AWS Systems Manager變更管理器的簡(jiǎn)介,aws 服務(wù)控制策略-ESG跨境

AWS Systems Manager變更管理器的簡(jiǎn)介,aws 服務(wù)控制策略

AWS Systems Manager變更管理器的簡(jiǎn)介

您一直在傾聽客戶的反饋，因此在持續(xù)迭代、創(chuàng)新和改進(jìn)應(yīng)用程序和基礎(chǔ)設(shè)施。您不斷修改云中的IT系統(tǒng)。讓我們面對(duì)現(xiàn)實(shí)，在作業(yè)系統(tǒng)中改變某些項(xiàng)目可能會(huì)造成損壞，或帶來有時(shí)不可預(yù)測(cè)的副作用；這與您做了多少次測(cè)試無關(guān)。另一方面，不做改變意味著停滯，緊接著就會(huì)落伍，然后就是死亡。

這就是為什么各種規(guī)模和類型的組織都接受控制變更的文化。一些組織采用變更管理流程，例如ITIL v4中定義的流程。有些組織采用開發(fā)運(yùn)維的持續(xù)部署或其他方法。無論如何，為了支持變更管理流程，擁有工具非常重要。

今天，我們將推出AWS Systems Manager變更管理器，這是適用于AWS Systems Manager的新變更管理功能。它簡(jiǎn)化了運(yùn)營(yíng)工程師跟蹤、批準(zhǔn)和實(shí)施對(duì)其應(yīng)用程序配置和基礎(chǔ)設(shè)施操作變更的方式。

使用變更管理器有兩個(gè)主要優(yōu)勢(shì)。首先，它可以提高對(duì)應(yīng)用程序配置和基礎(chǔ)設(shè)施所做更改的安全性，從而降低服務(wù)中斷的風(fēng)險(xiǎn)。它通過跟蹤僅實(shí)施批準(zhǔn)的更改，使運(yùn)營(yíng)變更更加安全。其次，它與其他AWS服務(wù)（例如AWS Organizations和AWS Single SignOn）緊密集成，或與Systems Manager變更日歷和Amazon CloudWatch警報(bào)集成。

變更管理器提供了問責(zé)制，以統(tǒng)一方式報(bào)告和審計(jì)整個(gè)組織所做的變更、更改意圖以及誰批準(zhǔn)和實(shí)施這些變更。

變更管理器跨AWS區(qū)域和多個(gè)AWS賬戶工作。它與組織和AWS SSO密切合作，從中心點(diǎn)管理變更，并以受控的方式在您的全球基礎(chǔ)設(shè)施中進(jìn)行部署。

術(shù)語

您可以在單個(gè)AWS賬戶上使用AWS Systems Manager變更管理器，但大多數(shù)情況下，您將在多賬戶配置中使用它。

管理多個(gè)AWS賬戶變更的方式取決于這些賬戶的關(guān)聯(lián)方式。變更管理器使用AWS Organizations中定義的賬戶之間的關(guān)系。使用變更管理器時(shí)，有三種類型的帳戶：

·管理賬戶—也稱為“主賬戶”或“根賬戶”。管理賬戶是AWS Organizations層次結(jié)構(gòu)中的根賬戶。根據(jù)這個(gè)事實(shí)，這是管理賬戶。

·代理管理員帳戶—代理管理員帳戶是一個(gè)已被授權(quán)管理組織中其他帳戶的帳戶。在變更管理器上下文中，這是從中發(fā)起變更請(qǐng)求的帳戶。您通常需要登錄此帳戶才能管理模板和變更請(qǐng)求。使用代理管理員帳戶可以限制與根賬戶建立的連接。它還允許您通過使用變更所需的特定權(quán)限子集來強(qiáng)制執(zhí)行最低權(quán)限策略。

·成員帳戶—成員帳戶不是管理帳戶或代理管理員帳戶，但仍包含在組織中的帳戶。在我的變更管理器心理模型中，這些帳戶將是保存部署變更的資源的帳戶。代理管理員帳戶將發(fā)起變更請(qǐng)求，該請(qǐng)求將影響成員賬戶中的資源。不建議系統(tǒng)管理員直接登錄這些帳戶。

一次性配置

在這種情況下，我將向您展示如何將變更管理器用于與組織關(guān)聯(lián)的多個(gè)AWS賬戶。如果您對(duì)一次性配置不感興趣，請(qǐng)?zhí)D(zhuǎn)至下面的創(chuàng)建變更請(qǐng)求部分。

在使用變更管理器之前，需要執(zhí)行四個(gè)一次性配置操作：一個(gè)操作在根帳戶中執(zhí)行，另外三個(gè)在代理管理員帳戶中執(zhí)行。在根帳戶中，我使用Quick Setup（快速設(shè)置）來定義我的代理管理員帳戶，然后初始配置帳戶的權(quán)限。在代理管理員帳戶中，您可以定義用戶身份來源，定義哪些用戶有權(quán)批準(zhǔn)變更模板，然后定義變更請(qǐng)求模板。

首先，我確保自己有一個(gè)組織，并且我的AWS賬戶按組織單位(OU)進(jìn)行組織。在這個(gè)簡(jiǎn)單示例中，我有三個(gè)賬戶：根賬戶、管理OU中的代理管理員帳戶和托管OU中的成員帳戶。準(zhǔn)備好后，我使用根賬戶上的Quick Setup（快速設(shè)置）來配置我的帳戶。有多條路徑通向Quick Setup（快速設(shè)置）；對(duì)于此演示，我使用Quick Setup（快速設(shè)置）控制臺(tái)頂部的藍(lán)色橫幅，然后單擊Setup Change Manager（設(shè)置變更管理器）。

如果我尚未定義代理管理員帳戶，請(qǐng)?jiān)赒uick Setup（快速設(shè)置）頁面上輸入該ID。然后，我選擇授予代理管理員帳戶代表我執(zhí)行變更的權(quán)限邊界。這是變更管理器獲得的進(jìn)行變更的最大權(quán)限。在幾分鐘內(nèi)創(chuàng)建變更請(qǐng)求時(shí)，我將進(jìn)一步限制此權(quán)限集。在此示例中，我授予了變更管理器調(diào)用任何ec2 API的權(quán)限。這實(shí)際上授權(quán)變更管理器只運(yùn)行與EC2實(shí)例相關(guān)的變更。

在屏幕下方，我選擇作為變更目標(biāo)的帳戶集。我在整個(gè)組織或自定義之間進(jìn)行選擇，以選擇一個(gè)或多個(gè)OU。

不久后，快速安裝程序完成了我的AWS賬戶權(quán)限的配置，我可以轉(zhuǎn)到一次性設(shè)置的第二部分。

接下來，我切換到我的代理管理員帳戶。變更管理器詢問我如何管理組織中的用戶：使用AWS Identity and Access Management(IAM)或AWS Single SignOn？這定義了當(dāng)我選擇批準(zhǔn)者時(shí)，變更管理器在何處提取用戶身份。這是一次性配置選項(xiàng)。這可以隨時(shí)在變更管理器Settings（設(shè)置）頁面中進(jìn)行更改。

然后，在同一頁面上，我定義了Amazon Simple Notification Service(SNS)主題來接收有關(guān)模板評(píng)論的通知。在創(chuàng)建或修改模板時(shí)，該通道都會(huì)收到通知，以便模板批準(zhǔn)者審閱和批準(zhǔn)模板。我還定義了有權(quán)批準(zhǔn)變更模板的IAM（或SSO）用戶（在一分鐘內(nèi)詳細(xì)了解這些模板）。

或者，您可以使用現(xiàn)有的AWS Systems Manager變更日歷來定義未授權(quán)變更的時(shí)段，例如營(yíng)銷活動(dòng)或節(jié)假日銷售。

最后，我定義一個(gè)變更模板。每個(gè)變更請(qǐng)求都是從模板創(chuàng)建的。模板基于這些變更請(qǐng)求定義所有變更請(qǐng)求的通用參數(shù)，例如變更請(qǐng)求審批者、要執(zhí)行的操作或發(fā)快遞進(jìn)度通知的SNS主題。在使用模板之前，您可以強(qiáng)制對(duì)模板進(jìn)行審查和批準(zhǔn)。創(chuàng)建多個(gè)模板來處理不同類型的更改是非常合理的。例如，您可以創(chuàng)建一個(gè)用于標(biāo)準(zhǔn)變更的模板，再創(chuàng)建一個(gè)用于覆蓋變更日歷的緊急變更的模板?；蛘?，您可以為不同類型的自動(dòng)化運(yùn)行手冊(cè)（文檔）創(chuàng)建不同的模板。

為了幫助您開始使用，我們?yōu)槟鷦?chuàng)建了一個(gè)模板：“Hello World”模板。您可以將它用作創(chuàng)建變更請(qǐng)求和測(cè)試批準(zhǔn)流程的起點(diǎn)。

我可以隨時(shí)創(chuàng)建自己的模板。假設(shè)我的系統(tǒng)管理員團(tuán)隊(duì)經(jīng)常重新啟動(dòng)EC2實(shí)例。我創(chuàng)建了一個(gè)模板，允許他們創(chuàng)建更改請(qǐng)求以重啟一個(gè)或多個(gè)實(shí)例。我使用代理管理員帳戶，導(dǎo)航到變更管理器管理控制臺(tái)，然后單擊Create template（創(chuàng)建模板）。

簡(jiǎn)而言之，模板定義了授權(quán)操作的列表、發(fā)快遞通知的位置以及誰可以批準(zhǔn)變更請(qǐng)求。操作是AWS Systems Manager Runbook。緊急變更模板允許變更請(qǐng)求繞過我之前寫過的變更日歷。在Runbook Options（Runbook選項(xiàng)）下，我選擇一個(gè)或多個(gè)允許運(yùn)行的Runbook。對(duì)于此示例，我選擇AWS EC2RestartInstance Runbook。

我使用控制臺(tái)來創(chuàng)建模板，但模板在內(nèi)部被定義為YAML。我可以使用Editor（編輯器）選項(xiàng)卡或在使用AWS命令行界面(CLI)或API時(shí)編輯YAML。這意味著我可以像基礎(chǔ)設(shè)施的其余部分一樣對(duì)它們進(jìn)行版本控制（作為代碼）。

就在下面，我使用markdown格式的文本來記錄我的模板。我使用此部分來記錄模板的定義特征，并向申請(qǐng)者提供任何必要的說明，例如退出程序。

我向下滾動(dòng)該頁面，然后單擊Add Approver（添加審批者）定義審批者。審批者可以是個(gè)人用戶或組。審批者列表可以在模板級(jí)別或在變更請(qǐng)求本身中定義。我還選擇創(chuàng)建SNS主題，以便在創(chuàng)建需要審批者批準(zhǔn)的請(qǐng)求時(shí)通知審批者。

在Monitoring（監(jiān)控）部分中，我選擇一個(gè)警報(bào)，該警報(bào)在激活時(shí)會(huì)停止基于此模板的任何更改，然后啟動(dòng)回滾。

在Notifications（通知）部分，我選擇或創(chuàng)建另一個(gè)SNS主題，以便在此模板的狀態(tài)變更時(shí)通知我。

完成后，我會(huì)保存模板并提交以供審查。

模板必須經(jīng)過審查和批準(zhǔn)才能使用。為了批準(zhǔn)模板，我將控制臺(tái)作為我之前定義的templateapprover用戶進(jìn)行連接。作為templateapprover用戶，我在Overview（概述）選項(xiàng)卡上看到待批準(zhǔn)?；蛘撸覍?dǎo)航到Templates（模板）選項(xiàng)卡，選擇要查看的模板。完成審查后，單擊Approve（批準(zhǔn)）。

Voila，現(xiàn)在我們準(zhǔn)備基于此模板創(chuàng)建變更請(qǐng)求。請(qǐng)記住，上述所有步驟都是一次性配置，可以隨時(shí)修改。修改現(xiàn)有模板后，變更將再次經(jīng)過審核和批準(zhǔn)流程。

創(chuàng)建變更請(qǐng)求

要在與組織關(guān)聯(lián)的任何賬戶上創(chuàng)建變更請(qǐng)求，我從代理管理員賬戶打開AWS Systems Manager變更管理器控制臺(tái)，然后單擊Create request（創(chuàng)建請(qǐng)求）。

選擇要使用的模板，然后單擊Next（下一步）。

變更管理器選擇模板我輸入此變更請(qǐng)求的名稱。在授權(quán)所有批準(zhǔn)后立即啟動(dòng)變更，或者指定一個(gè)可選的計(jì)劃時(shí)間。當(dāng)模板允許時(shí)，我會(huì)選擇此變更的審批者。在此示例中，審批者由模板定義，無法更改。我單擊Next（下一步），

在下一個(gè)屏幕上，有多個(gè)重要的配置選項(xiàng)，與變更的實(shí)際執(zhí)行有關(guān)：

·目標(biāo)位置—允許我定義要在哪個(gè)目標(biāo)AWS賬戶和AWS區(qū)域上運(yùn)行此變更。

·部署目標(biāo)—允許我定義哪些資源是此變更的目標(biāo)。一個(gè)EC2實(shí)例？或者由其標(biāo)簽、資源組、實(shí)例ID列表或所有EC2實(shí)例標(biāo)識(shí)的多個(gè)實(shí)例。

·Runbook參數(shù)—允許我定義要傳遞給我的runbook的參數(shù)（如有）。

·執(zhí)行角色—允許我定義我授予System Manager的權(quán)限集，以便使用此變更進(jìn)行部署。權(quán)限集必須將服務(wù)changemanagement.ssm.amazonaws.com作為信任策略的Principal。選擇角色允許我授予變更管理器運(yùn)行時(shí)與我擁有的權(quán)限集不同的權(quán)限集。

以下是允許變更管理器停止EC2實(shí)例的示例（您可以將其范圍限定為特定AWS賬戶、特定區(qū)域或特定實(shí)例）：

{

  Version: 201207,

  Statement: [

    {

      Effect: Allow,

      Action: [

        ec2:StartInstances,

        ec2:StopInstances

      ],

      Resource: *,

    },

    {

      Effect: Allow,

      Action: ec2:DescribeInstances,

      Resource: *

    }

  ]

}

相關(guān)的信任政策：

{

Version: 201207,

Statement: [

  {

   Effect: Allow,

   Principal: {

    Service: changemanagement.ssm.aws.internal

   },

   Action: sts:AssumeRole

  }

]

}

準(zhǔn)備好后，我單擊Next（下一步）。在最后一頁上，我查看數(shù)據(jù)輸入，然后單擊Submit for approval（提交以獲得批準(zhǔn)）。

在此階段，審批者會(huì)根據(jù)模板中配置的SNS主題收到通知。要繼續(xù)此演示，退出控制臺(tái)，然后以我創(chuàng)建的crapprover用戶身份重新登錄，該用戶有權(quán)查看和批準(zhǔn)變更請(qǐng)求。

作為crapprover用戶，我導(dǎo)航到控制臺(tái)，查看變更請(qǐng)求，然后單擊Approve（批準(zhǔn)）。

變更請(qǐng)求狀態(tài)將切換為已計(jì)劃，最終變?yōu)榫G色的Success（成功）。我可以隨時(shí)單擊變更請(qǐng)求以獲取狀態(tài)并收集錯(cuò)誤（如有）。

我單擊變更請(qǐng)求以查看詳細(xì)信息。特別是，Timeline（時(shí)間線）選項(xiàng)卡顯示了此CR的歷史記錄。

可用性和定價(jià)

AWS Systems Manager變更管理器目前在除中國(guó)大陸外的所有商業(yè)AWS區(qū)域均可使用。定價(jià)基于兩個(gè)維度：您提交的變更請(qǐng)求數(shù)和所發(fā)出的API調(diào)用總數(shù)。您提交的變更請(qǐng)求數(shù)將是主要的成本因素。我們將對(duì)每個(gè)變更請(qǐng)求收取0.29 USD的費(fèi)用。查看定價(jià)頁面了解更多詳情。

從第一個(gè)變更請(qǐng)求開始，您可以免費(fèi)評(píng)估變更管理器30天。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。