AWS架构

Question

我们有大约10个不同的亚马逊网络服务账户，我正在内部构建一个应用程序，用于查看这些accounts.The活动上的活动，这些活动由启动的不同节点组成，包括与我计划在内部门户上显示的每个account.This相关的使用情况和成本。这里的挑战是我需要存储和显示我从aws-sdk获得的任何数据。我需要一些关于架构这种平台的建议，我希望数据尽可能实时。

任何建议都是很棒的

Answer 1

我认为您对架构的最佳选择是:无。原因是:你不需要它。使用CloudTrail报告活动，并对成本进行计费。AWS现在支持联合帐户，使用IAM，您可以轻松地配置一个角色，该角色仅能查看所有帐户的数据。

Answer 2

看看traildash吧。这是一个用于cloudtrail的一体化仪表板。其他评论是100%正确的，AWS已经提供了大部分，Traildash只是在上面包装了一个很好的GUI。

Answer 3

我不确定这个问题是否已经解决了，但这里是我的观点。

如果我没记错的话，这个问题是关于如何定期自动监控多个账户的亚马逊网络服务资源(ec2、s3等)。

在编程上，我建议使用星型拓扑，即拥有一个服务帐户，并通过它承担角色来访问所有其他帐户。通过这种方式，我们不需要在本地保留这些帐户的aws accessKey/secretKey，因此具有更好的安全性。

该实现必须与在服务帐户中创建的新角色/策略以及在每个其他帐户中创建的允许对其自己的资源进行读访问的新角色/策略有关，该新角色/策略指定它可以承担的帐户it /角色的列表。

以下是访问ec2实例的策略示例，供您参考：

服务帐户策略：

{
   "Version": "2012-10-17",
   "Statement": [
   {
   "Sid": "",
   "Effect": "Allow",
   "Principal": {
   "AWS": [
          "arn:aws:iam::ACCOUNT-ID-A:role/ROLE-A",
          "arn:aws:iam::ACCOUNT-ID-B:role/ROLE-B”,
          "arn:aws:iam::ACCOUNT-ID-C:role/ROLE-C”,
          "arn:aws:iam::ACCOUNT-ID-D:role/ROLE-D”,
          "arn:aws:iam::ACCOUNT-ID-E:role/ROLE-E”,
   ]
   },
   "Action": "sts:AssumeRole"
   }
   ]
}

普通帐号策略：

{
    "Version": "2012-10-17",
    "Statement": {
    "Effect": "Allow",
    "Action": “ec2:DescribeInstances",
    "Resource": “arn:aws:ec2:Account-ID-A:instance/*"
}