Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Associa automaticamente una policy AWS gestita per Systems Manager ai profili di EC2 istanza utilizzando Cloud Custodian e AWS CDK
Creato da Ali Asfour (AWS) e Aaron Lennon () AWS
Ambiente: PoC o pilota | Tecnologie: DevOps DevelopmentAndTesting; Gestione e governance; Sicurezza, identità, conformità; Infrastruttura | Carico di lavoro: open source |
AWSservizi: AmazonSNS; AmazonSQS; AWS CodeBuild AWS CodePipeline; AWS Systems Manager; AWS CodeCommit |
Riepilogo
Puoi integrare le istanze Amazon Elastic Compute Cloud (AmazonEC2) con AWS Systems Manager per automatizzare le attività operative e fornire maggiore visibilità e controllo. Per l'integrazione con Systems Manager, EC2 le istanze devono avere un AWSSystems Manager Agent (SSMAgent) installato e una policy AmazonSSMManagedInstanceCore
AWS Identity and Access Management (IAM) allegata ai rispettivi profili di istanza.
Tuttavia, se si desidera assicurarsi che tutti i profili di EC2 istanza abbiano la AmazonSSMManagedInstanceCore
policy allegata, è possibile affrontare problemi nell'aggiornamento di nuove EC2 istanze che non dispongono di profili di istanza o EC2 istanze che hanno un profilo di istanza ma non dispongono della policy. AmazonSSMManagedInstanceCore
Inoltre, può essere difficile aggiungere questa politica su più account e AWS regioni Amazon Web Services (AWS).
Questo modello aiuta a risolvere queste sfide implementando tre policy Cloud Custodian
La prima policy di Cloud Custodian verifica EC2 le istanze esistenti che dispongono di un profilo di istanza ma non dispongono della policy.
AmazonSSMManagedInstanceCore
LaAmazonSSMManagedInstanceCore
policy viene quindi allegata.La seconda policy di Cloud Custodian verifica EC2 le istanze esistenti senza un profilo di istanza e aggiunge un profilo di istanza predefinito a cui è associata la
AmazonSSMManagedInstanceCore
policy.La terza policy di Cloud Custodian crea funzioni AWS Lambda
nei tuoi account per monitorare la creazione di istanze e profili di EC2 istanze. Ciò garantisce che la AmazonSSMManagedInstanceCore
policy venga allegata automaticamente quando viene creata un'EC2istanza.
Questo modello utilizza AWS DevOps
Prerequisiti e limitazioni
Prerequisiti
Due o più account attivi. AWS Un account è l'account di sicurezza e gli altri sono account membri.
Autorizzazioni per fornire AWS risorse nell'account di sicurezza. Questo modello utilizza le autorizzazioni di amministratore, ma è necessario concedere le autorizzazioni in base ai requisiti e alle politiche dell'organizzazione.
Possibilità di assumere un IAM ruolo dall'account di sicurezza agli account dei membri e creare i ruoli richiesti. IAM Per ulteriori informazioni su questo argomento, consulta Delegare l'accesso tra AWS account utilizzando IAM i ruoli nella IAM documentazione.
AWSInterfaccia a riga di comando (AWSCLI), installata e configurata. A scopo di test, è possibile configurare AWS CLI utilizzando il
aws configure
comando o impostando le variabili di ambiente. Importante: questa operazione non è consigliata per gli ambienti di produzione e consigliamo di concedere a questo account solo l'accesso con il privilegio minimo. Per ulteriori informazioni su questo argomento, consulta Garantire il privilegio minimo nella IAM documentazione.Il
devops-cdk-cloudcustodian.zip
file (allegato), scaricato sul computer locale.Familiarità con Python.
Gli strumenti richiesti (Node.js, AWS Cloud Development Kit (AWSCDK) e Git), installati e configurati. È possibile utilizzare il
install-prerequisites.sh
file contenuto neldevops-cdk-cloudcustodian.zip
file per installare questi strumenti. Assicurati di eseguire questo file con i privilegi di root.
Limitazioni
Sebbene questo modello possa essere utilizzato in un ambiente di produzione, assicuratevi che tutti i IAM ruoli e le politiche soddisfino i requisiti e le politiche della vostra organizzazione.
Versioni del pacchetto
Cloud Custodian versione 0.9 o successiva
TypeScript versione 3.9.7 o successiva
Node.js versione 14.15.4 o successiva
npm
versione 7.6.1 o successivaAWSCDKversione 1.96.0 o successiva
Architettura
Il diagramma mostra il flusso di lavoro seguente:
Le policy di Cloud Custodian vengono trasferite in un AWS CodeCommit archivio nell'account di sicurezza. Una regola di Amazon CloudWatch Events avvia automaticamente la AWS CodePipeline pipeline.
La pipeline recupera il codice più recente CodeCommit e lo invia alla parte di integrazione continua della pipeline di integrazione continua e distribuzione continua (CI/CD) gestita da. AWS CodeBuild
CodeBuild esegue le DevSecOps azioni complete, inclusa la convalida della sintassi delle policy sulle policy di Cloud Custodian, ed esegue queste policy in modalità per verificare quali risorse vengono identificate.
--dryrun
Se non ci sono errori, l'attività successiva avvisa un amministratore di rivedere le modifiche e approvare la distribuzione negli account dei membri.
Stack tecnologico
AWS CDK
CodeBuild
CodeCommit
CodePipeline
IAM
Cloud Custodian
Automazione e scalabilità
Il modulo AWS CDK pipelines fornisce una pipeline CI/CD che consente di CodePipeline orchestrare la creazione e il test del codice sorgente CodeBuild, oltre alla distribuzione di risorse con stack. AWS AWS CloudFormation È possibile utilizzare questo modello per tutti gli account membri e le regioni dell'organizzazione. Puoi anche estendere lo Roles creation
stack per distribuire altri IAM ruoli nei tuoi account membro.
Strumenti
AWSCloud Development Kit (AWSCDK) è un framework di sviluppo software per definire l'infrastruttura cloud in codice e fornirla tramite AWS CloudFormation.
AWSCommand Line Interface (AWSCLI) è uno strumento open source che consente di interagire con i AWS servizi utilizzando i comandi della shell della riga di comando.
AWS CodeBuildè un servizio di compilazione completamente gestito nel cloud.
AWS CodeCommitè un servizio di controllo delle versioni che puoi utilizzare per archiviare e gestire le risorse in modo privato.
AWS CodePipelineè un servizio di distribuzione continua che puoi utilizzare per modellare, visualizzare e automatizzare i passaggi necessari per il rilascio del software.
AWSIdentity and Access Management è un servizio Web che consente di controllare in modo sicuro l'accesso alle AWS risorse.
Cloud Custodian
è uno strumento che riunisce le dozzine di strumenti e script utilizzati dalla maggior parte delle organizzazioni per gestire i propri account cloud pubblici in un unico strumento open source. Node.js
è un JavaScript runtime basato sul motore V8 di Google Chrome. JavaScript
Codice
Per un elenco dettagliato dei moduli, delle funzioni dell'account, dei file e dei comandi di distribuzione utilizzati in questo modello, consultate il README
file nel devops-cdk-cloudcustodian.zip
file (allegato).
Epiche
Attività | Descrizione | Competenze richieste |
---|---|---|
Configura il CodeCommit repository. |
Per ulteriori informazioni su questo argomento, consulta Creazione di un CodeCommit repository nella AWS CodeCommit documentazione. | Developer |
Installa gli strumenti richiesti. | Usa il Per ulteriori informazioni su questo argomento, consulta la sezione Prerequisiti di Guida introduttiva AWS CDK alla AWS CDK documentazione. | Developer |
Installa i AWS CDK pacchetti richiesti. |
I seguenti pacchetti sono richiesti AWS CDK e inclusi nel
| Developer |
Attività | Descrizione | Competenze richieste |
---|---|---|
Aggiorna le variabili richieste. | Apri il
| Developer |
Aggiorna il file account.yml con le informazioni sull'account del membro. | Per eseguire lo strumento c7n-org Cloud Custodian
| Developer |
Attività | Descrizione | Competenze richieste |
---|---|---|
Potenzia l'account di sicurezza. | Avvia il programma
| Developer |
Opzione 1 - Avvia automaticamente gli account dei membri. | Se la Se necessario, puoi eseguire l'aggiornamento I nuovi account aggiunti alla | Developer |
Opzione 2: avvia manualmente gli account dei membri. | Sebbene non sia consigliabile utilizzare questo approccio, puoi impostare il valore di
Importante: assicurati di aggiornare i Puoi anche utilizzare altri approcci per avviare gli account dei membri, ad esempio con. AWS CloudFormation Per ulteriori informazioni su questo argomento, consulta Bootstrapping nella documentazione. AWS CDK | Developer |
Attività | Descrizione | Competenze richieste |
---|---|---|
Crea i IAM ruoli negli account dei membri. | Esegui il comando seguente per distribuire lo
| Developer |
Implementa lo stack di pipeline Cloud Custodian. | Esegui il comando seguente per creare la
| Developer |