AWS Systems Manager變更管理器的簡介,aws架構組建及流程-ESG跨境

AWS Systems Manager變更管理器的簡介,aws架構組建及流程

AWS Systems Manager變更管理器的簡介

您一直在傾聽客戶的反饋，因此在持續(xù)迭代、創(chuàng)新和改進應用程序和基礎設施。您不斷修改云中的IT系統(tǒng)。讓我們面對現(xiàn)實，在作業(yè)系統(tǒng)中改變某些項目可能會造成損壞，或帶來有時不可預測的副作用；這與您做了多少次測試無關。另一方面，不做改變意味著停滯，緊接著就會落伍，然后就是死亡。

這就是為什么各種規(guī)模和類型的組織都接受控制變更的文化。一些組織采用變更管理流程，例如ITIL v4中定義的流程。有些組織采用開發(fā)運維的持續(xù)部署或其他方法。無論如何，為了支持變更管理流程，擁有工具非常重要。

今天，我們將推出AWS Systems Manager變更管理器，這是適用于AWS Systems Manager的新變更管理功能。它簡化了運營工程師跟蹤、批準和實施對其應用程序配置和基礎設施操作變更的方式。

使用變更管理器有兩個主要優(yōu)勢。首先，它可以提高對應用程序配置和基礎設施所做更改的安全性，從而降低服務中斷的風險。它通過跟蹤僅實施批準的更改，使運營變更更加安全。其次，它與其他AWS服務（例如AWS Organizations和AWS Single SignOn）緊密集成，或與Systems Manager變更日歷和Amazon CloudWatch警報集成。

變更管理器提供了問責制，以統(tǒng)一方式報告和審計整個組織所做的變更、更改意圖以及誰批準和實施這些變更。

變更管理器跨AWS區(qū)域和多個AWS賬戶工作。它與組織和AWS SSO密切合作，從中心點管理變更，并以受控的方式在您的全球基礎設施中進行部署。

術語

您可以在單個AWS賬戶上使用AWS Systems Manager變更管理器，但大多數(shù)情況下，您將在多賬戶配置中使用它。

管理多個AWS賬戶變更的方式取決于這些賬戶的關聯(lián)方式。變更管理器使用AWS Organizations中定義的賬戶之間的關系。使用變更管理器時，有三種類型的帳戶：

·管理賬戶—也稱為“主賬戶”或“根賬戶”。管理賬戶是AWS Organizations層次結構中的根賬戶。根據(jù)這個事實，這是管理賬戶。

·代理管理員帳戶—代理管理員帳戶是一個已被授權管理組織中其他帳戶的帳戶。在變更管理器上下文中，這是從中發(fā)起變更請求的帳戶。您通常需要登錄此帳戶才能管理模板和變更請求。使用代理管理員帳戶可以限制與根賬戶建立的連接。它還允許您通過使用變更所需的特定權限子集來強制執(zhí)行最低權限策略。

·成員帳戶—成員帳戶不是管理帳戶或代理管理員帳戶，但仍包含在組織中的帳戶。在我的變更管理器心理模型中，這些帳戶將是保存部署變更的資源的帳戶。代理管理員帳戶將發(fā)起變更請求，該請求將影響成員賬戶中的資源。不建議系統(tǒng)管理員直接登錄這些帳戶。

一次性配置

在這種情況下，我將向您展示如何將變更管理器用于與組織關聯(lián)的多個AWS賬戶。如果您對一次性配置不感興趣，請?zhí)D至下面的創(chuàng)建變更請求部分。

在使用變更管理器之前，需要執(zhí)行四個一次性配置操作：一個操作在根帳戶中執(zhí)行，另外三個在代理管理員帳戶中執(zhí)行。在根帳戶中，我使用Quick Setup（快速設置）來定義我的代理管理員帳戶，然后初始配置帳戶的權限。在代理管理員帳戶中，您可以定義用戶身份來源，定義哪些用戶有權批準變更模板，然后定義變更請求模板。

首先，我確保自己有一個組織，并且我的AWS賬戶按組織單位(OU)進行組織。在這個簡單示例中，我有三個賬戶：根賬戶、管理OU中的代理管理員帳戶和托管OU中的成員帳戶。準備好后，我使用根賬戶上的Quick Setup（快速設置）來配置我的帳戶。有多條路徑通向Quick Setup（快速設置）；對于此演示，我使用Quick Setup（快速設置）控制臺頂部的藍色橫幅，然后單擊Setup Change Manager（設置變更管理器）。

如果我尚未定義代理管理員帳戶，請在Quick Setup（快速設置）頁面上輸入該ID。然后，我選擇授予代理管理員帳戶代表我執(zhí)行變更的權限邊界。這是變更管理器獲得的進行變更的最大權限。在幾分鐘內創(chuàng)建變更請求時，我將進一步限制此權限集。在此示例中，我授予了變更管理器調用任何ec2 API的權限。這實際上授權變更管理器只運行與EC2實例相關的變更。

在屏幕下方，我選擇作為變更目標的帳戶集。我在整個組織或自定義之間進行選擇，以選擇一個或多個OU。

不久后，快速安裝程序完成了我的AWS賬戶權限的配置，我可以轉到一次性設置的第二部分。

接下來，我切換到我的代理管理員帳戶。變更管理器詢問我如何管理組織中的用戶：使用AWS Identity and Access Management(IAM)或AWS Single SignOn？這定義了當我選擇批準者時，變更管理器在何處提取用戶身份。這是一次性配置選項。這可以隨時在變更管理器Settings（設置）頁面中進行更改。

然后，在同一頁面上，我定義了Amazon Simple Notification Service(SNS)主題來接收有關模板評論的通知。在創(chuàng)建或修改模板時，該通道都會收到通知，以便模板批準者審閱和批準模板。我還定義了有權批準變更模板的IAM（或SSO）用戶（在一分鐘內詳細了解這些模板）。

或者，您可以使用現(xiàn)有的AWS Systems Manager變更日歷來定義未授權變更的時段，例如營銷活動或節(jié)假日銷售。

最后，我定義一個變更模板。每個變更請求都是從模板創(chuàng)建的。模板基于這些變更請求定義所有變更請求的通用參數(shù)，例如變更請求審批者、要執(zhí)行的操作或發(fā)快遞進度通知的SNS主題。在使用模板之前，您可以強制對模板進行審查和批準。創(chuàng)建多個模板來處理不同類型的更改是非常合理的。例如，您可以創(chuàng)建一個用于標準變更的模板，再創(chuàng)建一個用于覆蓋變更日歷的緊急變更的模板?；蛘?，您可以為不同類型的自動化運行手冊（文檔）創(chuàng)建不同的模板。

為了幫助您開始使用，我們?yōu)槟鷦?chuàng)建了一個模板：“Hello World”模板。您可以將它用作創(chuàng)建變更請求和測試批準流程的起點。

我可以隨時創(chuàng)建自己的模板。假設我的系統(tǒng)管理員團隊經常重新啟動EC2實例。我創(chuàng)建了一個模板，允許他們創(chuàng)建更改請求以重啟一個或多個實例。我使用代理管理員帳戶，導航到變更管理器管理控制臺，然后單擊Create template（創(chuàng)建模板）。

簡而言之，模板定義了授權操作的列表、發(fā)快遞通知的位置以及誰可以批準變更請求。操作是AWS Systems Manager Runbook。緊急變更模板允許變更請求繞過我之前寫過的變更日歷。在Runbook Options（Runbook選項）下，我選擇一個或多個允許運行的Runbook。對于此示例，我選擇AWS EC2RestartInstance Runbook。

我使用控制臺來創(chuàng)建模板，但模板在內部被定義為YAML。我可以使用Editor（編輯器）選項卡或在使用AWS命令行界面(CLI)或API時編輯YAML。這意味著我可以像基礎設施的其余部分一樣對它們進行版本控制（作為代碼）。

就在下面，我使用markdown格式的文本來記錄我的模板。我使用此部分來記錄模板的定義特征，并向申請者提供任何必要的說明，例如退出程序。

我向下滾動該頁面，然后單擊Add Approver（添加審批者）定義審批者。審批者可以是個人用戶或組。審批者列表可以在模板級別或在變更請求本身中定義。我還選擇創(chuàng)建SNS主題，以便在創(chuàng)建需要審批者批準的請求時通知審批者。

在Monitoring（監(jiān)控）部分中，我選擇一個警報，該警報在激活時會停止基于此模板的任何更改，然后啟動回滾。

在Notifications（通知）部分，我選擇或創(chuàng)建另一個SNS主題，以便在此模板的狀態(tài)變更時通知我。

完成后，我會保存模板并提交以供審查。

模板必須經過審查和批準才能使用。為了批準模板，我將控制臺作為我之前定義的template_approver用戶進行連接。作為template_approver用戶，我在Overview（概述）選項卡上看到待批準。或者，我導航到Templates（模板）選項卡，選擇要查看的模板。完成審查后，單擊Approve（批準）。

Voila，現(xiàn)在我們準備基于此模板創(chuàng)建變更請求。請記住，上述所有步驟都是一次性配置，可以隨時修改。修改現(xiàn)有模板后，變更將再次經過審核和批準流程。

創(chuàng)建變更請求

要在與組織關聯(lián)的任何賬戶上創(chuàng)建變更請求，我從代理管理員賬戶打開AWS Systems Manager變更管理器控制臺，然后單擊Create request（創(chuàng)建請求）。

選擇要使用的模板，然后單擊Next（下一步）。

變更管理器選擇模板我輸入此變更請求的名稱。在授權所有批準后立即啟動變更，或者指定一個可選的計劃時間。當模板允許時，我會選擇此變更的審批者。在此示例中，審批者由模板定義，無法更改。我單擊Next（下一步），

在下一個屏幕上，有多個重要的配置選項，與變更的實際執(zhí)行有關：

·目標位置—允許我定義要在哪個目標AWS賬戶和AWS區(qū)域上運行此變更。

·部署目標—允許我定義哪些資源是此變更的目標。一個EC2實例？或者由其標簽、資源組、實例ID列表或所有EC2實例標識的多個實例。

·Runbook參數(shù)—允許我定義要傳遞給我的runbook的參數(shù)（如有）。

·執(zhí)行角色—允許我定義我授予System Manager的權限集，以便使用此變更進行部署。權限集必須將服務changemanagement.ssm.amazonaws.com作為信任策略的Principal。選擇角色允許我授予變更管理器運行時與我擁有的權限集不同的權限集。

以下是允許變更管理器停止EC2實例的示例（您可以將其范圍限定為特定AWS賬戶、特定區(qū)域或特定實例）：

{

  Version: 20121017,

  Statement: [

    {

      Effect: Allow,

      Action: [

        ec2:StartInstances,

        ec2:StopInstances

      ],

      Resource: *,

    },

    {

      Effect: Allow,

      Action: ec2:DescribeInstances,

      Resource: *

    }

  ]

}

相關的信任政策：

{

Version: 20121017,

Statement: [

  {

   Effect: Allow,

   Principal: {

    Service: changemanagement.ssm.aws.internal

   },

   Action: sts:AssumeRole

  }

]

}

準備好后，我單擊Next（下一步）。在最后一頁上，我查看數(shù)據(jù)輸入，然后單擊Submit for approval（提交以獲得批準）。

在此階段，審批者會根據(jù)模板中配置的SNS主題收到通知。要繼續(xù)此演示，退出控制臺，然后以我創(chuàng)建的cr_approver用戶身份重新登錄，該用戶有權查看和批準變更請求。

作為cr_approver用戶，我導航到控制臺，查看變更請求，然后單擊Approve（批準）。

變更請求狀態(tài)將切換為已計劃，最終變?yōu)榫G色的Success（成功）。我可以隨時單擊變更請求以獲取狀態(tài)并收集錯誤（如有）。

我單擊變更請求以查看詳細信息。特別是，Timeline（時間線）選項卡顯示了此CR的歷史記錄。

可用性和定價

AWS Systems Manager變更管理器目前在除中國大陸外的所有商業(yè)AWS區(qū)域均可使用。定價基于兩個維度：您提交的變更請求數(shù)和所發(fā)出的API調用總數(shù)。您提交的變更請求數(shù)將是主要的成本因素。我們將對每個變更請求收取0.29 USD的費用。查看定價頁面了解更多詳情。

從第一個變更請求開始，您可以免費評估變更管理器30天。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發(fā)表后的30日內與ESG跨境電商聯(lián)系。