View a markdown version of this page

设置 Amazon DevOps Guru - Amazon DevOps Guru

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 Amazon DevOps Guru

完成本节中的任务,首次设置 Amazon DevOps Guru。如果您已经有一个 AWS 账户,知道要分析哪个 AWS 或多个账户,并且有亚马逊简单通知服务主题可用于洞察通知,则可以直接跳到DevOpsGuru 入门

或者,您可以使用快速设置(一项功能)来设置 DevOps Guru 并快速配置其选项。 AWS Systems Manager您可以使用快速设置为独立账户或组织设置 DevOps Guru。要使用 Systems Manager 中的快速设置为组织设置 DevOps Guru,必须具备以下先决条件:

  • 一个拥有 AWS Organizations. 有关更多信息,请参阅《AWS Organizations 用户指南》中的AWS Organizations 术语和概念

  • 两个或多个组织单位 (OU)。

  • 每个 OU 中有一个或多个目标 AWS 账户。

  • 一个具有管理目标账户权限的管理员账户。

要了解如何使用快速设置来设置 DevOps Guru,请参阅《AWS Systems Manager 用户指南》中的 “使用快速设置配置 DevOps Guru”。

使用以下步骤在不使用快速设置的情况下设置 DevOps Guru。

第 1 步 — 注册 AWS

注册获取 AWS 账户

要开始使用 AWS,你需要一个 AWS 账户。有关创建的信息 AWS 账户,请参阅《AWS 账户管理 参考指南》 AWS 账户中的入门指南

第 2 步 — 确定 DevOps Guru 的覆盖范围

您的边界覆盖范围决定了 Amazon DevOps Guru 对哪些 AWS 资源进行异常行为分析。我们建议您将资源分组到操作应用程序中。资源边界中的所有资源都应构成您的一个或多个应用程序。如果您有一个操作解决方案,那么您的覆盖范围应包括其所有资源。如果您有多个应用程序,请选择构成每个解决方案的资源,然后使用 CloudFormation 堆栈或 AWS 标签将它们分组在一起。您指定的所有组合资源,无论它们定义了一个还是多个应用程序,都将由 DevOps Guru 进行分析并构成其覆盖范围。

使用以下方法之一指定操作解决方案中的资源。

  • 选择让您的 AWS 地区和账户定义您的覆盖范围。使用此选项, DevOps Guru 可以分析您账户和地区中的所有资源。如果您只将自己的账户用于一个应用程序,那么这是一个不错的选择。

  • 使用 CloudFormation 堆栈来定义操作应用程序中的资源。 CloudFormation 模板为您定义和生成资源。在配置 DevOps Guru 时,请指定用于创建应用程序资源的堆栈。您可以随时更新堆栈。您选择的堆栈中的所有资源都定义了边界覆盖范围。有关更多信息,请参阅 使用 CloudFormation 堆栈来识别 DevOps Guru 应用程序中的资源

  • 使用 AWS 标签来指定应用程序中的 AWS 资源。 DevOpsGuru 仅分析包含您选择的标签的资源。这些资源构成了您的边界。

    AWS 标签由标签和标签组成。您可以指定一个标签,也可以使用该指定一个或多个。对其中一个应用程序中的所有资源使用同一个。如果您有多个应用程序,则对所有应用程序使用具有相同的标签,并使用标签的将资源分组到您的应用程序中。带有您选择的标签的所有资源构成了 DevOps Guru 的覆盖范围。有关更多信息,请参阅 使用标签来识别 DevOps Guru 应用程序中的资源

如果您的边界覆盖范围包括构成多个应用程序的资源,则可以使用标签筛选您的见解,逐个应用程序查看见解。有关更多信息,请参阅查看 DevOps Guru 见解中的步骤 4。

有关更多信息,请参阅 使用 AWS 资源定义应用程序。有关支持的服务和资源的更多信息,请参阅 Amazon DevOps Guru 定价

步骤 3 - 确定您的 Amazon SNS 通知主题

您可以使用一两个 Amazon SNS 主题来生成有关重要的 DevOps Guru 事件的通知,例如何时创建见解。这样可以确保您尽快了解 DevOps Guru 发现的问题。设置 DevOps Guru 时,请准备好话题。使用 DevOps Guru 控制台设置 DevOps Guru 时,您可以使用通知主题的名称或其亚马逊资源名称 (ARN) 来指定通知主题。有关更多信息,请参阅启用 DevOps Guru。您可以使用 Amazon SNS 控制台查看每个主题的名称和 ARN。如果您没有主题,则可以在使用 Guru 控制台启用 DevOps Guru 时创建一个。 DevOps有关更多信息,请参阅《Amazon Simple Notification Service 开发人员指南》中的创建主题

添加到 Amazon SNS 主题的权限

Amazon SNS 主题是一种包含 AWS Identity and Access Management (IAM) 资源策略的资源。当您在此处指定主题时, DevOpsGuru 会将以下权限附加到其资源策略中。

{ "Sid": "DevOpsGuru-added-SNS-topic-permissions", "Effect": "Allow", "Principal": { "Service": "region-id.devops-guru.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name", "Condition" : { "StringEquals" : { "AWS:SourceArn": "arn:aws:devops-guru:region-id:topic-owner-account-id:channel/devops-guru-channel-id", "AWS:SourceAccount": "topic-owner-account-id" } } }

DevOpsGuru 需要这些权限才能使用主题发布通知。如果您不想拥有该主题的这些权限,则可以放心地将其删除,主题将继续按照您选择之前的方式运行。但是,如果删除了这些附加权限, DevOpsGuru 将无法使用该主题生成通知。