[SEO 副标题]
本指南演示如何管理 AWS Config 在 AWS Control Tower 环境中记录的活动,从而降低总体成本。在管理和保护多账户 AWS 环境时,AWS Control Tower 会实施安全最佳实践,例如启用 AWS Config 以监控所有受支持的 AWS 资源。但是,您可能希望过滤掉不需要的记录资源,以降低 AWS Config 成本。本指南可帮助您在 AWS 环境中对 AWS Config 进行更改,同时避免在创建账户和更新账户时产生影响(例如重置 AWS Config 服务的过滤器)。
请注意:[免责声明]
架构图
Well-Architected 支柱
当您在云中构建系统时,AWS Well-Architected Framework 可以帮助您了解所做决策的利弊。框架的六大支柱使您能够学习设计和操作可靠、安全、高效、经济高效且可持续的系统的架构最佳实践。使用 AWS 管理控制台中免费提供的 AWS Well-Architected Tool,您可以通过回答每个支柱的一组问题,根据这些最佳实践来检查您的工作负载。
上面的架构图是按照 Well-Architected 最佳实践创建的解决方案示例。要做到完全的良好架构,您应该遵循尽可能多的 Well-Architected 最佳实践。
-
卓越运营阅读《卓越运营》白皮书
AWS Control Tower 使您能够利用专为可扩展治理和安全而设计的规范性控制措施来设置和运营多账户 AWS 环境。本指南有助于优化用于治理非关键资源(如隔离沙盒或测试环境)的服务。此外,AWS CloudWatch 指标和日志也是可观测性的重要组成部分。它们有助于排除故障并持续改进指南。
-
安全性阅读《安全性》白皮书
本指南在 AWS Identity and Access Management(IAM)中创建跨账户执行角色,向更改账户配置的 Lambda 函数授予特定、有限的权限。AWS Security Token Service(AWS STS)可生成短期令牌,以安全地承担各账户的角色。本指南遵循最低权限模式来执行所需任务,仅在有限的时间内授予必要的权限。
-
可靠性阅读《可靠性》白皮书
作为完全托管的服务,Lambda、EventBridge 和 Amazon SQS 可横向扩展,以满足客户需求,无需用户干预,从而提高了可靠性。多次 Lambda 调用将基于每个账户和区域所需的 AWS Config 记录器更改次数。这样可以通过并行执行来分配工作流程,有助于避免单点故障。EventBridge 可提供触发工作流程的特定事件,使环境配置保持在所需状态。
-
性能效率阅读《性能效率》白皮书
Lambda 和 Amazon SQS 是完全托管的服务,可自动扩展以满足需求。这些服务使系统能够快速扩展,并同时对多个账户和区域进行配置更改。
-
成本优化阅读《成本优化》白皮书
EventBridge、Lambda 和 Amazon SQS 采用即用即付定价模式,您只需为使用的资源付费。本指南将在通常不频繁发生的特定 AWS Control Tower 事件中调用。使用即用即付定价模式的无服务器架构有助于确保将成本降至最低。
-
可持续性阅读《可持续性》白皮书
本指南中的托管服务使您无需确定资源利用率低或利用率为零的时间段。此外,本指南使用的无服务器服务会在检测到特定的 AWS Control Tower 事件时调用。没有配置闲置资源来处理请求。
实施资源
提供了在 AWS 账户中进行实验和使用的详细指南。构建指南的每个阶段(包括部署、使用和清理)都将被检查,以便为部署做好准备。
示例代码为起点。它经过行业验证,是规范性但不是决定性的,可以帮助您开始。
免责声明
示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。
本指南中提及第三方服务或组织并不意味着 Amazon 或 AWS 与第三方之间存在认可、赞助或从属关系。AWS 的指导是一个技术起点,您可以在部署架构时自定义与第三方服务的集成。