Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan skrip Detective Python untuk mengelola akun
Amazon Detective menyediakan satu set skrip Python open-source di repositori. GitHub amazon-detective-multiaccount-scripts
Anda dapat menggunakan ini untuk melakukan tugas-tugas berikut:
-
Aktifkan Detektif untuk akun administrator di seluruh Wilayah.
Saat mengaktifkan Detektif, Anda dapat menetapkan nilai tag ke grafik perilaku.
-
Tambahkan akun anggota ke grafik perilaku akun administrator di seluruh Wilayah.
-
Secara opsional kirim email undangan ke akun anggota. Anda juga dapat mengonfigurasi permintaan untuk tidak mengirim email undangan.
-
Hapus akun anggota dari grafik perilaku akun administrator di seluruh Wilayah.
-
Nonaktifkan Detektif untuk akun administrator di seluruh Wilayah. Ketika akun administrator menonaktifkan Detektif, grafik perilaku akun administrator di setiap Wilayah akan dinonaktifkan.
Ikhtisar enableDetective.py naskah
enableDetective.pyScript melakukan hal berikut:
-
Mengaktifkan Detektif masuk untuk akun administrator di setiap Wilayah tertentu, jika akun administrator belum mengaktifkan Detektif di Wilayah tersebut.
Saat Anda menggunakan skrip untuk mengaktifkan Detektif, Anda dapat menetapkan nilai tag ke grafik perilaku.
-
Secara opsional mengirim undangan dari akun administrator ke akun anggota yang ditentukan untuk setiap grafik perilaku.
Pesan email undangan menggunakan konten pesan default dan tidak dapat disesuaikan.
Anda juga dapat mengonfigurasi permintaan untuk tidak mengirim email undangan.
-
Secara otomatis menerima undangan untuk akun anggota.
Karena skrip secara otomatis menerima undangan, akun anggota dapat mengabaikan pesan-pesan ini.
Kami merekomendasikan untuk menghubungi akun anggota secara langsung untuk memberi tahu mereka bahwa undangan diterima secara otomatis.
Ikhtisar disableDetective.py naskah
disableDetective.pySkrip menghapus akun anggota yang ditentukan dari grafik perilaku akun administrator di seluruh Wilayah yang ditentukan.
Ini juga menyediakan opsi untuk menonaktifkan Detektif untuk akun administrator di seluruh Wilayah yang ditentukan.
Izin yang diperlukan untuk skrip
Skrip memerlukan AWS peran yang sudah ada sebelumnya di akun administrator dan di semua akun anggota yang Anda tambahkan atau hapus.
catatan
Nama peran harus sama di semua akun.
IAMkebijakan praktik terbaik yang direkomendasikan adalah menggunakan peran yang paling sedikit cakupan. Untuk menjalankan alur kerja skrip untuk membuat grafik, membuat anggota, dan menambahkan anggota ke grafik, izin yang diperlukan adalah:
detektif: CreateGraph
detektif: CreateMembers
detektif: DeleteGraph
detektif: DeleteMembers
detektif: ListGraphs
detektif: ListMembers
detektif: AcceptInvitation
Hubungan kepercayaan peran
Hubungan kepercayaan peran harus memungkinkan instans atau kredensil lokal Anda untuk mengambil peran tersebut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<ACCOUNTID>:user/<USERNAME>" }, "Action": "sts:AssumeRole" } ] }
Jika Anda tidak memiliki peran umum yang menyertakan izin yang diperlukan, Anda harus membuat peran dengan setidaknya izin tersebut di setiap akun anggota. Anda juga harus membuat peran di akun administrator.
Saat Anda membuat peran, pastikan Anda melakukan hal berikut:
-
Gunakan nama peran yang sama di setiap akun.
-
Tambahkan izin yang diperlukan di atas (disarankan) atau pilih kebijakan AmazonDetectiveFullAccessterkelola.
Tambahkan blok hubungan kepercayaan peran seperti yang dibahas di atas.
Untuk mengotomatiskan proses ini, Anda dapat menggunakan EnableDetective.yaml AWS CloudFormation
template. Karena template hanya membuat sumber daya global, template dapat dijalankan di Wilayah mana pun.
Menyiapkan lingkungan run untuk skrip Python
Anda dapat menjalankan skrip baik dari sebuah EC2 instance atau dari mesin lokal.
Meluncurkan dan mengonfigurasi instance EC2
Salah satu opsi untuk menjalankan skrip adalah menjalankannya dari sebuah EC2 instance.
Untuk meluncurkan dan mengkonfigurasi EC2 instance
-
Luncurkan EC2 instance di akun administrator Anda. Untuk detail tentang cara meluncurkan EC2 instans, lihat Memulai Instans Amazon EC2 Linux di Panduan EC2 Pengguna Amazon.
-
Lampirkan ke instance IAM peran yang memiliki izin untuk memungkinkan instance memanggil
AssumeRoledalam akun administrator.Jika Anda menggunakan
EnableDetective.yamlAWS CloudFormation template, maka peran instance dengan profil bernamaEnableDetectivetelah dibuat.Jika tidak, untuk informasi tentang membuat peran instance, lihat posting blog Mudah Ganti atau Lampirkan IAM Peran ke EC2 Instance yang Ada dengan Menggunakan EC2 Konsol
. -
Instal perangkat lunak yang diperlukan:
-
APT:
sudo apt-get -y install python3-pip python3 git -
RPM:
sudo yum -y install python3-pip python3 git -
Boto (versi minimum 1.15):
sudo pip install boto3
-
-
Kloning repositori ke instance. EC2
git clone https://github.com/aws-samples/amazon-detective-multiaccount-scripts.git
Mengkonfigurasi mesin lokal untuk menjalankan skrip
Anda juga dapat menjalankan skrip dari mesin lokal Anda.
Untuk mengkonfigurasi mesin lokal untuk menjalankan skrip
-
Pastikan Anda telah menyiapkan kredensi mesin lokal untuk akun administrator Anda yang memiliki izin untuk menelepon.
AssumeRole -
Instal perangkat lunak yang diperlukan:
-
Python 3
-
Boto (versi minimum 1.15)
-
GitHub skrip
Platform
Instruksi penyiapan
Windows
-
Instal Python 3 (https://www.python.org/downloads/windows/
). -
Buka prompt perintah.
-
Untuk menginstal Boto, jalankan:
pip install boto3 -
Unduh kode sumber skrip dari GitHub (https://github.com/aws-samples/amazon-detective-multiaccount-scripts
).
Mac
-
Instal Python 3 (https://www.python.org/downloads/mac-osx/
). -
Buka prompt perintah.
-
Untuk menginstal Boto, jalankan:
pip install boto3 -
Unduh kode sumber skrip dari GitHub (https://github.com/aws-samples/amazon-detective-multiaccount-scripts
).
Linux
-
Untuk menginstal Python 3, jalankan salah satu dari berikut ini:
-
sudo apt-get -y install install python3-pip python3 git -
sudo yum install git python
-
-
Untuk menginstal Boto, jalankan:
sudo pip install boto3 -
Kloning kode sumber skrip dari https://github.com/aws-samples/amazon-detective-multiaccount-scripts
.
-
Membuat .csv daftar akun anggota untuk menambah atau menghapus
Untuk mengidentifikasi akun anggota yang akan ditambahkan atau dihapus dari grafik perilaku, Anda menyediakan .csv file yang berisi daftar akun.
Buat daftar setiap akun pada baris terpisah. Setiap entri akun anggota berisi ID AWS akun dan alamat email pengguna root akun.
Lihat contoh berikut ini:
111122223333,srodriguez@example.com 444455556666,rroe@example.com
Berlari enableDetective.py
Anda dapat menjalankan enableDetective.py skrip dari sebuah EC2 instance atau mesin lokal Anda.
Untuk menjalankan enableDetective.py
-
Salin
.csvfile keamazon-detective-multiaccount-scriptsdirektori pada EC2 instance atau mesin lokal Anda. -
Ubah ke direktori
amazon-detective-multiaccount-scripts. -
Jalankan
enableDetective.pyskrip.enableDetective.py --master_accountadministratorAccountID--assume_roleroleName--input_fileinputFileName--tagstagValueList--enabled_regionsregionList--disable_email
Saat Anda menjalankan skrip, ganti nilai berikut:
administratorAccountID-
ID AWS akun untuk akun administrator.
roleName-
Nama AWS peran yang akan diambil di akun administrator dan setiap akun anggota.
inputFileName-
Nama
.csvfile yang berisi daftar akun anggota untuk ditambahkan ke grafik perilaku akun administrator. tagValueList-
(Opsional) Daftar nilai tag yang dipisahkan koma untuk ditetapkan ke grafik perilaku baru.
Untuk setiap nilai tag, formatnya adalah
key=value--tags Department=Finance,Geo=Americas regionList-
(Opsional) Daftar Wilayah yang dipisahkan koma untuk menambahkan akun anggota ke grafik perilaku akun administrator. Sebagai contoh:
--enabled_regions us-east-1,us-east-2,us-west-2Akun administrator mungkin belum mengaktifkan Detektif di Wilayah. Dalam hal ini, skrip mengaktifkan Detektif dan membuat grafik perilaku baru untuk akun administrator.
Jika Anda tidak memberikan daftar Wilayah, maka skrip bertindak di semua Wilayah yang didukung Detektif.
--disable_email-
(Opsional) Jika disertakan, Detektif tidak mengirim email undangan ke akun anggota.
Berlari disableDetective.py
Anda dapat menjalankan disableDetective.py skrip dari sebuah EC2 instance atau mesin lokal Anda.
Untuk menjalankan disableDetective.py
-
Salin
.csvfile keamazon-detective-multiaccount-scriptsdirektori. -
Untuk menggunakan
.csvfile untuk menghapus akun anggota yang terdaftar dari grafik perilaku akun administrator di seluruh daftar Wilayah yang ditentukan, jalankandisableDetective.pyskrip sebagai berikut:disabledetective.py --master_accountadministratorAccountID--assume_roleroleName--input_fileinputFileName--disabled_regionsregionList -
Untuk menonaktifkan Detektif untuk akun administrator di semua Wilayah, jalankan
disableDetective.pyskrip dengan bendera.--delete-masterdisabledetective.py --master_accountadministratorAccountID--assume_roleroleName--input_fileinputFileName--disabled_regionsregionList--delete_master
Saat Anda menjalankan skrip, ganti nilai berikut:
administratorAccountID-
ID AWS akun untuk akun administrator.
roleName-
Nama AWS peran yang akan diambil di akun administrator dan setiap akun anggota.
inputFileName-
Nama
.csvfile yang berisi daftar akun anggota untuk dihapus dari grafik perilaku akun administrator.Anda harus memberikan
.csvfile bahkan jika Anda menonaktifkan Detektif. regionList-
(Opsional) Daftar Wilayah yang dipisahkan koma untuk melakukan salah satu hal berikut:
-
Hapus akun anggota dari grafik perilaku akun administrator.
-
Jika
--delete-masterbendera disertakan, nonaktifkan Detektif.
Sebagai contoh:
--disabled_regions us-east-1,us-east-2,us-west-2Jika Anda tidak memberikan daftar Wilayah, maka skrip bertindak di semua Wilayah yang didukung Detektif.
-
