本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 Amazon DevOpsGuru
完成本節中的任務,第一次設定 Amazon DevOpsGuru。如果您已有 AWS 帳戶、知道要分析哪些 AWS 帳戶,並具有可用於洞察通知的 Amazon Simple Notification Service 主題,您可以跳至 Guru DevOps入門。
或者,您可以使用 Quick Setup,即 的功能 AWS Systems Manager,來設定 DevOpsGuru 並快速設定其選項。您可以使用 Quick Setup 為獨立帳戶或組織設定 DevOpsGuru。若要在 Systems Manager 中使用 Quick Setup 為組織設定 DevOpsGuru,您必須具備下列先決條件:
-
具有 的組織 AWS Organizations。如需詳細資訊,請參閱 AWS Organizations 使用者指南 中的AWS Organizations 術語和概念。
-
兩個或多個組織單位 (OUs)。
-
每個 OU 中的一或多個目標 AWS 帳戶。
-
一個管理員帳戶,具有管理目標帳戶的權限。
若要了解如何使用 Quick Setup 設定 DevOpsGuru,請參閱 AWS Systems Manager 使用者指南 中的使用 Quick Setup 設定 DevOpsGuru。
使用下列步驟來設定沒有快速設定的 DevOpsGuru。
步驟 1 – 註冊 AWS
註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟以建立 。
若要註冊 AWS 帳戶
開啟https://portal.aws.amazon.com/billing/註冊
。 請遵循線上指示進行。
部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,AWS 帳戶根使用者會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時前往 https://aws.amazon.com/
建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護您的 AWS 帳戶根使用者、啟用 AWS IAM Identity Center並建立管理使用者,這樣您就不會將根使用者用於日常任務。
保護您的 AWS 帳戶根使用者
-
選擇根使用者並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者AWS Management Console
身分登入 。在下一頁中,輸入您的密碼。 如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入。
-
為您的根使用者開啟多重要素驗證 (MFA)。
如需指示,請參閱 IAM 使用者指南 中的為 AWS 帳戶 根使用者 (主控台) 啟用虛擬MFA裝置。
建立具有管理存取權的使用者
-
啟用IAM身分中心。
如需指示,請參閱 AWS IAM Identity Center 使用者指南中的啟用 AWS IAM Identity Center。
-
在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 作為身分來源的教學課程,請參閱 AWS IAM Identity Center 使用者指南 中的使用預設值設定使用者存取權 IAM Identity Center 目錄。
以具有管理存取權的使用者身分登入
-
若要使用 IAM Identity Center 使用者登入,請使用您建立 IAM Identity Center 使用者時URL傳送到您電子郵件地址的登入。
如需使用 IAM Identity Center 使用者登入的協助,請參閱 AWS 登入 使用者指南 中的登入 AWS 存取入口網站。
指派存取權給其他使用者
步驟 2 – 判斷 DevOpsGuru 的涵蓋範圍
您的界限涵蓋範圍會決定 Amazon DevOpsGuru 針對異常行為分析 AWS 的資源。建議您將資源分組到操作應用程式中。資源邊界中的所有資源都應包含一個或多個應用程式。如果您有一個操作解決方案,則涵蓋範圍界限應包含其所有資源。如果您有多個應用程式,請選擇構成每個解決方案的資源,並使用 AWS CloudFormation 堆疊或 AWS 標籤將其分組在一起。您指定的所有合併資源,無論它們是否定義一或多個應用程式,都會由 DevOps Guru 進行分析並構成其涵蓋範圍界限。
使用下列其中一種方法來指定 操作解決方案中的資源。
-
選擇讓您的 AWS 區域和帳戶定義您的涵蓋範圍界限。使用此選項, DevOps Guru 會分析帳戶和區域中的所有資源。如果您只將 帳戶用於一個應用程式,這是不錯的選擇。
-
使用 AWS CloudFormation 堆疊來定義營運應用程式中的資源。 AWS CloudFormation 範本會為您定義和產生資源。當您設定 DevOpsGuru 時,請指定建立應用程式資源的堆疊。您可以隨時更新堆疊。您選擇的堆疊中的所有資源都會定義您的界限涵蓋範圍。如需詳細資訊,請參閱使用AWS CloudFormation堆棧以識別您的資源 DevOpsGuru。
-
使用 AWS 標籤來指定應用程式中 AWS 的資源。 DevOpsGuru 只會分析包含您選擇的標籤的資源。這些資源構成了您的界限。
AWS 標籤由標籤索引鍵和標籤值 組成。您可以指定一個標籤金鑰,也可以指定一或多個使用該金鑰的值。為其中一個應用程式中的所有資源使用一個值。如果您有多個應用程式,請使用具有相同金鑰的標籤,並使用標籤的值 將資源分組到您的應用程式中。所有具有您選擇構成 DevOpsGuru 涵蓋範圍之標籤的資源。如需詳細資訊,請參閱使用標籤來識別 DevOpsGuru 應用程式中的資源。
如果您的界限涵蓋範圍包含構成多個應用程式的資源,您可以使用 標籤來篩選洞察,以一次透過一個應用程式檢視洞察。如需詳細資訊,請參閱中的步驟 4檢視DevOps大師洞察。
如需詳細資訊,請參閱使用定義應用程式AWS資源。如需支援之服務和資源的詳細資訊,請參閱 Amazon DevOpsGuru 定價
步驟 3 – 識別您的 Amazon SNS通知主題
您可以使用一或兩個 Amazon SNS主題來產生有關重要 DevOpsGuru 事件的通知,例如在建立洞見時。這可確保您知道 DevOpsGuru 盡快發現的問題。當您設定 DevOpsGuru 時,請準備好您的主題。當您使用 DevOpsGuru 主控台設定 DevOpsGuru 時,您可以使用其名稱或其 Amazon Resource Name () 來指定通知主題ARN。如需詳細資訊,請參閱啟用 DevOpsGuru 。您可以使用 Amazon SNS主控台來檢視ARN每個主題的名稱和 。如果您沒有主題,則可以在使用 DevOpsGuru 主控台啟用 DevOpsGuru 時建立主題。如需詳細資訊,請參閱 Amazon Simple Notification Service 開發人員指南 中的建立主題。
新增至 Amazon SNS主題的許可
Amazon SNS主題是包含 AWS Identity and Access Management (IAM) 資源政策的資源。當您在此處指定主題時, DevOpsGuru 會將下列許可附加至其資源政策。
{ "Sid": "DevOpsGuru-added-SNS-topic-permissions", "Effect": "Allow", "Principal": { "Service": "region-id.devops-guru.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name", "Condition" : { "StringEquals" : { "AWS:SourceArn": "arn:aws:devops-guru:region-id:topic-owner-account-id:channel/devops-guru-channel-id", "AWS:SourceAccount": "topic-owner-account-id" } } }
DevOpsGuru 使用主題發佈通知需要這些許可。如果您不想對主題擁有這些許可,您可以安全地移除這些許可,而且主題會繼續像您選擇主題之前一樣運作。不過,如果移除這些附加許可, DevOpsGuru 無法使用主題產生通知。
