設置 Amazon DevOps 大師 - Amazon DevOps 大師
註冊成為 AWS確定覆蓋範圍DevOps大師識別您的通知主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設置 Amazon DevOps 大師

完成本節中的任務以首次設定 Amazon DevOps 大師。如果您已經擁有 AWS 帳戶、知道要分析哪個帳 AWS 戶或多個帳戶,並擁有 Amazon 簡單通知服務主題可用於深入分析通知,則可以跳到開始使用 DevOps大師

或者,您可以使用的 AWS Systems Manager「快速設定」功能來設定 DevOps Guru 並快速設定其選項。您可以使用「快速設定」為獨立帳戶或組織設定 DevOps Guru。若要使用「Systems Manager」中的「快速設定」來設定組織的 DevOps Guru,您必須具備下列先決條件:

  • 一個組織與 AWS Organizations. 如需詳細資訊,請參閱《AWS Organizations 使用指南》中的AWS Organizations 術語和概念

  • 兩個或兩個以上的組織單位 (OU)。

  • 每個 OU 中的一或多個目標 AWS 帳戶。

  • 一個管理員帳戶,具有管理目標帳戶的權限。

若要瞭解如何使用快速設定來設定 DevOps Guru,請參閱使用AWS Systems Manager 者指南中的使用快速設定來設定 DevOps G uru。

使用以下步驟在沒有快速設置的情況下設置 DevOps Guru。

步驟 1 — 註冊 AWS

註冊一個 AWS 帳戶

如果您沒有 AWS 帳戶,請完成以下步驟來建立一個。

若要註冊成為 AWS 帳戶

  1. 開啟 https://portal.aws.amazon.com/billing/signup

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。

    當您註冊時 AWS 帳戶,會建立AWS 帳戶根使用者一個。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。安全性最佳做法是將管理存取權指派給使用者,並僅使用 root 使用者來執行需要 root 使用者存取權的工作。

AWS 註冊過程完成後,會向您發送確認電子郵件。您可以隨時登錄 https://aws.amazon.com/ 並選擇 我的帳戶,以檢視您目前的帳戶活動並管理帳戶。

建立具有管理權限的使用者

註冊後,請保護您的 AWS 帳戶 AWS 帳戶根使用者 AWS IAM Identity Center、啟用和建立系統管理使用者,這樣您就不會將 root 使用者用於日常工作。

保護您的 AWS 帳戶根使用者

  1. 選擇 Root 使用者並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入。AWS Management Console在下一頁中,輸入您的密碼。

    如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入

  2. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

    如需指示,請參閱《IAM 使用者指南》的為 AWS 帳戶 根使用者啟用虛擬 MFA 裝置 (主控台)

建立具有管理權限的使用者

  1. 啟用 IAM Identity Center。

    如需指示,請參閱 AWS IAM Identity Center 使用者指南中的啟用 AWS IAM Identity Center

  2. 在 IAM 身分中心中,將管理存取權授予使用者。

    若要取得有關使用 IAM Identity Center 目錄 做為身分識別來源的自學課程,請參閱《使用指南》 IAM Identity Center 目錄中的「以預設值設定使用AWS IAM Identity Center 者存取」。

以具有管理權限的使用者身分登入
指派存取權給其他使用者

  1. 在 IAM 身分中心中,建立遵循套用最低權限許可的最佳做法的權限集。

    如需指示,請參閱《AWS IAM Identity Center 使用指南》中的「建立權限集」。

  2. 將使用者指派給群組,然後將單一登入存取權指派給群組。

    如需指示,請參閱《AWS IAM Identity Center 使用指南》中的「新增群組」。

步驟 2 — 確定DevOps大師的覆蓋範圍

您的邊界涵蓋範圍決定 Amazon DevOps Guru 針對異常行為分析的 AWS 資源。我們建議您將資源分組到操作應用程式中。資源界限中的所有資源都應包含一或多個應用程式。如果您有一個操作解決方案,那麼您的覆蓋範圍應包括其所有資源。如果您有多個應用程式,請選擇組成每個解決方案的資源,並使用 AWS CloudFormation 堆疊或 AWS 標籤將它們分組在一起。Guru 會分析您指定的所有合併資源,無論是定義一個或多個應用程式,都會由 DevOps Guru 進行分析,並組成其涵蓋範圍界限。

使用下列其中一種方法來指定作業解決方案中的資源。

  • 選擇讓您的 AWS 地區和帳戶定義您的保險範圍。使用此選項, DevOps Guru 會分析您帳戶和區域中的所有資源。如果您只將帳戶用於一個應用程序,這是一個不錯的選擇。

  • 使用 AWS CloudFormation 堆疊來定義作業應用程式中的資源。 AWS CloudFormation 範本會為您定義並產生您的資源。指定在設定 DevOps Guru 時建立應用程式資源的堆疊。你可以隨時更新堆疊。您選擇的堆疊中的所有資源都會定義邊界涵蓋範圍。如需詳細資訊,請參閱 使用AWS CloudFormation堆棧以識別您的資源 DevOpsGuru

  • 使用 AWS 標籤指定應用程式中的 AWS 資源。 DevOpsGuru 僅分析包含您選擇的標籤的資源。這些資源構成了你的界限。

    標 AWS 籤由標籤和標籤組成。您可以指定一個標籤,並且可以使用該指定一個或多個。針對其中一應用程式中的所有資源使用一個值。如果您有多個應用程式,請為所有應用程式使用具有相同索引鍵的標籤,並使用標籤將資源分組到應用程式中。所有帶有您選擇的標籤的資源都構成了 DevOps Guru 的覆蓋範圍邊界。如需詳細資訊,請參閱 使用標籤識別 DevOps Guru 應用程式中的資源

如果您的邊界涵蓋範圍包含組成多個應用程式的資源,您可以使用標籤來篩選深入解析,以便一次檢視一個應用程式。如需詳細資訊,請參閱中的步驟 4 檢視DevOps大師洞察

如需詳細資訊,請參閱 使用定義應用程式AWS資源。如需有關支援服務和資源的詳細資訊,請參閱 Amazon DevOps Guru 定價

步驟 3 — 識別您的 Amazon SNS 通知主題

您可以使用一或兩個 Amazon SNS 主題來產生有關重要 DevOps Guru 事件的通知,例如在建立洞察時。這樣可以確保您盡快了解 DevOps Guru 發現的問題。設置 DevOps Guru 時,請準備好主題。使用 DevOps Guru 主控台設定 G DevOps uru 時,您可以使用其名稱或其 Amazon 資源名稱 (ARN) 來指定通知主題。如需詳細資訊,請參閱啟用 DevOps Guru。您可以使用 Amazon SNS 主控台來檢視每個主題的名稱和 ARN。如果您沒有主題,可以在 DevOps使用 Guru 主控台啟用 DevOps Guru 時建立主題。如需詳細資訊,請參Amazon 簡單通知服務開發人員指南中的建立主題

新增至您的 Amazon SNS 主題的許可

Amazon SNS 主題是包含 AWS Identity and Access Management (IAM) 資源政策的資源。當您在此指定主題時, DevOpsGuru 會將下列權限附加至其資源策略。

{
    "Sid": "DevOpsGuru-added-SNS-topic-permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "region-id.devops-guru.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
    "Condition" : {
      "StringEquals" : {
        "AWS:SourceArn": "arn:aws:devops-guru:region-id:topic-owner-account-id:channel/devops-guru-channel-id",
        "AWS:SourceAccount": "topic-owner-account-id"
    }
  }
}

DevOpsGuru 使用主題發佈通知需要這些權限。如果您不想擁有該主題的這些權限,則可以安全地將其移除,並且該主題將繼續像您選擇之前的那樣運作。不過,如果移除這些附加的權限, DevOpsGuru 就無法使用主題來產生通知。