Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Richten Sie die CloudFormation Drifterkennung in einer Organisation mit mehreren Regionen und mehreren Konten ein
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization"></a>

*Ram Kandaswamy, Amazon Web Services*

## Zusammenfassung
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-summary"></a>

Benutzer von Amazon Web Services (AWS) suchen häufig nach einer effizienten Methode, um Diskrepanzen in der Ressourcenkonfiguration, einschließlich Abweichungen in AWS CloudFormation Stacks, zu erkennen und diese so schnell wie möglich zu beheben. Dies ist insbesondere der Fall, wenn es verwendet AWS Control Tower wird.

Dieses Muster bietet eine präskriptive Lösung, mit der das Problem effizient gelöst werden kann, indem konsolidierte Änderungen an der Ressourcenkonfiguration verwendet und auf diese Änderungen reagiert werden, um Ergebnisse zu erzielen. Die Lösung ist für Szenarien konzipiert, in denen mehrere CloudFormation Stapel in mehr als einem Konto oder in mehr als einem AWS-Region Konto oder einer Kombination aus beidem erstellt werden. Die Lösung hat folgende Ziele:
+ Vereinfachen Sie den Prozess zur Drifterkennung
+ Richten Sie Benachrichtigungen und Warnmeldungen ein
+ Richten Sie eine konsolidierte Berichterstattung ein

## Voraussetzungen und Einschränkungen
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-prereqs"></a>

**Voraussetzungen**
+ AWS Config ist in allen Regionen und Konten aktiviert, die überwacht werden müssen

**Einschränkungen**
+ Der generierte Bericht unterstützt nur die Ausgabeformate Kommagetrennte Werte (CSV) und JSON.

## Architektur
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-architecture"></a>

Das folgende Diagramm zeigt die AWS Organizations Einrichtung mit mehreren Konten. AWS Config Regeln kommunizieren zwischen den Konten.  

![\[Fünfstufiger Prozess zur Überwachung von Stacks in zwei AWS Organizations Organizations-Konten.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/735d0987-b953-47f8-a9bc-b02a88957ee5/images/340cee9a-5a4e-49ea-bd73-d37dcea5e098.png)


 Der Workflow umfasst die folgenden Schritte:

1. Die AWS Config Regel erkennt Abweichungen.

1. Ergebnisse der Drift-Erkennung, die in anderen Konten gefunden wurden, werden an das Verwaltungskonto gesendet.

1. Die CloudWatch Amazon-Regel ruft eine AWS Lambda Funktion auf.

1. Die Lambda-Funktion fragt die AWS Config Regel nach aggregierten Ergebnissen ab.

1. Die Lambda-Funktion benachrichtigt Amazon Simple Notification Service (Amazon SNS), der eine E-Mail-Benachrichtigung über die Abweichung sendet.

**Automatisierung und Skalierung**

Die hier vorgestellte Lösung kann sowohl für zusätzliche Regionen als auch für Konten skaliert werden.

## Tools
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-tools"></a>

**AWS-Services**
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)bietet einen detaillierten Überblick über die Konfiguration der AWS Ressourcen in Ihrem AWS-Konto. Dazu gehört auch, wie die Ressourcen jeweils zueinander in Beziehung stehen und wie sie in der Vergangenheit konfiguriert wurden, damit Sie sehen können, wie sich die Konfigurationen und Beziehungen im Laufe der Zeit verändern.
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Kennzahlen Ihrer AWS Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.

## Epen
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-epics"></a>

### Automatisieren Sie die Drifterkennung für CloudFormation
<a name="automate-drift-detection-for-cfn"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Erstellen Sie den Aggregator. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization.html) | Cloud-Architekt | 
| Erstellen Sie eine AWS verwaltete Regel. | Fügen Sie die `cloudformation-stack-drift-detection-check` AWS**** verwaltete Regel hinzu. Die Regel benötigt einen Parameterwert:`cloudformationArn`. Geben Sie die IAM-Rolle Amazon Resource Name (ARN) ein, die berechtigt ist, Stack-Drift zu erkennen. Die Rolle muss über eine Vertrauensrichtlinie verfügen, die es ermöglicht, die Rolle AWS Config zu übernehmen. | Cloud-Architekt | 
| Erstellen Sie den Abschnitt für erweiterte Abfragen des Aggregators. | Um driftete Stapel aus mehreren Quellen abzurufen, erstellen Sie die folgende Abfrage:<pre>SELECT resourceId, configuration.driftInformation.stackDriftStatus WHERE resourceType = 'AWS::CloudFormation::Stack'  AND configuration.driftInformation.stackDriftStatus IN ('DRIFTED')</pre> | Cloud-Architekt, Entwickler | 
| Automatisieren Sie die Ausführung der Abfrage und veröffentlichen Sie sie. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization.html) | Cloud-Architekt, Entwickler | 
| Erstellen Sie eine CloudWatch Regel. | Erstellen Sie eine zeitplanbasierte CloudWatch Regel, um die Lambda-Funktion aufzurufen, die für die Alarmierung zuständig ist. | Cloud-Architekt | 

## Zugehörige Ressourcen
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-resources"></a>

**Ressourcen**
+ [Was ist AWS Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [Datenaggregation für mehrere Konten und mehrere Regionen](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
+ [Erkennung nicht verwalteter Konfigurationsänderungen an Stacks und Ressourcen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html)
+ [IAM: Übergeben Sie eine IAM-Rolle an einen bestimmten AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)
+ [Was ist Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)

## Zusätzliche Informationen
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-additional"></a>

**Überlegungen**

Wir empfehlen, die in diesem Muster vorgestellte Lösung zu verwenden, anstatt benutzerdefinierte Lösungen zu verwenden, die API-Aufrufe in bestimmten Intervallen beinhalten, um die Drifterkennung für jeden CloudFormation Stack oder Stack-Set zu initiieren. Benutzerdefinierte Lösungen, die API-Aufrufe in bestimmten Intervallen verwenden, können zu einer großen Anzahl von API-Aufrufen führen und die Leistung beeinträchtigen. Aufgrund der Anzahl der API-Aufrufe kann es zu einer Drosselung kommen. Ein weiteres potenzielles Problem ist eine Verzögerung bei der Erkennung, wenn Ressourcenänderungen nur anhand eines Zeitplans erkannt werden.

Da Stack-Sets aus Stapeln bestehen, können Sie diese Lösung verwenden. Details zur Stack-Instanz sind auch als Teil der Lösung verfügbar.

## Anlagen
<a name="attachments-735d0987-b953-47f8-a9bc-b02a88957ee5"></a>

[Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/735d0987-b953-47f8-a9bc-b02a88957ee5/attachments/attachment.zip)