亚马逊AWS官方博客
新增 – 在 AWS 资源探索器中执行多账户搜索
使用 AWS 资源探索器,您可以在 AWS 区域中搜索和发现资源,例如 Amazon Elastic Compute Cloud(Amazon EC2)实例、Amazon Kinesis Data Streams 和 Amazon DynamoDB 表。从今天起,您还可以在组织内搜索账户。
您只需几分钟时间,即可为整个组织或特定组织单位(OU)打开和配置资源探索器,并使用简单的自由格式文本和筛选搜索来查找跨账户和区域的相关 AWS 资源。
多账户搜索可在资源探索器控制台中使用,也可通过统一搜索栏(每个 AWS 管理控制台页面顶部的搜索栏)在 AWS 管理控制台中的任意位置或通过 AWS 命令行界面(AWS CLI)、AWS 开发工具包或 AWS Chatbot 使用。通过这种方式,您可以快速找到资源、导航到相应的账户和服务,然后采取行动。
在以架构完善的方式运行时,您可使用多个 AWS 账户来帮助隔离和管理业务应用程序和数据。现在,您可以使用资源探索器,简化跨账户浏览资源并大规模使用资源的方式。例如,在调查运营成本增加、排查性能问题或修复安全警报时,资源探索器可帮助您在全组织范围内定位受影响的资源。
我们来看看该方法的实际应用。
设置多账户搜索
您可以通过四个步骤为组织设置多账户搜索:
- 为 AWS 账户管理启用受信任的访问权限。
- 根据您要搜索的范围,在组织或 OU 内的每个相应账户中配置资源探索器。使用 AWS Systems Manager 快速设置功能,您只需点击几次即可完成此任务。您还可以使用 AWS CloudFormation 或其他您熟悉的管理工具。
- 我们建议为 AWS 账户管理创建一个委托管理员账户,但这并非强制性要求。随后,为统筹多账户创建所需的全部权限,我们建议使用委托管理员账户来创建资源探索器 多账户视图。
- 最后,您可以创建多账户视图,以开始在全组织范围内执行搜索。
创建多账户视图
我已经实施了前面列表中的前三个步骤。我使用委托管理员账户,进入资源探索器控制台。在其中的探索资源部分内,我选择视图,并创建一个视图。
我输入视图的名称,然后选择组织级资源可见性。这样,我就能查看全组织或特定 OU 范围内的账户资源。对于此视图,我选择整个组织。
对于此区域,我选择带有聚合器索引的一项。聚合器索引包含已启用资源探索器的所有其他区域中本地索引的副本。我还可以选择使用过滤器来减少该视图中包含的资源。我选择包含所有资源和其他资源属性,例如标签。
然后,我完成了视图的创建。现在,通过授予该视图的访问权限,我可以控制谁可以在资源探索器中访问哪些资源信息。
使用多账户搜索
为了体验新的多账户视图,我需要从导航窗格的浏览资源部分中选择资源搜索。在我的查询中,我想看看是否有适用于旧版 Redis 的 Amazon ElastiCache 资源。我在查询字段中输入 elasticache:* redis3.2
。
在结果中,我看到了这些资源所在的不同 AWS 账户和区域。对于我账户中的资源,第一列中有一个链接,可在控制台中打开相应资源。对于其他账户中的资源,我可以使用带有适当账户和服务的控制台来获取更多信息或采取行动。
注意事项
以下 AWS 区域可使用多账户搜索:[[ Regions ]]。
使用 AWS 资源探索器(包括多账户搜索)时,不收取额外费用。
如需与组织中的其他账户共享视图,我们建议您使用委托管理员账户创建可查看组织内必要资源、区域和账户的视图,然后使用 AWS Resource Access Manager 共享此视图的访问权限。例如,您可以为特定 OU 创建视图,并与该 OU 中的账户共享该视图。
使用 AWS 资源探索器搜索和发现组织内账户和不同区域中的相关资源。
– Danilo