Conception de solutions de correctifs pour plusieurs AWS comptes et régions - AWS Directives prescriptives
Processus automatiséConsidérations et limites architecturales

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conception de solutions de correctifs pour plusieurs AWS comptes et régions

Vous pouvez étendre la solution de correctifs automatisés pour prendre en charge des serveurs couvrant plusieurs AWS comptes et plusieurs AWS régions. La solution étendue consiste à configurer la solution d'automatisation des correctifs dans chaque AWS compte via AWS CloudFormation StackSets un compte de services partagés, et à configurer une synchronisation des données de ressources entre les comptes associés au compte de services partagés.

Processus automatisé

Le schéma suivant illustre l'architecture de ce scénario. Cette architecture inclut AWS CloudFormation StackSets un compte de service AWS partagé.

Reference architecture and workflow for patching mutable EC2 instances that span multiple AWS accounts and AWS Regions

Le flux de travail est similaire au processus décrit dans la section précédente, mais implique les étapes supplémentaires suivantes, où les numéros des étapes correspondent aux légendes du diagramme :

  1. Dans le compte de services partagés, un ensemble de AWS CloudFormation piles est utilisé pour configurer le compartiment S3 pour la synchronisation des données de ressources via Systems Manager Inventory.

  2. L'ensemble de CloudFormation piles crée la pile à l'aide de la fonction automate-patch Lambda, définit les lignes de base des correctifs et configure la synchronisation des données des ressources d'inventaire de Systems Manager sur les comptes de l'application, afin de synchroniser les ressources du compte de services partagés.

  3. Les informations sur les ressources dans les comptes d'application sont synchronisées avec les informations sur les ressources dans le compte de services partagés.

  4. QuickSight génère des rapports de conformité des correctifs, en utilisant le jeu de données Amazon Athena pour les informations synchronisées sur les ressources.

Considérations et limites architecturales

Quotas de fenêtre de maintenance par compte

L'architecture illustrée et décrite dans la section précédente crée une fenêtre de maintenance pour chaque groupe de correctifs. Toutefois, le quota du nombre de fenêtres de maintenance par AWS compte est de 50 (en supposant que vous n'ayez pas demandé d'augmentation du quota de service). Si vous vous attendez à ce que le nombre de groupes de correctifs dépasse 50 groupes dans un seul AWS compte, cette architecture ne sera pas adaptée à vos besoins.

Si l'augmentation du quota de service n'est pas suffisante pour répondre à vos besoins, deux options s'offrent à vous pour relever ce défi : utiliser des fenêtres de maintenance prédéfinies et utiliser CloudWatch des événements. Voici les avantages et les inconvénients de chaque approche.

Option 1. Utiliser des fenêtres de maintenance prédéfinies

  • Définissez une liste de fenêtres de maintenance avec différentes fenêtres temporelles (par exemple, 15 à 20 fenêtres de maintenance par compte).

  • Les équipes d'application choisissent les fenêtres de maintenance qui leur conviennent dans la liste prédéfinie et balisent les instances en conséquence.

  • Mettez à jour la solution de correction automatique pour mapper les groupes de correctifs aux fenêtres de maintenance sélectionnées au lieu de créer de nouvelles fenêtres de maintenance.

Avantages :

  • Gestion simplifiée.

Inconvénients :

  • Moins de flexibilité pour définir des fenêtres de maintenance personnalisées.

  • Lorsque plusieurs groupes de correctifs partagent des fenêtres de maintenance et des tâches de correctif, l'annulation d'une tâche de correctif spécifique pour un groupe de correctifs spécifique nécessite un effort manuel supplémentaire.

Option 2. Utilisez CloudWatch les événements pour déclencher des tâches de correctif au lieu d'utiliser des fenêtres de maintenance

  • Au lieu de créer des fenêtres de maintenance, utilisez CloudWatch les événements pour déclencher des tâches de correctif en fonction du calendrier et des groupes de correctifs.

  • Dans ce scénario, chaque groupe de correctifs est associé à un événement d' CloudWatch événements plutôt qu'à une fenêtre de maintenance.

  • Mettez à jour la solution de correction automatique pour créer des événements plutôt que des fenêtres de maintenance.

Avantages :

  • Design évolutif.

  • Offre de la flexibilité pour définir des fenêtres de maintenance personnalisées.

Inconvénients :

  • Les fenêtres de maintenance fournissent des fonctionnalités supplémentaires (telles que la durée et les heures limites) qui ne sont pas disponibles avec CloudWatch Events.

Autres considérations

  • La solution d'application automatique de correctifs décrite dans cette section ne prend pas en charge les EC2 instances arrêtées.

  • Ce processus prend en charge les EC2 instances dans les sous-réseaux publics. Pour appliquer des correctifs à des instances dans des sous-réseaux privés, vous devez déployer un référentiel de correctifs local tel que Windows Server Update Services (WSUS).

  • Vous devez ajuster la fréquence d'exécution de la fonction Lambda afin que les groupes de correctifs et les fenêtres de maintenance soient mis à jour conformément au calendrier requis.