Làm cách nào để theo dõi các thay đổi đối với cài đặt AWS?

Có cách nào để theo dõi những thay đổi chúng tôi thực hiện đối với hệ thống AWS không?

Ví dụ: thay đổi cài đặt mạng con, từ sử dụng nat sang iwg - những thông báo này sẽ hiển thị một thông báo và sau đó biến mất.

Có cách nào để AWS tạo nhật ký để người ta có thể theo dõi những thay đổi đã được thực hiện cho cái gì và khi nào?

Điều gần nhất chúng ta có bây giờ là các sự kiện ElasticBeanstalk - nhưng ngay cả điều đó chỉ cho bạn biết AWS đã làm gì, không phải cài đặt nào đã được thay đổi để gây ra các sự kiện.

AWS có dịch vụ CloudTrail theo dõi hầu hết các lệnh gọi API được thực hiện trong tài khoản của bạn. Sau đó lưu trữ chúng trong các tệp trong nhóm S3 được chỉ định của bạn.

https://aws.amazon.com/cloudtrail/

Sử dụng CloudTrail, bạn có thể biết ai hoặc dịch vụ nào được gọi là thay đổi - trong nhiều trường hợp cũng bao gồm cả các đối số đã được sử dụng.

Thật không may, nó không hỗ trợ TẤT CẢ các dịch vụ tại thời điểm này.

Có nhiều dịch vụ AWS có thể giúp với điều này, và nó phụ thuộc thực sự vào nhu cầu chính xác của bạn để phù hợp nhất với bạn. Các tính năng khác nhau (và chi phí) áp dụng cho mỗi.

CloudTrail đã được đề cập, nhưng tùy chọn đầu tiên tôi nghĩ đến câu hỏi của bạn (và nó được đề cập trong một nhận xét về câu trả lời của @ Evgeny ) là Dịch vụ Cấu hình AWS . Nó lưu trữ 'ảnh chụp nhanh' cấu hình AWS của bạn tại các thời điểm (trong nhóm S3), nhưng cũng rất hữu ích khi gửi bất kỳ thay đổi nào đến chủ đề SNS. Sau đó bạn có thể đối phó với những điều này theo cách bạn muốn. Ví dụ: trên tài khoản lưu lượng truy cập thấp, tôi có các tài khoản này đi thẳng vào Slack; trên tài khoản lưu lượng truy cập cao, tôi đang theo dõi NumberOfMessagesPublishedsố liệu về chủ đề SNS đó để thông báo nếu số lượng thay đổi lớn hơn được thực hiện so với bình thường.

AWS Config cũng cung cấp dịch vụ 'quy tắc'; Đây là một mức giá cao hơn một chút so với tôi mong đợi nhưng tùy thuộc vào nhu cầu của bạn, chúng có thể hữu ích. Chỉ cần không kích hoạt tất cả chúng cùng một lúc như khi tôi chơi xung quanh ... phí tháng cho mỗi quy tắc được áp dụng ngay lập tức. ;) (Nhưng bạn có thể sử dụng Cấu hình mà không cần sử dụng các quy tắc - đó là những gì tôi đang làm vào lúc này).

Ngoài ra còn có Cố vấn đáng tin cậy , không thực hiện chính xác những gì bạn yêu cầu nhưng có thể hữu ích để thực hiện một số kiểm tra đối với cách các kỹ sư định cấu hình cơ sở hạ tầng của bạn, chẳng hạn như liệu có ai bỏ xô S3 không. Nó hữu ích nhất với gói Hỗ trợ cấp doanh nghiệp trở lên, vì nhiều kiểm tra của nó bị chặn theo cách khác.

Sau đó, có các công cụ của bên thứ ba như CloudCheckr , kết hợp các khía cạnh của AWS Cost Explorer, Trusted Advisor, Config, CloudTrail, CloudWatch, Inspector và GuardDuty. Hữu ích nếu bạn muốn vào sâu thực sự nhưng tiết kiệm thời gian tự cấu hình mọi thứ.

Ngoài ra, bạn có thể quản lý cơ sở hạ tầng của mình bằng cách sử dụng một công cụ như Terraform hoặc CloudFormation và yêu cầu tất cả các thay đổi phải được thực hiện thông qua những công cụ đó. Sau đó, bạn có thể cam kết các tệp / mẫu cấu hình của mình để kiểm soát nguồn và thậm chí kiểm tra chúng dựa trên cơ sở hạ tầng trực tiếp trong CI và không xây dựng nếu ai đó thực hiện các thay đổi không được theo dõi. Bằng cách đó, lịch sử cam kết của bạn trở thành nhật ký kiểm toán của bạn - nhưng nó đòi hỏi các kỹ sư của bạn phải có kỷ luật!