AWS Systems Manager變更管理器的簡介,aws架構(gòu)組建及流程AWS Systems Manager變更管理器的簡介您一直在傾聽客戶的反饋,因此在持續(xù)迭代、創(chuàng)新和改進應(yīng)用程序和基礎(chǔ)設(shè)施。您不斷修改云中的IT系統(tǒng)。讓我們面對現(xiàn)實,在作業(yè)系統(tǒng)中改變某些項目可能會造成損壞,或帶來有時不可預(yù)測的副作用;這與您做了......
您一直在傾聽客戶的反饋,因此在持續(xù)迭代、創(chuàng)新和改進應(yīng)用程序和基礎(chǔ)設(shè)施。您不斷修改云中的IT系統(tǒng)。讓我們面對現(xiàn)實,在作業(yè)系統(tǒng)中改變某些項目可能會造成損壞,或帶來有時不可預(yù)測的副作用;這與您做了多少次測試無關(guān)。另一方面,不做改變意味著停滯,緊接著就會落伍,然后就是死亡。
這就是為什么各種規(guī)模和類型的組織都接受控制變更的文化。一些組織采用變更管理流程,例如ITIL v4中定義的流程。有些組織采用開發(fā)運維的持續(xù)部署或其他方法。無論如何,為了支持變更管理流程,擁有工具非常重要。
今天,我們將推出AWS Systems Manager變更管理器,這是適用于AWS Systems Manager的新變更管理功能。它簡化了運營工程師跟蹤、批準和實施對其應(yīng)用程序配置和基礎(chǔ)設(shè)施操作變更的方式。
使用變更管理器有兩個主要優(yōu)勢。首先,它可以提高對應(yīng)用程序配置和基礎(chǔ)設(shè)施所做更改的安全性,從而降低服務(wù)中斷的風(fēng)險。它通過跟蹤僅實施批準的更改,使運營變更更加安全。其次,它與其他AWS服務(wù)(例如AWS Organizations和AWS Single SignOn)緊密集成,或與Systems Manager變更日歷和Amazon CloudWatch警報集成。
變更管理器提供了問責(zé)制,以統(tǒng)一方式報告和審計整個組織所做的變更、更改意圖以及誰批準和實施這些變更。
變更管理器跨AWS區(qū)域和多個AWS賬戶工作。它與組織和AWS SSO密切合作,從中心點管理變更,并以受控的方式在您的全球基礎(chǔ)設(shè)施中進行部署。
術(shù)語
您可以在單個AWS賬戶上使用AWS Systems Manager變更管理器,但大多數(shù)情況下,您將在多賬戶配置中使用它。
管理多個AWS賬戶變更的方式取決于這些賬戶的關(guān)聯(lián)方式。變更管理器使用AWS Organizations中定義的賬戶之間的關(guān)系。使用變更管理器時,有三種類型的帳戶:
·管理賬戶—也稱為“主賬戶”或“根賬戶”。管理賬戶是AWS Organizations層次結(jié)構(gòu)中的根賬戶。根據(jù)這個事實,這是管理賬戶。
·代理管理員帳戶—代理管理員帳戶是一個已被授權(quán)管理組織中其他帳戶的帳戶。在變更管理器上下文中,這是從中發(fā)起變更請求的帳戶。您通常需要登錄此帳戶才能管理模板和變更請求。使用代理管理員帳戶可以限制與根賬戶建立的連接。它還允許您通過使用變更所需的特定權(quán)限子集來強制執(zhí)行最低權(quán)限策略。
·成員帳戶—成員帳戶不是管理帳戶或代理管理員帳戶,但仍包含在組織中的帳戶。在我的變更管理器心理模型中,這些帳戶將是保存部署變更的資源的帳戶。代理管理員帳戶將發(fā)起變更請求,該請求將影響成員賬戶中的資源。不建議系統(tǒng)管理員直接登錄這些帳戶。
一次性配置
在這種情況下,我將向您展示如何將變更管理器用于與組織關(guān)聯(lián)的多個AWS賬戶。如果您對一次性配置不感興趣,請?zhí)D(zhuǎn)至下面的創(chuàng)建變更請求部分。
在使用變更管理器之前,需要執(zhí)行四個一次性配置操作:一個操作在根帳戶中執(zhí)行,另外三個在代理管理員帳戶中執(zhí)行。在根帳戶中,我使用Quick Setup(快速設(shè)置)來定義我的代理管理員帳戶,然后初始配置帳戶的權(quán)限。在代理管理員帳戶中,您可以定義用戶身份來源,定義哪些用戶有權(quán)批準變更模板,然后定義變更請求模板。
首先,我確保自己有一個組織,并且我的AWS賬戶按組織單位(OU)進行組織。在這個簡單示例中,我有三個賬戶:根賬戶、管理OU中的代理管理員帳戶和托管OU中的成員帳戶。準備好后,我使用根賬戶上的Quick Setup(快速設(shè)置)來配置我的帳戶。有多條路徑通向Quick Setup(快速設(shè)置);對于此演示,我使用Quick Setup(快速設(shè)置)控制臺頂部的藍色橫幅,然后單擊Setup Change Manager(設(shè)置變更管理器)。
如果我尚未定義代理管理員帳戶,請在Quick Setup(快速設(shè)置)頁面上輸入該ID。然后,我選擇授予代理管理員帳戶代表我執(zhí)行變更的權(quán)限邊界。這是變更管理器獲得的進行變更的最大權(quán)限。在幾分鐘內(nèi)創(chuàng)建變更請求時,我將進一步限制此權(quán)限集。在此示例中,我授予了變更管理器調(diào)用任何ec2 API的權(quán)限。這實際上授權(quán)變更管理器只運行與EC2實例相關(guān)的變更。
在屏幕下方,我選擇作為變更目標(biāo)的帳戶集。我在整個組織或自定義之間進行選擇,以選擇一個或多個OU。
不久后,快速安裝程序完成了我的AWS賬戶權(quán)限的配置,我可以轉(zhuǎn)到一次性設(shè)置的第二部分。
接下來,我切換到我的代理管理員帳戶。變更管理器詢問我如何管理組織中的用戶:使用AWS Identity and Access Management(IAM)或AWS Single SignOn?這定義了當(dāng)我選擇批準者時,變更管理器在何處提取用戶身份。這是一次性配置選項。這可以隨時在變更管理器Settings(設(shè)置)頁面中進行更改。
然后,在同一頁面上,我定義了Amazon Simple Notification Service(SNS)主題來接收有關(guān)模板評論的通知。在創(chuàng)建或修改模板時,該通道都會收到通知,以便模板批準者審閱和批準模板。我還定義了有權(quán)批準變更模板的IAM(或SSO)用戶(在一分鐘內(nèi)詳細了解這些模板)。
或者,您可以使用現(xiàn)有的AWS Systems Manager變更日歷來定義未授權(quán)變更的時段,例如營銷活動或節(jié)假日銷售。
最后,我定義一個變更模板。每個變更請求都是從模板創(chuàng)建的。模板基于這些變更請求定義所有變更請求的通用參數(shù),例如變更請求審批者、要執(zhí)行的操作或發(fā)快遞進度通知的SNS主題。在使用模板之前,您可以強制對模板進行審查和批準。創(chuàng)建多個模板來處理不同類型的更改是非常合理的。例如,您可以創(chuàng)建一個用于標(biāo)準變更的模板,再創(chuàng)建一個用于覆蓋變更日歷的緊急變更的模板。或者,您可以為不同類型的自動化運行手冊(文檔)創(chuàng)建不同的模板。
為了幫助您開始使用,我們?yōu)槟鷦?chuàng)建了一個模板:“Hello World”模板。您可以將它用作創(chuàng)建變更請求和測試批準流程的起點。
我可以隨時創(chuàng)建自己的模板。假設(shè)我的系統(tǒng)管理員團隊經(jīng)常重新啟動EC2實例。我創(chuàng)建了一個模板,允許他們創(chuàng)建更改請求以重啟一個或多個實例。我使用代理管理員帳戶,導(dǎo)航到變更管理器管理控制臺,然后單擊Create template(創(chuàng)建模板)。
簡而言之,模板定義了授權(quán)操作的列表、發(fā)快遞通知的位置以及誰可以批準變更請求。操作是AWS Systems Manager Runbook。緊急變更模板允許變更請求繞過我之前寫過的變更日歷。在Runbook Options(Runbook選項)下,我選擇一個或多個允許運行的Runbook。對于此示例,我選擇AWS EC2RestartInstance Runbook。
我使用控制臺來創(chuàng)建模板,但模板在內(nèi)部被定義為YAML。我可以使用Editor(編輯器)選項卡或在使用AWS命令行界面(CLI)或API時編輯YAML。這意味著我可以像基礎(chǔ)設(shè)施的其余部分一樣對它們進行版本控制(作為代碼)。
就在下面,我使用markdown格式的文本來記錄我的模板。我使用此部分來記錄模板的定義特征,并向申請者提供任何必要的說明,例如退出程序。
我向下滾動該頁面,然后單擊Add Approver(添加審批者)定義審批者。審批者可以是個人用戶或組。審批者列表可以在模板級別或在變更請求本身中定義。我還選擇創(chuàng)建SNS主題,以便在創(chuàng)建需要審批者批準的請求時通知審批者。
在Monitoring(監(jiān)控)部分中,我選擇一個警報,該警報在激活時會停止基于此模板的任何更改,然后啟動回滾。
在Notifications(通知)部分,我選擇或創(chuàng)建另一個SNS主題,以便在此模板的狀態(tài)變更時通知我。
完成后,我會保存模板并提交以供審查。
模板必須經(jīng)過審查和批準才能使用。為了批準模板,我將控制臺作為我之前定義的template_approver用戶進行連接。作為template_approver用戶,我在Overview(概述)選項卡上看到待批準。或者,我導(dǎo)航到Templates(模板)選項卡,選擇要查看的模板。完成審查后,單擊Approve(批準)。
Voila,現(xiàn)在我們準備基于此模板創(chuàng)建變更請求。請記住,上述所有步驟都是一次性配置,可以隨時修改。修改現(xiàn)有模板后,變更將再次經(jīng)過審核和批準流程。
創(chuàng)建變更請求
要在與組織關(guān)聯(lián)的任何賬戶上創(chuàng)建變更請求,我從代理管理員賬戶打開AWS Systems Manager變更管理器控制臺,然后單擊Create request(創(chuàng)建請求)。
選擇要使用的模板,然后單擊Next(下一步)。
變更管理器選擇模板我輸入此變更請求的名稱。在授權(quán)所有批準后立即啟動變更,或者指定一個可選的計劃時間。當(dāng)模板允許時,我會選擇此變更的審批者。在此示例中,審批者由模板定義,無法更改。我單擊Next(下一步),
在下一個屏幕上,有多個重要的配置選項,與變更的實際執(zhí)行有關(guān):
·目標(biāo)位置—允許我定義要在哪個目標(biāo)AWS賬戶和AWS區(qū)域上運行此變更。
·部署目標(biāo)—允許我定義哪些資源是此變更的目標(biāo)。一個EC2實例?或者由其標(biāo)簽、資源組、實例ID列表或所有EC2實例標(biāo)識的多個實例。
·Runbook參數(shù)—允許我定義要傳遞給我的runbook的參數(shù)(如有)。
·執(zhí)行角色—允許我定義我授予System Manager的權(quán)限集,以便使用此變更進行部署。權(quán)限集必須將服務(wù)changemanagement.ssm.amazonaws.com作為信任策略的Principal。選擇角色允許我授予變更管理器運行時與我擁有的權(quán)限集不同的權(quán)限集。
以下是允許變更管理器停止EC2實例的示例(您可以將其范圍限定為特定AWS賬戶、特定區(qū)域或特定實例):
{
Version: 20121017,
Statement: [
{
Effect: Allow,
Action: [
ec2:StartInstances,
ec2:StopInstances
],
Resource: *,
},
{
Effect: Allow,
Action: ec2:DescribeInstances,
Resource: *
}
]
}
相關(guān)的信任政策:
{
Version: 20121017,
Statement: [
{
Effect: Allow,
Principal: {
Service: changemanagement.ssm.aws.internal
},
Action: sts:AssumeRole
}
]
}
準備好后,我單擊Next(下一步)。在最后一頁上,我查看數(shù)據(jù)輸入,然后單擊Submit for approval(提交以獲得批準)。
在此階段,審批者會根據(jù)模板中配置的SNS主題收到通知。要繼續(xù)此演示,退出控制臺,然后以我創(chuàng)建的cr_approver用戶身份重新登錄,該用戶有權(quán)查看和批準變更請求。
作為cr_approver用戶,我導(dǎo)航到控制臺,查看變更請求,然后單擊Approve(批準)。
變更請求狀態(tài)將切換為已計劃,最終變?yōu)榫G色的Success(成功)。我可以隨時單擊變更請求以獲取狀態(tài)并收集錯誤(如有)。
我單擊變更請求以查看詳細信息。特別是,Timeline(時間線)選項卡顯示了此CR的歷史記錄。
可用性和定價
AWS Systems Manager變更管理器目前在除中國大陸外的所有商業(yè)AWS區(qū)域均可使用。定價基于兩個維度:您提交的變更請求數(shù)和所發(fā)出的API調(diào)用總數(shù)。您提交的變更請求數(shù)將是主要的成本因素。我們將對每個變更請求收取0.29 USD的費用。查看定價頁面了解更多詳情。
從第一個變更請求開始,您可以免費評估變更管理器30天。
特別聲明:以上文章內(nèi)容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯(lián)系在線顧問
小程序
ESG跨境小程序
手機入駐更便捷
返回頂部