AWS sisteminde yaptığımız değişiklikleri izlemenin bir yolu var mı?
Örneğin, nat kullanımından iwg'ye bir alt ağ ayarında yapılan değişiklikler - bunlar bir ileti görüntüler ve sonra kaybolur.
AWS'nin günlükte hangi değişikliklerin ne zaman ve ne şekilde yapıldığını takip edebilmesi için bir günlük oluşturmasının bir yolu var mı?
Şu an sahip olduğumuz en yakın şey ElastikBeanstalk olayları - ama bu sadece AWS'nin ne yaptığını söylese bile, olaylara neden olacak ayarları değiştirmedi.
Yanıtlar:
AWS, hesabınızda yapılan API çağrılarının çoğunu izleyen CloudTrail hizmetine sahiptir. Sonra bunları belirtilen S3 grubunuzdaki dosyalarda saklar.
https://aws.amazon.com/cloudtrail/
CloudTrail'i kullanarak, kimin veya hangi hizmetin hangi değişikliği çağırdığını, birçok durumda da hangi argümanların kullanıldığını da görebilirsiniz.
Maalesef şu anda TÜM hizmetleri desteklemiyor.
Bu konuda yardımcı olabilecek birden fazla AWS hizmeti vardır ve bu size en uygun olanın tam olarak sizin ihtiyaçlarınıza bağlıdır. Her biri için farklı özellikler (ve maliyetler) geçerlidir.
CloudTrail'den bahsedildi, ancak sorunuz verildiğinde akla ilk gelen seçenek (ve @ Evgeny'nin cevabına yaptığı bir yorumda belirtildi ) AWS Yapılandırma Hizmeti . AWS yapılandırmanızın 'anlık görüntülerini' zamandaki noktalarda (bir S3 demetinde) saklar, ancak yararlı bir şekilde bir SNS konusundaki değişiklikleri de gönderir. Daha sonra istediğiniz gibi bunlarla başa çıkabilirsiniz. Örneğin, düşük trafik hesabında bunlar doğrudan Slack'e gidiyor; yüksek trafik hesabında NumberOfMessagesPublishednormalden daha fazla sayıda değişiklik yapılıp yapılmadığını görmek için bu SNS konusundaki metriği izliyorum .
AWS Config ayrıca bir 'kurallar' hizmeti sunar; Bunlar onları beklediğinizden biraz daha pahalı ama ihtiyaçlarınıza bağlı olarak yararlı olabilir. Sadece hepsini oynarken oynadığım gibi bir kerede etkinleştirmeyin ... her kural için ayın ücreti hemen uygulanır. ;) (Ancak, kuralları kullanmadan Config kullanabilirsiniz - şu anda yaptığım şey budur).
Ayrıca , tam olarak istediğinizi yapmayan, ancak mühendislerin altyapınızı nasıl yapılandırdıklarına (örneğin, S3 kovalarının açık olup olmadığı gibi) belirli kontroller yapmak için kullanışlı olabilecek Güvenilir Danışman da vardır . Çeklerin çoğu aksini engellediği için, İş düzeyinde Destek planında veya üstünde en kullanışlıdır.
Ardından , AWS Maliyet Gezgini, Güvenilir Danışman, Config, CloudTrail, CloudWatch, Inspector ve GuardDuty özelliklerini birleştiren CloudCheckr gibi üçüncü taraf araçlar var . Gerçekten derinlere inmek, ancak her şeyi kendiniz yapılandırmak için zaman kazanmak istiyorsanız kullanışlıdır.
Alternatif olarak, Terraform veya CloudFormation gibi bir araç kullanarak altyapınızı yönetebilir ve tüm değişikliklerin bunlar aracılığıyla yapılması gerektiğini zorunlu kılabilirsiniz . Daha sonra yapılandırma dosyalarınızı / şablonlarınızı kaynak denetimine adayabilir ve hatta bunları CI'deki canlı altyapıya karşı test edebilir ve birisi izlenmemiş değişiklikler yaptıysa derlemede başarısız olabilirsiniz. Bu şekilde, taahhüt geçmişiniz denetim günlüğünüz olur - ancak mühendislerinizin disiplinli olmasını gerektirir!