查詢來自多個區域和帳戶的清查資料 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

查詢來自多個區域和帳戶的清查資料

AWS Systems Manager 與 整合Amazon Athena以幫助您查詢來自多個 AWS 區域和帳號的清查資料。 Athena 整合使用資源資料同步,讓您可以在 主控台的 Inventory Detail ViewAWS Systems Manager (清查詳細資訊檢視) 頁面上檢視來自所有受管執行個體的清查資料。

重要

此功能旨在利用 AWS Glue 來爬取 Amazon Simple Storage Service (Amazon S3) 儲存貯體和 Amazon Athena 中的資料,藉此進行查詢。視您所爬取和查詢的資料量而定,這些服務可能會向您收取使用費。使用 AWS Glue 需支付編目程式 (用來探索資料) 與 ETL 任務 (用來處理及載入資料) 的費用,以每小時費率按秒計費。另一方面,Athena 會按照每個查詢掃描的資料量向您收費。建議您先查看這些服務的定價準則,再使用 Amazon Athena 整合與 Systems Manager 庫存。如需詳細資訊,請參閱 Amazon Athena 定價AWS Glue 定價.

您可以在所有提供 的 AWS 區域中,於 Inventory Detail View (清查詳細檢視) 頁面檢視Amazon Athena清查資料。如需支援的區域清單,請查看 中的Amazon Athena服務端點Amazon Web Services 一般參考

開始之前

Athena 整合能夠使用資源資料同步。您必須設定和配置資源資料同步,才能使用這項功能。如需詳細資訊,請參閱設定庫存的資源資料同步.

此外,請注意,Inventory Detail View (清查詳細檢視) 頁面會顯示資源資料同步所用中央 S3 儲存貯體擁有者的清查資料。如果您不是中央 S3 儲存貯體的擁有者,則不會在 Inventory Detail View (清查詳細檢視) 頁面上看到清查資料。

設定存取權

您必須先設定 ) 使用者帳號,才能在 Systems Manager 主控台的 AWS Identity and Access ManagementInventory Detail ViewIAM (庫存詳細資訊檢視) 頁面上查詢和檢視來自多個帳號和區域的資料。下列程序描述如何使用 IAM 主控台來設定您的IAM使用者帳號,以便您可以在 Inventory Detail View (清查詳細資訊檢視) 頁面上檢視清查資料。

設定清查詳細檢視頁面的存取權

  1. 開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者),然後選擇您要設定的使用者帳號。Summary (摘要) 頁面會打開。

  3. Permissions (許可) 標籤上,選擇 Add permissions (新增許可).

  4. Grant permissions (授予許可) 頁面上,選擇 Attach existing policies directly (直接連接現有政策).

  5. 在 Search (搜尋) 欄位中,搜尋 AWSQuicksightAthenaAccess

  6. 選擇這項政策旁的選項,然後選擇 Next: Review (下一步:檢閱).

  7. 選擇新增許可.

  8. 再次選擇使用者名稱以返回 Summary (摘要) 頁面。

  9. 請立即新增內嵌政策,讓 AWS Glue 可以爬取您的庫存資料。移至 Permissions (許可) 索引標籤,並選擇位於該頁面右側的 Add inline policy (新增內嵌政策). Create policy建立政策) 頁面會開始。

  10. 選擇 JSON 索引標籤。

  11. 刪除編輯器中的現有 JSON 文字,然後複製下列政策並貼至 JSON 編輯器。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetCrawlers", "glue:GetCrawler", "glue:GetTables", "glue:StartCrawler", "glue:CreateCrawler" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole", "iam:CreateRole", "iam:AttachRolePolicy" ], "Resource": [ "arn:aws:iam::account_ID:role/*" ] }, { "Effect": "Allow", "Action": [ "iam:CreatePolicy" ], "Resource": [ "arn:aws:iam::account_ID:policy/*" ] } ] }
    注意

    (選用) 如果用於儲存庫存的 Amazon Simple Storage Service (Amazon S3) 儲存貯體是使用 AWS Key Management Service 加密,則您還必須將下列區塊新增至政策。

    { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:AWS_Region:account_ID:key/key_ARN" ] }

    如果您將此區塊貼在政策中最後一個區塊之後,請務必以逗號 (,) 分隔這些區塊。

  12. 在 Review Policy檢視政策) 頁面的 Name (名稱) 欄位中,輸入名稱

  13. 選擇 Create policy (建立政策).

重要

當您在 Inventory Detail View (庫存詳細檢視) 頁面選擇資源資料同步, Systems Manager 會自動建立 GlueServiceRoleForSSM 角色。此角色可讓 AWS Glue 存取 S3 儲存貯體來進行資源資料同步。Systems Manager 會自動將以下政策附加至該角色:

  • Amazon GlueServicePolicyForSSM- {Amazon S3 儲存貯體名稱}:此政策允許 AWS Glue 和 Systems Manager 庫存之間的通訊。

  • AWSGlueServiceRole:這是允許存取 的 AWS 受管政策AWS Glue。

如果名為 GlueServicePolicyForSSM-{S3 bucket name} 的政策已存在於您的IAM使用者帳號中,且此政策未連接至 GlueServiceRoleForSSM 角色,則系統會傳回錯誤。若要解析此問題,請使用 IAM 主控台來驗證 GlueServicePolicyForSSM{Amazon S3 bucket name} 政策與此程序中的行政策相符。然後,將政策連接到 GlueServiceRoleForSSM 角色。

在清查詳細檢視頁面上查詢資料

使用下列程序,在 Inventory Systems ManagerDetailed View (庫存詳細檢視) 頁面上檢視來自多個 AWS 區域和帳號的清查資料。

重要

清查 Detailed View (詳細檢視) 頁面僅能在提供 Amazon Athena. 的 AWS 區域中使用。如果以下標籤未顯示在 Systems Manager Inventory (庫存) 頁面上,表示 Athena 無法於 區域中使用,且無法使用 Detailed View (詳細檢視) 來查詢資料。


                            顯示 Inventory (清查) 儀表板 | Detailed View (詳細檢視) | Settings (設定) 標籤

在 AWS Systems Manager 主控台中檢視來自多個區域及帳戶的清查資料

  1. https://console.aws.amazon.com/systems-manager/,開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 Inventory (清查)

    -或-

    如果 AWS Systems Manager 首頁先開啟,請選擇選單圖示 ( ) 以開啟導覽窗格,然後在導覽窗格中選擇 Inventory (清查)

  3. 選擇 Detailed View (詳細檢視) 標籤。

    
                                存取 AWS Systems Manager 庫存的 Detailed View (詳細檢視) 頁面
  4. 選擇您要查詢資料的資源資料同步。

    
                                在 AWS Systems Manager 主控台中顯示清查資料
  5. Inventory Type (庫存類型) 清單中,選擇您要查詢的庫存資料類型,然後按 Enter.

    
                                在 AWS Systems Manager 主控台中選擇清查類型
  6. 若要篩選資料,請選取篩選條件列,並選擇篩選條件選項。

    
                                在 AWS Systems Manager 主控台中篩選清查資料

    以下範例顯示在 us-east-2 區域篩選的AWSComponent庫存資料。

    
                                在 AWS Systems Manager 主控台中篩選清查資料

您可以使用 Export to CSV (匯出至 CSV) 按鈕來檢視試算表應用程式 (例如 Microsoft Excel) 中的目前查詢集。除此之外,您還可以利用 Query History (查詢歷程記錄)Run Advanced Queries (執行進階查詢) 按鈕,藉此檢視歷程記錄詳細資訊,並與 Amazon Athena. 中的資料互動。

編輯 AWS Glue 編目程式排程

AWS Glue根據預設, 每天會爬取兩次中央 S3 儲存貯體中的清查資料。如果您經常變更執行個體上要收集的資料類型,可能會需要更頻繁地抓取資料,如以下程序所述。

重要

AWS Glue 會向您的帳戶酌收編目程式 (用來探索資料) 與 ETL 任務 (用來處理及載入資料) 的費用,以每小時費率按秒計費。變更編目程式排程之前,請先檢視AWS Glue定價頁面。

變更庫存資料的編目程式排程

  1. 開啟位於 https://console.aws.amazon.com/glue/ 的 AWS Glue 主控台。

  2. 在導覽窗格中,選擇 Crawlers (編目程式).

  3. 在編目程式清單中,選擇 Systems Manager 庫存資料編目程式旁的選項。編目程式名稱需採用以下格式:

    AWSSystemsManager-DOC-EXAMPLE-BUCKET-Region-AWS_account_ID

  4. 選擇 Action (動作),然後選擇 Edit crawler (編輯編目程式).

  5. 在導覽窗格中,選擇 Schedule (排程).

  6. Cron expression (Cron 表達式) 欄位中,使用 cron 格式指定新的排程。如需 cron 格式的詳細資訊,請前往 中 Time-Based Schedules for Jobs (任務和編目程式的時間型排程AWS Glue 開發人員指南)。

重要

您可以暫停使用編目程式, 便不會繼續產生費用。AWS Glue. 如果您暫停編目程式,或是變更頻率讓資料抓取的頻率變少,則庫存詳細檢視可能顯示非最新的資料。