Копировать / экспортировать группу безопасности AWS в несколько учетных записей AWS

Question

У меня есть среда AWS с несколькими учетными записями (настроенная с помощью AWS Landing Zone), и мне нужно скопировать определенную группу безопасности для всех учетных записей. У меня есть написано CFT, но это слишком много повторяющихся задач, чтобы сделать это один за другим.

Группа безопасности находится в центральной учетной записи (shared-services), которая имеет доступ ко всем другим учетным записям. Лучше, если есть способ интегрировать это в торговый автомат учетных записей (AVM), чтобы избежать будущих задач по экспорту SG во вновь созданные учетные записи.

Answer 1

Вы должны использовать CloudFormation Stacksets. StackSets - это функция облачной информации, в которой у вас есть основная учетная запись, в которой вы создаете / обновляете / удаляете набор стеков, и у вас есть дочерние учетные записи. В стеке вы настраиваете свои дочерние учетные записи aws, для которых вы хотите развернуть шаблон CF и регион.

Исходя из вашего комментария, ваша основная учетная запись будет общей службой, а остальные учетными записями будут детские. Вам потребуется развернуть пару ролей IAM, чтобы разрешить доступ между учетными записями, но после этого вы сможете автоматически развертывать все свои шаблоны в учетных записях до 500 aws и обновлять их.

Больше информации здесь: https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html

Answer 2

Я смог сделать это через торговый автомат учетной записи. Но AGL's Stacksets тоже должна быть хорошей альтернативой.

Answer 3

Поскольку вы используете AWS Landing Zone, вы можете добавить группу безопасности к шаблонам aws_baseline, либо в качестве нового шаблона, либо в один из существующих файлов.После отправки AWS Landing Zone использует пошаговые функции и наборы стеков AWS для развертывания SG на всех существующих и будущих учетных записях.Если вы решите создать группу безопасности в новом файле, вы должны добавить ссылку на нее в файле manifest.yaml (сравните с тем, как ссылаются другие шаблоны).

Answer 4

Вы можете экспортировать группу безопасности и другие конфигурации с CloudFormation, используя CloudFormer, который создает шаблон из существующей конфигурации учетной записи.Проверьте шаги в этом руководстве https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-using-cloudformer.html Он загрузит шаблон на S3, и вы сможете использовать его повторно или некоторые его части.