Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Imposta il rilevamento della CloudFormation deriva in un'organizzazione multiregionale e con più account
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization"></a>

*Ram Kandaswamy, Amazon Web Services*

## Riepilogo
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-summary"></a>

Gli utenti di Amazon Web Services (AWS) spesso cercano un modo efficiente per rilevare le discrepanze nella configurazione delle risorse, tra cui la deriva negli AWS CloudFormation stack, e correggerle il prima possibile. Questo è particolarmente vero quando AWS Control Tower viene utilizzato.

Questo modello fornisce una soluzione prescrittiva che risolve efficacemente il problema utilizzando modifiche consolidate alla configurazione delle risorse e agendo su tali modifiche per generare risultati. La soluzione è progettata per scenari in cui sono presenti diversi CloudFormation stack creati in più di uno Regione AWS, in più di un account o in una combinazione di entrambi. Gli obiettivi della soluzione sono i seguenti:
+ Semplifica il processo di rilevamento della deriva
+ Imposta notifiche e avvisi
+ Configura il reporting consolidato

## Prerequisiti e limitazioni
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-prereqs"></a>

**Prerequisiti**
+ AWS Config abilitato in tutte le regioni e gli account che devono essere monitorati

**Limitazioni**
+ Il report generato supporta solo i formati di output con valori separati da virgole (CSV) e JSON.

## Architecture
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-architecture"></a>

Il diagramma seguente mostra AWS Organizations la configurazione con più account. AWS Config le regole comunicano tra gli account.  

![Processo in cinque fasi per il monitoraggio degli stack in due account AWS Organizations.](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/735d0987-b953-47f8-a9bc-b02a88957ee5/images/340cee9a-5a4e-49ea-bd73-d37dcea5e098.png)


 Il flusso di lavoro include i seguenti passaggi:

1. La AWS Config regola rileva la deriva.

1. I risultati del rilevamento della deriva trovati in altri account vengono inviati all'account di gestione.

1. La CloudWatch regola Amazon chiama una AWS Lambda funzione.

1. La funzione Lambda interroga la AWS Config regola per ottenere risultati aggregati.

1. La funzione Lambda notifica Amazon Simple Notification Service (Amazon SNS), che invia una notifica via e-mail della deriva.

**Automazione e scalabilità**

La soluzione qui presentata è scalabile sia per le regioni che per gli account aggiuntivi.

## Tools (Strumenti)
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-tools"></a>

**Servizi AWS**
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)fornisce una visualizzazione dettagliata della configurazione delle AWS risorse del tuo Account AWS. Questo include le relazioni tra le risorse e la maniera in cui sono state configurate in passato, in modo che tu possa vedere come le configurazioni e le relazioni cambiano nel corso del tempo.
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) ti CloudWatch aiuta a monitorare i parametri delle tue AWS risorse e delle applicazioni su cui esegui AWS in tempo reale.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) è un servizio di calcolo che consente di eseguire il codice senza gestire i server o effettuarne il provisioning. Esegue il codice solo quando necessario e si ridimensiona automaticamente, quindi paghi solo per il tempo di elaborazione che utilizzi.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) ti aiuta a coordinare e gestire lo scambio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail.

## Epiche
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-epics"></a>

### Automatizza il rilevamento della deriva per CloudFormation
<a name="automate-drift-detection-for-cfn"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Crea l'aggregatore. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization.html) | Architetto del cloud | 
| Crea una regola AWS gestita. | Aggiungi la regola `cloudformation-stack-drift-detection-check` AWS**** gestita. La regola richiede un valore di parametro:`cloudformationArn`. <br />Inserisci il ruolo IAM Amazon Resource Name (ARN) che dispone delle autorizzazioni per rilevare la deriva dello stack. Il ruolo deve avere una politica di fiducia che AWS Config consenta di assumerlo. | Architetto del cloud | 
| Crea la sezione di interrogazione avanzata dell'aggregatore. | Per recuperare pile alla deriva da più fonti, crea la seguente query:<pre>SELECT resourceId, configuration.driftInformation.stackDriftStatus WHERE resourceType = 'AWS::CloudFormation::Stack'  AND configuration.driftInformation.stackDriftStatus IN ('DRIFTED')</pre> | Architetto del cloud, sviluppatore | 
| Automatizza l'esecuzione della query e la pubblicazione. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization.html) | Architetto del cloud, sviluppatore | 
| Crea una CloudWatch regola. | Crea una CloudWatch regola basata sulla pianificazione per chiamare la funzione Lambda, responsabile degli avvisi. | Architetto del cloud | 

## Risorse correlate
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-resources"></a>

**Risorse**
+ [Che cos'è AWS Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [Aggregazione di dati multiaccount e più regioni](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
+ [Rilevamento delle modifiche di configurazione non gestite agli stack e alle risorse](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html)
+ [IAM: passa un ruolo IAM a uno specifico Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)
+ [Cos'è Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)

## Informazioni aggiuntive
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-additional"></a>

**Considerazioni**

Consigliamo di utilizzare la soluzione presentata in questo schema anziché soluzioni personalizzate che prevedono chiamate API a intervalli specifici per avviare il rilevamento delle deviazioni su ogni CloudFormation stack o set di stack. Le soluzioni personalizzate che utilizzano chiamate API a intervalli specifici possono portare a un numero elevato di chiamate API e influire sulle prestazioni. A causa del numero di chiamate API, può verificarsi una limitazione. Un altro potenziale problema è il ritardo nel rilevamento se le modifiche alle risorse vengono identificate solo in base alla pianificazione.

Poiché i set di stack sono costituiti da pile, puoi utilizzare questa soluzione. Come parte della soluzione sono disponibili anche i dettagli delle istanze dello stack.

## Allegati
<a name="attachments-735d0987-b953-47f8-a9bc-b02a88957ee5"></a>

[Per accedere al contenuto aggiuntivo associato a questo documento, decomprimi il seguente file: attachment.zip](samples/p-attach/735d0987-b953-47f8-a9bc-b02a88957ee5/attachments/attachment.zip)