Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Configurer la détection des CloudFormation dérives AWS dans une organisation multirégionale et multi-comptes - Recommandations AWS
RécapitulatifConditions préalables et limitationsArchitectureOutilsÉpopéesRessources connexesInformations supplémentairesPièces jointes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer la détection des CloudFormation dérives AWS dans une organisation multirégionale et multi-comptes

PDF

Créée par Ram Kandaswamy (AWS)

Récapitulatif

Les clients d'Amazon Web Services (AWS) recherchent souvent un moyen efficace de détecter les incohérences dans la configuration des ressources, notamment la dérive des AWS CloudFormation piles, et de les corriger le plus rapidement possible. C'est particulièrement le cas lorsqu'il AWS Control Tower est utilisé.

Ce modèle fournit une solution prescriptive qui résout efficacement le problème en utilisant des modifications de configuration des ressources consolidées et en agissant sur ces modifications pour générer des résultats. La solution est conçue pour les scénarios dans lesquels plusieurs AWS CloudFormation piles sont créées dans plus d'un compte Région AWS, ou dans plusieurs comptes, ou une combinaison des deux. Les objectifs de la solution sont les suivants :

  • Simplifier le processus de détection de la dérive

  • Configurer les notifications et les alertes

  • Configurer des rapports consolidés

Conditions préalables et limitations

Prérequis

  • AWS Config activé dans toutes les régions et tous les comptes qui doivent être surveillés

Limites

  • Le rapport généré prend uniquement en charge les valeurs séparées par des virgules (CSV) et les formats de sortie JSON.

Architecture

Le schéma suivant montre la AWS Organizations configuration avec plusieurs comptes. AWS Config les règles communiquent entre les comptes.  

Le flux de travail comprend les étapes suivantes :

Processus en cinq étapes pour surveiller les piles dans deux comptes AWS Organizations.

  1. La AWS Config règle détecte la dérive.

  2. Les résultats de détection de dérive trouvés dans d'autres comptes sont envoyés au compte de gestion.

  3. La CloudWatch règle Amazon appelle une AWS Lambda fonction.

  4. La fonction Lambda interroge la AWS Config règle pour obtenir des résultats agrégés.

  5. La fonction Lambda informe Amazon Simple Notification Service (Amazon SNS), qui envoie une notification par e-mail concernant la dérive.

Automatisation et évolutivité

La solution présentée ici peut être adaptée à la fois à des régions et à des comptes supplémentaires.

Outils

Services AWS

AWS Configfournit une vue détaillée de la configuration des AWS ressources de votre Compte AWS. Elle indique comment les ressources sont liées entre elles et comment elles ont été configurées dans le passé, pour que vous puissiez observer comment les configurations et les relations changent au fil du temps.

Amazon vous CloudWatch aide à surveiller les indicateurs de vos AWS ressources et des applications que vous utilisez AWS en temps réel.

AWS Lambda est un service de calcul qui vous aide à exécuter du code sans avoir à allouer ni à gérer des serveurs. Il exécute votre code uniquement lorsque cela est nécessaire et évolue automatiquement, de sorte que vous ne payez que pour le temps de calcul que vous utilisez.

Amazon Simple Notification Service (Amazon SNS) vous aide à coordonner et à gérer l'échange de messages entre les éditeurs et les clients, y compris les serveurs Web et les adresses e-mail.

Épopées

TâcheDescriptionCompétences requises

Créez l'agrégateur.

  1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config.

  2. Créez un agrégateur dans le compte de gestion.

  3. Assurez-vous que la réplication des données est activée afin de AWS Config pouvoir récupérer les données des comptes sources.

  4. Sélectionnez toutes les régions et tous les comptes applicables. Vous pouvez sélectionner des comptes en fonction de AWS Organizations. Nous recommandons cette approche car les nouveaux comptes de l'organisation font automatiquement partie de l'agrégateur.

Architecte du cloud

Créez une règle AWS gérée.

Ajoutez la règle cloudformation-stack-drift-detection-check AWS gérée. La règle nécessite une valeur de paramètre :cloudformationArn.

Entrez le rôle IAM Amazon Resource Name (ARN) autorisé à détecter la dérive de pile. Le rôle doit avoir une politique de confiance qui lui AWS Config permette d'assumer le rôle.

Architecte du cloud

Créez la section de requête avancée de l'agrégateur.

Pour récupérer des piles dérivées à partir de plusieurs sources, créez la requête suivante :

SELECT resourceId, configuration.driftInformation.stackDriftStatus WHERE resourceType = 'AWS::CloudFormation::Stack'  AND configuration.driftInformation.stackDriftStatus IN ('DRIFTED')

Architecte cloud, développeur

Automatisez l'exécution de la requête et publiez.

  1. Créez une fonction Lambda en utilisant le code joint. Lambda publiera les résultats dans une rubrique SNS fournie en tant que variable d'environnement dans la fonction Lambda.

  2. Pour recevoir des alertes, créez un abonnement par e-mail à la rubrique SNS.

Architecte cloud, développeur

Créez une CloudWatch règle.

Créez une CloudWatch règle basée sur un calendrier pour appeler la fonction Lambda, qui est chargée des alertes.

Architecte du cloud

Détection automatique de la dérive pour AWS CloudFormation

TâcheDescriptionCompétences requises

Créez l'agrégateur.

  1. Connectez-vous à la AWS Config console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/config.

  2. Créez un agrégateur dans le compte de gestion.

  3. Assurez-vous que la réplication des données est activée afin de AWS Config pouvoir récupérer les données des comptes sources.

  4. Sélectionnez toutes les régions et tous les comptes applicables. Vous pouvez sélectionner des comptes en fonction de AWS Organizations. Nous recommandons cette approche car les nouveaux comptes de l'organisation font automatiquement partie de l'agrégateur.

Architecte du cloud

Créez une règle AWS gérée.

Ajoutez la règle cloudformation-stack-drift-detection-check AWS gérée. La règle nécessite une valeur de paramètre :cloudformationArn.

Entrez le rôle IAM Amazon Resource Name (ARN) autorisé à détecter la dérive de pile. Le rôle doit avoir une politique de confiance qui lui AWS Config permette d'assumer le rôle.

Architecte du cloud

Créez la section de requête avancée de l'agrégateur.

Pour récupérer des piles dérivées à partir de plusieurs sources, créez la requête suivante :

SELECT resourceId, configuration.driftInformation.stackDriftStatus WHERE resourceType = 'AWS::CloudFormation::Stack'  AND configuration.driftInformation.stackDriftStatus IN ('DRIFTED')

Architecte cloud, développeur

Automatisez l'exécution de la requête et publiez.

  1. Créez une fonction Lambda en utilisant le code joint. Lambda publiera les résultats dans une rubrique SNS fournie en tant que variable d'environnement dans la fonction Lambda.

  2. Pour recevoir des alertes, créez un abonnement par e-mail à la rubrique SNS.

Architecte cloud, développeur

Créez une CloudWatch règle.

Créez une CloudWatch règle basée sur un calendrier pour appeler la fonction Lambda, qui est chargée des alertes.

Architecte du cloud

Ressources connexes

Ressources

Informations supplémentaires

Considérations

Nous vous recommandons d'utiliser la solution présentée dans ce modèle plutôt que d'utiliser des solutions personnalisées qui impliquent des appels d'API à des intervalles spécifiques pour initier la détection de dérive sur chaque CloudFormation pile ou ensemble de piles. Les solutions personnalisées qui utilisent des appels d'API au niveau de composants internes spécifiques peuvent entraîner un grand nombre d'appels d'API et affecter les performances. En raison du nombre d'appels d'API, une régulation peut se produire. Un autre problème potentiel est le retard de détection si les modifications des ressources sont identifiées uniquement sur la base du calendrier.

Comme les ensembles de piles sont constitués de piles, vous pouvez utiliser cette solution. Les détails de l'instance Stack sont également disponibles dans le cadre de la solution.

Pièces jointes

Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip

Rubrique suivante :

Plus de modèles

Rubrique précédente :

Stratégie multi-comptes

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.