AWS Cloud View – Centrum pomocy Miro

Dostępne dla: Business i Enterprise z zaawansowaną licencją

Aplikacja AWS Cloud View Miro umożliwia generowanie diagramu infrastruktury AWS przez importowanie danych z konta AWS.

✏️ (Enterprise) Integracja CloudView jest dostępna tylko z zaawansowanymi licencjami. Aby uzyskać więcej informacji, zobacz Zrozumienie licencji Enterprise.

Istnieją dwie metody generowania tego diagramu:

Łączenie roli cross-account: połącz swoje konto AWS z Miro za pomocą roli cross-account i automatycznie wizualizuj konto AWS
Przesyłanie pliku JSON wygenerowanego przez uruchomienie skryptu w swoim AWS CLI (Command Line Interface)

Łączenie roli cross-account

Miro wykorzystuje rolę cross-account do bezpiecznego dostępu do Twojego konta AWS. Musisz utworzyć rolę tylko do odczytu w swoim koncie AWS, która jest specjalnie stworzona dla Miro do dostępu do Twojego konta. Następnie możesz użyć ARN tej roli, aby połączyć Miro z Twoim kontem AWS.

Użyj aplikacji AWS Cloud View, wykonując te kroki:

Kliknij ikonę Narzędzi, Multimediów i Integracji (+) na dole paska narzędzi Miro i wyszukaj AWS Cloud View.
Uruchom aplikację z wyników wyszukiwania.
W oknie modalnym wybierz kartę Połącz z rolą cross-account.

Łączenie roli cross-account
Postępuj zgodnie z krokami w oknie dialogowym, aby skonfigurować nową rolę cross-account na swojej konsoli AWS.
Po utworzeniu roli w AWS, wprowadź ARN dla roli w polu Role ARN.

Gdzie znaleźć pole ARN w AWS
Nadaj nazwę nowemu kontu AWS, które dodajesz.
Kliknij Dodaj i importuj.
Niedawno dodane konto AWS zostanie wyświetlone w następnym kroku, gdzie konta są wymienione.

Wybieranie konta AWS
Wybierz konto, które chcesz wizualizować, i kliknij Dalej.
Wybierz region(y), które chcesz wizualizować. Pamiętaj, że wybór wielu regionów może spowolnić proces wizualizacji.

Wybierz regiony do importu
Na następnej stronie zastosuj wszelkie filtry do swojego diagramu, korzystając z typu zasobu lub tagów. (Zauważ, że filtry można zastosować lub edytować po utworzeniu diagramu za pomocą menu kontekstowego.)

💡 Użyj filtrów, aby zmniejszyć rozmiar diagramu. Mniejszy diagram jest szybszy do wygenerowania i łatwiejszy w użyciu.

Możesz zastosować dwa różne rodzaje filtrów na tym etapie:
1. Zasoby: Na przykład, wybierz „Instancje EC2”, aby wyświetlić tylko instancje EC2 w tym koncie AWS.
2. Tagi: Jeśli twoje zasoby AWS są tagowane, możesz użyć filtru Tagów (pary klucz i wartość) oprócz filtru Zasobów. Na przykład, wyszukaj klucz tagu „Właściciel”, a następnie wybierz wartość, na przykład „CheckoutStream”.
Kliknij Wyświetl, aby utworzyć swój diagram

Diagram dla konta AWS zostanie wygenerowany.

Example of an AWS infrastructure diagram generated by the Cloud View app

Przykład diagramu infrastruktury AWS wygenerowanego przez aplikację Cloud View

Przesyłanie pliku JSON

Możesz uruchomić skrypt w interfejsie AWS CLI (Command Line Interface), który używa uprawnień tylko do odczytu, aby bezpiecznie zapisać dane zasobów chmury w pliku JSON.

Po użyciu AWS Cloud View do wizualizacji infrastruktury AWS w Miro, możesz edytować utworzony diagram, np. dodając połączenia, dodatkowe kształty lub obiekty, takie jak karteczki, lub użyć aplikacji AWS Cost Calculator do zobaczenia, jakie koszty generuje nowy projekt.

Wykorzystaj aplikację AWS Cloud View z plikiem JSON, wykonaj te kroki:

Kliknij ikonę Narzędzia, Media i Integracje (+) na dole paska narzędzi Miro i wyszukaj AWS Cloud View
Uruchom aplikację.
W oknie dialogowym postępuj zgodnie z instrukcjami, aby skonfigurować środowisko do uruchomienia skryptu w AWS.

Przesyłanie pliku JSON

✏️ Na komputerze potrzebujesz Node.js oraz skonfigurowanego AWS CLI (Interfejs wiersza poleceń) przed przejściem dalej.

Wybierz swój profil AWS w terminalu.
Skopiuj polecenie i uruchom je w terminalu.

Uruchom skopiowane polecenie w terminalu
Plik JSON zawierający dane o twoich zasobach AWS zostanie wygenerowany.
Prześlij plik JSON w tym samym oknie dialogowym w Miro.
Miro wygeneruje wizualizację twojej infrastruktury AWS.

Przykład diagramu infrastruktury AWS wygenerowanego przez aplikację Cloud View

💡 Możesz zmienić kolor ikon AWS bezpośrednio w aplikacji CloudView dla Miro. Ta opcja jest niedostępna dla ikon sprzed 2025 roku.

Często zadawane pytania

Bezpieczeństwo

Jak Miro zapewnia bezpieczeństwo dostępu w Cloud View?

Tworząc nową rolę AWS, aby przyznać dostęp do Miro, korzystasz z linku podanego w oknie modalnym Cloud View. Ten link zawiera zarówno ID konta, jak i zewnętrzny ID. Zewnętrzny ID jest generowany z wewnętrznego ID i klucza tajnego zarządzanego przez Miro w jednostronnym schemacie kryptograficznym. Zapewnia to, że każda organizacja w Miro ma swój własny, unikalny zewnętrzny ID, i uniemożliwia komukolwiek spoza Twojej organizacji posłużenie się Twoim ID w celu uzyskania dostępu do infrastruktury AWS.

Zewnętrzny ID jest hashem wygenerowanym przy użyciu mechanizmu zarządzanego przez AWS, co gwarantuje, że połączenia są wyłącznie dla Twojej organizacji w Miro.

Przypisywanie Role ARN

Oprócz identyfikatora zewnętrznego użytkownicy muszą przypisać Role ARN utworzonej roli, aby połączyć się ze środowiskiem AWS i skanować zasoby. Przypisanie Role ARN leży w pełni w gestii klienta i jest zarządzane przez jego administratora AWS. Administrator decyduje, komu przypisać Role ARN, co pozwala kontrolować dostęp do roli. Ten sam identyfikator Role ARN może być przypisany do kilku użytkowników Miro, a każdy, kto ma przypisany zarówno Role ARN, jak i odpowiadające mu konto Miro, może połączyć się ze środowiskiem AWS. Jednak dostęp ten pozostaje ściśle ograniczony do danej organizacji Miro dzięki weryfikacji identyfikatora zewnętrznego podczas każdego procesu uwierzytelniania.

Odpowiedzialność klienta za bezpieczeństwo

Aby zachować bezpieczeństwo swoich zasobów AWS podczas korzystania z Cloud View, zwróć uwagę na następujące obowiązki:

Ograniczenie członkostwa w organizacji: Podczas przyznawania szerszego dostępu warto utworzyć dedykowaną organizację Miro w swoim koncie, specjalnie do wizualizacji chmury. Ograniczając liczbę członków organizacji, można zapewnić, że dostęp do poufnych informacji o chmurze mają tylko określeni autoryzowani użytkownicy.
Ostrożne przypisanie Role ARN: Przy przyznawaniu dostępu do większych organizacji Miro, należy uważać, jak przypisuje się utworzoną rolę ARN. Przypisuj ARN tylko osobom, które potrzebują dostępu. Ta decyzja należy do Ciebie, ponieważ możesz chcieć zapewnić szerszy dostęp do małej organizacji Miro, przy jednoczesnym ograniczonym dostępie dla testowego konta AWS z większymi organizacjami Miro.

Stosując się do tych praktyk i korzystając z bezpiecznej struktury dostępu Miro, możesz pewnie używać Cloud View do zarządzania zasobami AWS.

Kto będzie miał dostęp do informacji o mojej połączonej infrastrukturze?

Gdy połączysz Miro z Twoim środowiskiem AWS używając Role ARN, tylko Ty możesz przeglądać, wizualizować i zarządzać danymi za pośrednictwem tego konkretnego połączenia. Inni członkowie Twojej organizacji w Miro mogą dodać ten sam Role ARN, aby ustanowić własne połączenia, jeśli zajdzie taka potrzeba.

Gdzie mogę znaleźć więcej informacji o tym, jak Miro zarządza moimi danymi?

Szczegóły dotyczące naszego zobowiązania do ochrony prywatności i bezpieczeństwa danych (w tym poszczególne kontrole i polisy wdrażane przez nasze zespoły) są dostępne w Trust Center Miro. W przypadku bardziej szczegółowych pytań, skontaktuj się ze swoim zespołem kontowym lub otwórz zgłoszenie do pomocy.

Połącz rolę Cross-account

Czy Miro oferuje dostęp do API dla programowalnego tworzenia i aktualizacji diagramów?

Jeszcze nie. Obecnie Miro nie oferuje dostępu do API dla programowalnego tworzenia lub aktualizacji diagramów.

Czy mogę zaktualizować istniejące konto AWS, aby pobrać najnowsze dane?

Nie, aplikacja AWS Cloud View obecnie nie pozwala na aktualizację danych konta AWS. Ta funkcjonalność będzie wspierana w przyszłości.

Jaka jest maksymalna liczba zasobów, które Miro może obsłużyć w diagramie?

Nie ma twardych ograniczeń co do liczby zasobów, które mogą być wizualizowane w diagramie. Jednak diagramy z dużą liczbą zasobów mogą ładować się i renderować dłużej.

Jakie polityki Miro stosuje w celu zapewnienia bezpieczeństwa danych i treści?

Dbamy o prywatność i bezpieczeństwo danych oraz dążymy do utrzymania naszych praktyk bezpieczeństwa na poziomie liderów branży. Przeczytaj nasze najczęściej zadawane pytania dotyczące prywatności i bezpieczeństwa danych.

Czy Miro obsługuje wersjonowanie diagramów w celu śledzenia zmian w infrastrukturze w czasie?

Nie, na razie. Wszystkie wygenerowane diagramy są statyczne. Użytkownicy mogą tworzyć nowe diagramy po zaktualizowaniu danych i umieszczać je obok starszych wersji w celu porównania.

Czy Miro może integrować się z narzędziami Infrastructure as Code, takimi jak Terraform lub CloudFormation, aby generować diagramy z kodu?

Nie, na razie. Obecnie Miro obsługuje wyłącznie importowanie danych z AWS.

Jakie typy zasobów Miro skanuje w tej chwili?

Nazwane zapytania w usłudze Athena
Grupy autoskalowania
Ścieżki CloudTrail
Alarmy wskaźników CloudWatch
Strumienie wskaźników CloudWatch
Tabele DynamoDB
Instancje EC2
Chmury VPC EC2
Punkty końcowe EC2 VPC
Podsieci EC2
Tabele tras EC2
Bramy internetowe EC2
Bramy NAT EC2
Bramy tranzytowe EC2
Woluminy EC2
Sieciowe listy ACL EC2
Bramki VPN EC2
Interfejsy sieciowe EC2
Zasoby ECS
Systemy plików EFS
Klastry ElastiCache
Moduły równoważenia obciążenia ELBv2
Grupy docelowe ELBv2
Moduły równoważenia obciążenia ELBv1
Klastry EKS
Funkcje Lambda
Klastry Redshift
Instancje RDS
Klastry RDS
Serwery proxy RDS
Strefy hostowane Route 53
Zasobniki S3
Tematy SNS
Kolejki SQS

W jaki sposób Miro łączy się z moim kontem AWS?

Miro łączy się poprzez rolę krzyżową, którą Ty lub Twój administrator AWS tworzycie. Ta rola powinna wskazywać na konto AWS Miro i używać unikalnego zewnętrznego identyfikatora, który dostarcza Miro. Miro bezpiecznie przechowuje i używa tego zewnętrznego identyfikatora, aby przyjąć rolę i pobrać dane. Następnie Miro skanuje wszystkie regiony i zasoby, do których ma dostęp. To pozwala Ci widzieć ustawienia AWS w formie łatwych do zrozumienia diagramów.

Jak utworzyć rolę IAM potrzebną do nawiązania połączenia między Miro a AWS?

Rolę można utworzyć za pomocą linku w oknie modalnym aplikacji Import danych z chmury, które zawiera wszystkie potrzebne informacje do utworzenia roli. Użytkownicy mogą użyć tego linku, aby bezpośrednio utworzyć nową rolę lub udostępnić go swojemu administratorowi, jeśli nie mają wymaganych uprawnień.

Jakie zasady są wymagane dla roli IAM?

Miro dołącza zasadę „ReadOnly - job function” do roli. Dla bardziej restrykcyjnego podejścia można dołączyć niestandardową zasadę ze specyficznymi uprawnieniami. Miro następnie skanuje wszystko, do czego ma dostęp. Miro nie potrzebuje żadnej formy dostępu do zapisu.

Czy korzystanie z aplikacji wiąże się z kosztami?

Miro może przeszukiwać Twoją infrastrukturę bez dodawania dodatkowych kosztów do Twojego konta AWS. Pamiętaj, że pobieranie danych wymaga wysyłania żądań do Twoich usług, co tymczasowo zużywa limity dostępności. Limity te są stosowane na minutowej podstawie, więc powracają do normy po zakończeniu zadania odkrywania.

Jak mogę wyświetlić i usunąć konta AWS, które dodałem w Miro?

Możesz wyświetlić i usunąć linki do swojego konta AWS z menu menu z 3 kropkami (...) na ekranie Wybierz konto AWS. Usunięcie linku nie wpływa na istniejące diagramy w Miro.

Czy mogę udostępnić konto AWS, które dodałem w Miro, komuś innemu?

W tej chwili nie ma możliwości udostępnienia konta przez interfejs użytkownika. Pamiętaj jednak, że wszyscy w tej samej organizacji mogą dodać ten sam Role ARN, aby uzyskać dostęp do danych, jeśli udostępnisz im Role ARN. Nikt spoza Twojej organizacji w Miro nie może uzyskać dostępu do danych za pomocą Role ARN.

Czy mogę udostępnić diagram, który wygenerowałem za pomocą aplikacji, mojemu zespołowi?

Kiedy wygenerujesz diagram na tablicy, jest on dostępny dla wszystkich, którzy mają dostęp do tej tablicy. Możesz udostępnić tablicę konkretnym osobom.

Nie mam dostępu do tworzenia roli cross-account w moim koncie AWS. Co powinienem zrobić?

Często zdarza się, że nie każdy w koncie AWS ma uprawnienia do tworzenia nowej roli IAM. Jeśli to dotyczy Ciebie, poproś swojego administratora AWS o otwarcie okna dialogowego aplikacji Import danych AWS i skonfigurowanie roli IAM przy użyciu podanego linku. Twój administrator mógł już utworzyć konkretną rolę z określonymi uprawnieniami i może udostępnić Ci tylko ARN tej roli.

Moja firma ustawiła pewne alerty, które są uruchamiane, gdy Miro zaczyna skanowanie. Czy to normalne?

Aby skanować Twoją infrastrukturę, Miro wysyła wiele żądań do różnych usług w Twojej infrastrukturze AWS, co prawdopodobnie powoduje te alerty. Powiedz o tym swojemu zespołowi ds. bezpieczeństwa i poproś ich o skonfigurowanie alertu w taki sposób, aby oczekiwali istnienia takiej integracji.

Kiedy udostępniam wizualizowany diagram moim współpracownikom, czy udostępniam tylko wizualizację, czy również inne dane?

Kiedy wizualizujesz diagram AWS na tablicy, tworzysz zasadniczo statyczny diagram reprezentujący Twoją infrastrukturę. Udostępniając tablicę, nie udostępniasz innym żadnych danych dostępowych ani informacji o dostępie. Nadal jednak ważne jest, abyś był(a) świadomy(a), z kim udostępniasz wizualizację infrastruktury.

Przesłanie JSON

Co muszę zainstalować, aby korzystać z tej funkcji?

Musisz mieć zainstalowane Node.js na swoim urządzeniu oraz skonfigurowany AWS CLI (Interfejs Wiersza Poleceń).

Jakie uprawnienia potrzebuje ten skrypt?

Skrypt wymaga polityki „ReadOnly - job function” (arn:aws:iam::aws:policy/ReadOnlyAccess).

Możesz ustawić niestandardową politykę dla roli i ograniczyć Miro do określonych zasobów lub regionów, jeśli chcesz. Miro domyślnie skanuje zasoby wymienione na tej stronie. Jeśli ustawiono niestandardową politykę, skrypt będzie skanował tylko w zakresie, do którego ma dostęp.

Gdzie mogę przejrzeć skrypt, aby zrozumieć, jak działa i jakie dane pobiera?

Skrypt jest open source, więc możesz przejrzeć mechanizm odkrywania, a nawet wykomentować zasoby, które nie są potrzebne.

Czy Miro przechowuje informacje w przesłanym pliku JSON?

Nie, na chwilę obecną Miro nie przechowuje tych informacji.

Jak użycie aplikacji AWS Cloud View wpłynie na moje limity usług?

Możesz korzystać z aplikacji AWS Cloud View bez ponoszenia dodatkowych kosztów.

Uruchomienie aplikacji w Twojej infrastrukturze wykorzysta część limitów Twojej usługi w czasie, gdy aplikacja skanuje zasoby. Skanowanie zasobów następuje, gdy łączysz nowe konto AWS lub gdy uruchamiasz skrypt w AWS CLI, aby wygenerować wyjście JSON. Zazwyczaj warto skanować infrastrukturę, gdy nie ma już dużego obciążenia na zasobach.

Alternatywnie, można zmniejszyć liczbę żądań na sekundę, korzystając ze skryptu AWS CLI za pomocą opcji --call-rate-rps. Na przykład, możesz uruchomić skrypt z --call-rate-rps 1, co oznacza, że do usług jest wysyłane tylko jedno żądanie na sekundę, co zapewnia sprawiedliwe użycie.

Skrypt jest wyposażony w strategię wykładniczego wycofywania, co oznacza, że ponawia nieudane żądania z coraz większymi opóźnieniami pomiędzy, co jest standardową metodą sugerowaną przez AWS.

Gdzie mogę zasugerować dodanie wsparcia dla konkretnej usługi, której potrzebuję?

Możesz zasugerować dodanie wsparcia dla konkretnych usług na Githubie. Po wejściu kliknij "Request Cloud Resource/Service Support".

Artykuły w tej sekcji