亚马逊AWS官方博客
使用 Cloud Foundations 用户界面控制台简化多账户亚马逊云科技治理
1. 引言
大规模管理多账户亚马逊云科技环境面临着独特的挑战。随着组织云足迹的增长,他们经常发现自己需要在多个亚马逊云科技控制台之间切换,浏览复杂的服务目录产品,并协调跨数十个甚至数百个账户的基础设施部署。
Cloud Foundations 快速启动包通过提供基于亚马逊云科技 Cloud Foundations 白皮书原则构建的综合部署框架来应对这些挑战。它使用云原生技术自动化部署登陆区、安全基线和 DevOps 功能。
Cloud Foundations 用户界面控制台提供了一个统一、直观的界面来管理整个 Cloud Foundations 环境。无需在 Amazon Service Catalog、Amazon CodeBuild、Amazon CodePipeline、Amazon CloudWatch Logs、Amazon Systems Manager Parameter Store 和 Amazon AppConfig 之间切换,您现在拥有一个单一窗口来执行所有治理操作。
 |
该控制台专为需要配置和管理基础设施的云平台团队以及需要了解组织健康状况和合规性的安全团队而设计。主要功能包括:
- 统一仪表板:实时查看组织健康状况、安全态势、流水线状态和网络基础设施
- 生成式 AI 助手:由 Amazon Bedrock 提供支持的集成聊天机器人,基于 Cloud Foundations 文档和运营数据提供上下文指导
- 引导式工作流:简化账户创建、网络部署和产品管理的界面
- 基于角色的访问控制:将只读访问与操作能力分离的双层权限模型
- 多语言支持:完全支持英语和中文
通过与现有 Cloud Foundations 部署的无缝集成,该用户界面使企业级云治理对更广泛的用户群体更加易用,同时降低了操作复杂性。
2. 控制台入门
2.1 访问控制台
Cloud Foundations 用户界面部署为通过 Amazon CloudFront 分发的无服务器 Web 应用程序。在启用 ui 服务开关完成 Cloud Foundations 部署后,您将收到托管在日志账户中的 CloudFront 分发 URL。这种无服务器架构确保了高可用性和全球性能,无需基础设施管理开销。
身份验证通过 Amazon Cognito 用户池处理。与自助服务平台不同,Cloud Foundations 控制台需要管理员进行内部用户注册。这种设计确保只有授权人员才能访问您的治理工具。您的管理员将在 Cognito 用户池(位于基础设施账户中)创建您的用户账户,并根据您的职责将您分配到适当的用户组。所有用户都需要多因素身份验证(MFA),以提供额外的安全层并帮助保护您的云治理环境免受未经授权的访问。
区域部署差异:在中国区域,由于 Amazon Cognito 用户池不可用,控制台使用替代部署方式,通过 AWS Systems Manager Session Manager 提供基于 MFA 的临时凭证进行身份验证和安全访问。此方式保持相同的 AWS AppSync 后端,确保所有部署环境中功能的一致性。
登录页面提供对综合文档的直接访问,包括用户操作手册、网络定义规范、产品定义规范和培训手册——确保用户即使在登录控制台之前也能访问指导和参考资料。
2.2 基于角色的访问控制
控制台实施双层访问控制模型:
- 只读组:成员可以查看控制台中的所有信息——仪表板指标、流水线状态、组织结构、网络拓扑和配置参数。此角色适合审计员、合规官员和需要可见性但无法进行更改的团队成员。如果只读用户尝试执行写操作,请求将被拒绝,并显示通知消息说明该操作需要产品管理员权限。
- 产品管理员组:该组在控制台范围内具有全面的管理能力。除了查看所有信息外,产品管理员还可以执行流水线、批准手动阶段、创建账户、部署网络、启动产品和修改系统参数。控制台旨在支持操作工作流,同时保持安全防护——故意从用户界面中排除资源删除等破坏性操作,以防止意外的基础设施更改。此角色专为主动管理和操作基础设施的平台工程团队而设计。
登录后,您的组成员身份决定了整个控制台中可用的操作。这种明确的分离确保您可以在整个组织中授予广泛的可见性,同时对状态更改操作保持严格控制。
2.3 导航界面
控制台遵循熟悉的亚马逊云科技设计模式,布局简洁明了。登录后,您会发现:
顶部导航栏:提供语言切换(英语/中文)、主题选择(浅色/深色模式)和用户配置文件菜单。您的偏好设置在会话之间保持不变。
侧边导航面板:将功能组织成逻辑部分——仪表板、提问(AI 助手)、治理、账户、网络、产品和代码库(用于管理 Amazon CodeCommit 代码库)。面板可以折叠以最大化屏幕空间。
主内容区域:根据您的导航选择显示仪表板、表格、表单或流水线执行视图。面包屑导航帮助您跟踪位置并导航回父页面。
2.4 仪表板:您的指挥中心
首次登录时,您会进入仪表板——通过交互式、基于小部件的布局全面查看您的云环境。仪表板使用响应式网格系统,其中每个小部件占据特定数量的行和列。
 |
您可以拖动小部件重新排序、调整大小,布局会自动适应您的屏幕尺寸。每个用户都可以为其工作流自定义仪表板,偏好设置存储在浏览器本地存储中。
主要小部件包括:
组织健康状况:显示您的核心 Cloud Foundations 账户(管理、日志、基础设施、安全、共享服务),带有状态指示器和账户计数。选择”账户工厂”按钮创建新账户。
安全评分:显示来自 Amazon Security Hub 的安全态势指标,展示针对已启用标准(亚马逊云科技基础安全最佳实践、CIS 亚马逊云科技基础基准)的合规性评分。包括趋势指示器和数据新鲜度上下文。
系统流水线:显示五个核心流水线(Initial、Setup、Extra、Image、Regional)的执行状态,带有颜色编码状态:成功(绿色)、进行中(蓝色)、失败(红色)、需要批准(橙色)。产品管理员可以选择流水线名称查看详细信息并批准阶段。
网络:汇总跨区域的网络基础设施,包括 VPC、子网、中转网关和 VPC 对等连接的计数。包含用于部署新网络的”网络工厂”按钮。
安全合规性:显示来自 Security Hub 的严重和高严重性发现,以及修复和抑制百分比。
聊天配置:当启用 AI 助手(ui.chats 服务开关)时,显示知识库同步状态,并为产品管理员提供”同步数据源”按钮以触发手动更新。
仪表板标题包含一个刷新按钮,通过并行 GraphQL 查询到 Amazon AppSync 同时更新所有小部件。返回仪表板时立即显示缓存数据,同时后台刷新获取更新。
3. 生成式 AI 助手:您的 Cloud Foundations 专家
在侧边导航面板顶部,您会找到”提问”——一个由 Amazon Bedrock 提供支持的生成式 AI 助手,通过 RAG(检索增强生成)技术在您的 Cloud Foundations 文档上进行训练。
注意:此功能在支持 Amazon Bedrock 和 Amazon OpenSearch Serverless 的亚马逊云科技区域中可用。由于服务可用性,AI 助手目前在中国区域(北京和宁夏)不可用。
 |
当您提出问题时,助手会查询包含索引 Cloud Foundations 文档的 Amazon OpenSearch Serverless 集合,检索相关部分,并将其作为上下文提供给语言模型。然后 Amazon Bedrock 生成基于您实际文档的响应,而不是通用的云建议。
助手的知识库包括全面的 Cloud Foundations 材料:用户操作手册(所有功能的完整覆盖)、产品定义规范(定义基础设施的详细指导)、网络定义规范(设计网络拓扑的说明)和操作程序。
您可以提出如下问题:
- “如何使用账户工厂创建新的亚马逊云科技账户?”
- “VPC 共享和 TGW 共享网络模型有什么区别?”
- “如何为特定账户启用 Amazon Config 规则自动修复?”
- “我需要更改哪些参数才能将新区域添加到治理中?”
助手理解 Cloud Foundations 术语,了解不同组件之间的关系,并可以指导您完成多步骤程序。
基于会话的对话:聊天界面在会话中维护对话上下文,允许您提出后续问题而无需重复上下文。当您返回聊天页面时,您的对话历史记录会被保留。选择”清除聊天”按钮开始新会话。
仪表板上的聊天配置小部件显示知识库上次同步的时间。产品管理员可以选择”同步数据源”按钮触发手动更新,确保助手始终基于最新信息提供指导。该功能在全球亚马逊云科技区域可用(由于服务可用性,目前不支持中国和选择性加入区域)。
4. 系统治理:流水线和参数
Cloud Foundations 通过五个核心系统流水线运行,这些流水线自动化基础设施部署。控制台将这些流水线及其控制参数整合到统一界面中。
4.1 流水线管理
流水线页面提供所有系统流水线执行的实时可见性,包括颜色编码状态指示器、上次执行时间和最近执行历史记录。产品管理员可以直接从此界面发布流水线,并通过确认对话框批准手动阶段。
 |
发布流水线的常见场景:
- 参数更改后:发布 Setup 或 Extra 流水线
- 添加新区域:发布 Initial 流水线
- 安全更新:发布 Image 流水线
- 基线更新:发布 Setup,然后发布 Regional 流水线
4.2 配置管理
参数页面将 Cloud Foundations 配置组织成多个参数类别:
| 参数类别 | 描述 | 主要功能 |
| 备份计划 | 配置 Amazon Backup 计划和策略 | 每小时、每天、每周、每月、每年计划及生命周期策略 |
| 备份资源 | 定义要包含在备份中的亚马逊云科技资源 | 特定区域的资源类型(Aurora、DynamoDB、EBS、EC2、EFS、RDS、S3 等) |
| 基线 | 控制每个账户/区域的基线配置 | 用于组合设置的交互式配置模态框 |
| CloudWatch 过滤器 | 管理 CloudWatch 日志过滤器和告警 | 监控 IAM、KMS 和控制台登录事件 |
| Config 规则 | 配置带有自动修复的 Amazon Config 规则 | 安全、合规和最佳实践规则 |
| Inspector 资源 | 定义 Amazon Inspector 扫描范围 | ECR、EC2、Lambda、Lambda 代码、代码库扫描 |
| 服务 | 查看已启用的 Cloud Foundations 功能 | 控制部署中哪些服务处于活动状态 |
 |
对于基线,控制台提供了一个交互式配置模态框,帮助您通过引导式界面组合基线设置。您可以全局启用基线、完全禁用它们,或通过为特定区域指定账户 ID 来配置区域例外。模态框生成正确的 JSON 配置并将其复制到剪贴板,以便轻松粘贴到参数编辑器中。
控制台为不同的参数类型提供适当的查看器,并包含有关配置更改时应发布哪个流水线的指导。
5. 组织和账户管理
5.1 可视化您的组织
组织页面提供亚马逊云科技组织结构的交互式树视图,将其呈现为实际的树形图而不是分层列表。
 |
树将组织单元显示为可展开的分支,将账户显示为显示名称和电子邮件的叶节点。有关详细的账户信息(包括 ID、状态和类型),请导航到所有账户页面,该页面提供带有颜色编码状态指示器的综合表格视图——活动账户为绿色,暂停账户为灰色。
5.2 账户工厂
账户工厂通过两种模式提供账户配置的引导式界面:
 |
创建模式(用于新账户):
- 账户名称:账户的描述性名称
- 账户电子邮件:账户根用户的唯一电子邮件地址
- 组织单元:从下拉列表中选择目标 OU
- 在 Amazon Organizations 模式下支持同时创建最多 5 个账户,在 Amazon Control Tower 模式下支持 1 个账户
邀请模式(用于现有账户):
- 账户 ID:12 位亚马逊云科技账户标识符
- 组织单元:从下拉列表中选择目标 OU
- 支持同时邀请最多 10 个账户
控制台自动验证电子邮件格式和账户 ID,提供实时反馈,并处理 Amazon Organizations 和 Amazon Control Tower 集成。提交表单后,控制台启动 Service Catalog 产品并将您重定向到显示状态机执行进度的状态页面。
6. 网络基础设施管理
网络管理遵循三组件工作流:定义、工厂和流水线。
6.1 网络定义
网络定义页面通过多个选项卡显示您的网络配置:拓扑(可视化图表)、VPC、子网、安全组、TGW 路由和代码视图。从下拉列表中选择一个区域以查看其网络资源。
 |
拓扑选项卡呈现您的网络架构,显示 VPC、子网、中转网关连接和路由表。代码视图选项卡显示原始 JSON 定义,带有用于更新配置的上传按钮。用户使用其首选工具在控制台外编辑网络定义并上传更新的文件。控制台支持 VPC 共享(具有共享子网的集中式 VPC)和 TGW 共享(具有成员拥有的 VPC 的共享中转网关)模型。
6.2 网络工厂
网络工厂通过基于模式的表单创建部署流水线:
 |
- 网络共享模式:在 VPC 共享或 TGW 共享模型之间选择
- 网络账户:将部署网络资源的 12 位账户 ID
- 区域:从网络配置中定义的可用区域中多选
控制台自动检测现有网络流水线并相应地在”创建”和”更新”模式之间切换。它实时验证账户 ID 并从您的网络定义中自动填充区域。
6.3 网络流水线
网络流水线页面显示所有与网络相关的流水线,根据您的共享模型进行调整:
 |
- VPC 共享:主区域流水线加区域流水线
- TGW 共享:一阶流水线(生成二阶)加二阶流水线(部署资源)
对于 TGW 共享,您必须首先发布一阶流水线,等待它生成二阶流水线,然后发布这些流水线。控制台清楚地指示此序列。
7. 产品管理:基础设施即定义
产品管理体现了”基础设施即定义”的理念,您在 JSON 中定义亚马逊云科技资源,Cloud Foundations 处理部署复杂性。
7.1 产品定义
产品定义页面以双面板布局显示存储在 Amazon AppConfig 中的所有产品配置文件:左侧是产品列表,右侧是详细信息。选择一个产品以查看其信息、拓扑和代码视图选项卡。
 |
代码视图选项卡显示 JSON 定义,带有用于更新的上传按钮。用户在外部创建或编辑产品定义并通过控制台上传。产品定义使用二维数组结构,其中块(来自同一服务的资源集合)组织成阶段。同一阶段中的块并发执行;阶段按顺序执行。定义支持环境变量(${KEY} 语法)和值范围模板,以实现跨环境的可重用性。
7.2 产品工厂
产品工厂通过表单创建部署流水线:
- AppConfig 配置文件:从可用产品配置文件中选择
- 阶段:环境标识符(dev、test、prod)或留空
- 变量:控制台自动检测产品定义中的变量并为每个变量显示输入字段。填写值以替换定义中的环境变量
当您选择产品配置文件和阶段时,控制台会检查是否已存在配置的产品。如果存在,表单会切换到更新模式并预填充现有变量值。按钮相应地从”创建”更改为”更新”。
7.3 产品流水线
每个产品生成应用和销毁流水线。产品流水线页面显示所有流水线,带有过滤、排序和执行操作。
 |
工作流:
- 在 AppConfig 中创建产品定义
- 通过产品工厂启动(创建配置的产品和流水线)
- 发布应用流水线
- 监控执行(通常 5-15 分钟)
对于更新,在 AppConfig 中修改产品定义,然后使用相同的配置文件和阶段返回产品工厂。控制台检测现有的配置产品并切换到更新模式。提交更新,然后再次发布应用流水线。
8. 结论
Cloud Foundations 用户界面控制台通过将以前需要在多个账户和服务控制台之间导航的操作整合到单一统一界面中,转变了多账户亚马逊云科技治理。通过结合实时可见性、AI 驱动的指导和简化的工作流,控制台显著提高了运营效率,同时使具有不同专业水平的团队都能访问企业级云治理。
入门指南:
要启用控制台,请在 /cf/services 中将 cloudfront 和 ui 服务开关都设置为 true。要启用 AI 助手,还需启用 bedrock 和 ui.chats。更新服务开关后,发布 Setup 流水线并访问 CloudFront URL。您的管理员将创建用户账户并根据团队角色分配适当的权限。
*前述特定亚马逊云科技生成式人工智能相关的服务目前在亚马逊云科技海外区域可用。亚马逊云科技中国区域相关云服务由西云数据和光环新网运营,具体信息以中国区域官网为准。
本篇作者
AWS 架构师中心: 云端创新的引领者探索 AWS 架构师中心,获取经实战验证的最佳实践与架构指南,助您高效构建安全、可靠的云上应用
|
 |
