie im AWS Service Catalog veröffentlichen. Geben Sie Werte für die optionalen Versionsdetailparameter an, z. B. den Versionstitel und die Beschreibung. Dies ist hilfreich, wenn Sie später nach dem Produkt suchen möchten.Um ein Produkt zu erstellen, folgen Sie den Anweisungen in der [AWS-Servicekatalog-Dokumentation](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/productmgmt-cloudresource.html). Wenn Sie die AWS-CLI verwenden, lautet ein Beispielbefehl:
aws servicecatalog create-product --cli-input-json file://create-product-input.json
wo `create-product-input.json` ist die Datei, die die Parameter für das Produkt übergibt. Ein Beispiel für diese Datei finden Sie im Abschnitt *Zusätzliche Informationen*. Weitere Informationen finden Sie in der [AWS-CLI-Dokumentation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/servicecatalog/create-product.html). | AWS Service Catalog | | Wenden Sie Einschränkungen an. | Wenden Sie Stack-Set-Einschränkungen auf das Portfolio an, um Produktbereitstellungsoptionen wie mehrere AWS-Konten, Regionen und Berechtigungen zu konfigurieren. Anweisungen finden Sie in der [Dokumentation zum AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/constraints-stackset.html). | AWS Service Catalog | | Fügen Sie -Berechtigungen hinzu. | Stellen Sie Benutzern Berechtigungen zur Verfügung, damit sie die Produkte im Portfolio auf den Markt bringen können. Anweisungen für die Konsole finden Sie in der [Dokumentation zum AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_users.html). Wenn Sie die AWS-CLI verwenden, finden Sie hier einen Beispielbefehl:
aws servicecatalog associate-principal-with-portfolio \
    --portfolio-id port-2s6abcdefwdh4 \
    --principal-arn arn:aws:iam::444455556666:role/Admin \
    --principal-type IAM
Weitere Informationen finden Sie in der [AWS-CLI-Dokumentation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/servicecatalog/associate-principal-with-portfolio.html). | AWS Service Catalog, IAM | | Stellen Sie das Produkt bereit. | Ein bereitgestelltes Produkt ist eine mit Ressourcen ausgestattete Instance eines Produkts. Durch die Bereitstellung eines Produkts auf der Grundlage einer CloudFormation Vorlage werden ein CloudFormation Stack und die zugrunde liegenden Ressourcen gestartet.Stellen Sie das Produkt bereit, indem Sie die entsprechenden AWS-Regionen und -Konten auf der Grundlage von Stack-Set-Einschränkungen ansprechen. In der AWS-CLI ist hier ein Beispielbefehl:
aws servicecatalog provision-product \
    --product-id prod-abcdfz3syn2rg \
    --provisioning-artifact-id pa-abc347pcsccfm \
    --provisioned-product-name "mytestppname3"
Weitere Informationen finden Sie in der [AWS-CLI-Dokumentation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/servicecatalog/provision-product.html). | AWS Service Catalog | ## Zugehörige Ressourcen **Referenzen** + [Überblick über den AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/what-is_concepts.html) + [Verwenden von AWS CloudFormation StackSets](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-stacksets.html) **Tutorials und Videos** + [AWS re:Invent 2019: Alles automatisieren: Optionen und bewährte Methoden (Video](https://www.youtube.com/watch?v=bGBVPIpQMYk)) ## Zusätzliche Informationen Wenn Sie den `create-product` Befehl verwenden, verweist der `cli-input-json` Parameter auf eine Datei, die Informationen wie den Produkteigentümer, die Support-E-Mail-Adresse und CloudFormation Vorlagendetails enthält. Hier ist ein Beispiel für eine solche Datei: ``` { "Owner": "Test admin", "SupportDescription": "Testing", "Name": "SNS", "SupportEmail": "example@example.com", "ProductType": "CLOUD_FORMATION_TEMPLATE", "AcceptLanguage": "en", "ProvisioningArtifactParameters": { "Description": "SNS product", "DisableTemplateValidation": true, "Info": { "LoadTemplateFromURL": "" }, "Name": "version 1" } ``` # Überwachen Sie SAP RHEL Pacemaker-Cluster mithilfe von AWS-Services *Harsh Thoria, Randy Germann und RAVEENDRA Voore, Amazon Web Services* ## Zusammenfassung Dieses Muster beschreibt die Schritte zur Überwachung und Konfiguration von Warnmeldungen für einen Red Hat Enterprise Linux (RHEL) Pacemaker-Cluster für SAP-Anwendungen und SAP HANA-Datenbankdienste mithilfe von Amazon CloudWatch und Amazon Simple Notification Service (Amazon SNS). Die Konfiguration ermöglicht es Ihnen, SAP SCS- oder ASCS-, Enqueue Replication Server- (ERS) - und SAP HANA-Clusterressourcen mithilfe von CloudWatch Protokollströmen, metrischen Filtern und Alarmen zu überwachen, wenn sie sich im Status „gestoppt“ befinden. Amazon SNS sendet eine E-Mail an das Infrastruktur- oder SAP-Basis-Team über den Status des gestoppten Clusters. Sie können die AWS Ressourcen für dieses Muster mithilfe von AWS CloudFormation Skripten oder den AWS Servicekonsolen erstellen. Bei diesem Muster wird davon ausgegangen, dass Sie die Konsolen verwenden. Es enthält keine CloudFormation Skripts CloudWatch und deckt auch keine Infrastrukturbereitstellung für Amazon SNS ab. Pacemaker-Befehle werden verwendet, um die Konfiguration der Cluster-Warnmeldungen festzulegen. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktives AWS Konto. + Amazon SNS wurde für den Versand von E-Mail- oder Handybenachrichtigungen eingerichtet. + Ein SAP ASCS/ERS für ABAP oder SCS/ERS für Java und SAP HANA Database RHEL Pacemaker-Cluster. Detaillierte Informationen finden Sie hier: + [Einrichtung eines SAP HANA-Clusters](https://docs.aws.amazon.com/sap/latest/sap-hana/sap-hana-on-aws-manual-deployment-of-sap-hana-on-aws-with-high-availability-clusters.html) + [Einrichtung des SAP NetWeaver-Clusters ABAP/Java ](https://docs.aws.amazon.com/sap/latest/sap-netweaver/sap-netweaver-ha-configuration-guide.html) **Einschränkungen** + Diese Lösung funktioniert derzeit für auf RHEL Version 7.3 und spätere Pacemaker-basierte Cluster. Sie wurde nicht auf SUSE-Betriebssystemen getestet. **Produktversionen** + RHEL 7.3 und höher ## Architektur **Zieltechnologie-Stack** + RHEL Pacemaker-Alert, ereignisgesteuerter Agent + Amazon Elastic Compute Cloud (Amazon EC2) + CloudWatch Alarm + CloudWatch Protokollgruppe und metrischer Filter + Amazon SNS **Zielarchitektur** Das folgende Diagramm veranschaulicht die Komponenten und Workflows für diese Lösung. ![\[Architektur für die Überwachung von SAP RHEL Pacemaker-Clustern\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/ca4d282e-eadd-43fd-8506-3dbeb43e4db6/images/bfc96678-1fd3-47b6-8f09-bf7cf7c4a92c.png) **Automatisierung und Skalierung** + Sie können die Erstellung von AWS Ressourcen mithilfe von CloudFormation Skripten automatisieren. Sie können auch zusätzliche Metrikfilter verwenden, um mehrere Cluster zu skalieren und abzudecken. ## Tools **AWS-Services** + [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Kennzahlen Ihrer AWS Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen. + [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen. **Tools** + CloudWatch agent (unified) ist ein Tool, das Metriken, Protokolle und Traces auf Systemebene von EC2 Instances sammelt und benutzerdefinierte Metriken aus Ihren Anwendungen abruft. + Der Pacemaker-Alert-Agent (für RHEL 7.3 und höher) ist ein Tool, das bei einer Änderung eine Aktion auslöst, z. B. wenn eine Ressource in einem Pacemaker-Cluster gestoppt oder neu gestartet wird. ## Best Practices + Bewährte Methoden für die Verwendung von SAP-Workloads auf AWS finden Sie im [SAP Lens for the](https://docs.aws.amazon.com/wellarchitected/latest/sap-lens/sap-lens.html) AWS Well-Architected Framework. + Berücksichtigen Sie die Kosten, die mit der Einrichtung der CloudWatch Überwachung für SAP HANA-Cluster verbunden sind. Weitere Informationen finden Sie in der [CloudWatch -Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_billing.html). + Erwägen Sie die Verwendung eines Pagers oder eines Ticketing-Mechanismus für Amazon SNS SNS-Benachrichtigungen. + Suchen Sie immer nach RHEL-Hochverfügbarkeitsversionen (HA) des RPM-Pakets für **PCs**, Pacemaker und den Fencing-Agenten. AWS ## Epen ### Einrichten von Amazon SNS | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie ein SNS-Thema. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-sap-rhel-pacemaker-clusters-by-using-aws-services.html) | AWS-Administrator | | Ändern Sie die Zugriffsrichtlinie für das SNS-Thema. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-sap-rhel-pacemaker-clusters-by-using-aws-services.html) | AWS-Systemadministrator | | Abonnieren Sie das SNS-Thema. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-sap-rhel-pacemaker-clusters-by-using-aws-services.html)Ihr Webbrowser zeigt eine Bestätigungsantwort vom Amazon SNS an. | AWS-Systemadministrator | ### Bestätigen Sie die Einrichtung des Clusters | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Überprüfen Sie den Clusterstatus. | Verwenden Sie den Befehl **pcs status**, um zu überprüfen, ob die Ressourcen online sind. | SAP-Basisadministrator | ### Pacemaker-Warnmeldungen konfigurieren | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Konfigurieren Sie den Pacemaker-Alert-Agenten auf der primären Cluster-Instanz. | Melden Sie sich bei der EC2 Instanz im primären Cluster an und führen Sie die folgenden Befehle aus:
install --mode=0755 /usr/share/pacemaker/alerts/alert_file.sh.sample
touch /var/lib/pacemaker/alert_file.sh
touch /var/log/pcmk_alert_file.log
chown hacluster:haclient /var/log/pcmk_alert_file.log
chmod 600 /var/log/pcmk_alert_file.log
pcs alert create id=alert_file description="Log events to a file." path=/var/lib/pacemaker/alert_file.sh
pcs alert recipient add alert_file id=my-alert_logfile value=/var/log/pcmk_alert_file.log
| SAP-Basisadministrator | | Konfigurieren Sie den Pacemaker-Alert-Agenten auf der sekundären Clusterinstanz. | Melden Sie sich bei der sekundären EC2 Clusterinstanz im sekundären Cluster an und führen Sie die folgenden Befehle aus:
install --mode=0755 /usr/share/pacemaker/alerts/alert_file.sh.sample
touch /var/lib/pacemaker/alert_file.sh
touch /var/log/pcmk_alert_file.log
chown hacluster:haclient /var/log/pcmk_alert_file.log
chmod 600 /var/log/pcmk_alert_file.log
| SAP-Basisadministrator | | Vergewissern Sie sich, dass die RHEL-Alert-Ressource erstellt wurde. | Verwenden Sie den folgenden Befehl, um zu bestätigen, dass die Warnungsressource erstellt wurde:
pcs alert
Die Ausgabe des Befehls wird wie folgt aussehen:
[root@xxxxxxx ~]# pcs alert 
Alerts:
 Alert: alert_file (path=/var/lib/pacemaker/alert_file.sh)
  Description: Log events to a file.
  Recipients:
   Recipient: my-alert_logfile (value=/var/log/pcmk_alert_file.log)
| SAP-Basisadministrator | ### Konfigurieren Sie den CloudWatch Agenten | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Installieren Sie den CloudWatch Agenten. | Es gibt mehrere Möglichkeiten, den CloudWatch Agenten auf einer EC2 Instanz zu installieren. Um die Befehlszeile zu verwenden:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-sap-rhel-pacemaker-clusters-by-using-aws-services.html)Weitere Informationen finden Sie in der [CloudWatch -Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html). | AWS-Systemadministrator | | Fügen Sie der EC2 Instance eine IAM-Rolle hinzu. | Damit der CloudWatch Agent Daten von den Instances senden kann, müssen Sie jeder Instance die **CloudWatchAgentServerRole**IAM-Rolle zuordnen. Oder Sie können Ihrer bestehenden IAM-Rolle eine Richtlinie für den CloudWatch Agenten hinzufügen. Weitere Informationen finden Sie in der [CloudWatch -Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/create-iam-roles-for-cloudwatch-agent-commandline.html). | AWS-Administrator | | Konfigurieren Sie den CloudWatch Agenten so, dass er die Protokolldatei des Pacemaker Alert Agents auf der primären Clusterinstanz überwacht. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-sap-rhel-pacemaker-clusters-by-using-aws-services.html) | AWS-Administrator | | Starten Sie den CloudWatch Agenten auf den primären und sekundären Cluster-Instances. | Um den Agenten zu starten, führen Sie den folgenden Befehl auf den EC2 Instances im primären und sekundären Cluster aus:
sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a fetch-config -m
ec2 -s -c file:/opt/aws/amazon-cloudwatch-agent/bin/config.json
| AWS-Administrator | ### CloudWatch Ressourcen einrichten | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Richten CloudWatch Sie Protokollgruppen ein. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-sap-rhel-pacemaker-clusters-by-using-aws-services.html)Der CloudWatch Agent überträgt die Pacemaker-Warndatei als CloudWatch Log-Stream an die Log-Gruppe. | AWS-Administrator | | Richten Sie CloudWatch metrische Filter ein. | Metrische Filter helfen Ihnen bei der Suche nach einem Muster, z. B. `stop ` in den CloudWatch Log-Streams. Wenn dieses Muster identifiziert wird, aktualisiert der Metrikfilter eine benutzerdefinierte Metrik.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-sap-rhel-pacemaker-clusters-by-using-aws-services.html)Wenn der Metrikfilter das Muster in Schritt 4 identifiziert, aktualisiert er den Wert der CloudWatch benutzerdefinierten Metrik `sapcluster_abc` auf **1.**Der CloudWatch Alarm `SAP-Cluster-QA1-ABC` überwacht die Metrik `sapcluster_abc` und sendet eine SNS-Benachrichtigung, wenn sich der Wert der Metrik auf **1** ändert. Dies weist darauf hin, dass die Clusterressource gestoppt wurde und Maßnahmen ergriffen werden müssen. | AWS-Administrator, SAP-Basisadministrator | | Richten Sie einen CloudWatch Metrikalarm für die SAP ASCS/SCS - und ERS-Metrik ein. | So erstellen Sie einen Alarm, der auf einer einzelnen Metrik basiert:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-sap-rhel-pacemaker-clusters-by-using-aws-services.html) | AWS-Administrator | | Richten Sie einen CloudWatch Metrikalarm für die SAP HANA-Metrik ein. | Wiederholen Sie die Schritte zur Einrichtung eines CloudWatch metrischen Alarms aus der vorherigen Aufgabe mit den folgenden Änderungen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-sap-rhel-pacemaker-clusters-by-using-aws-services.html) | AWS-Administrator | ## Zugehörige Ressourcen + [Auslösen von Skripten für Cluster-Ereignisse](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/high_availability_add-on_reference/index#ch-alertscripts-HAAR) (RHEL-Dokumentation) + [Erstellen Sie die CloudWatch Agent-Konfigurationsdatei mit dem Assistenten (Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/create-cloudwatch-agent-configuration-file-wizard.html)) CloudWatch + [Installation und Ausführung des CloudWatch Agenten auf Ihren Servern](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-commandline-fleet.html) (CloudWatch Dokumentation) + [Erstellen Sie einen CloudWatch Alarm auf der Grundlage eines statischen Schwellenwerts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ConsoleAlarms.html) (CloudWatch Dokumentation) + [Manuelle Bereitstellung von SAP HANA on AWS mit Hochverfügbarkeitsclustern](https://docs.aws.amazon.com/sap/latest/sap-hana/sap-hana-on-aws-manual-deployment-of-sap-hana-on-aws-with-high-availability-clusters.html) (SAP-Dokumentation auf der AWS Website) + [ NetWeaver SAP-Leitfäden](https://docs.aws.amazon.com/sap/latest/sap-netweaver/welcome.html) (SAP-Dokumentation auf der AWS Website) ## Anlagen [Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/ca4d282e-eadd-43fd-8506-3dbeb43e4db6/attachments/attachment.zip) # Überwachen Sie die Anwendungsaktivität mithilfe von CloudWatch Logs Insights *Ram Kandaswamy, Amazon Web Services* ## Zusammenfassung Dieses Muster bietet eine Lösung für die automatische Erkennung und Warnung bei Anwendungsausnahmen mithilfe von Amazon CloudWatch Logs Insights. Durch die Implementierung automatisierter Protokollanalysen und Warnmeldungen können Sie Anwendungsprobleme in Ihrer Produktionsumgebung schnell erkennen und darauf reagieren. Protokolle spielen eine entscheidende Rolle bei der Überwachung des Systemverhaltens, der Identifizierung von Problemen und der Sicherstellung einer optimalen Leistung. Während eines Migrationsprozesses sind Protokolldateien von unschätzbarem Wert, wenn es darum geht, die Funktionsfähigkeit des Systems in der neuen Umgebung zu überprüfen, Kompatibilitätsprobleme zu erkennen und unerwartetes Verhalten zu identifizieren. Probleme können betriebs- oder sicherheitsbedingt sein. Bei sicherheitsrelevanten Problemen ist es wichtig, die frühzeitige Erkennung von unbefugten Zugriffsversuchen oder verdächtigen Aktivitäten zu ermöglichen, um die Sicherheit und die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Diese Fähigkeit ist besonders wichtig, wenn es um sensible Daten oder kritische Systeme geht. Dieses Muster ist besonders nützlich für Teams, die Folgendes tun müssen: + Sorgen Sie für eine hohe Anwendungsverfügbarkeit. + Reagieren Sie schnell auf Produktionsprobleme. + Analysieren Sie anwendungsspezifische Fehler, die nicht in Protokollen erfasst AWS-Service wurden. + Führen Sie Protokollanalysen auf Abruf ohne vorgefertigte Infrastruktur durch. CloudWatch Logs Insights eignet sich optimal für die Analyse von anwendungsgenerierten Protokollen, bei denen der Fehlerkontext nur innerhalb Ihres Anwendungscodes existiert. CloudWatch Logs Insights zeichnet sich durch die folgenden Aufgaben aus: + Fragen Sie unstrukturierte oder halbstrukturierte Protokolldaten ab. + Führen Sie bei der Reaktion auf Vorfälle On-Demand-Analysen durch. + Korrelieren Sie Ereignisse über mehrere Protokollgruppen hinweg. + Erstellen Sie schnelle Visualisierungen ohne externe Tools. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Eine Produktionsanwendung, die in Active bereitgestellt wird AWS-Konto + Grundlegendes Verständnis des Protokollierungsformats und der Ausnahmemuster der Produktionsanwendung + Anwendungsprotokolle, die so konfiguriert sind, dass sie zu Amazon CloudWatch Logs gestreamt werden **Einschränkungen** + Einige AWS-Services sind nicht in allen verfügbar AWS-Regionen. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie unter [AWS Dienste nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie unter [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus. ## Architektur Das folgende Diagramm zeigt, wie CloudWatch Logs Insights Ressourcenprotokolle auswertet und eine entsprechende Datenvisualisierung an ein Dashboard sendet. CloudWatch ![\[CloudWatch Logs Insights wertet Ressourcenprotokolle aus und sendet die Datenvisualisierung an das Dashboard.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/082ff4b6-9303-42e6-bc62-263e2254f232/images/b1cbb699-07cd-45e6-ac06-839159bafa6b.png) Das Diagramm zeigt den folgenden Workflow: 1. Die Ressourcen veröffentlichen Protokolle in CloudWatch Logs. Zu den Ressourcen können AWS Ressourcen wie Amazon Elastic Compute Cloud (Amazon EC2) -Instances oder Amazon Simple Storage Service (Amazon S3) -Buckets gehören. Ein anderes Beispiel sind lokale Systeme, auf denen ein CloudWatch Agent installiert ist und auf denen Protokolle veröffentlicht werden können. CloudWatch 1. CloudWatch Logs Insights filtert nach der entsprechenden Musterzeichenfolge. Beispiele für Suchmusterzeichenfolgen sind „Fehler“, „Ausnahme“ oder ein bestimmter regulärer Ausdruck. 1. In der Regel fügen das Produktionsunterstützungsteam oder die Entwickler die Mustervisualisierung dem CloudWatch Dashboard hinzu. **Automatisierung und Skalierung** Entwickler können die Lösung dieses Musters automatisieren, indem sie das AWS Cloud Development Kit (AWS CDK),, oder verwenden AWS CloudFormation, AWS SDKs um mehrere Zeichenkettenmuster zu verarbeiten. Teams können diese Automatisierung in ihre kontinuierlichen Integrations- und Bereitstellungsprozesse (CI/CD) DevOps integrieren. ## Tools **AWS-Services** + [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) hilft Ihnen dabei, die Protokolle all Ihrer Systeme und Anwendungen zu zentralisieren, AWS-Services sodass Sie sie überwachen und sicher archivieren können. + [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, sie zu verwenden. + [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) hilft Ihnen dabei, kryptografische Schlüssel zu erstellen und zu kontrollieren, um Ihre Daten zu schützen. ## Best Practices **Effizienz bei Abfragen** + Definieren und konfigurieren Sie [Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html), um relevante Protokolldaten zu analysieren. + Verwenden Sie Feld-Explorer, um die Struktur und die Felder zu verstehen, die in Ihren Protokolldaten verfügbar sind. + Schreiben Sie effiziente Abfragen mithilfe der [CloudWatch Logs Insights-Abfragesyntax](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_AnalyzeLogData_LogsInsights.html). + Passen Sie [Beispielabfragen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-examples.html) für eine schnellere Analyse an Ihre spezifischen Anforderungen an. + Begrenzen Sie die Abfragezeiträume, um die Anzahl der gescannten Daten zu reduzieren und die Leistung zu verbessern. + [Speichern Sie Abfragen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_Insights-Saving-Queries.html) für die future Verwendung, um Zeit zu sparen und eine konsistente Analyse sicherzustellen. **Sicherheit** + Wenden Sie die entsprechenden [IAM-Richtlinien](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) auf CloudWatch Logs Insights und Protokollgruppen an. Folgen Sie dem Prinzip der geringsten Rechte und gewähren Sie die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen. Weitere Informationen finden Sie in der IAM-Dokumentation unter [Gewährung der geringsten Rechte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) und [bewährte Methoden zur Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html). + Aktivieren [Sie die Protokolldatenverschlüsselung AWS KMS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs-Insights-Query-Encrypt.html) für sensible Protokolldaten. **Kostenoptimierung** + CloudWatch Logs Insights berechnet pro GB gescannter Daten pro Abfrage. Schränken Sie die Zeiträume ein und konzentrieren Sie sich auf bestimmte Protokollgruppen, um die Kosten zu senken. + Konfigurieren Sie geeignete Richtlinien zur Aufbewahrung von Protokollen, um die Speicherkosten im Griff zu behalten. + Für die häufige Analyse großer historischer Datensätze sollten Sie den Export von Protokollen nach Amazon S3 und die Verwendung von Amazon Athena in Betracht ziehen. + Sehen Sie sich die [CloudWatch Preise](https://aws.amazon.com/cloudwatch/pricing/) an, um mehr über die Auswirkungen auf die Kosten für Ihren Anwendungsfall zu erfahren. ## Epen ### Erstellen Sie eine Protokollgruppe und konfigurieren Sie die Protokolle zur Anzeige im Dashboard. | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Konfigurieren Sie IAM-Berechtigungen. | Gehen Sie wie folgt vor, um IAM-Berechtigungen zu konfigurieren:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-application-activity-by-using-cloudwatch-logs-insights.html)Informationen zum Erstellen von IAM-Richtlinien oder zum Hinzufügen von Berechtigungen zu vorhandenen Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) und [Bearbeiten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) im *IAM-Benutzerhandbuch*. Weitere Informationen finden Sie unter [Identitäts- und Zugriffsmanagement für Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/auth-and-access-control-cwl.html) und [Referenz zu CloudWatch Logs-Berechtigungen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/permissions-reference-cwl.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*. | AWS-Administrator DevOps, AWS, AWS-Systemadministrator, Cloud-Administrator, Cloud-Architekt, DevOps Ingenieur | | Erstellen Sie eine -Protokollgruppe. | Verwenden Sie eine der folgenden Optionen, um eine Protokollgruppe zu erstellen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-application-activity-by-using-cloudwatch-logs-insights.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-application-activity-by-using-cloudwatch-logs-insights.html) | AWS-Administrator DevOps, AWS, AWS-Systemadministrator, Cloud-Administrator, Cloud-Architekt, DevOps Ingenieur | | Generieren Sie eine CloudWatch Logs Insights-Abfrage. | Gehen Sie wie folgt vor, um eine CloudWatch Logs Insights-Abfrage zu erstellen und zu speichern:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-application-activity-by-using-cloudwatch-logs-insights.html) | AWS-Administrator DevOps, AWS, AWS-Systemadministrator, Cloud-Administrator, Cloud-Architekt, DevOps Ingenieur | | Erstellen Sie eine Visualisierung in einem CloudWatch Dashboard. | Gehen Sie wie folgt vor, um ein CloudWatch Dashboard zum Erstellen einer Visualisierung zu verwenden:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-application-activity-by-using-cloudwatch-logs-insights.html)Weitere Informationen zu Dashboard-Optionen und -Funktionen finden Sie unter [Verwenden von CloudWatch Amazon-Dashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) und [Erstellen flexibler CloudWatch Dashboards mit Dashboard-Variablen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_dashboard_variables.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*. | AWS-Administrator DevOps, AWS, AWS-Systemadministrator, Cloud-Administrator, Cloud-Architekt, DevOps Ingenieur | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | Die Abfrageergebnisse können nicht angezeigt werden oder die Abfrage scheint defekt zu sein | Beginnen Sie mit einer funktionierenden Abfrage, die anhand einer [Beispielabfrage](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-examples.html) geändert wurde. Nehmen Sie kleine inkrementelle Änderungen an Teilen der Abfrage vor (z. B. an einem Filter oder Feld) und nutzen Sie die [Funktion zum Generieren von CloudWatch Protokollabfragen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs-Insights-Query-Assist.html). | | Protokollgruppen, die keine Protokolldatenströme erstellen | Stellen Sie in der IAM-Richtlinie sicher, dass die Ressource für die [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html)und die [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)Operationen mit einem Platzhalterzeichen versehen ist. `(*)` Ohne diese Platzhalterberechtigung ist der `create ` Vorgang nicht erfolgreich. | | Zeitlimit für Abfragen oder langsame Leistung | Reduzieren Sie den Zeitraum, zielen Sie auf bestimmte Protokollgruppen ab oder vereinfachen Sie die Abfrage. Komplexe Muster für reguläre Ausdrücke (`regex`) und große Zeitbereiche erhöhen die Abfragezeit. | | Für einen gültigen Zeitraum wurden keine Daten zurückgegeben | Überprüfen Sie die Auswahl der Protokollgruppe und stellen Sie sicher, dass Protokolle aufgenommen werden (überprüfen Sie die Protokollstreams), und stellen Sie sicher, dass das Filtermuster Ihrem Protokollformat entspricht. | ## Zugehörige Ressourcen + [Analysieren von Protokolldaten mit CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) + [Amazon CloudWatch FAQs](https://aws.amazon.com/cloudwatch/faqs/#topic-0) + [Erstellung flexibler CloudWatch Dashboards mit Dashboard-Variablen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_dashboard_variables.html) + [Erste Schritte mit Logs Insights QL: Query tutorials](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_AnalyzeLogData_Tutorials.html) + [Verwenden Sie natürliche Sprache, um CloudWatch Logs Insights-Abfragen zu generieren und zu aktualisieren](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs-Insights-Query-Assist.html) + [Verwendung PutDashboard mit einem AWS SDK oder CLI](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/example_cloudwatch_PutDashboard_section.html) + [Arbeiten mit Protokollgruppen und Protokollströmen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) # Überwachen Sie die Nutzung eines gemeinsam genutzten Amazon Machine Image über mehrere AWS-Konten *Naveen Suthar und Sandeep Gawande, Amazon Web Services* ## Zusammenfassung [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) werden verwendet, um Amazon Elastic Compute Cloud (Amazon EC2) -Instances in Ihrer Amazon Web Services (AWS) -Umgebung zu erstellen. Sie können ein separates, zentrales AWS-Konto erstellen AMIs , das in diesem Muster als *Creator-Konto* bezeichnet wird. Sie können das AMI dann für mehrere Benutzer gemeinsam nutzen AWS-Konten , die sich in demselben Muster befinden AWS-Region, die in diesem Muster als *Verbraucherkonten* bezeichnet werden. Die Verwaltung AMIs von einem einzigen Konto aus bietet Skalierbarkeit und vereinfacht die Verwaltung. In den Verbraucherkonten können Sie auf das gemeinsam genutzte AMI in Amazon EC2 Auto Scaling [Scaling-Startvorlagen](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) und Amazon Elastic Kubernetes Service (Amazon EKS) [-Knotengruppen](https://docs.aws.amazon.com/eks/latest/userguide/managed-node-groups.html) verweisen. Wenn ein gemeinsam genutztes AMI [veraltet, [deregistriert](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/deregister-ami.html)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ami-deprecate.html) oder [nicht gemeinsam genutzt](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-explicit.html) ist, können die auf AWS-Services das AMI in den Verbraucherkonten verweisenden AMIs dieses AMI nicht verwenden, um neue Instances zu starten. Jedes Auto Scaling-Ereignis oder jeder Relaunch derselben Instance schlägt fehl. Dies kann zu Problemen in der Produktionsumgebung führen, z. B. zu Anwendungsausfällen oder Leistungseinbußen. Wenn AMI-Sharing- und Nutzungsereignisse mehrfach auftreten AWS-Konten, kann es schwierig sein, diese Aktivität zu überwachen. Dieses Muster hilft Ihnen dabei, die gemeinsame AMI-Nutzung und den Status von Konten in derselben Region zu überwachen. Es verwendet serverlose AWS-Services Systeme wie Amazon EventBridge, Amazon DynamoDB und Amazon Simple Email Service (Amazon SES). AWS Lambda Sie stellen die Infrastruktur als Code (IaC) mithilfe von Terraform bereit. HashiCorp Diese Lösung gibt Warnmeldungen aus, wenn ein Dienst in einem Verbraucherkonto auf ein abgemeldetes oder nicht gemeinsam genutztes AMI verweist. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Zwei oder mehr aktive Konten AWS-Konten: ein Erstellerkonto und ein oder mehrere Verbraucherkonten + Eines oder mehrere AMIs , die vom Erstellerkonto mit einem Verbraucherkonto geteilt werden + Terraform CLI, [installiert](https://developer.hashicorp.com/terraform/cli) (Terraform-Dokumentation) + [Terraform AWS Provider, konfiguriert (Terraform-Dokumentation)](https://hashicorp.github.io/terraform-provider-aws/) + [(Optional, aber empfohlen) Terraform-Backend, konfiguriert (Terraform-Dokumentation)](https://developer.hashicorp.com/terraform/language/backend) + Git, [installiert](https://github.com/git-guides/install-git) **Einschränkungen** + Dieses Muster überwacht anhand der Konto-ID, AMIs welche für bestimmte Konten freigegeben wurden. Dieses Muster überwacht nicht AMIs , welche Daten mithilfe der Organisations-ID für eine Organisation freigegeben wurden. + AMIs kann nur mit Konten geteilt werden, die sich innerhalb derselben Gruppe befinden AWS-Region. Dieses Muster überwacht AMIs innerhalb einer einzigen Zielregion. Um die Nutzung von AMIs in mehreren Regionen zu überwachen, setzen Sie diese Lösung in jeder Region ein. + Bei diesem Muster werden keine Daten überwacht AMIs , die vor der Bereitstellung dieser Lösung geteilt wurden. Wenn Sie das bereits geteilte AMI überwachen möchten AMIs, können Sie die Freigabe des AMI aufheben und es dann erneut mit den Benutzerkonten teilen. **Produktversionen** + Terraform Version 1.2.0 oder höher + Terraform AWS Provider Version 4.20 oder höher ## Architektur **Zieltechnologie-Stack** Die folgenden Ressourcen werden als IaC über Terraform bereitgestellt: + Amazon-DynamoDB-Tabellen + EventBridge Amazon-Regeln + AWS Identity and Access Management (IAM) -Rolle + AWS Lambda Funktionen + Amazon SES **Zielarchitektur** ![\[Architektur zur Überwachung der gemeinsamen AMI-Nutzung und zur Benachrichtigung von Benutzern, wenn das AMI nicht gemeinsam genutzt oder deregistriert ist\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/2d709249-0c68-47d7-be5d-46e8a73071ed/images/8c48c4dd-d681-4c32-9ba8-8f5ad2d66f64.png) Das Diagramm zeigt den folgenden Workflow: 1. Ein AMI im Erstellerkonto wird mit einem Verbraucherkonto im selben Konto geteilt AWS-Region. 1. Wenn das AMI gemeinsam genutzt wird, erfasst eine EventBridge Regel im Erstellerkonto das `ModifyImageAttribute` Ereignis und initiiert eine Lambda-Funktion im Erstellerkonto. 1. Die Lambda-Funktion speichert Daten, die sich auf das AMI beziehen, in einer DynamoDB-Tabelle im Creator-Konto. 1. Wenn ein AWS-Service Kundenkonto das gemeinsame AMI verwendet, um eine EC2 Amazon-Instance zu starten, oder wenn das gemeinsam genutzte AMI mit einer Startvorlage verknüpft ist, erfasst eine EventBridge Regel im Verbraucherkonto die Nutzung des gemeinsamen AMI. 1. Die EventBridge Regel initiiert eine Lambda-Funktion im Verbraucherkonto. Die Lambda-Funktion bewirkt Folgendes: 1. Die Lambda-Funktion aktualisiert die AMI-bezogenen Daten in einer DynamoDB-Tabelle im Verbraucherkonto. 1. Die Lambda-Funktion nimmt eine IAM-Rolle im Creator-Konto an und aktualisiert die Lambda-Tabelle im Creator-Konto. In der `Mapping` Tabelle wird ein Element erstellt, das die Instance-ID oder die Startvorlagen-ID der jeweiligen AMI-ID zuordnet. 1. Das AMI, das zentral im Creator-Konto verwaltet wird, ist veraltet, deregistriert oder nicht gemeinsam genutzt. 1. Die EventBridge Regel im Creator-Konto erfasst das `ModifyImageAttribute` `DeregisterImage` OR-Ereignis mit der `remove` Aktion und initiiert die Lambda-Funktion. 1. Die Lambda-Funktion überprüft die DynamoDB-Tabelle, um festzustellen, ob das AMI in einem der Verbraucherkonten verwendet wird. Wenn in der `Mapping` Tabelle keine Instance IDs oder Startvorlage mit dem AMI IDs verknüpft ist, ist der Vorgang abgeschlossen. 1. Wenn dem AMI in der `Mapping` Tabelle eine Instance IDs oder Startvorlage IDs zugeordnet ist, verwendet die Lambda-Funktion Amazon SES, um eine E-Mail-Benachrichtigung an die konfigurierten Abonnenten zu senden. ## Tools **AWS-Services** + [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt. + [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel AWS Lambda Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen. AWS-Konten + [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, sie zu verwenden. + [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen. + [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) unterstützt Sie beim Senden und Empfangen von E-Mails mithilfe Ihrer eigenen E-Mail-Adressen und Domains. **Andere Tools** + [HashiCorp Terraform](https://www.terraform.io/docs) ist ein Infrastructure-as-Code-Tool (IaC), mit dem Sie mithilfe von Code Cloud-Infrastruktur und -Ressourcen bereitstellen und verwalten können. + [Python](https://www.python.org/) ist eine Allzweck-Computerprogrammiersprache. **Code-Repository** Der Code für dieses Muster ist im Repository GitHub [cross-account-ami-monitoring-terraform-samples](https://github.com/aws-samples/cross-account-ami-monitoring-terraform-samples) verfügbar. ## Best Practices + Folgen Sie den [Best Practices für die Arbeit](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html) mit Funktionen. AWS Lambda + Folgen Sie den [Best Practices für das Bauen AMIs](https://docs.aws.amazon.com/marketplace/latest/userguide/best-practices-for-building-your-amis.html). + Halten Sie sich bei der Erstellung der IAM-Rolle an das Prinzip der geringsten Rechte und gewähren Sie nur die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen. Weitere Informationen finden Sie in der IAM-Dokumentation unter [Gewährung der geringsten Rechte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) und [bewährte Methoden zur Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPracticesAndUseCases.html). + Richten Sie die Überwachung und Warnmeldungen für die AWS Lambda Funktionen ein. Weitere Informationen finden Sie unter [Überwachung und Problembehandlung von Lambda-Funktionen](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html). ## Epen ### Passen Sie die Terraform-Konfigurationsdateien an | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie die AWS CLI benannten Profile. | Erstellen Sie für das Erstellerkonto und jedes Verbraucherkonto ein AWS Command Line Interface (AWS CLI) benanntes Profil. Anweisungen dazu finden Sie AWS CLI im Ressourcencenter für die ersten AWS Schritte unter [Einrichten](https://aws.amazon.com/getting-started/guides/setup-environment/module-three/) von. | DevOps Ingenieur | | Klonen Sie das Repository | Geben Sie den folgenden Befehl ein. Dadurch wird das Repository [cross-account-ami-monitoring-terraform-samples](https://github.com/aws-samples/cross-account-ami-monitoring-terraform-samples) mithilfe von SSH geklont. GitHub 
git clone git@github.com:aws-samples/cross-account-ami-monitoring-terraform-samples.git
| DevOps Ingenieur | | Aktualisieren Sie die Datei provider.tf. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-use-of-a-shared-amazon-machine-image-across-multiple-aws-accounts.html)Weitere Informationen zur Konfiguration der Anbieter finden Sie unter [Konfigurationen mehrerer Anbieter](https://developer.hashicorp.com/terraform/language/providers/configuration#alias-multiple-provider-configurations) in der Terraform-Dokumentation. | DevOps Ingenieur | | Aktualisieren Sie die Datei terraform.tfvars. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-use-of-a-shared-amazon-machine-image-across-multiple-aws-accounts.html) | DevOps Ingenieur | | Aktualisieren Sie die Datei main.tf. | Führen Sie diese Schritte nur aus, wenn Sie diese Lösung für mehr als ein Kundenkonto bereitstellen. Wenn Sie diese Lösung nur für ein Verbraucherkonto bereitstellen, ist keine Änderung dieser Datei erforderlich.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-use-of-a-shared-amazon-machine-image-across-multiple-aws-accounts.html) | DevOps Ingenieur | ### Stellen Sie die Lösung mithilfe von Terraform bereit | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Stellen Sie die Lösung bereit. | Geben Sie in der Terraform-CLI die folgenden Befehle ein, um die AWS Ressourcen in den Creator- und Consumer-Konten bereitzustellen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-use-of-a-shared-amazon-machine-image-across-multiple-aws-accounts.html) | DevOps Ingenieur | | Überprüfen Sie die Identität der E-Mail-Adresse. | Bei der Bereitstellung des Terraform-Plans hat Terraform für jedes Verbraucherkonto in Amazon SES eine E-Mail-Adressidentität erstellt. Bevor Benachrichtigungen an diese E-Mail-Adresse gesendet werden können, müssen Sie die E-Mail-Adresse überprüfen. Anweisungen finden Sie in der Amazon SES SES-Dokumentation unter [Verifizieren der Identität einer E-Mail-Adresse](https://docs.aws.amazon.com/ses/latest/dg/creating-identities.html#just-verify-email-proc). | Allgemeines AWS | ### Überprüfen Sie den Ressourceneinsatz | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Bestätigen Sie die Bereitstellung im Creator-Konto. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-use-of-a-shared-amazon-machine-image-across-multiple-aws-accounts.html) | DevOps Ingenieur | | Überprüfen Sie die Bereitstellung im Kundenkonto. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-use-of-a-shared-amazon-machine-image-across-multiple-aws-accounts.html) | DevOps Ingenieur | ### Überwachung validieren | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie ein AMI im Creator-Konto. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-use-of-a-shared-amazon-machine-image-across-multiple-aws-accounts.html) | DevOps Ingenieur | | Verwenden Sie das AMI im Verbraucherkonto. | Verwenden Sie im Verbraucherkonto das gemeinsam genutzte AMI, um eine EC2 Amazon-Instance oder eine Startvorlage zu erstellen. Anweisungen finden Sie unter [Wie starte ich eine EC2 Amazon-Instance von einem benutzerdefinierten AMI aus](https://repost.aws/knowledge-center/launch-instance-custom-ami) (AWS re:POST Knowledge Center) oder [Erstellen Sie eine Startvorlage für eine Auto Scaling Scaling-Gruppe (Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html) Scaling-Dokumentation). | DevOps Ingenieur | | Überprüfen Sie die Überwachung und Alarmierung. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-use-of-a-shared-amazon-machine-image-across-multiple-aws-accounts.html) | DevOps Ingenieur | ### (Optional) Beenden Sie die gemeinsame Überwachung AMIs | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Löschen Sie die Ressourcen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-use-of-a-shared-amazon-machine-image-across-multiple-aws-accounts.html) | DevOps Ingenieur | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | Ich habe keine E-Mail-Benachrichtigung erhalten. | Es kann mehrere Gründe geben, warum die Amazon SES SES-E-Mail nicht gesendet wurde. Überprüfen Sie, ob Folgendes der Fall ist:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-use-of-a-shared-amazon-machine-image-across-multiple-aws-accounts.html) | ## Zugehörige Ressourcen **AWS Dokumentation** + [Lambda-Funktionen mit Python erstellen](https://docs.aws.amazon.com/lambda/latest/dg/lambda-python.html) (Lambda-Dokumentation) + [Ein AMI erstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-ami.html) ( EC2 Amazon-Dokumentation) + [Teilen Sie ein AMI mit bestimmten Personen AWS-Konten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-explicit.html) ( EC2 Amazon-Dokumentation) + [Ihr AMI abmelden](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/deregister-ami.html) ( EC2 Amazon-Dokumentation) **Terraform-Dokumentation** + [Installieren Sie Terraform](https://learn.hashicorp.com/tutorials/terraform/install-cli) + [Terraform-Backend-Konfiguration](https://www.terraform.io/language/settings/backends/configuration) + [Terraform AWS-Anbieter](https://registry.terraform.io/providers/hashicorp/aws/latest/docs) + [Terraform-Binärdatei herunterladen](https://developer.hashicorp.com/terraform/install) # EBS-Snapshot-Details für Ihr AWS-Konto oder Ihre Organisation anzeigen *Arun Chandapillai und Parag Nagwekar, Amazon Web Services* ## Zusammenfassung Dieses Muster beschreibt, wie Sie automatisch einen On-Demand-Bericht über alle Amazon Elastic Block Store (Amazon EBS) -Snapshots in Ihrem Amazon Web Services (AWS) -Konto oder Ihrer Organisationseinheit (OU) in AWS Organizations generieren können.  Amazon EBS ist ein skalierbarer easy-to-use, leistungsstarker Blockspeicherservice, der für Amazon Elastic Compute Cloud (Amazon EC2) entwickelt wurde. Ein EBS-Volume bietet dauerhaften und persistenten Speicher, den Sie an Ihre EC2 Instances anhängen können. Sie können EBS-Volumes als Primärspeicher für Ihre Daten verwenden und eine point-in-time Sicherungskopie Ihrer EBS-Volumes erstellen, indem Sie einen Snapshot erstellen. Sie können die AWS-Managementkonsole oder die AWS-Befehlszeilenschnittstelle (AWS CLI) verwenden, um die Details bestimmter EBS-Snapshots anzuzeigen. Dieses Muster bietet eine programmatische Methode zum Abrufen von Informationen über alle EBS-Snapshots in Ihrem AWS-Konto oder Ihrer Organisationseinheit. Sie können das in diesem Muster bereitgestellte Skript verwenden, um eine Datei mit kommagetrennten Werten (CSV) zu generieren, die die folgenden Informationen zu jedem Snapshot enthält: Konto-ID, Snapshot-ID, Volume-ID und -Größe, Datum, an dem der Snapshot aufgenommen wurde, Instance-ID und Beschreibung. Wenn Ihre EBS-Snapshots markiert sind, enthält der Bericht auch die Eigentümer- und Teamattribute. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktives AWS-Konto + AWS CLI Version 2 [installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html#getting-started-install-instructions) und [konfiguriert](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) + Rolle AWS Identity and Access Management (IAM) mit den entsprechenden Berechtigungen (Zugriffsberechtigungen für ein bestimmtes Konto oder für alle Konten in einer Organisationseinheit, wenn Sie planen, das Skript von AWS Organizations aus auszuführen) ## Architektur Das folgende Diagramm zeigt den Skript-Workflow, der einen On-Demand-Bericht über EBS-Snapshots generiert, die auf mehrere AWS-Konten in einer Organisationseinheit verteilt sind. ![\[Generierung eines On-Demand-Berichts über EBS-Snapshots in allen Bereichen. OUs\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/4e8b1812-2731-4f46-8385-0dd4d92f2d03/images/62d10408-7c85-46cf-a6a4-fe87a6e446f2.png) ## Tools **AWS-Services** + [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer Befehlszeilen-Shell mit AWS-Services interagieren können. + [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) bietet Speichervolumes auf Blockebene zur Verwendung mit Instances. EC2   + [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden. + [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) ist ein Kontoverwaltungsservice, mit dem Sie mehrere AWS-Konten in einer Organisation konsolidieren können, die Sie erstellen und zentral verwalten. **Code** Der Code für die in diesem Muster verwendete Beispielanwendung ist im [aws-ebs-snapshots-awsorganizations](https://github.com/aws-samples/aws-ebs-snapshots-awsorganizations)Repository verfügbar. GitHub Folgen Sie den Anweisungen im nächsten Abschnitt, um die Beispieldateien zu verwenden. ## Epen ### Laden Sie das Skript herunter | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Laden Sie das Python-Skript herunter. | Laden Sie das Skript [GetSnapshotDetailsAllAccountsOU.py](https://github.com/aws-samples/aws-ebs-snapshots-awsorganizations/blob/main/GetSnapshotDetailsAllAccountsOU.py) aus dem [GitHub Repository](https://github.com/aws-samples/aws-ebs-snapshots-awsorganizations) herunter. | Allgemeines AWS | ### EBS-Snapshot-Details für ein AWS-Konto abrufen | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Führen Sie das Python-Skript aus. | Führen Sie den Befehl aus:
python3 getsnapshotinfo.py --file .csv --region
wobei `` sich auf die CSV-Ausgabedatei bezieht, in der Sie Informationen zu den platzierten EBS-Snapshots abrufen möchten, und `` ist die AWS-Region, in der die Snapshots gespeichert werden. Beispiel:
python3 getsnapshotinfo.py --file snapshots.csv --region us-east-1
| Allgemeines AWS | ### Rufen Sie EBS-Snapshot-Details für eine Organisation ab | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Führen Sie das Python-Skript aus. | Führen Sie den Befehl aus:
python3 getsnapshotinfo.py --file .csv --role  --region
wobei `` sich auf die CSV-Ausgabedatei bezieht, in der Sie Informationen zu den platzierten EBS-Snapshots abrufen möchten, `` ist eine Rolle, die Berechtigungen für den Zugriff auf AWS Organizations bereitstellt, und `` ist die AWS-Region, in der die Snapshots gespeichert werden. Beispiel:
python3 getsnapshotinfo.py --file snapshots.csv --role  --region us-west-2
| Allgemeines AWS | ## Zugehörige Ressourcen + [Amazon EBS-Dokumentation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) + [Amazon EBS-Aktionen](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/OperationList-query-ebs.html) + [Amazon EBS API-Referenz](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ebs/index.html) + [Verbesserung der Leistung von Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSPerformance.html) + [Amazon EBS-Ressourcen](https://aws.amazon.com/ebs/resources/) + [EBS-Snapshot-Preise](https://aws.amazon.com/ebs/pricing/) ## Zusätzliche Informationen **EBS-Snapshot-Typen** Amazon EBS bietet je nach Besitz und Zugriff drei Arten von Snapshots: + **Gehört Ihnen** —**** Standardmäßig können nur Sie Volumes aus Snapshots erstellen, die Sie besitzen. + **Öffentliche Snapshots** — Sie können Snapshots öffentlich mit allen anderen AWS-Konten teilen. Um einen öffentlichen Snapshot zu erstellen, ändern Sie die Berechtigungen für einen Snapshot, um ihn für die von Ihnen angegebenen AWS-Konten freizugeben. Benutzer, die Sie autorisieren, können dann die von Ihnen geteilten Snapshots verwenden, indem sie ihre eigenen EBS-Volumes erstellen. Ihr ursprünglicher Snapshot bleibt davon unberührt. Sie können Ihre unverschlüsselten Snapshots auch allen AWS-Benutzern öffentlich zugänglich machen. Aus Sicherheitsgründen können Sie Ihre verschlüsselten Snapshots jedoch nicht öffentlich zugänglich machen. Öffentliche Schnappschüsse stellen ein erhebliches Sicherheitsrisiko dar, da persönliche und sensible Daten offengelegt werden können. Wir empfehlen dringend, Ihre EBS-Snapshots nicht mit allen AWS-Konten zu teilen. Weitere Informationen zum Teilen von Snapshots finden Sie in der [AWS-Dokumentation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html). + **Private Snapshots** — Sie können Snapshots privat mit einzelnen AWS-Konten teilen, die Sie angeben. Um den Snapshot privat mit bestimmten AWS-Konten zu teilen, folgen Sie den [Anweisungen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) in der AWS-Dokumentation und wählen Sie **Privat** für die Berechtigungseinstellung. Benutzer, die Sie autorisiert haben, können die von Ihnen freigegebenen Snapshots zur Erstellung ihrer eigenen EBS-Volumes verwenden, während Ihr Original-Snapshot davon unberührt bleibt. **Übersichten und Verfahren** Die folgende Tabelle enthält Links zu weiteren Informationen über EBS-Snapshots, einschließlich Informationen dazu, wie Sie die EBS-Volumenkosten senken können, indem Sie unbenutzte Snapshots suchen und löschen und selten aufgerufene Snapshots archivieren, auf die selten zugegriffen wird und die nicht häufig oder schnell abgerufen werden müssen.  | | | Für Informationen über | Siehe | | --- |--- | | **Schnappschüsse, ihre Funktionen und Einschränkungen** | [Amazon EBS-Snapshots erstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html) | | **Wie erstelle ich einen Snapshot** | Konsole: [Erstellen Sie einen Snapshot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html#ebs-create-snapshot)AWS-CLI: Befehl [create-snapshot](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-snapshot.html)Beispiel:
aws ec2 create-snapshot --volume-id vol-1234567890abcdef0 --description " volume snapshot"
| | **Löschen von Snapshots (allgemeine Informationen)** | [Löschen Sie einen Amazon EBS-Snapshot](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ebs-deleting-snapshot.html) | | **Wie lösche ich einen Snapshot** | Konsole: [Löscht einen Snapshot](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ebs-deleting-snapshot.html#ebs-delete-snapshot)AWS-CLI: Befehl [delete-snapshot](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-snapshot.html)Beispiel:
aws ec2 delete-snapshot --snapshot-id snap-1234567890abcdef0
| | **Archivieren von Snapshots (allgemeine Informationen)** | [Archivieren von Amazon-EBS-Snapshots](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/snapshot-archive.html)[Amazon EBS-Snapshot-Archiv](https://aws.amazon.com/blogs/aws/new-amazon-ebs-snapshots-archive/) (Blogbeitrag) | | **Wie archiviere ich einen Snapshot** | Konsole: [Archivieren Sie einen Snapshot](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/working-with-snapshot-archiving.html#archive-snapshot)AWS CLI: [modify-snapshot-tier Befehl](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/modify-snapshot-tier.html) | | **Wie rufe ich einen archivierten Snapshot ab** | Konsole: [Stellen Sie einen archivierten Snapshot](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/working-with-snapshot-archiving.html#restore-archived-snapshot) wieder herAWS CLI: [restore-snapshot-tier Befehl](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/restore-snapshot-tier.html) | | **Preise für Snapshots** | [Amazon EBS-Preise](https://aws.amazon.com/ebs/pricing/) | **HÄUFIG GESTELLTE FRAGEN** **Was ist der Mindestarchivierungszeitraum?** Der minimale Archivzeitraum beträgt 90 Tage. **Wie lange würde es dauern, einen archivierten Snapshot wiederherzustellen?** Je nach Größe des Snapshots kann es bis zu 72 Stunden dauern, bis ein archivierter Snapshot von der Archivstufe auf die Standardstufe wiederhergestellt wird. **Sind archivierte Snapshots vollständige Snapshots?** Archivierte Snapshots sind immer vollständige Snapshots. **Welche Snapshots kann ein Benutzer archivieren?** Sie können nur Snapshots archivieren, deren Eigentümer Sie in Ihrem Konto sind. **Können Sie einen Snapshot des Root-Geräte-Volumes eines registrierten Amazon Machine Image (AMI) archivieren?** Nein, Sie können keinen Snapshot des Root-Geräte-Volumes eines registrierten AMI archivieren. **Was sind Sicherheitsaspekte bei der gemeinsamen Nutzung eines Snapshots?** Wenn Sie einen Snapshot teilen, gewähren Sie anderen Zugriff auf alle Daten im Snapshot. Teilen Sie Snapshots nur mit Personen, denen Sie Ihre Daten anvertrauen. **Wie teilen Sie einen Snapshot mit einer anderen AWS-Region?** Snapshots sind auf die Region beschränkt, in der sie erstellt wurden. Um einen Snapshot in einer anderen Region freizugeben, kopieren Sie den Snapshot in die Region und geben dann die Kopie frei. **Können Sie verschlüsselte Snapshots teilen?** Sie können keine Snapshots teilen, die mit dem standardmäßigen verwalteten AWS-Schlüssel verschlüsselt sind. Sie können nur Snapshots teilen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind. Wenn Sie einen verschlüsselten Snapshot teilen, müssen Sie auch den vom Kunden verwalteten Schlüssel teilen, der zum Verschlüsseln des Snapshots verwendet wurde. **Was ist mit unverschlüsselten Snapshots?** Sie können unverschlüsselte Snapshots öffentlich teilen. # Mehr Muster **Topics** + [Automatisieren Sie die Kontoerstellung mit dem Landing Zone Accelerator auf AWS](automate-account-creation-lza.md) + [Automatisieren Sie den AWS Infrastrukturbetrieb mithilfe von Amazon Bedrock](automate-aws-infrastructure-operations-by-using-amazon-bedrock.md) + [Automatisieren Sie die AWS-Ressourcenbewertung](automate-aws-resource-assessment.md) + [Automatische Inventarisierung von AWS Ressourcen für mehrere Konten und Regionen](automate-aws-resource-inventory.md) + [Automatisieren Sie das AWS Service Catalog-Portfolio und die Produktbereitstellung mithilfe von AWS CDK](automate-aws-service-catalog-portfolio-and-product-deployment-by-using-aws-cdk.md) + [Automatisieren Sie das dynamische Pipeline-Management für die Bereitstellung von Hotfix-Lösungen in Gitflow-Umgebungen mithilfe von und AWS Service Catalog AWS CodePipeline](automate-dynamic-pipeline-management-for-deploying-hotfix-solutions.md) + [Automatisieren Sie die Erfassung und Visualisierung von benutzerdefinierten Amazon MWAA-Metriken auf Amazon Managed Grafana mithilfe von Terraform](automate-ingestion-and-visualization-of-amazon-mwaa-custom-metrics.md) + [Automatisches Hinzufügen einer von AWS verwalteten Richtlinie für Systems Manager zu EC2 Instanzprofilen mithilfe von Cloud Custodian und AWS CDK](automatically-attach-an-aws-managed-policy-for-systems-manager-to-ec2-instance-profiles-using-cloud-custodian-and-aws-cdk.md) + [Automatisches Verschlüsseln vorhandener und neuer Amazon EBS-Volumes](automatically-encrypt-existing-and-new-amazon-ebs-volumes.md) + [Erstellen Sie eine AWS landing zone, die MongoDB Atlas enthält](build-aws-landing-zone-that-includes-mongodb-atlas.md) + [Zentralisieren Sie die Überwachung mithilfe von Amazon CloudWatch Observability Access Manager](centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.md) + [EC2 Instances beim Start auf obligatorische Tags überprüfen](check-ec2-instances-for-mandatory-tags-at-launch.md) + [Bereinigen Sie die Ressourcen von AWS Account Factory for Terraform (AFT) nach dem Verlust von Statusdateien sicher](clean-up-aft-resources-safely-after-state-file-loss.md) + [Erstellen Sie eine Amazon ECS-Aufgabendefinition und mounten Sie mithilfe von Amazon EFS ein Dateisystem auf EC2 Instances](create-an-amazon-ecs-task-definition-and-mount-a-file-system-on-ec2-instances-using-amazon-efs.md) + [Erstellen Sie AWS Config benutzerdefinierte Regeln mithilfe von AWS CloudFormation Guard Richtlinien](create-aws-config-custom-rules-by-using-aws-cloudformation-guard-policies.md) + [Passen Sie Standardrollennamen mithilfe von AWS CDK Aspekten und Escape-Schraffuren an](customize-default-role-names-by-using-aws-cdk-aspects-and-escape-hatches.md) + [Implementieren und verwalten Sie AWS Control Tower Kontrollen mithilfe von AWS CDK und CloudFormation](deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.md) + [Stellen Sie AWS Control Tower Kontrollen mithilfe von Terraform bereit und verwalten Sie sie](deploy-and-manage-aws-control-tower-controls-by-using-terraform.md) + [Stellen Sie mithilfe von AWS CodePipeline, AWS und AWS Code in mehreren CodeCommit AWS-Regionen bereit CodeBuild](deploy-code-in-multiple-aws-regions-using-aws-codepipeline-aws-codecommit-and-aws-codebuild.md) + [Stellen Sie containerisierte Anwendungen bereit, wenn AWS IoT Greengrass V2 sie als Docker-Container ausgeführt werden](deploy-containerized-applications-on-aws-iot-greengrass-version-2-running-as-a-docker-container.md) + [Aktivieren Sie Amazon GuardDuty unter bestimmten Bedingungen mithilfe von Vorlagen AWS CloudFormation](enable-amazon-guardduty-conditionally-by-using-aws-cloudformation-templates.md) + [Aktivieren DB2 Sie die Protokollarchivierung direkt in Amazon S3 in einer IBM Db2-Datenbank](enable-db2-logarchive-directly-to-amazon-s3-in-ibm-db2-database.md) + [Exportieren Sie einen Bericht über AWS IAM Identity Center-Identitäten und deren Zuweisungen mithilfe von PowerShell](export-a-report-of-aws-iam-identity-center-identities-and-their-assignments-by-using-powershell.md) + [Generieren Sie mithilfe von Troposphere eine CloudFormation AWS-Vorlage, die von AWS Config verwaltete Regeln enthält](generate-an-aws-cloudformation-template-containing-aws-config-managed-rules-using-troposphere.md) + [Geben Sie SageMaker Notebook-Instances temporären Zugriff auf ein CodeCommit Repository in einem anderen AWS-Konto](give-sagemaker-notebook-instances-temporary-access-to-a-codecommit-repository-in-another-aws-account.md) + [Integrieren Sie den Stonebranch Universal Controller in die AWS-Mainframe-Modernisierung](integrate-stonebranch-universal-controller-with-aws-mainframe-modernization.md) + [Starten Sie mithilfe von Step Functions und einer Lambda-Proxyfunktion ein CodeBuild Projekt für alle AWS-Konten](launch-a-codebuild-project-across-aws-accounts-using-step-functions-and-a-lambda-proxy-function.md) + [Dynamisches Verwalten von AWS Berechtigungssätzen mithilfe von Terraform](manage-aws-permission-sets-dynamically-by-using-terraform.md) + [Migrieren Sie IIS-gehostete Anwendungen mithilfe EC2 von appcmd.exe zu Amazon](migrate-iis-hosted-applications-to-amazon-ec2-by-using-appcmd.md) + [Migrieren Sie Windows-SSL-Zertifikate mithilfe von ACM zu einem Application Load Balancer](migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.md) + [IAM-Root-Benutzeraktivitäten überwachen](monitor-iam-root-user-activity.md) + [Erstellen Sie mithilfe von Terraform eine hierarchische IPAM-Architektur mit mehreren Regionen AWS](multi-region-ipam-architecture.md) + [Optimieren Sie serverlose Bereitstellungen mit mehreren Konten mithilfe der AWS CDK Workflows und Aktionen GitHub](optimize-multi-account-serverless-deployments.md) + [Beibehaltung von routingfähigem IP-Speicherplatz in VPC-Designs mit mehreren Konten für Subnetze ohne Arbeitslast](preserve-routable-ip-space-in-multi-account-vpc-designs-for-non-workload-subnets.md) + [Stellen Sie IAM-Rollen mit den geringsten Rechten bereit, indem Sie eine Rollenautomatenlösung bereitstellen](provision-least-privilege-iam-roles-by-deploying-a-role-vending-machine-solution.md) + [Registrieren Sie mehrere AWS-Konten mit einer einzigen E-Mail-Adresse mithilfe von Amazon SES](register-multiple-aws-accounts-with-a-single-email-address-by-using-amazon-ses.md) + [Entfernen Sie EC2 Amazon-Einträge AWS Managed Microsoft AD mithilfe AWS-Konten von AWS Lambda Automatisierung](remove-amazon-ec2-entries-across-aws-accounts-from-aws-managed-microsoft-ad.md) + [Entfernen Sie EC2 Amazon-Einträge in derselben AWS-Konto Form AWS Managed Microsoft AD mithilfe von AWS Lambda Automatisierung](remove-amazon-ec2-entries-in-the-same-aws-account-from-aws-managed-microsoft-ad.md) + [Führen Sie ereignisgesteuerte und geplante Workloads in großem Umfang mit AWS Fargate aus](run-event-driven-and-scheduled-workloads-at-scale-with-aws-fargate.md) + [Schützen Sie sensible Daten in CloudWatch Protokollen mithilfe von Amazon Macie](secure-cloudwatch-logs-using-macie.md) + [Senden Sie Benachrichtigungen für eine Amazon RDS for SQL Server Server-Datenbank-Instance mithilfe eines lokalen SMTP-Servers und Datenbank-E-Mail](send-notifications-for-an-amazon-rds-for-sql-server-database-instance-by-using-an-on-premises-smtp-server-and-database-mail.md) + [Richten Sie ein Grafana-Überwachungs-Dashboard für AWS ein ParallelCluster](set-up-a-grafana-monitoring-dashboard-for-aws-parallelcluster.md) + [Richten Sie mithilfe von Terraform eine zentrale Protokollierung auf Unternehmensebene ein](set-up-centralized-logging-at-enterprise-scale-by-using-terraform.md) + [Disaster Recovery für SAP auf IBM Db2 auf AWS einrichten](set-up-disaster-recovery-for-sap-on-ibm-db2-on-aws.md) + [Optimieren Sie das EC2 Amazon-Compliance-Management mit Amazon Bedrock-Agenten und AWS Config](streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config.md) + [Automatisches Taggen Transit Gateway Gateway-Anhängen mithilfe von AWS Organizations](tag-transit-gateway-attachments-automatically-using-aws-organizations.md) + [Verwenden Sie BMC Discovery-Abfragen, um Migrationsdaten für die Migrationsplanung zu extrahieren](use-bmc-discovery-queries-to-extract-migration-data-for-migration-planning.md) + [Überprüfen Sie betriebliche Best Practices für PCI DSS 4.0 mithilfe von AWS Config](verify-ops-best-practices-pci-dss-4.md) + [AWS-Netzwerk-Firewall-Protokolle und -Metriken mithilfe von Splunk anzeigen](view-aws-network-firewall-logs-and-metrics-by-using-splunk.md) + [Visualisieren Sie IAM-Anmeldedatenberichte für alle AWS-Konten mit Amazon Quick Sight](visualize-iam-credential-reports-for-all-aws-accounts-using-amazon-quicksight.md) # Nachrichtenübermittlung und Kommunikation **Topics** + [Automatisieren Sie die RabbitMQ-Konfiguration in Amazon MQ](automate-rabbitmq-configuration-in-amazon-mq.md) + [Verbessern Sie die Anrufqualität auf den Agentenarbeitsplätzen in Amazon Connect Connect-Kontaktzentren](improve-call-quality-on-agent-workstations-in-amazon-connect-contact-centers.md) + [Mehr Muster](messagingandcommunications-more-patterns-pattern-list.md) # Automatisieren Sie die RabbitMQ-Konfiguration in Amazon MQ *Yogesh Bhatia und Afroz Khan, Amazon Web Services* ## Zusammenfassung [Amazon MQ](https://docs.aws.amazon.com/amazon-mq/) ist ein verwalteter Message Broker-Service, der Kompatibilität mit vielen gängigen Message Brokern bietet. Die Verwendung von Amazon MQ mit RabbitMQ bietet einen robusten RabbitMQ-Cluster, der in der Amazon Web Services (AWS) -Cloud mit mehreren Brokern und Konfigurationsoptionen verwaltet wird. Amazon MQ bietet eine hochverfügbare, sichere und skalierbare Infrastruktur und kann problemlos eine große Anzahl von Nachrichten pro Sekunde verarbeiten. Mehrere Anwendungen können die Infrastruktur mit unterschiedlichen virtuellen Hosts, Warteschlangen und Exchanges nutzen. Die Verwaltung dieser Konfigurationsoptionen oder die manuelle Erstellung der Infrastruktur kann jedoch Zeit und Mühe erfordern. Dieses Muster beschreibt eine Möglichkeit, Konfigurationen für RabbitMQ in einem Schritt über eine einzige Datei zu verwalten. Sie können den mit diesem Muster bereitgestellten Code in jedes Continuous Integration (CI) -Tool wie Jenkins oder Bamboo einbetten.  Du kannst dieses Muster verwenden, um jeden RabbitMQ-Cluster zu konfigurieren. Alles, was es benötigt, ist Konnektivität zum Cluster. Obwohl es viele andere Möglichkeiten gibt, RabbitMQ-Konfigurationen zu verwalten, erstellt diese Lösung ganze Anwendungskonfigurationen in einem Schritt, sodass Sie Warteschlangen und andere Details einfach verwalten können. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Die AWS-Befehlszeilenschnittstelle (AWS CLI) wurde so installiert und konfiguriert, dass sie auf Ihr AWS-Konto verweist (Anweisungen finden Sie in der [AWS-CLI-Dokumentation](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2-linux.html)) + Ansible ist installiert, sodass Sie Playbooks ausführen können, um die Konfiguration zu erstellen + **rabbitmqadmin** [ist installiert (Anweisungen finden Sie in der RabbitMQ-Dokumentation)](https://www.rabbitmq.com/management-cli.html) + Ein RabbitMQ-Cluster in Amazon MQ, erstellt mit gesunden Amazon-Metriken CloudWatch **Zusätzliche Anforderungen** + Stellen Sie sicher, dass Sie die Konfigurationen für virtuelle Hosts und Benutzer separat und nicht als Teil von JSON erstellen. + Stellen Sie sicher, dass das Konfigurations-JSON Teil des Repositorys ist und versionsgesteuert ist. + Die Version der **rabbitmqadmin-CLI** muss mit der Version des RabbitMQ-Servers identisch sein, daher ist es am besten, die CLI von der RabbitMQ-Konsole herunterzuladen. + Stellen Sie im Rahmen der Pipeline sicher, dass die JSON-Syntax vor jedem Lauf validiert wird. **Produktversionen** + AWS-CLI Version 2.0 + Ansible Version 2.9.13 + **rabbitmqadmin** Version 3.9.13 (muss mit der RabbitMQ-Serverversion identisch sein) ## Architektur **Quelltechnologie-Stack** + Ein RabbitMQ-Cluster, der auf einer vorhandenen lokalen virtuellen Maschine (VM) oder einem Kubernetes-Cluster (vor Ort oder in der Cloud) ausgeführt wird **Zieltechnologie-Stack** + Automatisierte RabbitMQ-Konfigurationen auf Amazon MQ für RabbitMQ **Zielarchitektur** Es gibt viele Möglichkeiten, RabbitMQ zu konfigurieren. Dieses Muster verwendet die Importkonfigurationsfunktion, bei der eine einzelne JSON-Datei alle Konfigurationen enthält. Diese Datei wendet alle Einstellungen an und kann von einem Versionskontrollsystem wie Bitbucket oder Git verwaltet werden. Dieses Muster verwendet Ansible, um die Konfiguration über die **rabbitmqadmin-CLI** zu implementieren. ![\[Automatisieren der RabbitMQ-Konfiguration in Amazon MQ\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/294120b6-c95f-4cc5-bf85-5ad7e2abdad5/images/292e1284-5c9e-4c82-bb41-010fa84d8d74.png) ## Tools **Tools** + [rabbitmqadmin](https://www.rabbitmq.com/management-cli.html) ist ein Befehlszeilentool für die HTTP-basierte RabbitMQ-API. Es wird zur Verwaltung und Überwachung von RabbitMQ-Knoten und -Clustern verwendet. + [Ansible](https://www.ansible.com/) ist ein Open-Source-Tool zur Automatisierung von Anwendungen und IT-Infrastruktur. + Mit [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) können Sie mithilfe von Befehlen in einer Befehlszeilen-Shell mit AWS-Services interagieren.  **AWS-Services** + [Amazon MQ](https://docs.aws.amazon.com/amazon-mq/) ist ein verwalteter Message Broker-Service, der es einfach macht, Message Broker in der Cloud einzurichten und zu betreiben. + [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) hilft Ihnen dabei, Ihre AWS-Infrastruktur einzurichten und die Cloud-Bereitstellung mit Infrastruktur als Code zu beschleunigen. **Code** Die in diesem Muster verwendete JSON-Konfigurationsdatei und ein Beispiel für ein Ansible-Playbook sind im Anhang enthalten. ## Epen ### Erstellen Sie Ihre AWS-Infrastruktur | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie einen RabbitMQ-Cluster auf AWS. | Wenn Sie noch keinen RabbitMQ-Cluster haben, können Sie [AWS verwenden, um den Stack CloudFormation auf AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) zu erstellen. Oder Sie können das [Cloudformation-Modul in Ansible](https://docs.ansible.com/ansible/latest/collections/amazon/aws/cloudformation_module.html) verwenden, um den Stack zu erstellen. Bei letzterem Ansatz können Sie Ansible für beide Aufgaben verwenden: zum Erstellen der RabbitMQ-Infrastruktur und zum Verwalten von Konfigurationen.  | AWS CloudFormation, Ansible | ### Erstellen Sie die Konfiguration von Amazon MQ für RabbitMQ | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie eine Eigenschaftendatei. | Laden Sie die JSON-Konfigurationsdatei (`rabbitmqconfig.json`) im Anhang herunter oder exportieren Sie sie aus der RabbitMQ-Konsole.  Ändern Sie sie, um Warteschlangen, Austausche und Bindungen zu konfigurieren. Diese Konfigurationsdatei zeigt Folgendes:- Erzeugt zwei Warteschlangen: `sample-queue1` und `sample-queue2` - Erzeugt zwei Börsen: `sample-exchange1` und `sample-exchange2`- Implementiert die Bindung zwischen den Warteschlangen und den BörsenDiese Konfigurationen werden gemäß den Anforderungen von **rabbitmqadmin** unter dem virtuellen Root-Host (/) ausgeführt.  | JSON | | Rufen Sie die Details der Amazon MQ for RabbitMQ-Infrastruktur ab. | Rufen Sie die folgenden Details für die RabbitMQ-Infrastruktur auf AWS ab:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-rabbitmq-configuration-in-amazon-mq.html)Sie können die AWS-Managementkonsole oder die AWS-CLI verwenden, um diese Informationen abzurufen. Diese Details ermöglichen es dem Ansible-Playbook, eine Verbindung zu Ihrem AWS-Konto herzustellen und den RabbitMQ-Cluster zum Ausführen von Befehlen zu verwenden.Der Computer, auf dem das Ansible-Playbook ausgeführt wird, muss auf Ihr AWS-Konto zugreifen können, und die AWS-CLI muss bereits konfiguriert sein, wie im Abschnitt *Voraussetzungen* beschrieben. | AWS-CLI, Amazon MQ | | Erstellen Sie die Datei hosts\$1var. | Erstellen Sie die `hosts_var` Datei für Ansible und stellen Sie sicher, dass alle Variablen in der Datei definiert sind. Erwägen Sie, Ansible Vault zum Speichern des Passworts zu verwenden. Sie können die `hosts_var` Datei wie folgt konfigurieren (ersetzen Sie die Sternchen durch Ihre Informationen):
RABBITMQ_HOST: "***********.mq.us-east-2.amazonaws.com"
RABBITMQ_VHOST: "/"
RABBITMQ_USERNAME: "admin"
RABBITMQ_PASSWORD: "*******"
| Ansible | | Erstellen Sie ein Ansible-Playbook. | Ein Beispiel-Playbook finden Sie `ansible-rabbit-config.yaml` im Anhang. Laden Sie diese Datei herunter und speichern Sie sie. Das Ansible-Playbook importiert und verwaltet alle RabbitMQ-Konfigurationen, wie Warteschlangen, Exchanges und Bindungen, die Anwendungen benötigen. Folgen Sie den bewährten Methoden für Ansible-Playbooks, z. B. zum Sichern von Passwörtern. Verwenden Sie Ansible Vault für die Passwortverschlüsselung und rufen Sie das RabbitMQ-Passwort aus der verschlüsselten Datei ab. | Ansible | ### Bereitstellen der Konfiguration | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Führen Sie das Playbook aus. | Führen Sie das Ansible-Playbook aus, das Sie im vorherigen Epos erstellt haben.
ansible-playbook ansible-rabbit-config.yaml
Sie können die neuen Konfigurationen auf der RabbitMQ-Konsole überprüfen. | RabbitMQ, Amazon MQ, Ansible | ## Zugehörige Ressourcen + [Migration von RabbitMQ zu Amazon MQ](https://aws.amazon.com/blogs/compute/migrating-from-rabbitmq-to-amazon-mq/) (AWS-Blogbeitrag) + [Management-Befehlszeilentool](https://www.rabbitmq.com/management-cli.html) (RabbitMQ-Dokumentation) + Einen [ CloudFormation AWS-Stack erstellen oder löschen](https://docs.ansible.com/ansible/latest/collections/amazon/aws/cloudformation_module.html) (Ansible-Dokumentation) + [Migration nachrichtengesteuerter Anwendungen zu Amazon MQ für RabbitMQ](https://aws.amazon.com/blogs/compute/migrating-message-driven-applications-to-amazon-mq-for-rabbitmq/) (AWS-Blogbeitrag) ## Anlagen [Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/294120b6-c95f-4cc5-bf85-5ad7e2abdad5/attachments/attachment.zip) # Verbessern Sie die Anrufqualität auf den Agentenarbeitsplätzen in Amazon Connect Connect-Kontaktzentren *Ernest Ozdoba, Amazon Web Services* ## Zusammenfassung Probleme mit der Anrufqualität gehören zu den am schwierigsten zu behebenden Problemen in Kontaktzentren. Um Probleme mit der Sprachqualität und komplexe Verfahren zur Fehlerbehebung zu vermeiden, müssen Sie die Arbeitsumgebung und die Workstation-Einstellungen Ihrer Agenten optimieren. Dieses Muster beschreibt Techniken zur Optimierung der Sprachqualität für Agentenarbeitsplätze in Amazon Connect Connect-Kontaktzentren. Es enthält Empfehlungen in den folgenden Bereichen: + Anpassungen der Arbeitsumgebung. Die Umgebung der Agenten hat keinen Einfluss darauf, wie Sprache über das Netzwerk übertragen wird, sie hat jedoch Auswirkungen auf die Anrufqualität.  + Einstellungen der Agenten-Workstation. Hardware- und Netzwerkkonfigurationen für Contact-Center-Workstations haben erhebliche Auswirkungen auf die Anrufqualität. + Browser-Einstellungen. Agenten verwenden einen Webbrowser, um auf die Amazon Connect Contact Control Panel (CCP) -Website zuzugreifen und mit Kunden zu kommunizieren, sodass die Browsereinstellungen die Anrufqualität beeinflussen können. Die folgenden Komponenten können sich ebenfalls auf die Anrufqualität auswirken, sie fallen jedoch nicht in den Zuständigkeitsbereich der Workstation und werden in diesem Muster nicht behandelt: + Der Datenverkehr fließt über AWS Direct Connect, ein Full-Tunnel-VPN oder ein Split-Tunnel-VPN in die Amazon Web Services (AWS) -Cloud   + Netzwerkbedingungen bei der Arbeit in oder außerhalb der Unternehmenszentrale + Konnektivität über ein öffentliches Telefonnetz (PSTN) + Das Gerät und der Telefonanbieter des Kunden + Einrichtung der virtuellen Desktop-Infrastruktur (VDI) Weitere Informationen zu diesen Bereichen finden Sie in der Amazon Connect Connect-Dokumentation unter [Häufig auftretende Probleme mit dem Contact Control Panel (CCP)](https://docs.aws.amazon.com/connect/latest/adminguide/common-ccp-issues.html) und [Verwenden des Endpoint Test Utility](https://docs.aws.amazon.com/connect/latest/adminguide/check-connectivity-tool.html). ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Headsets und Workstations müssen die im [Amazon Connect Connect-Administratorhandbuch](https://docs.aws.amazon.com/connect/latest/adminguide/ccp-agent-hardware.html) angegebenen Anforderungen erfüllen.  **Einschränkungen** + Die Optimierungstechniken in diesem Muster beziehen sich auf die Sprachqualität von Softphones. Sie gelten nicht, wenn Sie Amazon Connect CCP im Tischtelefonmodus konfigurieren. Sie können jedoch den Tischtelefonmodus verwenden, wenn Ihr Softphone-Setup keine akzeptable Sprachqualität für den Anruf bietet. **Produktversionen** + Informationen zu unterstützten Browsern und Versionen finden Sie im [Amazon Connect Connect-Administratorhandbuch](https://docs.aws.amazon.com/connect/latest/adminguide/browsers.html). ## Architektur Dieses Muster ist architekturunabhängig, da es auf die Workstation-Einstellungen der Agenten abzielt. Wie das folgende Diagramm zeigt, wird der Sprachpfad vom Agenten zum Kunden durch das Headset, den Browser, das Betriebssystem, die Workstation-Hardware und das Netzwerk des Agenten beeinflusst. ![\[Sprachpfad vom Agenten zum Kunden bei Amazon Connect Connect-Workstation-Anrufen\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/04ac4c80-30c4-4a48-8411-e3aac7bc2887/images/04e94efc-39d1-424d-a299-89ea17d40153.png) In Amazon Connect Connect-Kontaktzentren wird die Audiokonnektivität des Benutzers mit WebRTC hergestellt. Die Sprache wird mit dem [interaktiven Audiocodec Opus](https://opus-codec.org/) codiert und bei der Übertragung mit dem Secure Real-Time Transport Protocol (SRTP) verschlüsselt. Andere Netzwerkarchitekturen sind möglich, darunter VPN-, private WAN/LAN- und ISP-Netzwerke. ## Tools + [Amazon Connect Endpoint Test Utility](https://tools.connect.aws/endpoint-test/) — Dieses Tool überprüft die Netzwerkkonnektivität und die Browsereinstellungen. + Browserkonfigurationseditoren für WebRTC-Einstellungen: + **Für Firefox: about:config** + Für Chrome: **chrome: //flags** + [CCP Log Parser](https://tools.connect.aws/ccp-log-parser/index.html) — Dieses Tool hilft Ihnen bei der Analyse von CCP-Protokollen zur Fehlerbehebung. ## Epen ### Passen Sie die Arbeitsumgebung an | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Reduzieren Sie Hintergrundgeräusche. | Vermeiden Sie laute Umgebungen. Wenn dies nicht möglich ist, optimieren Sie die Umgebung mit diesen Tipps zur Schalldämmung:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-call-quality-on-agent-workstations-in-amazon-connect-contact-centers.html) | Agent, Manager | ### Optimieren Sie die Workstation-Einstellungen für Agenten | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Wählen Sie das richtige Headset. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-call-quality-on-agent-workstations-in-amazon-connect-contact-centers.html) | Agent, Manager | | Verwenden Sie das Headset wie vorgesehen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-call-quality-on-agent-workstations-in-amazon-connect-contact-centers.html) | Agent | | Überprüfen Sie die Workstation-Ressourcen. | Stellen Sie sicher, dass die Computer Ihrer Agenten leistungsfähig sind. Wenn sie Anwendungen von Drittanbietern verwenden, die Ressourcen verbrauchen, erfüllen ihre Computer möglicherweise nicht die [Hardware-Mindestanforderungen](https://docs.aws.amazon.com/connect/latest/adminguide/ccp-agent-hardware.html) für die Ausführung von CCP. Wenn Agenten Probleme mit der Anrufqualität haben, stellen Sie sicher, dass sie über genügend Rechenleistung (CPU), Festplattenspeicher, Netzwerkbandbreite und Arbeitsspeicher für CCP verfügen. Agenten sollten alle nicht benötigten Anwendungen und Tabs schließen, um die Leistung und die Anrufqualität von CCP zu verbessern. | Administrator | | Konfigurieren Sie die Soundeinstellungen des Betriebssystems. | Die Standardeinstellungen für Mikrofonpegel und Boost funktionieren normalerweise einwandfrei. Wenn Sie feststellen, dass die ausgehende Stimme leise ist oder das Mikrofon zu viel aufnimmt, kann es hilfreich sein, diese Einstellungen anzupassen. Die Mikrofoneinstellungen finden Sie in der System-Soundkonfiguration Ihres Computers (**Sound**, **Eingabe** unter [macOS](https://support.apple.com/en-gb/guide/mac-help/mchlp2567/12.0/mac/12.0), **Mikrofoneigenschaften** in [Windows](https://support.microsoft.com/en-us/windows/fix-microphone-problems-5f230348-106d-bfa4-1db5-336f35576011)). Sie können über Systemtools oder Anwendungen von Drittanbietern auf erweiterte Einstellungen zugreifen, die sich auf die Sprachqualität auswirken können. Hier sind einige der Einstellungen, die Sie überprüfen können:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-call-quality-on-agent-workstations-in-amazon-connect-contact-centers.html)Wenn Sie Probleme mit der Sprachqualität haben, versuchen Sie, diese Werte auf ihre Standardeinstellungen zurückzusetzen, bevor Sie weitere Untersuchungen durchführen.Weitere Informationen zu diesen und anderen einstellbaren Einstellungen finden Sie im Handbuch Ihres Geräts. | Agent, Administrator | | Verwenden Sie ein verkabeltes Netzwerk. | In der Regel weist kabelgebundenes Ethernet eine geringere Latenz auf, sodass es einfacher ist, die für die Sprachdatenübertragung erforderliche konsistente Übertragungsqualität bereitzustellen.  Wir empfehlen mindestens 100 KB Bandbreite pro Anruf. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-call-quality-on-agent-workstations-in-amazon-connect-contact-centers.html) | Netzwerkadministrator, Agent | | Aktualisieren Sie die Hardwaretreiber. | Wenn Sie ein USB-Headset oder ein anderes Headset mit eigener Firmware verwenden, empfehlen wir, es mit der neuesten Version auf dem neuesten Stand zu halten. Einfache Headsets, die einen AUX-Anschluss verwenden, verwenden das integrierte Audiogerät des Computers. Stellen Sie daher sicher, dass der Hardwaretreiber des Betriebssystems auf dem neuesten Stand ist. In seltenen Fällen kann ein Audiotreiber-Update zu Audioproblemen führen, sodass Sie es möglicherweise rückgängig machen müssen. Weitere Informationen zum Ändern der Firmware- und Treiberversionen finden Sie im Handbuch Ihres Geräts. | Administrator | | Vermeiden Sie USB-Hubs und -Dongles. | Vermeiden Sie beim Anschließen Ihres Headsets zusätzliche Geräte wie Dongles, Port-Konverter, Hubs und Verlängerungskabel.Diese Geräte können die Anrufqualität beeinträchtigen. Connect Sie Ihr Gerät stattdessen direkt an den Anschluss Ihres Computers an. | Agent | | Überprüfen Sie die CCP-Protokolle. | Der CCP Log Parser bietet eine einfache Möglichkeit, Anwendungsprotokolle zu überprüfen.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-call-quality-on-agent-workstations-in-amazon-connect-contact-centers.html) | Agent (fortgeschrittene Fähigkeiten) | ### Optimieren Sie die Browsereinstellungen | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Stellen Sie die Standard-WebRTC-Einstellungen wieder her. | WebRTC muss aktiviert sein, um Softphone-Anrufe mit CCP tätigen zu können. Wir empfehlen, die Standardeinstellungen für WebRTC-bezogene Funktionen beizubehalten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/improve-call-quality-on-agent-workstations-in-amazon-connect-contact-centers.html) | Administrator | | Deaktivieren Sie Browsererweiterungen bei der Fehlerbehebung. | Einige Browsererweiterungen können die Anrufqualität beeinträchtigen oder sogar verhindern, dass Anrufe ordnungsgemäß verbunden werden. Verwenden Sie das Inkognito-Fenster oder den privaten Modus in Ihrem Browser und deaktivieren Sie alle Erweiterungen. Wenn das Problem dadurch behoben wird, überprüfen Sie Ihre Browsererweiterungen und suchen Sie nach verdächtigen Add-Ons, oder deaktivieren Sie sie einzeln. | Agent, Administrator | | Überprüfen Sie die Samplerate des Browsers. | Vergewissern Sie sich, dass Ihr Mikrofoneingang auf die optimale Abtastrate von 48 kHz eingestellt ist. Anweisungen finden Sie im [Amazon Connect Connect-Administratorhandbuch](https://docs.aws.amazon.com/connect/latest/adminguide/verify-sample-rate.html). | Agent, Administrator | ## Zugehörige Ressourcen Wenn Sie die Schritte in diesem Muster befolgt haben, aber immer noch Probleme mit der Anrufqualität haben, finden Sie in den folgenden Ressourcen Tipps zur Fehlerbehebung. + Informieren Sie sich über [häufig auftretende Probleme mit dem Contact Control Panel (CCP)](https://docs.aws.amazon.com/connect/latest/adminguide/common-ccp-issues.html). + Überprüfen Sie die Verbindung mit dem [Endpoint Test Utility](https://docs.aws.amazon.com/en_us/connect/latest/adminguide/check-connectivity-tool.html). + Folgen Sie bei allen anderen Problemen der [Anleitung zur Fehlerbehebung](https://docs.aws.amazon.com/connect/latest/adminguide/troubleshooting.html).  Wenn Ihre Fehlerbehebung und Anpassungen das Problem mit der Anrufqualität nicht lösen, liegt die Ursache möglicherweise außerhalb Ihrer Workstation. Wenden Sie sich für weitere Problembehebungen an Ihr IT-Supportteam.  # Mehr Muster **Topics** + [Zerlegen Sie Monolithen mithilfe von CQRS und Event Sourcing in Microservices](decompose-monoliths-into-microservices-by-using-cqrs-and-event-sourcing.md) + [Stellen Sie eine ChatOps Lösung zur Verwaltung von SAST-Scanergebnissen bereit, indem Sie Amazon Q Developer in Chat-Anwendungen verwenden, benutzerdefinierte Aktionen und CloudFormation](deploy-chatops-solution-to-manage-sast-scan-results.md) + [Integrieren Sie Amazon API Gateway mit Amazon SQS, um asynchrones REST zu handhaben APIs](integrate-amazon-api-gateway-with-amazon-sqs-to-handle-asynchronous-rest-apis.md) + [Optimieren Sie die Entwicklung und Bereitstellung von Amazon Lex Lex-Bot mithilfe eines automatisierten Workflows](streamline-amazon-lex-bot-development-and-deployment-using-an-automated-workflow.md) # Strategie für mehrere Konten **Topics** + [Migrieren Sie ein AWS Mitgliedskonto von AWS Organizations zu AWS Control Tower](migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.md) + [Benachrichtigungen für programmatische Kontoschließungen in AWS Organizations einrichten](set-up-alerts-for-programmatic-account-closures-in-aws-organizations.md) + [Mehr Muster](multiaccountstrategy-more-patterns-pattern-list.md) # Migrieren Sie ein AWS Mitgliedskonto von AWS Organizations zu AWS Control Tower *Rodolfo Jr. Cerrada, Amazon Web Services* ## Zusammenfassung Dieses Muster beschreibt, wie ein Konto AWS-Konto von einem Mitgliedskonto AWS Organizations, das von einem Verwaltungskonto verwaltet wird, zu AWS Control Tower migrieren ist. Wenn Sie das Konto registrieren AWS Control Tower, können Sie die Vorteile präventiver und detektiver Kontrollen und Funktionen nutzen, die Ihre Kontoverwaltung optimieren. Möglicherweise möchten Sie auch Ihr Mitgliedskonto migrieren, wenn Ihr AWS Organizations Organizations-Managementkonto kompromittiert wurde und Sie Mitgliedskonten auf eine neue Organisation verschieben möchten, die verwaltet wird von AWS Control TowerAWS Control Tower.  AWS Control Tower bietet ein Framework, das die Funktionen mehrerer anderer Funktionen kombiniert und integriert AWS-Services AWS Organizations, einschließlich und gewährleistet eine konsistente Compliance und Governance in Ihrer Umgebung mit mehreren Konten. Mit AWS Control Tower können Sie eine Reihe von vorgeschriebenen Regeln und Definitionen befolgen, die den Funktionsumfang von AWS Organizations erweitern. Sie können beispielsweise mithilfe von Kontrollen sicherstellen, dass Sicherheitsprotokolle und die erforderlichen kontoübergreifenden Zugriffsberechtigungen erstellt und nicht geändert werden. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktiver AWS-Konto + AWS Control Tower eingerichtet in Ihrer Zielorganisation in AWS Organizations (Anweisungen finden Sie in der AWS Control Tower Dokumentation unter [Einrichtung](https://docs.aws.amazon.com/controltower/latest/userguide/setting-up.html)) + Administratoranmeldedaten für AWS Control Tower (Mitglied der **AWSControlTowerAdmins**Gruppe) + Administratoranmeldedaten für die Quelle AWS-Konto **Einschränkungen** + Das Quellverwaltungskonto in AWS Organizations muss sich vom Zielverwaltungskonto in unterscheiden AWS Control Tower. **Produktversionen** + AWS Control Tower Version 2.3 (Februar 2020) oder höher (siehe [Versionshinweise](https://docs.aws.amazon.com/controltower/latest/userguide/release-notes.html)) ## Architektur Das folgende Diagramm veranschaulicht den Migrationsprozess und die Referenzarchitektur. Dieses Muster migriert die AWS-Konto von der Quellorganisation zu einer Zielorganisation, die verwaltet wird von AWS Control Tower.   ![\[AWS Control Tower Tower-Registrierungsprozess für ein AWS-Konto, das zu einer anderen Organisation migriert und zu einer registrierten Organisationseinheit verschoben wurde.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/1fc2c2f0-fa5d-4068-a2b2-9e57cea2aff5/images/0654d242-0faa-4810-9e53-40ef89305b5b.png) Der Registrierungsprozess besteht aus den folgenden Schritten: 1. Die Zielorganisation sendet eine Einladung für das Konto, der Organisation beizutreten.  1. Das Konto akzeptiert die Einladung und wird Mitglied der Zielorganisation. 1. Das Konto ist registriert AWS Control Tower und in eine registrierte Organisationseinheit (OU) verschoben. (Wir empfehlen, dass Sie das AWS Control Tower Dashboard überprüfen, um die Registrierung zu bestätigen.) Zu diesem Zeitpunkt werden alle Steuerelemente wirksam, die in der registrierten Organisationseinheit aktiviert sind. ## Tools **AWS-Services** + [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer AWS-Konten einzigen Einheit (einer *Organisation*) zusammenfassen können, die Sie erstellen und zentral verwalten. + [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)integriert die Funktionen anderer Dienste, einschließlich AWS Organizations, und AWS IAM Identity Center AWS Service Catalog, um Sie bei der Durchsetzung und Verwaltung von Governance-Regeln für Sicherheit, Betrieb und Compliance in großem Umfang für alle Ihre Organisationen und Konten in der AWS Cloud ## Epen ### Laden Sie das Konto ein, der neuen Organisation beizutreten AWS Control Tower | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Melden Sie sich an bei AWS Control Tower. | Melden Sie sich als Administrator bei der AWS Control Tower Konsole an. Derzeit gibt es keine direkte Möglichkeit, eine Person AWS-Konto von einer Quellorganisation zu einer Organisation in einer Organisationseinheit zu verschieben, die von verwaltet wird AWS Control Tower. Sie können die AWS Control Tower Verwaltung jedoch auf eine bestehende Organisation ausdehnen, indem Sie AWS-Konto sie in eine Organisationseinheit aufnehmen, die bereits von AWS Control Tower verwaltet wird. Aus diesem Grund müssen Sie sich AWS Control Tower für diesen Schritt anmelden. | AWS Control Tower Tower-Administrator | | Laden Sie das Mitgliedskonto ein. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html)Stellen Sie sicher, dass die Kontoübertragung keine Auswirkungen auf Anwendungen oder Netzwerkkonnektivität hat.Bei dieser Aktion wird eine Einladungs-E-Mail mit einem Link zum Mitgliedskonto gesendet. Wenn der Kontoadministrator dem Link folgt und die Einladung annimmt, wird das Mitgliedskonto auf der **AWS-Konten**Seite angezeigt. Weitere Informationen finden Sie in der AWS Organizations Dokumentation unter [Kontoeinladungen verwalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html). | AWS Control Tower Tower-Administrator | | Testen Sie Anwendungen und Konnektivität. | Wenn das Mitgliedskonto in der neuen Organisation registriert wurde, wird es in der Organisationseinheit als Stammkonto angezeigt. Es wird auch in der [AWS Control Tower Konsole](https://console.aws.amazon.com/controltower) angezeigt und als nicht in Konten registriert gekennzeichnet, da es noch nicht in der AWS Control Tower registrierten Organisationseinheit registriert wurde.Überprüfen Sie Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html) | AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos, Anwendungsbesitzer | ### Bereiten Sie das Konto für die Registrierung vor | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Überprüfen Sie die Kontrollen und beheben Sie etwaige Verstöße. | Überprüfen Sie die in der Ziel-Organisationseinheit definierten Kontrollen, insbesondere die präventiven Kontrollen, und beheben Sie etwaige Verstöße. Eine Reihe von [obligatorischen, präventiven Kontrollen](https://docs.aws.amazon.com/controltower/latest/controlreference/preventive-controls.html) sind standardmäßig aktiviert, wenn Sie Ihre AWS Control Tower landing zone einrichten. Diese können nicht deaktiviert werden. Sie müssen diese obligatorischen Kontrollen überprüfen und das Mitgliedskonto korrigieren (manuell oder mithilfe eines Skripts), bevor Sie das Konto registrieren.Präventive Kontrollen sorgen dafür, dass AWS Control Tower registrierte Konten die Vorschriften einhalten und Richtlinienverstöße verhindern. Jeder Verstoß gegen die präventiven Kontrollen kann sich auf die Registrierung auswirken. Detective Control-Verstöße werden nach erfolgreicher Registrierung im AWS Control Tower Dashboard angezeigt, sofern sie erkannt werden. Sie haben keinen Einfluss auf den Registrierungsprozess. Weitere Informationen finden Sie in der Dokumentation unter [Über Steuerelemente](https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html). AWS Control Tower | AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos | | Suchen Sie nach der Behebung von Kontrollverstößen nach Verbindungsproblemen. | In einigen Fällen müssen Sie möglicherweise bestimmte Ports schließen oder Dienste deaktivieren, um Kontrollverstöße zu beheben. Stellen Sie sicher, dass Anwendungen, die diese Ports und Dienste verwenden, repariert wurden, bevor Sie das Konto registrieren. | Besitzer der Anwendung | ### Registrieren Sie das Konto bei AWS Control Tower | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Melden Sie sich an bei AWS Control Tower. | Melden Sie sich bei der [AWS Control Tower -Konsole](https://console.aws.amazon.com/controltower) an. Verwenden Sie Anmeldeinformationen mit Administratorberechtigungen für AWS Control Tower. Verwenden Sie nicht die Anmeldeinformationen des Root-Benutzers (Verwaltungskonto), um ein AWS Organizations Konto zu registrieren. Daraufhin wird eine Fehlermeldung angezeigt. | AWS Control Tower Tower-Administrator | | Registrieren Sie das Konto. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html)Weitere Informationen finden Sie in der AWS Control Tower Dokumentation unter [Informationen zum Registrieren vorhandener Konten](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html). | AWS Control Tower Tower-Administrator | ### Überprüfen Sie das Konto nach der Registrierung | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Verifizieren Sie das Konto. | Wählen Sie AWS Control Tower unter **Konten** aus. Das Konto, das Sie gerade registriert haben, hat den Anfangsstatus **Registrierung**. **Wenn die Registrierung abgeschlossen ist, ändert sich der Status in Registriert.** | AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos | | Suchen Sie nach Kontrollverstößen. | Die in der Organisationseinheit definierten Kontrollen gelten automatisch für das registrierte Mitgliedskonto. Überwachen Sie das AWS Control Tower Dashboard auf Verstöße und korrigieren Sie sie entsprechend. Weitere Informationen finden Sie in der AWS Control Tower Dokumentation unter [Über Steuerelemente](https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html). | AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos | ## Fehlerbehebung | Problem | Lösung | | --- | --- | | Sie erhalten die Fehlermeldung: **Ein unbekannter Fehler ist aufgetreten. Versuchen Sie es später erneut, oder wenden Sie sich an den AWS Support.** | Dieser Fehler tritt auf, wenn Sie Root-Benutzeranmeldeinformationen (Verwaltungskonto) verwenden AWS Control Tower , um ein neues Konto zu registrieren. AWS Service Catalog kann das Account Factory Portfolio oder das Produkt nicht dem Root-Benutzer zuordnen, was zu der Fehlermeldung führt. Um diesen Fehler zu beheben, verwenden Sie bei der Registrierung des neuen Kontos Benutzeranmeldedaten (Administrator) ohne Root-Rechte mit vollem Zugriff. Weitere Informationen dazu, wie Sie einem Administratorbenutzer Administratorzugriff zuweisen, finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) in der IAM Identity Center-Dokumentation. | | Auf der Seite AWS Control Tower **Aktivitäten** wird die Aktion **Get Catastrophic** Drift angezeigt. | Diese Aktion spiegelt eine Drift-Prüfung des Dienstes wider und weist nicht auf Probleme mit der AWS Control Tower Einrichtung hin. Es ist keine Aktion erforderlich. | ## Zugehörige Ressourcen **Dokumentation** + [Terminologie und Konzepte](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) (AWS Organizations Dokumentation) + [Was ist AWS Control Tower?](https://docs.aws.amazon.com/controltower/latest/userguide/) (AWS Control Tower Dokumentation) + [Entfernen eines Mitgliedskontos aus einer Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html#leave-without-all-info) (AWS Organizations Dokumentation) + [Einrichtung](https://docs.aws.amazon.com/controltower/latest/userguide/setting-up.html#setting-up-iam) (AWS Control Tower Dokumentation) **Tutorials und Videos** + [AWS Control Tower Workshop (Workshop](https://catalog.workshops.aws/control-tower/) zum Selbststudium) + [Was ist? AWS Control Tower](https://www.youtube.com/watch?v=daLvEb44d5Q) (Video) + [Bereitstellen von Benutzern in AWS Control Tower](https://www.youtube.com/watch?v=y_n9xN5mg1g) (Video) # Benachrichtigungen für programmatische Kontoschließungen in AWS Organizations einrichten *Richard Milner-Watts, Debojit Bhadra und Manav Yadav, Amazon Web Services* ## Zusammenfassung Die [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) für [AWS Organizations](https://aws.amazon.com/organizations/) ermöglicht es Ihnen, Mitgliedskonten innerhalb einer Organisation programmgesteuert zu schließen, ohne sich mit Root-Anmeldeinformationen bei dem Konto anmelden zu müssen. Die [RemoveAccountFromOrganization API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html) ruft ein Konto aus einer Organisation in AWS Organizations ab, sodass es zu einem eigenständigen Konto wird. Diese erhöhen APIs potenziell die Anzahl der Betreiber, die ein AWS-Konto schließen oder entfernen können. Alle Benutzer, die über AWS Identity and Access Management (IAM) im Verwaltungskonto von AWS Organizations Zugriff auf die Organisation haben, können diese aufrufen APIs, sodass der Zugriff nicht auf den Inhaber der Root-E-Mail-Adresse des Kontos mit einem zugehörigen Multi-Faktor-Authentifizierungsgerät (MFA) beschränkt ist. Dieses Muster implementiert Warnmeldungen, wenn die `CloseAccount` und aufgerufen `RemoveAccountFromOrganization` APIs werden, sodass Sie diese Aktivitäten überwachen können. Für Benachrichtigungen wird ein [Amazon Simple Notification Service](https://aws.amazon.com/sns/) (Amazon SNS) -Thema verwendet. [Sie können Slack-Benachrichtigungen auch über einen Webhook einrichten.](https://api.slack.com/messaging/webhooks) ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Ein aktives AWS-Konto + Eine Organisation in AWS Organizations + Zugriff auf das Organisationsverwaltungskonto unter dem Stammkonto der Organisation, um die erforderlichen Ressourcen zu erstellen **Einschränkungen** + Wie in der [API-Referenz für AWS Organizations](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) beschrieben, ermöglicht die `CloseAccount` API nur die Schließung von 10 Prozent der aktiven Mitgliedskonten innerhalb eines fortlaufenden Zeitraums von 30 Tagen. + Wenn ein AWS-Konto geschlossen wird, ändert sich sein Status in GESPERRT. 90 Tage nach diesem Statuswechsel kann AWS Support das Konto erneut eröffnen. Nach 90 Tagen wird das Konto dauerhaft gelöscht. + Benutzer, die Zugriff auf das Verwaltungskonto von AWS Organizations haben und APIs möglicherweise auch berechtigt sind, diese Benachrichtigungen zu deaktivieren. Wenn das Hauptproblem böswilliges Verhalten und nicht das versehentliche Löschen ist, sollten Sie erwägen, die durch dieses Muster erstellten Ressourcen mit einer [IAM-Rechtegrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) zu schützen. + Die API-Aufrufe beziehen `RemoveAccountFromOrganization` sich auf die Region USA Ost (Nord-Virginia) `CloseAccount ` und werden dort verarbeitet (`us-east-1`). Daher müssen Sie diese Lösung einsetzen, `us-east-1` um die Ereignisse beobachten zu können. ## Architektur **Zieltechnologie-Stack** + AWS Organizations + AWS CloudTrail + Amazon EventBridge + AWS Lambda + Amazon SNS **Zielarchitektur** Das folgende Diagramm zeigt die Lösungsarchitektur für dieses Muster. ![\[Architektur für die Einrichtung von Benachrichtigungen in AWS Organizations für Kontoschließungen\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/ba9d9db1-fab8-4e3b-a1bb-f0be91ade5c6/images/92caee55-2722-4ba2-bdd2-66f1af35dce5.png) 1. AWS Organizations verarbeitet eine `CloseAccount` `RemoveAccountFromOrganization` Oder-Anfrage. 1. Amazon EventBridge ist in AWS integriert CloudTrail , um diese Ereignisse an den Standard-Event-Bus zu übertragen. 1. Eine benutzerdefinierte EventBridge Amazon-Regel entspricht den Anfragen von AWS Organizations und ruft eine AWS-Lambda-Funktion auf. 1. Die Lambda-Funktion übermittelt eine Nachricht zu einem SNS-Thema, die Benutzer abonnieren können, um E-Mail-Benachrichtigungen oder die weitere Verarbeitung zu erhalten. 1. Wenn Slack-Benachrichtigungen aktiviert sind, übermittelt die Lambda-Funktion eine Nachricht an einen Slack-Webhook. ## Tools **AWS-Services** + [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) bietet die Möglichkeit, eine Sammlung verwandter AWS- und Drittanbieter-Ressourcen zu modellieren, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus zu verwalten, indem Infrastruktur als Code behandelt wird. + [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen verbinden können. EventBridge empfängt ein Ereignis, ein Indikator für eine Änderung der Umgebung, und wendet eine Regel an, um das Ereignis an ein Ziel weiterzuleiten. Regeln ordnen Ereignisse Zielen entweder auf der Grundlage der Struktur des Ereignisses, eines so genannten *Ereignismusters*, oder anhand eines Zeitplans zu. + [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Rechenservice, der die Ausführung von Code unterstützt, ohne Server bereitzustellen oder zu verwalten. Lambda führt Ihren Code nur bei Bedarf aus und skaliert automatisch, von wenigen Anfragen pro Tag bis hin zu Tausenden pro Sekunde. Sie zahlen nur für die tatsächlich konsumierte Zeit. Es werden keine Gebühren berechnet, solange Ihr Code nicht ausgeführt wird. + Mit [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) können Sie Ihre Umgebung zentral verwalten und steuern, während Sie Ihre AWS-Ressourcen erweitern und skalieren. Mit AWS Organizations können Sie programmgesteuert neue AWS-Konten erstellen und Ressourcen zuweisen, Konten gruppieren, um Ihre Workflows zu organisieren, Richtlinien auf Konten oder Gruppen zur Verwaltung anwenden und die Abrechnung vereinfachen, indem Sie eine einzige Zahlungsmethode für alle Ihre Konten verwenden. + [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) überwacht und zeichnet Kontoaktivitäten in Ihrer gesamten AWS-Infrastruktur auf und gibt Ihnen die Kontrolle über Speicher-, Analyse- und Behebungsmaßnahmen. + [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) ist ein vollständig verwalteter Messaging-Dienst für die Kommunikation sowohl application-to-application (A2A) als auch application-to-person (A2P). **Andere Tools** + Die [Bibliothek AWS Lambda Powertools for Python](https://docs.powertools.aws.dev/lambda/python/latest/) besteht aus einer Reihe von Dienstprogrammen, die Funktionen zur Ablaufverfolgung, Protokollierung, Metriken und Ereignisbehandlung für Lambda-Funktionen bereitstellen. **Code** Der Code für dieses Muster befindet sich im GitHub [AWS Account Closer Notifier-Repository](https://github.com/aws-samples/aws-account-closure-notifier). Die Lösung umfasst eine CloudFormation Vorlage, die die Architektur für dieses Muster bereitstellt. Es verwendet die [AWS Lambda Powertools for Python-Bibliothek](https://docs.powertools.aws.dev/lambda/python/latest/), um Protokollierung und Tracing bereitzustellen. ## Epen ### Stellen Sie die Architektur bereit | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Starten Sie die CloudFormation Vorlage für den Lösungsstapel. | Die CloudFormation Vorlage für dieses Muster befindet sich im Hauptzweig des [GitHub Repositorys](https://github.com/aws-samples/aws-account-closure-notifier). Es stellt die IAM-Rollen, EventBridge Regeln, Lambda-Funktionen und das SNS-Thema bereit.Um die Vorlage zu starten:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-alerts-for-programmatic-account-closures-in-aws-organizations.html)Weitere Informationen zum Starten eines CloudFormation Stacks finden Sie in der [AWS-Dokumentation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). | AWS-Administrator | | Stellen Sie sicher, dass die Lösung erfolgreich gestartet wurde. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-alerts-for-programmatic-account-closures-in-aws-organizations.html) | AWS-Administrator | | Abonnieren Sie das SNS-Thema. | (Optional) Wenn Sie das SNS-Thema abonnieren möchten:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-alerts-for-programmatic-account-closures-in-aws-organizations.html)Weitere Informationen zum Einrichten von SNS-Benachrichtigungen finden Sie in der [Amazon SNS SNS-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/US_SetupSNS.html). | AWS-Administrator | ### Überprüfen Sie die Lösung | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Sendet ein Testereignis an den Standard-Event-Bus. | Das [GitHub Repository](https://github.com/aws-samples/aws-account-closure-notifier) stellt ein Beispielereignis bereit, das Sie zu Testzwecken an den EventBridge Standard-Event-Bus senden können. Die EventBridge Regel reagiert auch auf Ereignisse, die die benutzerdefinierte Ereignisquelle verwenden`account.closure.notifier`.Sie können die CloudTrail Ereignisquelle nicht verwenden, um dieses Ereignis zu senden, da es nicht möglich ist, ein Ereignis als AWS-Service zu senden.Um ein Testereignis zu senden:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-alerts-for-programmatic-account-closures-in-aws-organizations.html) | AWS-Administrator | | Stellen Sie sicher, dass die E-Mail-Benachrichtigung empfangen wurde. | Suchen Sie in dem Postfach, das das SNS-Thema abonniert hat, nach Benachrichtigungen. Sie sollten eine E-Mail mit Informationen zu dem Konto, das geschlossen wurde, und zum Principal, der den API-Aufruf durchgeführt hat, erhalten. | AWS-Administrator | | Vergewissere dich, dass die Slack-Benachrichtigung empfangen wurde. | (Optional) Wenn du bei der Bereitstellung der CloudFormation Vorlage eine Webhook-URL für den `SlackWebhookEndpoint` Parameter angegeben hast, überprüfe den Slack-Kanal, der dem Webhook zugeordnet ist. Es sollte eine Meldung mit Details zu dem Konto, das geschlossen wurde, und zum Principal, der den API-Aufruf durchgeführt hat, angezeigt werden. | AWS-Administrator | ## Zugehörige Ressourcen + [CloseAccount Aktion](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) (API-Referenz für AWS Organizations) + [RemoveAccountFromOrganization Aktion](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html) (API-Referenz für AWS Organizations) + [AWS Lambda Powertools für Python](https://docs.powertools.aws.dev/lambda/python/latest/) # Mehr Muster **Topics** + [Automatisieren Sie die Kontoerstellung mit dem Landing Zone Accelerator auf AWS](automate-account-creation-lza.md) + [Automatisieren Sie das Löschen von AWS CloudFormation Stacks und zugehörigen Ressourcen](automate-deletion-cloudformation-stacks-associated-resources.md) + [Automatisieren Sie das dynamische Pipeline-Management für die Bereitstellung von Hotfix-Lösungen in Gitflow-Umgebungen mithilfe von und AWS Service Catalog AWS CodePipeline](automate-dynamic-pipeline-management-for-deploying-hotfix-solutions.md) + [Bauen Sie mit Amazon ein Datennetz für Unternehmen auf DataZone AWS CDK, und AWS CloudFormation](build-enterprise-data-mesh-amazon-data-zone.md) + [Zentralisieren Sie die Überwachung mithilfe von Amazon CloudWatch Observability Access Manager](centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.md) + [Steuern Sie Berechtigungssätze für mehrere Konten mithilfe von Account Factory for Terraform](govern-permission-sets-aft.md) + [Implementieren Sie eine Gitflow-Branching-Strategie für Umgebungen mit mehreren Konten DevOps](implement-a-gitflow-branching-strategy-for-multi-account-devops-environments.md) + [Implementieren Sie eine GitHub Flow-Branching-Strategie für Umgebungen mit mehreren Konten DevOps](implement-a-github-flow-branching-strategy-for-multi-account-devops-environments.md) + [Implementieren Sie eine Trunk-Branching-Strategie für Umgebungen mit mehreren Konten DevOps](implement-a-trunk-branching-strategy-for-multi-account-devops-environments.md) + [Dynamisches Verwalten von AWS Berechtigungssätzen mithilfe von Terraform](manage-aws-permission-sets-dynamically-by-using-terraform.md) + [Erstellen Sie mithilfe von Terraform eine hierarchische IPAM-Architektur mit mehreren Regionen AWS](multi-region-ipam-architecture.md) + [Richten Sie die CloudFormation Drifterkennung in einer Organisation mit mehreren Regionen und mehreren Konten ein](set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization.md) + [Richten Sie die DNS-Auflösung für Hybridnetzwerke in einer Umgebung mit mehreren Konten AWS ein](set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.md)