Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS
Configure la detección de CloudFormation desviaciones de AWS en una organización multirregional y multicuenta - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasEpicsRecursos relacionadosInformación adicionalConexiones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure la detección de CloudFormation desviaciones de AWS en una organización multirregional y multicuenta

PDF

Creado por Ram Kandaswamy (AWS)

Resumen

Los clientes de Amazon Web Services (AWS) suelen buscar una forma eficaz de detectar los desajustes en la configuración de los recursos, incluida la desviación en las AWS CloudFormation pilas, y solucionarlos lo antes posible. Este es especialmente el caso cuando se AWS Control Tower utiliza.

Este patrón proporciona una solución prescriptiva que resuelve el problema de manera eficiente mediante el uso de cambios consolidados en la configuración de los recursos y la adopción de medidas en función de esos cambios para generar resultados. La solución está diseñada para situaciones en las que se crean varias AWS CloudFormation pilas en más de una Región de AWS, en más de una cuenta, o en una combinación de ambas. Los objetivos de la solución son los siguientes:

  • Simplificar el proceso de detección de desviaciones

  • Configurar las notificaciones y las alertas

  • Configurar los informes consolidados

Requisitos previos y limitaciones

Requisitos previos 

  • AWS Config está habilitada en todas las regiones y cuentas que se deben monitorear

Limitaciones

  • El informe generado solo admite los valores separados por comas (CSV) y los formatos de salida JSON.

Arquitectura

En el siguiente diagrama AWS Organizations se muestra la configuración con varias cuentas. AWS Config las reglas se comunican entre las cuentas.  

El flujo de trabajo incluye los siguientes pasos:

Proceso de cinco pasos para monitorizar las pilas de dos cuentas de AWS Organizations.

  1. La AWS Config regla detecta la desviación.

  2. Los resultados de la detección de desviaciones que se encuentran en otras cuentas se envían a la cuenta de administración.

  3. La CloudWatch regla de Amazon llama a una AWS Lambda función.

  4. La función Lambda consulta la AWS Config regla para obtener resultados agregados.

  5. La función Lambda notifica a Amazon Simple Notification Service (Amazon SNS), que envía una notificación por correo electrónico de la desviación.

Automatizar y escalar

La solución que se presenta aquí puede escalarse tanto para regiones como para cuentas adicionales.

Herramientas

Servicios de AWS

AWS Configproporciona una vista detallada de la configuración de los AWS recursos de su. Cuenta de AWS Esto incluye cómo se relacionan los recursos entre sí y cómo se han configurado en el pasado, para que pueda ver cómo las configuraciones y las relaciones cambian a lo largo del tiempo.

Amazon le CloudWatch ayuda a supervisar las métricas de sus AWS recursos y las aplicaciones en las que se ejecuta AWS en tiempo real.

AWS Lambda es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.

Amazon Simple Notification Service (Amazon SNS) le permite coordinar y administrar el intercambio de mensajes entre publicadores y clientes, incluidos los servidores web y las direcciones de correo electrónico.

Epics

TareaDescripciónHabilidades requeridas

Cree el agregador.

  1. Inicie sesión en https://console.aws.amazon.com/config AWS Management Console y abra la AWS Config consola.

  2. Cree un agregador en la cuenta de administración.

  3. Asegúrese de que la replicación de datos esté activada para AWS Config poder obtener datos de las cuentas de origen.

  4. Seleccione todas las regiones y cuentas aplicables. Puede seleccionar las cuentas en función de AWS Organizations. Recomendamos este enfoque porque las nuevas cuentas de la organización forman parte automáticamente del agregador.

Arquitecto de la nube

Cree una regla AWS gestionada.

Añada la regla cloudformation-stack-drift-detection-check AWS gestionada. La regla necesita un valor de parámetro: cloudformationArn.

Introduzca el nombre de recurso de Amazon (ARN) del rol de IAM que tiene los permisos de detectar la desviación de las pilas. El rol debe tener una política de confianza que AWS Config permita asumirlo.

Arquitecto de la nube

Cree la sección de consultas avanzadas del agregador.

Para buscar pilas desviadas de varias fuentes, cree la siguiente consulta:

SELECT resourceId, configuration.driftInformation.stackDriftStatus WHERE resourceType = 'AWS::CloudFormation::Stack'  AND configuration.driftInformation.stackDriftStatus IN ('DRIFTED')

Arquitecto de la nube, desarrollador

Automatice la ejecución de la consulta y la publicación.

  1. Cree una función Lambda mediante el código adjunto. Lambda publicará los resultados en un tema de SNS que se proporciona como variable de entorno en la función Lambda.

  2. Para recibir alertas, cree una suscripción por correo electrónico al tema de SNS.

Arquitecto de la nube, desarrollador

Crea una CloudWatch regla.

Cree una CloudWatch regla basada en la programación para llamar a la función Lambda, que es responsable de las alertas.

Arquitecto de la nube

Automatice la detección de desviaciones para AWS CloudFormation

TareaDescripciónHabilidades requeridas

Cree el agregador.

  1. Inicie sesión en https://console.aws.amazon.com/config AWS Management Console y abra la AWS Config consola.

  2. Cree un agregador en la cuenta de administración.

  3. Asegúrese de que la replicación de datos esté activada para AWS Config poder obtener datos de las cuentas de origen.

  4. Seleccione todas las regiones y cuentas aplicables. Puede seleccionar las cuentas en función de AWS Organizations. Recomendamos este enfoque porque las nuevas cuentas de la organización forman parte automáticamente del agregador.

Arquitecto de la nube

Cree una regla AWS gestionada.

Añada la regla cloudformation-stack-drift-detection-check AWS gestionada. La regla necesita un valor de parámetro: cloudformationArn.

Introduzca el nombre de recurso de Amazon (ARN) del rol de IAM que tiene los permisos de detectar la desviación de las pilas. El rol debe tener una política de confianza que AWS Config permita asumirlo.

Arquitecto de la nube

Cree la sección de consultas avanzadas del agregador.

Para buscar pilas desviadas de varias fuentes, cree la siguiente consulta:

SELECT resourceId, configuration.driftInformation.stackDriftStatus WHERE resourceType = 'AWS::CloudFormation::Stack'  AND configuration.driftInformation.stackDriftStatus IN ('DRIFTED')

Arquitecto de la nube, desarrollador

Automatice la ejecución de la consulta y la publicación.

  1. Cree una función Lambda mediante el código adjunto. Lambda publicará los resultados en un tema de SNS que se proporciona como variable de entorno en la función Lambda.

  2. Para recibir alertas, cree una suscripción por correo electrónico al tema de SNS.

Arquitecto de la nube, desarrollador

Crea una CloudWatch regla.

Cree una CloudWatch regla basada en la programación para llamar a la función Lambda, que es responsable de las alertas.

Arquitecto de la nube

Recursos relacionados

Recursos

Información adicional

Consideraciones

Recomendamos utilizar la solución presentada en este patrón en lugar de utilizar soluciones personalizadas que impliquen llamadas a la API en intervalos específicos para iniciar la detección de desviaciones en cada CloudFormation pila o conjunto de pilas. Las soluciones personalizadas que utilizan llamadas a la API en partes internas específicas pueden provocar un gran número de llamadas a la API y afectar al rendimiento. Debido a la cantidad de llamadas a la API, se pueden producir limitaciones. Otro posible problema es el retraso en la detección si los cambios en los recursos se identifican únicamente en función de la programación.

Como los conjuntos de pilas se componen de pilas, puede utilizar esta solución. Los detalles de las instancias de pilas también están disponibles como parte de la solución.

Conexiones

Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip

Tema siguiente:

Más patrones

¿Necesita ayuda?

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.