Invoke tagging discipline across organization in AWS - 4 (the last post)

4303 단어 AWSPythonsamOrganizationstag

지난번 계속.
지난번에 우리는 Slack에 required-tags가 서로 용납되지 않는다고 통지하는 기능을 실현했다.
이번에는 Tag policies의 동등한 기능입니다.

설계


Reqired-tags 때와 마찬가지로 저는 Lambda Function을 자제하기로 결정했습니다.
그러나 이 두 계정은 각각 다른 Lambda function이다.여기에는 다음이 포함됩니다.
  • Lambda function "Generator"를 정시 부팅하여 전용 S3bucket 이 됨(이하 "Bucket1")내보내기 내보내기
  • Organizations Master Account
    • 로 확장

  • 내보내기 내보내기 트리거 시작 알림용 Lambda Function "Transmitter"
  • Compliance Account에 배포
  • Bucket1에서 데이터를 읽고 성형하여 Slack
    • 에게 배포
    이렇게 되면 두 개의 다른 회계로 분산되지만 가까스로 전용 회계를 준비했기 때문에 관련 처리는 가능한 한 회계로 보내고 싶다
    다음은 Lambda Function마다.

    Lambda function "Generator"


    Bucket1을 정시에 시작하고 쓰기만 하면 됩니다.
    원래 마스터 계정으로 확장
  • 이 명령은 Compliace Account가 아닌 Organizations Master Account에서 수행되어야 합니다
  • Bucket1은 Organizations Master Account가 아니라 Compliance Account 측에서 제작되었습니다.정책 생성 및 설정(OracleOrganizationMaster Account에서 쓰기 가능)은 다음 "Transmitter"로 처리됩니다
    • .

    Lambda function "Transmitter"


    Bucket 1로 내보낸 후 시작하여 메시지를 성형하여 Slack에 보내기
    규정 준수 회계에 배치
    Lambda function "Generator"에서 내보낸 보고서는 csv는 모든 부합, 부합되지 않는 정보를 내보냅니다
    보고 싶은 정보는 표준에 맞지 않을 뿐이기 때문에 이전 공정을 내보낼 때 표준에 맞지 않는 옵션을 지정하려고 했지만 찾을 수 없습니다.어쩔 수 없어서 이 기능에 필터 기능을 내장하기로 했다.구체적으로, 표준에 부합되지 않는 버전 csv만 생성하여 S3에 저장합니다(Bucket1과 달리 Bucket2).
    그 다음은 정보의 내용이다. 기준에 부합되지 않는 수량에 따라 정보량이 커질 수 있기 때문에 모든 자원에 정보를 발표하는 것을 피하기로 했다.※1 대신noncompliants.csv에 접근하는 방법 알림
    알림을 받은 사용자가 조직의 규정 준수 팀이고 구성 요소 2에 저장된 noncompliants.csv에 대한 접근 권한을 가지고 있다고 가정합니다.따라서 현재 이 사용자 등이 알림을 받을 때 자신의 접근권으로 noncompliants를 진행합니다.나는 그들로 하여금 임의로 csv를 얻고 운용하게 하기로 결정했다.그 이후의 최적화는 장래의 과제이다

    실시


    여기.지난번과 마찬가지로 SAM 기반입니다.
    그리고 매sam deploy마다 이렇게 공지가 왔어요.

    이거 하루에 한 번 보내요. (기본적으로)
    Compliace Account 권한을 사용하여 알림에 표시된 명령을 실행하면 부적합 목록을 얻을 수 있습니다.
    또한 모든 Sattelite accounts(구성원 accounts)에서 날아갈 수 있다Effective tag policy and noncompliants

    운영 이미지


    이 통지를 받은 후 규정 준수팀은 서로 용납되지 않는 자원을 가진 모든 계정 주관팀에게 통지된 용납되지 않는 정보에 따라 복구를 요구하는 조치를 취했다.

    총결산


    여기까지 당초의 목표 이루어졌다고 할 수 있다.즉, 강제, 차단, 금지 등 강력한 제한, 개입이 필요 없고 전체 조직에 대해 표기 규칙을 실시하고 Slack 통지를 통해 규정 준수 팀의 운용 부담을 최소화한다는 것이다
    우선 이 구조에 따라 조직의 표기문화모범 사례(※ pdf 참고)를 더욱 가깝게 하는 발판이 된다면 좋겠다.만약 계속될 수 있다면 이후의 엄격화와 자동화 등도 쉽게 진행될 것이다.
    이번 시리즈가 마지막이에요.
    끝까지 함께해줘서 고마워

    note


    ※ 1 지난번처럼 자원 수가 일정 수량 이하가 아니면 단독으로 발송할 수 있으며, 이러한 규격도 가능하지만 발송
    Rails로 알림 기능 만들기(① 기본 기능 편)
    [IAM 역할] 왜 Cloud9이 다른 AWS 서비스에 액세스할 수 있습니까?

    좋은 웹페이지 즐겨찾기

    개발자 우수 사이트 수집

    개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다
    best100-homepage