As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configure a detecção de CloudFormation desvios em uma organização multirregional e com várias contas
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization"></a>

*Ram Kandaswamy, Amazon Web Services*

## Resumo
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-summary"></a>

Os usuários do Amazon Web Services (AWS) geralmente procuram uma maneira eficiente de detectar incompatibilidades na configuração de recursos, incluindo a variação nas AWS CloudFormation pilhas, e corrigi-las o mais rápido possível. Esse é especialmente o caso quando AWS Control Tower é usado.

Esse padrão fornece uma solução prescritiva que resolve o problema de forma eficiente usando alterações consolidadas na configuração de recursos e agindo de acordo com essas alterações para gerar resultados. A solução foi projetada para cenários em que há várias CloudFormation pilhas criadas em mais de uma Região da AWS, ou em mais de uma conta, ou uma combinação de ambas. Os objetivos da solução são os seguintes:
+ Simplifique o processo de detecção de desvios
+ Configurar notificação e alerta
+ Configurar relatórios consolidados

## Pré-requisitos e limitações
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-prereqs"></a>

**Pré-requisitos **
+ AWS Config ativado em todas as regiões e contas que devem ser monitoradas

**Limitações**
+ O relatório gerado é compatível apenas com os formatos de saída de valores separados por vírgula (CSV) e JSON.

## Arquitetura
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-architecture"></a>

O diagrama a seguir mostra a AWS Organizations configuração com várias contas. AWS Config as regras se comunicam entre as contas.  

![Processo em cinco etapas para monitorar pilhas em duas contas do AWS Organizations.](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/735d0987-b953-47f8-a9bc-b02a88957ee5/images/340cee9a-5a4e-49ea-bd73-d37dcea5e098.png)


 O fluxo de trabalho inclui as seguintes etapas:

1. A AWS Config regra detecta desvios.

1. Os resultados da detecção de desvios encontrados em outras contas são enviados para a conta gerencial.

1. A CloudWatch regra da Amazon chama uma AWS Lambda função.

1. A função Lambda consulta a AWS Config regra para obter resultados agregados.

1. A função do Lambda notifica o Amazon Simple Notification Service (Amazon SNS), que envia um e-mail informando sobre o desvio.

**Automação e escala**

A solução apresentada aqui pode ser dimensionada para regiões e contas adicionais.

## Ferramentas
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-tools"></a>

**Serviços da AWS**
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)fornece uma visão detalhada da configuração dos AWS recursos em seu Conta da AWS. Isso inclui como os recursos estão relacionados um com o outro e como eles foram configurados no passado, de modo que você possa ver como os relacionamentos e as configurações foram alterados ao longo do tempo.
+  CloudWatchA [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) ajuda você a monitorar as métricas dos seus AWS recursos e dos aplicativos em que você executa AWS em tempo real.
+ O [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.
+ O [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail.

## Épicos
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-epics"></a>

### Automatize a detecção de desvios para CloudFormation
<a name="automate-drift-detection-for-cfn"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Crie o agregador. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization.html) | Arquiteto de nuvem | 
| Crie uma regra AWS gerenciada. | Adicione a regra `cloudformation-stack-drift-detection-check` AWS**** gerenciada. A regra precisa de um valor de parâmetro: `cloudformationArn`. <br />Insira o nome do recurso da Amazon (ARN) do perfil do IAM que tem permissões para detectar desvio de pilha. A função deve ter uma política de confiança que AWS Config permita assumir a função. | Arquiteto de nuvem | 
| Crie a seção de consulta avançada do agregador. | Para buscar pilhas derivadas de várias fontes, crie a seguinte consulta:<pre>SELECT resourceId, configuration.driftInformation.stackDriftStatus WHERE resourceType = 'AWS::CloudFormation::Stack'  AND configuration.driftInformation.stackDriftStatus IN ('DRIFTED')</pre> | Arquiteto de nuvem, desenvolvedor | 
| Automatize a execução da consulta e publique. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization.html) | Arquiteto de nuvem, desenvolvedor | 
| Crie uma CloudWatch regra. | Crie uma CloudWatch regra baseada em agendamento para chamar a função Lambda, que é responsável pelos alertas. | Arquiteto de nuvem | 

## Recursos relacionados
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-resources"></a>

**Recursos**
+ [O que é AWS Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [Agregação de dados de várias regiões e várias contas](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
+ [Detectar alterações de configuração não gerenciadas em pilhas e recursos](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html)
+ [IAM: passe uma função do IAM para uma função específica AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)
+ [O que é o Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)

## Mais informações
<a name="set-up-aws-cloudformation-drift-detection-in-a-multi-region-multi-account-organization-additional"></a>

**Considerações**

Recomendamos usar a solução apresentada nesse padrão em vez de usar soluções personalizadas que envolvam chamadas de API em intervalos específicos para iniciar a detecção de desvios em cada pilha ou conjunto de CloudFormation pilhas. As soluções personalizadas que usam chamadas de API em intervalos específicos podem gerar um grande número de chamadas e afetar a performance. Devido ao número de chamadas de API, pode ocorrer controle de utilização. Outro problema potencial é um atraso na detecção se as alterações de recursos forem identificadas com base somente no cronograma.

Como os conjuntos de pilhas são constituídos por pilhas, você pode usar esta solução. Os detalhes da instância de pilhas também estão disponíveis como parte da solução.

## Anexos
<a name="attachments-735d0987-b953-47f8-a9bc-b02a88957ee5"></a>

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo:[ attachment.zip](samples/p-attach/735d0987-b953-47f8-a9bc-b02a88957ee5/attachments/attachment.zip)