Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risorse correlate Allegati

Verifica la presenza di tag obbligatori EC2 nelle istanze al momento del lancio

Susanne Kangnoh e Archit Mathur, Amazon Web Services

Riepilogo

Amazon Elastic Compute Cloud (Amazon EC2) fornisce capacità di calcolo scalabile nel cloud Amazon Web Services (AWS). L'utilizzo di Amazon EC2 elimina la necessità di investire in hardware in anticipo, in modo da poter sviluppare e distribuire applicazioni più velocemente.

Puoi utilizzare i tag per classificare le tue risorse AWS in diversi modi. EC2 il tagging delle istanze è utile quando hai molte risorse nel tuo account e desideri identificare rapidamente una risorsa specifica in base ai tag. Puoi assegnare metadati personalizzati alle tue EC2 istanze utilizzando i tag. Un tag è costituito da una chiave e un valore definiti dall'utente. Ti consigliamo di creare un set coerente di tag per soddisfare i requisiti della tua organizzazione.

Questo modello fornisce un CloudFormation modello AWS per aiutarti a monitorare EC2 le istanze per tag specifici. Il modello crea un evento Amazon CloudWatch Events che controlla l'AWS CloudTrail TagResourceo UntagResourcegli eventi, per rilevare l'etichettatura o la rimozione di nuove EC2 istanze. Se manca un tag predefinito, richiama una funzione AWS Lambda, che invia un messaggio di violazione a un indirizzo e-mail fornito da te, utilizzando Amazon Simple Notification Service (Amazon SNS).

Prerequisiti e limitazioni

Prerequisiti

Un account AWS attivo.
Un bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) per caricare il codice Lambda fornito.
Un indirizzo e-mail a cui desideri ricevere notifiche di violazione.

Limitazioni

Questa soluzione supporta i CloudTrail TagResourcenostri UntagResourceeventi. Non crea notifiche per altri eventi.
Questa soluzione verifica solo le chiavi dei tag. Non monitora i valori chiave.

Architettura

Architettura del workflow

Workflow diagram showing Servizi AWS interaction for EC2 instance monitoring and notification.

Automazione e scalabilità

Puoi utilizzare il CloudFormation modello AWS più volte per diverse regioni e account AWS. Devi eseguire il modello solo una volta in ogni regione o account.

Strumenti

Servizi AWS

Amazon EC2 — Amazon Elastic Compute Cloud (Amazon EC2) è un servizio Web che fornisce capacità di elaborazione sicura e ridimensionabile nel cloud. È progettato per semplificare il cloud computing su scala web per gli sviluppatori.
AWS CloudTrail: CloudTrail è un servizio AWS che ti aiuta con la governance, la conformità e il controllo operativo e dei rischi del tuo account AWS. Le azioni intraprese da un utente, un ruolo o un servizio AWS vengono registrate come eventi in CloudTrail.
Amazon CloudWatch Events: Amazon CloudWatch Events offre un flusso quasi in tempo reale di eventi di sistema che descrivono i cambiamenti nelle risorse AWS. CloudWatch Events viene a conoscenza dei cambiamenti operativi man mano che si verificano e intraprende le azioni correttive necessarie, inviando messaggi per rispondere all'ambiente, attivando funzioni, apportando modifiche e acquisendo informazioni sullo stato.
AWS Lambda — Lambda è un servizio di elaborazione che supporta l'esecuzione di codice senza dover fornire o gestire server. Lambda esegue il codice solo quando è necessario e si dimensiona automaticamente, da poche richieste al giorno a migliaia al secondo.
Amazon S3 — Amazon Simple Storage Service (Amazon S3) è un servizio di storage di oggetti altamente scalabile che può essere utilizzato per un'ampia gamma di soluzioni di storage, tra cui siti Web, applicazioni mobili, backup e data lake.
Amazon SNS — Amazon Simple Notification Service (Amazon SNS) è un servizio Web che consente alle applicazioni, agli utenti finali e ai dispositivi di inviare e ricevere istantaneamente notifiche dal cloud.

Codice

Questo modello include un allegato con due file:

index.zipè un file compresso che include il codice Lambda per questo modello.
ec2-require-tags.yamlè un CloudFormation modello che distribuisce il codice Lambda.

Consulta la sezione Epics per informazioni su come usare questi file.

Epiche

Attività	Descrizione	Competenze richieste
Carica il codice in un bucket S3.	Crea un nuovo bucket S3 o usa un bucket S3 esistente per caricare il file allegato `index.zip` (codice Lambda). Questo bucket deve trovarsi nella stessa regione AWS delle risorse (EC2 istanze) che desideri monitorare.	Architetto del cloud
Implementa il CloudFormation modello.	Apri la console Cloudformation nella stessa regione AWS del bucket S3 e distribuisci il `ec2-require-tags.yaml` file fornito nell'allegato. Nella prossima epopea, fornisci i valori per i parametri del modello.	Architetto del cloud

Attività	Descrizione	Competenze richieste
Fornisci il nome del bucket S3.	Inserisci il nome del bucket S3 che hai creato o selezionato nella prima epic. Questo bucket S3 contiene il file.zip per il codice Lambda e deve trovarsi nella stessa regione AWS del CloudFormation modello e delle EC2 istanze che desideri monitorare.	Architetto del cloud
Fornisci la chiave S3.	Fornisci la posizione del file.zip del codice Lambda nel tuo bucket S3, senza barre iniziali (ad esempio o). `index.zip` `controls/index.zip`	Architetto del cloud
Fornisci un indirizzo email.	Fornisci un indirizzo email attivo a cui desideri ricevere le notifiche di violazione.	Architetto del cloud
Definisci un livello di registrazione.	Specificare il livello di registrazione e la verbosità. `Info`indica messaggi informativi dettagliati sullo stato di avanzamento dell'applicazione e deve essere utilizzato solo per il debug. `Error`indica eventi di errore che potrebbero comunque consentire all'applicazione di continuare a funzionare. `Warning`indica situazioni potenzialmente dannose.	Architetto del cloud
Inserisci le chiavi dei tag richieste.	Inserisci le chiavi dei tag che desideri controllare. Se desideri specificare più chiavi, separale con virgole, senza spazi. (Ad esempio, `ApplicationId,CreatedBy,Environment,Organization` cerca quattro chiavi). L'evento CloudWatch Events cerca queste chiavi di tag e invia una notifica se non vengono trovate.	Architetto del cloud

Attività	Descrizione	Competenze richieste
Conferma l'iscrizione via e-mail.	Quando il CloudFormation modello viene distribuito correttamente, invia un messaggio e-mail di sottoscrizione all'indirizzo e-mail fornito. Per ricevere notifiche, devi confermare questa sottoscrizione e-mail.	Architetto del cloud

Creazione di un bucket (documentazione Amazon S3)
Caricamento di oggetti (documentazione Amazon S3)
Etichetta le tue EC2 risorse Amazon ( EC2 documentazione Amazon)
Creazione di una regola CloudWatch Events che si attiva su una chiamata API AWS utilizzando AWS CloudTrail ( CloudWatch documentazione Amazon)

Allegati

Per accedere a contenuti aggiuntivi associati a questo documento, decomprimi il seguente file: attachment.zip

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Centralizza il monitoraggio utilizzando Observability Access Manager

Pulisci le risorse AFT in modo sicuro dopo la perdita dei file statali