使用委托管理员方法启用账户访问
为全面监控 AWS 基础设施,Site24x7 需要自动发现您账户中当前运行的各类受支持服务的所有实例。为此,您需要对 Site24x7 进行身份验证和授权以访问您的资源。您可以通过手动创建 IAM 用户角色或跨账户 IAM 角色来实现,也可以使用 AWS CloudFormation 模板、AWS Control Tower 和 AWS IAM 身份中心方法将 AWS 账户与 Site24x7 集成。
委托管理员方法通过在 AWS 组织中将某个成员账户指定为委托管理员,实现 AWS 账户与 Site24x7 的无缝集成。此方法允许委托管理员账户管理跨所有成员账户的 AWS 资源集成和监控,简化操作并增强安全性。
在使用委托管理员方法将 AWS 账户与 Site24x7 集成时,请确保在此工作流程中已登录到 AWS 中指定为管理员账户的成员账户。StackSet 必须从委托管理员账户运行,以实现无缝账户集成。
使用场景
- 假设您拥有多个 AWS 账户,希望集中监控其资源。通过将某个成员账户指定为委托管理员,您可以将所有 AWS 账户与 Site24x7 集成,实现统一监控和管理。
- 假设您是一家快速发展的组织,经常添加新的 AWS 账户,需要一种简化的集成和监控流程。使用委托管理员注册方法,您可以快速将希望监控的新 AWS 账户与 Site24x7 集成,确保监控的一致性。
前提条件
开始前,请确保具备以下条件:
- 一个委托管理员账户
- CloudFormation 堆栈需要以下权限来创建发现所需的资源:
- "iam:AttachRolePolicy"
- "iam:CreatePolicy"
- "iam:CreateRole"
- "iam:PassRole"
- "iam:GetRole"
- "lambda:AddPermission"
- "lambda:CreateFunction"
- "lambda:GetFunction"
- "lambda:InvokeFunction"
- "logs:CreateLogGroup"
- "logs:DescribeLogGroups"
- "cloudformation:CreateStackSet"
- "cloudformation:DescribeStackSet*"
- "cloudformation:ListStackSet*"
- "cloudformation:CreateStackInstances"
- "cloudformation:ListStackInstances"
- "cloudformation:DeleteStackInstances"
- "cloudformation:DeleteStackSet"
- "organizations:ListAccounts"
- "organizations:ListAccountsForParent"
- "organizations:ListChildren"
- "sts:GetCallerIdentity"
使用委托管理员方法集成的优势
使用委托管理员方法将 AWS 账户与 Site24x7 集成,您将获得以下优势:
- 集中管理:指定委托管理员账户可实现跨多账户 AWS 资源的集中监督,简化监控和管理任务。
- 增强安全性:通过减少对 AWS 管理账户的直接访问需求,委托管理员方法降低了与广泛访问权限相关的潜在安全风险。
- 可扩展性:此方法支持高效扩展,委托管理员账户可随着组织新增 AWS 账户而进行集成和监控。
- 改善治理与合规性:委托管理员方法帮助组织在委托管理员账户下的所有 AWS 账户中执行治理和合规标准,简化合规报告和审计准备工作,同时减少人工监督工作量。
如何设置委托管理员账户
当您将某个成员账户指定为委托管理员时,该账户中的用户和角色无需访问组织的管理账户即可管理 AWS CloudFormation StackSets,从而将组织管理与 StackSets 管理分离,提升安全性和控制力。
如果您尚未设置委托管理员账户,请按以下步骤注册:
- 以管理账户管理员身份登录 AWS,并打开 AWS CloudFormation 控制台。
- 在导航面板中,选择 StackSets。
- 在委托管理员下,选择注册委托管理员。
- 在注册委托管理员对话框中,选择注册委托管理员。
成功消息将表明成员账户已成功注册为委托管理员。
使用委托管理员方法将 AWS 账户与 Site24x7 集成
按照以下步骤,使用委托管理员方法将所有 AWS 账户与 Site24x7 集成:
- 登录 Site24x7 Web 控制台。
- 前往云 > AWS > 集成 AWS 账户。
- 选择 AWS 账户类型,可选选项包括全球、Gov Cloud(美国)和中国。
- 选择多账户作为集成方式。
- 选择通过委托管理员注册。
- 选择需要创建 CloudFormation 堆栈的 AWS 区域。
- 选择附加到 IAM 角色的权限。Site24x7 提供两种 IAM 角色权限选项:
- AWS 托管 ReadOnlyAccess 策略:IAM 角色将使用 AWS 为所有服务管理的 ReadOnlyAccess 策略创建。
- Site24x7 自定义策略:IAM 角色将使用针对 Site24x7 支持服务所需只读权限制定的内联策略创建。了解更多。
- 单击创建角色 ARN。账户中的 CloudFormation 堆栈将自动创建所有必要组件。了解更多。
创建 IAM 角色后,CloudFormation 堆栈和堆栈集将通过 Lambda 函数将角色 ARN 发送至 Site24x7。
- 输入显示名称。
- 在账户筛选字段中输入要筛选的正则表达式,或从选择账户列表中选择要集成的账户。
- 获取角色 ARN 详情后,您可以使用高级配置选项配置设置(如每个受支持 AWS 服务的默认阈值配置文件)、静音资源终止告警并自定义指导报表。
- 在发现选项部分的待发现服务列表中,选择您希望与 Site24x7 集成的服务。您可以查看集成到 Site24x7 的管理账户内的所有集成账户。
- 单击发现 AWS 资源以添加账户。
使用委托管理员方法将 AWS 账户与 Site24x7 集成后,可在云 > AWS > 委托管理员账户下查看所有委托管理员账户。单击调度报表生成委托管理员账户报表,该报表以 CSV 格式包含委托管理员账户详情。
所有链接到委托管理员父账户的账户将显示在云 > AWS > 关联账户下的委托管理员关联账户页面。单击调度报表生成委托管理员关联账户报表,该报表以 CSV 格式包含委托管理员关联账户详情。
-
- 如果删除委托管理员父账户,所有委托管理员关联账户也将被删除。
- 如果修改委托管理员父账户的现有配置,委托管理员关联账户的现有配置也将被覆盖。
- 如果修改某个委托管理员关联账户的配置,更改仅反映在该关联账户中,不会影响委托管理员父账户或其他关联账户。
- 如果在集成 AWS 账户 > 高级配置下启用了自动移除已暂停账户选项,所有已关闭的 AWS 账户将从 Site24x7 中永久移除。
委托管理员资产清单仪表板和自定义仪表板
委托管理员资产清单仪表板提供所有委托管理员父账户和关联账户资源的集中视图,提供已监控资源的洞察、按区域划分的资源明细及关键指标,帮助您高效管理 AWS 环境。
若要查看委托管理员父账户详情,请前往资产清单仪表板,并切换右上角的父账户选项以查看父账户中发现的资源数据。若要访问通过委托管理员集成发现的所有资源的合并数据,请将选项切换为关联账户。
自定义仪表板上的地理地图小部件提供委托管理员父账户和关联账户资源的区域分布。您可以选择查看区域地图或特定区域的资源数值数据。
自定义仪表板上的监视器计数小部件显示所有委托管理员账户的监视器总数,包括:
- 父账户和关联账户已监控资源的总数。
- 基于区域的服务计数数值明细。
- 以表格格式显示基于区域的服务分布及数值选项。
- 垂直条形图选项,用于可视化不同 AWS 服务在所选时间范围内的运行情况。
将 Control Tower 账户迁移至委托管理员
如果您已使用 Control Tower 方法将 AWS 账户与 Site24x7 集成,可以将所有活跃的关联 Control Tower 账户无缝迁移至委托管理员账户。
假设您之前使用 Control Tower 方法将五个 AWS 账户与 Site24x7 集成,现在希望将此职责委托给特定成员账户,而不是通过 Control Tower 账户进行管理。通过将其迁移至委托管理员账户,所选 Control Tower 账户及其关联账户的所有配置将转移至委托管理员账户,确保平滑过渡。
将 Control Tower 账户迁移至委托管理员账户的步骤:
- 前往目标 Control Tower 账户。
- 单击编辑。
- 在编辑集成 AWS 账户页面,选择通过委托管理员注册。
- 单击创建角色 ARN,账户中的 CloudFormation 堆栈将自动在委托管理员账户中创建所有必要组件。了解更多。
创建 IAM 角色后,CloudFormation 堆栈和堆栈集将通过 Lambda 函数将角色 ARN 发送至 Site24x7。 - 如需要,输入显示名称。
- 单击保存。
单击保存后,所选 Control Tower 账户及其关联账户的所有配置将迁移至委托管理员账户。