设置 Amazon DevOps Guru - Amazon DevOps Guru

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 Amazon DevOps Guru

完成本节中的任务,首次设置 Amazon DevOps Guru。如果您已经有一个 AWS 账户,知道要分析哪个 AWS 或多个账户,并且有亚马逊简单通知服务主题可用于洞察通知,则可以直接跳到 DevOpsGuru 入门

或者,您可以使用快速设置(一项功能)来设置 DevOps Guru 并快速配置其选项。 AWS Systems Manager您可以使用快速设置为独立账户或组织设置 DevOps Guru。要使用 Systems Manager 中的快速设置为组织设置 DevOps Guru,必须具备以下先决条件:

  • 一个拥有 AWS Organizations. 有关更多信息,请参阅《AWS Organizations 用户指南》中的AWS Organizations 术语和概念

  • 两个或多个组织单位 (OUs)。

  • 每个 OU 中有一个或多个目标 AWS 账户。

  • 一个具有管理目标账户权限的管理员账户。

要了解如何使用快速设置来设置 DevOps Guru,请参阅《AWS Systems Manager 用户指南》中的 “使用快速设置配置 DevOps Guru”。

使用以下步骤在不使用快速设置的情况下设置 DevOps Guru。

第 1 步 — 注册 AWS

注册获取 AWS 账户

如果您没有 AWS 账户,请完成以下步骤来创建一个。

要注册 AWS 账户
  1. 打开https://portal.aws.amazon.com/billing/注册。

  2. 按照屏幕上的说明进行操作。

    在注册时,将接到一通电话,要求使用电话键盘输入一个验证码。

    当您注册时 AWS 账户,就会创建AWS 账户根用户一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为安全最佳实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务

AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 https://aws.amazon.com/并选择 “我的账户”,查看您当前的账户活动并管理您的账户

创建具有管理访问权限的用户

注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。

保护你的 AWS 账户根用户
  1. 选择 Root 用户并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。AWS Management Console在下一页上,输入您的密码。

    要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的以根用户身份登录

  2. 为您的 root 用户开启多重身份验证 (MFA)。

    有关说明,请参阅《用户指南》中的 “为 AWS 账户 root 用户(控制台)启用虚拟MFA设备” IAM。

创建具有管理访问权限的用户
  1. 启用IAM身份中心。

    有关说明,请参阅《AWS IAM Identity Center 用户指南》中的启用 AWS IAM Identity Center

  2. 在 IAM Identity Center 中,向用户授予管理访问权限。

    有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《用户指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户访问权限

以具有管理访问权限的用户身份登录
将访问权限分配给其他用户
  1. 在 IAM Identity Center 中,创建一个遵循应用最低权限权限的最佳实践的权限集。

    有关说明,请参阅《AWS IAM Identity Center 用户指南》中的创建权限集

  2. 将用户分配到一个组,然后为该组分配单点登录访问权限。

    有关说明,请参阅《AWS IAM Identity Center 用户指南》中的添加组

第 2 步 — 确定 DevOps Guru 的覆盖范围

您的边界覆盖范围决定了 Amazon DevOps Guru 对哪些 AWS 资源进行异常行为分析。我们建议您将资源分组到操作应用程序中。资源边界中的所有资源都应构成您的一个或多个应用程序。如果您有一个操作解决方案,那么您的覆盖范围应包括其所有资源。如果您有多个应用程序,请选择构成每个解决方案的资源,然后使用 AWS CloudFormation 堆栈或 AWS 标签将它们分组在一起。您指定的所有组合资源,无论它们定义了一个还是多个应用程序,都将由 DevOps Guru 进行分析并构成其覆盖范围。

使用以下方法之一指定操作解决方案中的资源。

  • 选择让您的 AWS 地区和账户定义您的覆盖范围。使用此选项, DevOps Guru 可以分析您账户和地区中的所有资源。如果您只将自己的账户用于一个应用程序,那么这是一个不错的选择。

  • 使用 AWS CloudFormation 堆栈来定义操作应用程序中的资源。 AWS CloudFormation 模板为您定义和生成资源。在配置 DevOps Guru 时,请指定用于创建应用程序资源的堆栈。您可以随时更新堆栈。您选择的堆栈中的所有资源都定义了边界覆盖范围。有关更多信息,请参阅 使用AWS CloudFormation堆栈识别 DevOps Guru 应用程序中的资源

  • 使用 AWS 标签来指定应用程序中的 AWS 资源。 DevOpsGuru 仅分析包含您选择的标签的资源。这些资源构成了您的边界。

    AWS 标签由标签和标签组成。您可以指定一个标签,也可以使用该指定一个或多个。对其中一个应用程序中的所有资源使用同一个。如果您有多个应用程序,则对所有应用程序使用具有相同的标签,并使用标签的将资源分组到您的应用程序中。带有您选择的标签的所有资源构成了 DevOps Guru 的覆盖范围。有关更多信息,请参阅 使用标签来识别 DevOps Guru 应用程序中的资源

如果您的边界覆盖范围包括构成多个应用程序的资源,则可以使用标签筛选您的见解,逐个应用程序查看见解。有关更多信息,请参阅查看 DevOps Guru 见解中的步骤 4。

有关更多信息,请参阅 使用 AWS 资源定义应用程序。有关支持的服务和资源的更多信息,请参阅 Amazon DevOps Guru 定价

第 3 步 — 确定您的亚马逊SNS通知主题

您可以使用一两个 Amazon SNS 主题来生成有关重要的 DevOps Guru 事件的通知,例如何时创建见解。这样可以确保您尽快了解 DevOps Guru 发现的问题。设置 DevOps Guru 时,请准备好话题。使用 DevOps Guru 控制台设置 DevOps Guru 时,您可以使用通知主题的名称或其亚马逊资源名称 () ARN 来指定通知主题。有关更多信息,请参阅启用 DevOps Guru。您可以使用 Amazon SNS 控制台查看每个主题的名称和ARN。如果您没有主题,则可以在使用 Guru 控制台启用 DevOps Guru 时创建一个。 DevOps有关更多信息,请参阅《Amazon Simple Notification Service 开发人员指南》中的创建主题

已将权限添加到您的 Amazon SNS 主题中

Amazon SNS 主题是一种包含 AWS Identity and Access Management (IAM) 资源策略的资源。当您在此处指定主题时, DevOpsGuru 会将以下权限附加到其资源策略中。

{ "Sid": "DevOpsGuru-added-SNS-topic-permissions", "Effect": "Allow", "Principal": { "Service": "region-id.devops-guru.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name", "Condition" : { "StringEquals" : { "AWS:SourceArn": "arn:aws:devops-guru:region-id:topic-owner-account-id:channel/devops-guru-channel-id", "AWS:SourceAccount": "topic-owner-account-id" } } }

DevOpsGuru 需要这些权限才能使用主题发布通知。如果您不想拥有该主题的这些权限,则可以放心地将其删除,主题将继续按照您选择之前的方式运行。但是,如果删除了这些附加权限, DevOpsGuru 将无法使用该主题生成通知。