มีวิธีติดตามการเปลี่ยนแปลงที่เราทำกับระบบ AWS หรือไม่?
ตัวอย่างเช่นการเปลี่ยนแปลงการตั้งค่าเครือข่ายย่อยจากการใช้natเป็นiwg - สิ่งเหล่านี้แสดงข้อความแล้วหายไป
มีวิธีในการรับ AWS เพื่อสร้างบันทึกเพื่อให้สามารถติดตามการเปลี่ยนแปลงที่ทำกับสิ่งที่และเมื่อใด
สิ่งที่ใกล้เคียงที่สุดที่เรามีในขณะนี้คือเหตุการณ์ ElasticBeanstalk - แต่แม้เพียงแค่บอกสิ่งที่ AWS ทำเท่านั้นไม่ใช่การเปลี่ยนแปลงการตั้งค่าที่จะทำให้เกิดเหตุการณ์
คำตอบ:
AWS มีบริการ CloudTrail ที่ติดตามการโทร API ส่วนใหญ่ในบัญชีของคุณ จากนั้นเก็บสิ่งเหล่านี้ในไฟล์ในที่เก็บ S3 ที่คุณระบุ
https://aws.amazon.com/cloudtrail/
ใช้ CloudTrail คุณสามารถดูว่าใครหรือบริการใดที่เรียกว่าการเปลี่ยนแปลง - ในหลายกรณีรวมถึงข้อโต้แย้งที่ใช้
น่าเสียดายที่ไม่รองรับบริการทั้งหมดในขณะนี้
มีบริการ AWS หลายอย่างที่สามารถช่วยในเรื่องนี้ได้และขึ้นอยู่กับความต้องการที่แท้จริงของคุณว่าจะเหมาะกับคุณที่สุด คุณสมบัติที่แตกต่างกัน (และค่าใช้จ่าย) นำไปใช้กับแต่ละ
CloudTrail ได้รับการกล่าวถึง แต่ตัวเลือกแรกที่มาถึงใจสำหรับผมได้รับคำถามของคุณ (และก็พูดถึงความคิดเห็นเกี่ยวกับ @ คำตอบของ Evgeny ) เป็นAWS Config บริการ มันจัดเก็บ 'ภาพรวม' ของการกำหนดค่า AWS ของคุณ ณ เวลา (ในที่เก็บ S3) แต่ช่วยส่งการเปลี่ยนแปลงใด ๆ ไปยังหัวข้อ SNS จากนั้นคุณสามารถจัดการกับสิ่งเหล่านี้ได้ตามต้องการ ตัวอย่างเช่นในบัญชีที่มีปริมาณการใช้งานต่ำ ในบัญชีที่มีปริมาณการใช้งานสูงฉันกำลังติดตามNumberOfMessagesPublishedตัวชี้วัดในหัวข้อ SNS นั้นเพื่อแจ้งให้ทราบหากมีการเปลี่ยนแปลงจำนวนมากขึ้นกว่าปกติ
AWS Config ยังเสนอบริการ 'กฎ' สิ่งเหล่านี้มีราคาแพงกว่าที่ฉันคาดไว้เล็กน้อย แต่ขึ้นอยู่กับความต้องการของคุณซึ่งอาจมีประโยชน์ อย่าเพิ่งเปิดใช้งานพวกเขาทั้งหมดในครั้งเดียวเหมือนที่ฉันทำเมื่อฉันเล่นไปรอบ ๆ ... ค่าบริการรายเดือนสำหรับแต่ละกฎจะมีผลทันที ;) (แต่คุณสามารถใช้ Config ได้โดยไม่ต้องใช้กฎ - นั่นคือสิ่งที่ฉันกำลังทำอยู่ในขณะนี้)
นอกจากนี้ยังมีที่ปรึกษาที่เชื่อถือได้ซึ่งไม่ได้ทำสิ่งที่คุณขออย่างแน่นอน แต่อาจมีประโยชน์ในการตรวจสอบบางอย่างกับวิธีที่วิศวกรกำหนดค่าโครงสร้างพื้นฐานของคุณเช่นเปิดถัง S3 ซ้ายของใครหรือไม่ มันมีประโยชน์มากที่สุดกับแผนสนับสนุนระดับธุรกิจหรือสูงกว่าเนื่องจากเช็คจำนวนมากถูกบล็อกเป็นอย่างอื่น
จากนั้นมีเครื่องมือของบุคคลที่สามเช่นCloudCheckrซึ่งรวมแง่มุมของ AWS Cost Explorer, ที่ปรึกษาที่เชื่อถือได้, การกำหนดค่า, CloudTrail, CloudWatch, สารวัตรและ GuardDuty มีประโยชน์ถ้าคุณต้องการลึกมาก แต่ประหยัดเวลาในการกำหนดค่าทุกอย่างด้วยตัวเอง
อีกทางหนึ่งคุณสามารถจัดการโครงสร้างพื้นฐานของคุณโดยใช้เครื่องมือเช่นTerraformหรือCloudFormationและมอบอำนาจให้การเปลี่ยนแปลงทั้งหมดนั้นต้องทำผ่านสิ่งเหล่านั้น จากนั้นคุณสามารถคอมมิตไฟล์ / แม่แบบของคุณเพื่อควบคุมแหล่งที่มาและทดสอบกับโครงสร้างพื้นฐานที่ใช้งานจริงใน CI และล้มเหลวในการสร้างหากมีใครทำการเปลี่ยนแปลงที่ไม่ได้ติดตาม ด้วยวิธีนี้ประวัติการกระทำของคุณจะกลายเป็นบันทึกการตรวจสอบของคุณ - แต่มันจะต้องมีวิศวกรของคุณต้องได้รับการลงโทษทางวินัย!