-Übersicht Voraussetzungen Was dieser Leitfaden behandelt Ressourcen wurden erstellt Einrichtung Teil 1: Stellen Sie den Agentenbereich bereit Teil 2 (optional): Kontenübergreifende Überwachung hinzufügen Fehlerbehebung Bereinigen Sicherheitsüberlegungen Nächste Schritte Weitere Ressourcen

Erste Schritte mit AWS DevOps Agent using AWS CDK

-Übersicht

Diese Anleitung zeigt Ihnen, wie Sie das AWS Cloud Development Kit (AWS CDK) verwenden, um AWS DevOps Agentenressourcen zu erstellen und bereitzustellen. Die AWS CDK-Anwendung automatisiert die Erstellung eines Agentenbereichs, AWS Identity and Access Management (IAM) -Rollen, einer Operator-App und AWS Kontozuordnungen durch. AWS CloudFormation

Der AWS CDK-Ansatz automatisiert die im CLI Onboarding-Leitfaden beschriebenen manuellen Schritte, indem alle erforderlichen Ressourcen als Infrastruktur als Code definiert werden.

AWS DevOps Der Agent ist in den folgenden 6 AWS Regionen verfügbar: USA Ost (Nord-Virginia), USA West (Oregon), Asien-Pazifik (Sydney), Asien-Pazifik (Tokio), Europa (Frankfurt) und Europa (Irland). Weitere Informationen zu den unterstützten Regionen finden Sie unterUnterstützte Regionen.

Voraussetzungen

Stellen Sie vor dem Beginn sicher, dass Sie über Folgendes verfügen:

AWS Die Befehlszeilenschnittstelle (AWS CLI) wurde mit den entsprechenden Anmeldeinformationen installiert und konfiguriert
Node.js Version 18 oder höher
AWS CDK-Befehlszeilenschnittstelle (CLI) ist global installiert. Führen Sie den folgenden Befehl aus, um die AWS CDK-CLI zu installieren:


npm install -g aws-cdk

Ein AWS Konto für das (primäre) Überwachungskonto
(Optional) Ein zweites AWS Konto, wenn Sie eine kontoübergreifende Überwachung einrichten möchten

Was dieser Leitfaden behandelt

Dieser Leitfaden ist in zwei Teile gegliedert:

Teil 1 — Stellen Sie einen Agentenbereich mit einer Operator-App und einer AWS Verknüpfung in Ihrem Monitoring-Konto bereit. Nachdem Sie diesen Teil abgeschlossen haben, kann der Agent Probleme in diesem Konto überwachen.
Teil 2 (optional) — Fügen Sie eine AWS Quellenzuordnung für ein Dienstkonto hinzu und stellen Sie eine kontoübergreifende IAM-Rolle für dieses Konto bereit. Diese Konfiguration ermöglicht es dem Agentenbereich, Ressourcen kontenübergreifend zu überwachen.

Ressourcen wurden erstellt

Teil 1: DevOpsAgentStack (Überwachungskonto)

IAM-Rolle (DevOpsAgentRole-AgentSpace) — Wird vom DevOps Agent-Dienst zur Überwachung des Kontos übernommen. Beinhaltet die AIDevOpsAgentAccessPolicy verwaltete Richtlinie und eine Inline-Richtlinie, die die Erstellung der serviceverknüpften Resource Explorer-Rolle ermöglicht.
IAM-Rolle (DevOpsAgentRole-WebappAdmin) — Operator-App-Rolle mit der AIDevOpsOperatorAppAccessPolicy verwalteten Richtlinie für Agentenoperationen.
Agentenbereich (MyCDKAgentSpace) — Der zentrale Agentenbereich, der mithilfe der AWS::DevOpsAgent::AgentSpace CloudFormation Ressource erstellt wurde. Beinhaltet die Konfiguration der Bediener-App.
Zuordnung (AWS Monitor) — Verknüpft das Überwachungskonto mithilfe der AWS::DevOpsAgent::Association CloudFormation Ressource mit dem Agentenbereich.
Zuordnung (AWS Quelle) — (Optional) Verknüpft das Dienstkonto mit dem Agentenbereich für die kontenübergreifende Überwachung.

Teil 2: ServiceStack (Dienstkonto, optional)

IAM-Rolle (DevOpsAgentRole-SecondaryAccount) — Kontoübergreifende Rolle mit festem Namen. Wird vom Agent-Bereich im Monitoring-Konto als vertrauenswürdig eingestuft. Beinhaltet die AIDevOpsAgentAccessPolicy verwaltete Richtlinie und eine Inline-Richtlinie, die die Erstellung der mit dem Resource Explorer-Dienst verknüpften Rolle ermöglicht.
Lambda-Funktion (echo-service) — Ein einfacher Beispieldienst, der Eingabeereignisse zurückgibt.

Einrichtung

Schritt 1: Klonen Sie das Beispiel-Repository

Führen Sie die folgenden Befehle aus, um das Repository zu klonen und zum Projektverzeichnis zu wechseln:


git clone https://github.com/aws-samples/sample-aws-devops-agent-cdk.git
cd sample-aws-devops-agent-cdk

Schritt 2: Abhängigkeiten installieren

Führen Sie den folgenden Befehl aus, um die Projektabhängigkeiten zu installieren:


npm install

Teil 1: Stellen Sie den Agentenbereich bereit

In diesem Abschnitt erstellen Sie den Agentenbereich, die IAM-Rollen, die Operator-App und eine AWS Zuordnung in Ihrem Monitoring-Konto.

Schritt 1: Konfigurieren Sie die ID des Überwachungskontos

Öffnen Sie Ihre Überwachungskonto-ID lib/constants.ts und legen Sie sie fest:

Das folgende Beispiel zeigt die zu aktualisierende Konstante:


export const MONITORING_ACCOUNT_ID = "<YOUR_MONITORING_ACCOUNT_ID>";

Schritt 2: Bootstrap für die AWS CDK-Umgebung

Wenn Sie das AWS CDK in Ihrem Monitoring-Konto nicht gebootet haben, führen Sie den folgenden Befehl aus:


cdk bootstrap aws://<MONITORING_ACCOUNT_ID>/<REGION> --profile monitoring

Schritt 3: Erstellen und Bereitstellen

Führen Sie die folgenden Befehle aus, um den TypeScript Code zu erstellen und den Stack bereitzustellen:


npm run build
cdk deploy DevOpsAgentStack --profile monitoring

Schritt 4: Notieren Sie die Stack-Ausgaben

Nach Abschluss der Bereitstellung druckt das AWS CDK die Stack-Ausgaben. Notieren Sie sich diese Werte für die spätere Verwendung.

Das folgende Beispiel zeigt die erwartete Ausgabe:


Outputs:
DevOpsAgentStack.AgentSpaceArn = arn:aws:aidevops:<REGION>:123456789012:agentspace/abc123
DevOpsAgentStack.AgentSpaceRoleArn = arn:aws:iam::123456789012:role/DevOpsAgentRole-AgentSpace
DevOpsAgentStack.OperatorRoleArn = arn:aws:iam::123456789012:role/DevOpsAgentRole-WebappAdmin
DevOpsAgentStack.AssociationId = assoc-xyz

Wenn Sie planen, Teil 2 abzuschließen, speichern Sie den AgentSpaceArn Wert. Sie benötigen es, um den Dienstkontenstapel zu konfigurieren.

Schritt 5: Überprüfen Sie die Bereitstellung

Führen Sie den folgenden AWS CLI-Befehl aus, um zu überprüfen, ob der Agent-Bereich erfolgreich erstellt wurde:


aws devopsagent get-agent-space \
  --agent-space-id <AGENT_SPACE_ID> \
  --region <REGION>

Zu diesem Zeitpunkt wird Ihr Agentenbereich bereitgestellt, wobei die Operator-App aktiviert und Ihr Monitoring-Konto verknüpft ist. Der Agent kann Probleme in diesem Konto überwachen.

Teil 2 (optional): Kontenübergreifende Überwachung hinzufügen

In diesem Abschnitt erweitern Sie das Setup, sodass Ihr Agentenbereich Ressourcen in einem zweiten AWS Konto (dem Dienstkonto) überwachen kann. Dies beinhaltet zwei Aktionen:

Hinzufügen einer AWS Quellzuordnung in der DevOpsAgentStack , die auf das Dienstkonto verweist.
Bereitstellung des im ServiceStack Dienstkonto mit einer IAM-Rolle, die dem Agentenbereich vertraut.

Wichtig

Sie müssen Teil 1 abschließen, bevor Sie fortfahren können. Das ServiceStack erfordert das AgentSpaceArn aus der DevOpsAgentStack Bereitstellungsausgabe.

Schritt 1: Konfigurieren Sie die Dienstkonto-ID

Öffnen Sie Ihre Dienstkonto-ID lib/constants.ts und legen Sie sie fest:

Das folgende Beispiel zeigt die zu aktualisierende Konstante:


export const SERVICE_ACCOUNT_ID = "<YOUR_SERVICE_ACCOUNT_ID>";

Der DevOpsAgentStack erstellt mithilfe dieser Konto-ID eine AWS Quellzuordnung. Wenn Sie das bereitgestellt haben, DevOpsAgentStack bevor Sie diesen Wert festgelegt haben, führen Sie die Bereitstellung erneut durch, um die Zuordnung zu erstellen:

Führen Sie die folgenden Befehle aus, um die Bereitstellung erneut durchzuführen:


npm run build
cdk deploy DevOpsAgentStack --profile monitoring

Schritt 2: Den ARN für den Agentenbereich einrichten

Kopieren Sie den AgentSpaceArn Wert aus der DevOpsAgentStack Ausgabe (Teil 1, Schritt 4) und geben Sie ihn einlib/constants.ts:

Das folgende Beispiel zeigt die zu aktualisierende Konstante:


export const AGENT_SPACE_ARN = "arn:aws:aidevops:<REGION>:<MONITORING_ACCOUNT_ID>:agentspace/<SPACE_ID>";

Der ServiceStack verwendet diesen Wert, um den Geltungsbereich der Vertrauensrichtlinie für die sekundäre Kontorolle festzulegen. Der ServiceStack wird nur synthetisiert, wenn dieser Wert festgelegt ist.

Schritt 3: Bootstrap für das Dienstkonto

Wenn Sie das AWS CDK in Ihrem Dienstkonto nicht gebootet haben, führen Sie den folgenden Befehl aus:


cdk bootstrap aws://<SERVICE_ACCOUNT_ID>/<REGION> --profile service

Schritt 4: Stellen Sie das bereit ServiceStack

Führen Sie die folgenden Befehle aus, um das ServiceStack mithilfe der Anmeldeinformationen für das Dienstkonto zu erstellen und bereitzustellen:


npm run build
cdk deploy ServiceStack --profile service

Dadurch werden die folgenden Ressourcen im Dienstkonto erstellt:

Eine IAM-Rolle (DevOpsAgentRole-SecondaryAccount), die dem Agentenbereich im Überwachungskonto vertraut
Eine Echo-Lambda-Funktion (echo-service) als Beispieldienst

Schritt 5: Überprüfen Sie die Bereitstellung

Um zu überprüfen, ob die Lambda-Funktion erfolgreich bereitgestellt wurde, führen Sie die folgenden Befehle aus, um den Echo-Service zu testen:


aws lambda invoke \
  --function-name echo-service \
  --payload '{"test": "hello world"}' \
  --profile service \
  response.json
cat response.json

Fehlerbehebung

In diesem Abschnitt werden häufig auftretende Probleme und deren Behebung beschrieben.

CloudFormation Ressourcentyp wurde nicht gefunden

Stellen Sie sicher, dass Sie die Bereitstellung in einem durchführenUnterstützte Regionen.
Vergewissern Sie sich, dass Ihre AWS CLI mit den entsprechenden Berechtigungen konfiguriert ist.

Die Erstellung der IAM-Rolle ist fehlgeschlagen

Stellen Sie sicher, dass Ihre Bereitstellungsrolle über Berechtigungen zum Erstellen von IAM-Rollen verfügt.
Vergewissern Sie sich, dass die Bedingungen der Vertrauensrichtlinie mit Ihrer Konto-ID übereinstimmen.

Die kontoübergreifende Bereitstellung schlägt mit der Meldung „Die Rolle im Zielkonto konnte nicht übernommen werden“ fehl

Jeder Stack muss mit Anmeldeinformationen für das Zielkonto bereitgestellt werden. Verwenden Sie das --profile Flag, um das richtige AWS CLI-Profil anzugeben.
Stellen Sie sicher, dass das AWS CDK im Zielkonto gebootet wurde.

Verzögerungen bei der IAM-Übertragung

Die Übertragung von IAM-Rollenänderungen kann einige Minuten dauern. Wenn die Erstellung des Agentenbereichs unmittelbar nach der Rollenerstellung fehlschlägt, warten Sie einige Minuten und führen Sie die Bereitstellung erneut durch.

Bereinigen

Um alle Ressourcen zu entfernen, zerstören Sie die Stapel in umgekehrter Reihenfolge.

Führen Sie die folgenden Befehle aus, um die Stapel zu zerstören:


# If you deployed the ServiceStack, destroy it first
cdk destroy ServiceStack --profile service
# Then destroy the DevOpsAgentStack
cdk destroy DevOpsAgentStack --profile monitoring

Warnung: Durch diese Aktion werden Ihr Agentenbereich und alle zugehörigen Daten dauerhaft gelöscht. Diese Aktion kann nicht rückgängig gemacht werden. Stellen Sie sicher, dass Sie alle wichtigen Informationen gesichert haben, bevor Sie fortfahren.

Sicherheitsüberlegungen

Die AWS CDK-Anwendung erstellt IAM-Rollen mit Vertrauensrichtlinien, die es nur dem aidevops.amazonaws.com Dienstprinzipal ermöglichen, diese Rollen zu übernehmen.
Zu den Vertrauensrichtlinien gehören Bedingungen, die den Zugriff auf Ihr bestimmtes AWS Konto und den ARN Ihres Agentenbereichs einschränken.
Alle Richtlinien folgen dem Prinzip der geringsten Rechte. Überprüfen Sie die IAM-Richtlinien und passen Sie sie an die Sicherheitsanforderungen Ihres Unternehmens an.
Die kontoübergreifende Rolle (DevOpsAgentRole-SecondaryAccount) verwendet einen festen Namen und ist auf einen bestimmten Agent-Space-ARN ARN.

Nächste Schritte

Nachdem Sie Ihren AWS DevOps Agenten mithilfe des CDK bereitgestellt haben: AWS

Erfahren Sie im DevOps Agent-Benutzerhandbuch mehr über den gesamten Funktionsumfang des AWS DevOps Agenten.
Erwägen Sie, die AWS CDK-Implementierung in Ihre CI/CD Pipelines für ein automatisiertes Infrastrukturmanagement zu integrieren.

Weitere Ressourcen

AWS DevOps Benutzerhandbuch für Agenten
Beispiel für ein CDK-Repository auf der Website GitHub
CLI Onboarding-Leitfaden

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Eine Testumgebung erstellen

Erste Schritte mit AWS DevOps Agent using AWS CloudFormation