Menggunakan skrip Amazon Detective Python untuk mengelola akun

Amazon Detective menyediakan satu set skrip Python open-source di repositori amazon-detective-multiaccount-scripts. GitHub Skrip membutuhkan Python 3.

Anda dapat menggunakan ini untuk melakukan tugas-tugas berikut:

• Aktifkan Detektif untuk akun administrator di seluruh Wilayah.

  Saat mengaktifkan Detektif, Anda dapat menetapkan nilai tag ke grafik perilaku.

• Tambahkan akun anggota ke grafik perilaku akun administrator di seluruh Wilayah.

• Secara opsional mengirim email undangan ke akun anggota. Anda juga dapat mengonfigurasi permintaan untuk tidak mengirim email undangan.

• Hapus akun anggota dari grafik perilaku akun administrator di seluruh Wilayah.

• Nonaktifkan Detektif untuk akun administrator di seluruh Wilayah. Ketika akun administrator menonaktifkan Detektif, grafik perilaku akun administrator di setiap Wilayah akan dinonaktifkan.

Ikhtisar enableDetective.py skrip

enableDetective.pyScript melakukan hal berikut:

1. Mengaktifkan Detektif masuk untuk akun administrator di setiap Wilayah tertentu, jika akun administrator belum mengaktifkan Detektif di Wilayah tersebut.

   Saat Anda menggunakan skrip untuk mengaktifkan Detektif, Anda dapat menetapkan nilai tag ke grafik perilaku.

2. Secara opsional mengirim undangan dari akun administrator ke akun anggota yang ditentukan untuk setiap grafik perilaku.

   Pesan email undangan menggunakan konten pesan default dan tidak dapat disesuaikan.

   Anda juga dapat mengonfigurasi permintaan untuk tidak mengirim email undangan.

3. Secara otomatis menerima undangan untuk akun anggota.

   Karena skrip secara otomatis menerima undangan, akun anggota dapat mengabaikan pesan-pesan ini.

   Kami merekomendasikan untuk menghubungi akun anggota secara langsung untuk memberi tahu mereka bahwa undangan diterima secara otomatis.

Ikhtisar disableDetective.py skrip

disableDetective.pySkrip menghapus akun anggota yang ditentukan dari grafik perilaku akun administrator di seluruh Wilayah yang ditentukan.

Ini juga menyediakan opsi untuk menonaktifkan Detektif untuk akun administrator di seluruh Wilayah yang ditentukan.

Izin yang diperlukan untuk skrip

Skrip memerlukan AWS peran yang sudah ada sebelumnya di akun administrator dan di semua akun anggota yang Anda tambahkan atau hapus.

catatan

Nama peran harus sama di semua akun.

Praktik terbaik yang direkomendasikan oleh kebijakan IAM adalah menggunakan peran yang paling sedikit cakupan. Untuk menjalankan alur kerja skrip untuk membuat grafik, membuat anggota, dan menambahkan anggota ke grafik, izin yang diperlukan adalah:

• detektif: CreateGraph

• detektif: CreateMembers

• detektif: DeleteGraph

• detektif: DeleteMembers

• detektif: ListGraphs

• detektif: ListMembers

• detektif: AcceptInvitation

Hubungan kepercayaan peran

Hubungan kepercayaan peran harus memungkinkan instans atau kredensil lokal Anda untuk mengambil peran tersebut.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<ACCOUNTID>:user/<USERNAME>"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Jika Anda tidak memiliki peran umum yang menyertakan izin yang diperlukan, Anda harus membuat peran dengan setidaknya izin tersebut di setiap akun anggota. Anda juga harus membuat peran di akun administrator.

Saat Anda membuat peran, pastikan Anda melakukan hal berikut:

• Gunakan nama peran yang sama di setiap akun.

• Tambahkan izin yang diperlukan di atas (disarankan) atau pilih kebijakan AmazonDetectiveFullAccessterkelola.

• Tambahkan blok hubungan kepercayaan peran seperti yang dibahas di atas.

Untuk mengotomatiskan proses ini, Anda dapat menggunakan EnableDetective.yaml AWS CloudFormation template. Karena template hanya membuat sumber daya global, template dapat dijalankan di Wilayah mana pun.

Menyiapkan lingkungan run untuk skrip Python

Anda dapat menjalankan skrip dari instans EC2 atau dari mesin lokal.

Meluncurkan dan mengonfigurasi instans EC2

Salah satu opsi untuk menjalankan skrip adalah menjalankannya dari instance EC2.

Untuk meluncurkan dan mengkonfigurasi instans EC2

1. Luncurkan instans EC2 di akun administrator Anda. Untuk detail tentang cara meluncurkan instans EC2, lihat Memulai Instans Linux Amazon EC2 di Panduan Pengguna Amazon EC2.

2. Lampirkan ke instance peran IAM yang memiliki izin untuk memungkinkan instance memanggil AssumeRole dalam akun administrator.

   Jika Anda menggunakan EnableDetective.yaml AWS CloudFormation template, maka peran instance dengan profil bernama EnableDetective telah dibuat.

   Jika tidak, untuk informasi tentang membuat peran instans, lihat posting blog Mudah Ganti atau Lampirkan Peran IAM ke Instans EC2 yang Ada dengan Menggunakan Konsol EC2.

3. Instal perangkat lunak yang diperlukan:

   • TEPAT: sudo apt-get -y install python3-pip python3 git

   • RPM: sudo yum -y install python3-pip python3 git

   • Boto (versi minimum 1.15): sudo pip install boto3

4. Kloning repositori ke instans EC2.

   git clone https://github.com/aws-samples/amazon-detective-multiaccount-scripts.git

Mengkonfigurasi mesin lokal untuk menjalankan skrip

Anda juga dapat menjalankan skrip dari mesin lokal Anda.

Untuk mengkonfigurasi mesin lokal untuk menjalankan skrip

1. Pastikan Anda telah menyiapkan kredensi mesin lokal untuk akun administrator Anda yang memiliki izin untuk menelepon. AssumeRole

2. Instal perangkat lunak yang diperlukan:

   • Python 3

   • Boto (versi minimum 1.15)

   • GitHub skrip

   Platform	Instruksi pengaturan
   Windows	Instal Python 3 (https://www.python.org/downloads/windows/). Buka prompt perintah. Untuk menginstal Boto, jalankan: pip install boto3 Unduh kode sumber skrip dari GitHub (https://github.com/aws-samples/amazon-detective-multiaccount-scripts).
   Mac	Instal Python 3 (https://www.python.org/downloads/mac-osx/). Buka prompt perintah. Untuk menginstal Boto, jalankan: pip install boto3 Unduh kode sumber skrip dari GitHub (https://github.com/aws-samples/amazon-detective-multiaccount-scripts).
   Linux	Untuk menginstal Python 3, jalankan salah satu dari berikut ini: sudo apt-get -y install install python3-pip python3 git sudo yum install git python Untuk menginstal Boto, jalankan: sudo pip install boto3 Kloning kode sumber skrip dari https://github.com/aws-samples/amazon-detective-multiaccount-scripts.

Membuat .csv daftar akun anggota untuk menambah atau menghapus

Untuk mengidentifikasi akun anggota yang akan ditambahkan atau dihapus dari grafik perilaku, Anda menyediakan .csv file yang berisi daftar akun.

Buat daftar setiap akun pada baris terpisah. Setiap entri akun anggota berisi ID AWS akun dan alamat email pengguna root akun.

Lihat contoh berikut ini:

111122223333,srodriguez@example.com
444455556666,rroe@example.com

Berlari enableDetective.py

Anda dapat menjalankan enableDetective.py skrip dari instans EC2 atau mesin lokal Anda.

Untuk menjalankan enableDetective.py

1. Salin .csv file ke amazon-detective-multiaccount-scripts direktori pada instans EC2 atau mesin lokal Anda.

2. Ubah ke direktori amazon-detective-multiaccount-scripts.

3. Jalankan enableDetective.py skrip.

   enableDetective.py --master_account administratorAccountID --assume_role roleName --input_file inputFileName --tags tagValueList --enabled_regions regionList  --disable_email

Saat Anda menjalankan skrip, ganti nilai berikut:

administratorAccountID

ID AWS akun untuk akun administrator.

roleName

Nama AWS peran yang akan diambil di akun administrator dan setiap akun anggota.

inputFileName

Nama .csv file yang berisi daftar akun anggota untuk ditambahkan ke grafik perilaku akun administrator.

tagValueList

(Opsional) Daftar nilai tag yang dipisahkan koma untuk ditetapkan ke grafik perilaku baru.

Untuk setiap nilai tag, formatnya adalahkey=value. Sebagai contoh:

--tags Department=Finance,Geo=Americas

regionList

(Opsional) Daftar Wilayah yang dipisahkan koma untuk menambahkan akun anggota ke grafik perilaku akun administrator. Sebagai contoh:

--enabled_regions us-east-1,us-east-2,us-west-2

Akun administrator mungkin belum mengaktifkan Detektif di Wilayah. Dalam hal ini, skrip mengaktifkan Detektif dan membuat grafik perilaku baru untuk akun administrator.

Jika Anda tidak memberikan daftar Wilayah, maka skrip bertindak di semua Wilayah yang didukung Detektif.

--disable_email

(Opsional) Jika disertakan, Detektif tidak mengirim email undangan ke akun anggota.

Berlari disableDetective.py

Anda dapat menjalankan disableDetective.py skrip dari instans EC2 atau mesin lokal Anda.

Untuk menjalankan disableDetective.py

1. Salin .csv file ke amazon-detective-multiaccount-scripts direktori.

2. Untuk menggunakan .csv file untuk menghapus akun anggota yang terdaftar dari grafik perilaku akun administrator di seluruh daftar Wilayah yang ditentukan, jalankan disableDetective.py skrip sebagai berikut:

   disabledetective.py --master_account administratorAccountID --assume_role roleName --input_file inputFileName --disabled_regions regionList

3. Untuk menonaktifkan Detektif untuk akun administrator di semua Wilayah, jalankan disableDetective.py skrip dengan bendera. --delete-master

   disabledetective.py --master_account administratorAccountID --assume_role roleName --input_file inputFileName --disabled_regions regionList --delete_master

Saat Anda menjalankan skrip, ganti nilai berikut:

administratorAccountID

ID AWS akun untuk akun administrator.

roleName

Nama AWS peran yang akan diambil di akun administrator dan setiap akun anggota.

inputFileName

Nama .csv file yang berisi daftar akun anggota untuk dihapus dari grafik perilaku akun administrator.

Anda harus memberikan .csv file bahkan jika Anda menonaktifkan Detektif.

regionList

(Opsional) Daftar Wilayah yang dipisahkan koma untuk melakukan salah satu hal berikut:

• Hapus akun anggota dari grafik perilaku akun administrator.

• Jika --delete-master bendera disertakan, nonaktifkan Detektif.

Sebagai contoh:

--disabled_regions us-east-1,us-east-2,us-west-2

Jika Anda tidak memberikan daftar Wilayah, maka skrip bertindak di semua Wilayah yang didukung Detektif.