Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengatur deteksi CloudFormation drift di organisasi multi-wilayah dan multi-akun
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization"></a>

*Ram Kandaswamy, Amazon Web Services*

## Ringkasan
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-summary"></a>

Pengguna Amazon Web Services (AWS) sering mencari cara yang efisien untuk mendeteksi ketidakcocokan konfigurasi sumber daya, termasuk drift dalam AWS CloudFormation tumpukan, dan memperbaikinya sesegera mungkin. Ini terutama terjadi ketika AWS Control Tower digunakan.

Pola ini memberikan solusi preskriptif yang secara efisien memecahkan masalah dengan menggunakan perubahan konfigurasi sumber daya terkonsolidasi dan bertindak atas perubahan tersebut untuk menghasilkan hasil. Solusi ini dirancang untuk skenario di mana ada beberapa CloudFormation tumpukan yang dibuat di lebih dari satu Wilayah AWS, atau di lebih dari satu akun, atau kombinasi keduanya. Tujuan solusinya adalah sebagai berikut:
+ Sederhanakan proses deteksi drift
+ Siapkan notifikasi dan peringatan
+ Menyiapkan pelaporan konsolidasi

## Prasyarat dan batasan
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-prereqs"></a>

**Prasyarat**
+ AWS Config diaktifkan di semua Wilayah dan akun yang harus dipantau

**Batasan**
+ Laporan yang dihasilkan hanya mendukung format output nilai yang dipisahkan koma (CSV) dan JSON.

## Arsitektur
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-architecture"></a>

Diagram berikut menunjukkan AWS Organizations pengaturan dengan beberapa akun. AWS Config aturan berkomunikasi antar akun.  

![\[Proses lima langkah untuk memantau tumpukan di dua akun AWS Organizations.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/735d0987-b953-47f8-a9bc-b02a88957ee5/images/340cee9a-5a4e-49ea-bd73-d37dcea5e098.png)


 Alur kerja mencakup langkah-langkah berikut:

1.  AWS Config Aturan mendeteksi penyimpangan.

1. Hasil deteksi drift yang ditemukan di akun lain dikirim ke akun manajemen.

1.  CloudWatch Aturan Amazon memanggil AWS Lambda fungsi.

1. Fungsi Lambda menanyakan AWS Config aturan untuk hasil agregat.

1. Fungsi Lambda memberi tahu Amazon Simple Notification Service (Amazon SNS), yang mengirimkan pemberitahuan email tentang drift.

**Otomatisasi dan skala**

Solusi yang disajikan di sini dapat menskalakan untuk Wilayah dan akun tambahan.

## Alat
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-tools"></a>

**Layanan AWS**
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)memberikan tampilan rinci tentang konfigurasi AWS sumber daya di Anda Akun AWS. Ini mencakup bagaimana sumber daya terkait satu sama lain dan bagaimana sumber daya tersebut dikonfigurasi di masa lalu sehingga Anda dapat melihat bagaimana konfigurasi dan hubungan berubah dari waktu ke waktu.
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) membantu Anda memantau metrik sumber AWS daya Anda dan aplikasi yang Anda jalankan AWS secara real time.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)adalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email.

## Epik
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-epics"></a>

### Mengotomatiskan deteksi drift untuk CloudFormation
<a name="automate-drift-detection-for-cfn"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Buat agregator. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization.html) | Arsitek awan | 
| Buat aturan AWS terkelola. | Tambahkan aturan `cloudformation-stack-drift-detection-check` AWS**** terkelola. Aturan membutuhkan satu nilai parameter:`cloudformationArn`. Masukkan peran IAM Amazon Resource Name (ARN) yang memiliki izin untuk mendeteksi stack drift. Peran harus memiliki kebijakan kepercayaan yang memungkinkan AWS Config untuk mengambil peran. | Arsitek awan | 
| Buat bagian kueri lanjutan dari agregator. | Untuk mengambil tumpukan hanyut dari berbagai sumber, buat kueri berikut:<pre>SELECT resourceId, configuration.driftInformation.stackDriftStatus WHERE resourceType = 'AWS::CloudFormation::Stack'  AND configuration.driftInformation.stackDriftStatus IN ('DRIFTED')</pre> | Arsitek awan, Pengembang | 
| Mengotomatiskan menjalankan kueri dan mempublikasikan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization.html) | Arsitek awan, Pengembang | 
| Buat CloudWatch aturan. | Buat CloudWatch aturan berbasis jadwal untuk memanggil fungsi Lambda, yang bertanggung jawab untuk memperingatkan. | Arsitek awan | 

## Sumber daya terkait
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-resources"></a>

**Sumber**
+ [Apa itu AWS Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [Agregasi data multi-wilayah multi-akun](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
+ [Mendeteksi perubahan konfigurasi yang tidak terkelola pada tumpukan dan sumber daya](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html)
+ [IAM: Lulus peran IAM ke peran tertentu Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)
+ [Apa itu Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)

## Informasi tambahan
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-additional"></a>

**Pertimbangan-pertimbangan**

Sebaiknya gunakan solusi yang disajikan dalam pola ini daripada menggunakan solusi khusus yang melibatkan panggilan API pada interval tertentu untuk memulai deteksi drift pada setiap kumpulan CloudFormation tumpukan atau tumpukan. Solusi khusus yang menggunakan panggilan API pada interval tertentu dapat menyebabkan sejumlah besar panggilan API dan memengaruhi kinerja. Karena jumlah panggilan API, pelambatan dapat terjadi. Masalah potensial lainnya adalah keterlambatan deteksi jika perubahan sumber daya diidentifikasi hanya berdasarkan jadwal.

Karena set tumpukan terbuat dari tumpukan, Anda dapat menggunakan solusi ini. Detail instance stack juga tersedia sebagai bagian dari solusi.

## Lampiran
<a name="attachments-735d0987-b953-47f8-a9bc-b02a88957ee5"></a>

[Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip](samples/p-attach/735d0987-b953-47f8-a9bc-b02a88957ee5/attachments/attachment.zip)