AWS Systems Manager變更管理器的簡介,aws 服務(wù)控制策略-ESG跨境

AWS Systems Manager變更管理器的簡介,aws 服務(wù)控制策略

AWS Systems Manager變更管理器的簡介

您一直在傾聽客戶的反饋，因此在持續(xù)迭代、創(chuàng)新和改進(jìn)應(yīng)用程序和基礎(chǔ)設(shè)施。您不斷修改云中的IT系統(tǒng)。讓我們面對現(xiàn)實，在作業(yè)系統(tǒng)中改變某些項目可能會造成損壞，或帶來有時不可預(yù)測的副作用；這與您做了多少次測試無關(guān)。另一方面，不做改變意味著停滯，緊接著就會落伍，然后就是死亡。

這就是為什么各種規(guī)模和類型的組織都接受控制變更的文化。一些組織采用變更管理流程，例如ITIL v4中定義的流程。有些組織采用開發(fā)運維的持續(xù)部署或其他方法。無論如何，為了支持變更管理流程，擁有工具非常重要。

今天，我們將推出AWS Systems Manager變更管理器，這是適用于AWS Systems Manager的新變更管理功能。它簡化了運營工程師跟蹤、批準(zhǔn)和實施對其應(yīng)用程序配置和基礎(chǔ)設(shè)施操作變更的方式。

使用變更管理器有兩個主要優(yōu)勢。首先，它可以提高對應(yīng)用程序配置和基礎(chǔ)設(shè)施所做更改的安全性，從而降低服務(wù)中斷的風(fēng)險。它通過跟蹤僅實施批準(zhǔn)的更改，使運營變更更加安全。其次，它與其他AWS服務(wù)（例如AWS Organizations和AWS Single SignOn）緊密集成，或與Systems Manager變更日歷和Amazon CloudWatch警報集成。

變更管理器提供了問責(zé)制，以統(tǒng)一方式報告和審計整個組織所做的變更、更改意圖以及誰批準(zhǔn)和實施這些變更。

變更管理器跨AWS區(qū)域和多個AWS賬戶工作。它與組織和AWS SSO密切合作，從中心點管理變更，并以受控的方式在您的全球基礎(chǔ)設(shè)施中進(jìn)行部署。

術(shù)語

您可以在單個AWS賬戶上使用AWS Systems Manager變更管理器，但大多數(shù)情況下，您將在多賬戶配置中使用它。

管理多個AWS賬戶變更的方式取決于這些賬戶的關(guān)聯(lián)方式。變更管理器使用AWS Organizations中定義的賬戶之間的關(guān)系。使用變更管理器時，有三種類型的帳戶：

·管理賬戶—也稱為“主賬戶”或“根賬戶”。管理賬戶是AWS Organizations層次結(jié)構(gòu)中的根賬戶。根據(jù)這個事實，這是管理賬戶。

·代理管理員帳戶—代理管理員帳戶是一個已被授權(quán)管理組織中其他帳戶的帳戶。在變更管理器上下文中，這是從中發(fā)起變更請求的帳戶。您通常需要登錄此帳戶才能管理模板和變更請求。使用代理管理員帳戶可以限制與根賬戶建立的連接。它還允許您通過使用變更所需的特定權(quán)限子集來強(qiáng)制執(zhí)行最低權(quán)限策略。

·成員帳戶—成員帳戶不是管理帳戶或代理管理員帳戶，但仍包含在組織中的帳戶。在我的變更管理器心理模型中，這些帳戶將是保存部署變更的資源的帳戶。代理管理員帳戶將發(fā)起變更請求，該請求將影響成員賬戶中的資源。不建議系統(tǒng)管理員直接登錄這些帳戶。

一次性配置

在這種情況下，我將向您展示如何將變更管理器用于與組織關(guān)聯(lián)的多個AWS賬戶。如果您對一次性配置不感興趣，請?zhí)D(zhuǎn)至下面的創(chuàng)建變更請求部分。

在使用變更管理器之前，需要執(zhí)行四個一次性配置操作：一個操作在根帳戶中執(zhí)行，另外三個在代理管理員帳戶中執(zhí)行。在根帳戶中，我使用Quick Setup（快速設(shè)置）來定義我的代理管理員帳戶，然后初始配置帳戶的權(quán)限。在代理管理員帳戶中，您可以定義用戶身份來源，定義哪些用戶有權(quán)批準(zhǔn)變更模板，然后定義變更請求模板。

首先，我確保自己有一個組織，并且我的AWS賬戶按組織單位(OU)進(jìn)行組織。在這個簡單示例中，我有三個賬戶：根賬戶、管理OU中的代理管理員帳戶和托管OU中的成員帳戶。準(zhǔn)備好后，我使用根賬戶上的Quick Setup（快速設(shè)置）來配置我的帳戶。有多條路徑通向Quick Setup（快速設(shè)置）；對于此演示，我使用Quick Setup（快速設(shè)置）控制臺頂部的藍(lán)色橫幅，然后單擊Setup Change Manager（設(shè)置變更管理器）。

如果我尚未定義代理管理員帳戶，請在Quick Setup（快速設(shè)置）頁面上輸入該ID。然后，我選擇授予代理管理員帳戶代表我執(zhí)行變更的權(quán)限邊界。這是變更管理器獲得的進(jìn)行變更的最大權(quán)限。在幾分鐘內(nèi)創(chuàng)建變更請求時，我將進(jìn)一步限制此權(quán)限集。在此示例中，我授予了變更管理器調(diào)用任何ec2 API的權(quán)限。這實際上授權(quán)變更管理器只運行與EC2實例相關(guān)的變更。

在屏幕下方，我選擇作為變更目標(biāo)的帳戶集。我在整個組織或自定義之間進(jìn)行選擇，以選擇一個或多個OU。

不久后，快速安裝程序完成了我的AWS賬戶權(quán)限的配置，我可以轉(zhuǎn)到一次性設(shè)置的第二部分。

接下來，我切換到我的代理管理員帳戶。變更管理器詢問我如何管理組織中的用戶：使用AWS Identity and Access Management(IAM)或AWS Single SignOn？這定義了當(dāng)我選擇批準(zhǔn)者時，變更管理器在何處提取用戶身份。這是一次性配置選項。這可以隨時在變更管理器Settings（設(shè)置）頁面中進(jìn)行更改。

然后，在同一頁面上，我定義了Amazon Simple Notification Service(SNS)主題來接收有關(guān)模板評論的通知。在創(chuàng)建或修改模板時，該通道都會收到通知，以便模板批準(zhǔn)者審閱和批準(zhǔn)模板。我還定義了有權(quán)批準(zhǔn)變更模板的IAM（或SSO）用戶（在一分鐘內(nèi)詳細(xì)了解這些模板）。

或者，您可以使用現(xiàn)有的AWS Systems Manager變更日歷來定義未授權(quán)變更的時段，例如營銷活動或節(jié)假日銷售。

最后，我定義一個變更模板。每個變更請求都是從模板創(chuàng)建的。模板基于這些變更請求定義所有變更請求的通用參數(shù)，例如變更請求審批者、要執(zhí)行的操作或發(fā)快遞進(jìn)度通知的SNS主題。在使用模板之前，您可以強(qiáng)制對模板進(jìn)行審查和批準(zhǔn)。創(chuàng)建多個模板來處理不同類型的更改是非常合理的。例如，您可以創(chuàng)建一個用于標(biāo)準(zhǔn)變更的模板，再創(chuàng)建一個用于覆蓋變更日歷的緊急變更的模板。或者，您可以為不同類型的自動化運行手冊（文檔）創(chuàng)建不同的模板。

為了幫助您開始使用，我們?yōu)槟鷦?chuàng)建了一個模板：“Hello World”模板。您可以將它用作創(chuàng)建變更請求和測試批準(zhǔn)流程的起點。

我可以隨時創(chuàng)建自己的模板。假設(shè)我的系統(tǒng)管理員團(tuán)隊經(jīng)常重新啟動EC2實例。我創(chuàng)建了一個模板，允許他們創(chuàng)建更改請求以重啟一個或多個實例。我使用代理管理員帳戶，導(dǎo)航到變更管理器管理控制臺，然后單擊Create template（創(chuàng)建模板）。

簡而言之，模板定義了授權(quán)操作的列表、發(fā)快遞通知的位置以及誰可以批準(zhǔn)變更請求。操作是AWS Systems Manager Runbook。緊急變更模板允許變更請求繞過我之前寫過的變更日歷。在Runbook Options（Runbook選項）下，我選擇一個或多個允許運行的Runbook。對于此示例，我選擇AWS EC2RestartInstance Runbook。

我使用控制臺來創(chuàng)建模板，但模板在內(nèi)部被定義為YAML。我可以使用Editor（編輯器）選項卡或在使用AWS命令行界面(CLI)或API時編輯YAML。這意味著我可以像基礎(chǔ)設(shè)施的其余部分一樣對它們進(jìn)行版本控制（作為代碼）。

就在下面，我使用markdown格式的文本來記錄我的模板。我使用此部分來記錄模板的定義特征，并向申請者提供任何必要的說明，例如退出程序。

我向下滾動該頁面，然后單擊Add Approver（添加審批者）定義審批者。審批者可以是個人用戶或組。審批者列表可以在模板級別或在變更請求本身中定義。我還選擇創(chuàng)建SNS主題，以便在創(chuàng)建需要審批者批準(zhǔn)的請求時通知審批者。

在Monitoring（監(jiān)控）部分中，我選擇一個警報，該警報在激活時會停止基于此模板的任何更改，然后啟動回滾。

在Notifications（通知）部分，我選擇或創(chuàng)建另一個SNS主題，以便在此模板的狀態(tài)變更時通知我。

完成后，我會保存模板并提交以供審查。

模板必須經(jīng)過審查和批準(zhǔn)才能使用。為了批準(zhǔn)模板，我將控制臺作為我之前定義的templateapprover用戶進(jìn)行連接。作為templateapprover用戶，我在Overview（概述）選項卡上看到待批準(zhǔn)?；蛘?，我導(dǎo)航到Templates（模板）選項卡，選擇要查看的模板。完成審查后，單擊Approve（批準(zhǔn)）。

Voila，現(xiàn)在我們準(zhǔn)備基于此模板創(chuàng)建變更請求。請記住，上述所有步驟都是一次性配置，可以隨時修改。修改現(xiàn)有模板后，變更將再次經(jīng)過審核和批準(zhǔn)流程。

創(chuàng)建變更請求

要在與組織關(guān)聯(lián)的任何賬戶上創(chuàng)建變更請求，我從代理管理員賬戶打開AWS Systems Manager變更管理器控制臺，然后單擊Create request（創(chuàng)建請求）。

選擇要使用的模板，然后單擊Next（下一步）。

變更管理器選擇模板我輸入此變更請求的名稱。在授權(quán)所有批準(zhǔn)后立即啟動變更，或者指定一個可選的計劃時間。當(dāng)模板允許時，我會選擇此變更的審批者。在此示例中，審批者由模板定義，無法更改。我單擊Next（下一步），

在下一個屏幕上，有多個重要的配置選項，與變更的實際執(zhí)行有關(guān)：

·目標(biāo)位置—允許我定義要在哪個目標(biāo)AWS賬戶和AWS區(qū)域上運行此變更。

·部署目標(biāo)—允許我定義哪些資源是此變更的目標(biāo)。一個EC2實例？或者由其標(biāo)簽、資源組、實例ID列表或所有EC2實例標(biāo)識的多個實例。

·Runbook參數(shù)—允許我定義要傳遞給我的runbook的參數(shù)（如有）。

·執(zhí)行角色—允許我定義我授予System Manager的權(quán)限集，以便使用此變更進(jìn)行部署。權(quán)限集必須將服務(wù)changemanagement.ssm.amazonaws.com作為信任策略的Principal。選擇角色允許我授予變更管理器運行時與我擁有的權(quán)限集不同的權(quán)限集。

以下是允許變更管理器停止EC2實例的示例（您可以將其范圍限定為特定AWS賬戶、特定區(qū)域或特定實例）：

{

  Version: 201207,

  Statement: [

    {

      Effect: Allow,

      Action: [

        ec2:StartInstances,

        ec2:StopInstances

      ],

      Resource: *,

    },

    {

      Effect: Allow,

      Action: ec2:DescribeInstances,

      Resource: *

    }

  ]

}

相關(guān)的信任政策：

{

Version: 201207,

Statement: [

  {

   Effect: Allow,

   Principal: {

    Service: changemanagement.ssm.aws.internal

   },

   Action: sts:AssumeRole

  }

]

}

準(zhǔn)備好后，我單擊Next（下一步）。在最后一頁上，我查看數(shù)據(jù)輸入，然后單擊Submit for approval（提交以獲得批準(zhǔn)）。

在此階段，審批者會根據(jù)模板中配置的SNS主題收到通知。要繼續(xù)此演示，退出控制臺，然后以我創(chuàng)建的crapprover用戶身份重新登錄，該用戶有權(quán)查看和批準(zhǔn)變更請求。

作為crapprover用戶，我導(dǎo)航到控制臺，查看變更請求，然后單擊Approve（批準(zhǔn)）。

變更請求狀態(tài)將切換為已計劃，最終變?yōu)榫G色的Success（成功）。我可以隨時單擊變更請求以獲取狀態(tài)并收集錯誤（如有）。

我單擊變更請求以查看詳細(xì)信息。特別是，Timeline（時間線）選項卡顯示了此CR的歷史記錄。

可用性和定價

AWS Systems Manager變更管理器目前在除中國大陸外的所有商業(yè)AWS區(qū)域均可使用。定價基于兩個維度：您提交的變更請求數(shù)和所發(fā)出的API調(diào)用總數(shù)。您提交的變更請求數(shù)將是主要的成本因素。我們將對每個變更請求收取0.29 USD的費用。查看定價頁面了解更多詳情。

從第一個變更請求開始，您可以免費評估變更管理器30天。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。