aardvark

Aardvark 是一個多帳戶 AWS IAM Access Advisor API（和快取層）。

確保您有 Python 3.6 或更高版本。不再支援 Python 2。

git clone https://github.com/Netflix-Skunkworks/aardvark.git
cd aardvark
python3 -m venv env
. env/bin/activate
python setup.py develop

• libpq 開發

Aardvark 設定精靈將引導您完成設定。

 % aardvark config

Aardvark can use SWAG to look up accounts. https://github.com/Netflix-Skunkworks/swag-client
Do you use SWAG to track accounts? [yN]: no
ROLENAME: Aardvark
DATABASE [sqlite:////home/github/aardvark/aardvark.db]:
# Threads [5]:

>> Writing to config.py

• 是否使用 SWAG 列舉您的 AWS 帳戶。 （可選，但當您有多個帳戶時很有用。）
• 每個帳戶中要承擔的 IAM 角色的名稱。
• 資料庫連接字串。 （預設為目前工作目錄中的 sqlite。使用 RDS Postgres 進行生產。）

 aardvark create_db

Aardvark 需要在每個要查詢的帳戶中有一個 IAM 角色。此外，Aardvark 需要使用可以sts:AssumeRole進入不同帳號角色的角色或使用者來啟動。

Aardvark實例設定檔：

• 只創建一個。
• 需要能夠將sts:AssumeRole呼叫到所有 AardvarkRole 中

土豚角色：

• 必須存在於每個要監控的帳戶中。
• 必須有允許AardvarkInstanceProfile的信任策略。
• 擁有這些權限：

 iam:GenerateServiceLastAccessedDetails
iam:GetServiceLastAccessedDetails
iam:listrolepolicies
iam:listroles
iam:ListUsers
iam:ListPolicies
iam:ListGroups

因此，如果您要監控n帳戶，則始終需要n+1角色。 （ n AardvarkRoles 和1 AardvarkInstanceProfile）。

注意：對於本地運行的 aardvark，您不必關心 AardvarkInstanceProfile。相反，只需將包含「sts:AssumeRole」的策略附加到您在 AWS CLI 上使用的使用者來承擔 Aardvark 角色。此外，應在 Aardvark 角色的信任策略中提及相同用戶，以便正確分配權限。

您可能需要定期刷新 Access Advisor 資料。我們建議大約每天執行一次update命令。 Cron 對此非常有用。

如果您沒有 SWAG，您可以傳遞逗號分隔的帳號：

 aardvark update -a 123456789012,210987654321

Aardvark 可以使用 SWAG 來尋找帳戶，因此您可以使用以下命令來對抗所有帳戶：

 aardvark update

或按帳戶名稱/標籤：

 aardvark update -a dev,test,prod

 aardvark start_api -b 0.0.0.0:5000

在生產中，您可能希望讓主管之類的東西為您啟動 API。

Swagger 可用於位於<Aardvark_Host>/apidocs/#! 。

Aardvark 回應 get/post 請求。所有結果均已分頁，並且可以透過傳遞count和/或page參數來控制分頁。以下是一些查詢範例：

curl localhost:5000/api/1/advisors
curl localhost:5000/api/1/advisors ? phrase=SecurityMonkey
curl localhost:5000/api/1/advisors ? arn=arn:aws:iam::000000000000:role/SecurityMonkey & arn=arn:aws:iam::111111111111:role/SecurityMonkey
curl localhost:5000/api/1/advisors ? regex=^. * Monkey$

Aardvark 也可以使用 Docker 和 Docker Compose 進行部署。 Aardvark 服務建構在共用容器上。您需要安裝 Docker 和 Docker Compose 才能正常運作。

若要為您的帳戶集配置容器，請在此目錄的根目錄中建立一個.env檔案。在此文件中定義環境變數。此範例使用 AWS 存取金鑰。我們建議在生產中使用實例角色。

 AARDVARK_ROLE=Aardvark
AARDVARK_ACCOUNTS=<account id>
AWS_DEFAULT_REGION=<aws region>
AWS_ACCESS_KEY_ID=<your access key>
AWS_SECRET_ACCESS_KEY=<you secret key>

建立此文件後，建置容器並啟動服務。 Aardvark 包含三項服務：

• 初始化 - 初始化容器在儲存卷中建立資料庫。
• API 伺服器 - 這是將提供資料的 HTTP 網路伺服器。預設情況下，這是在 http://localhost:5000/apidocs/#! 上監聽。
• 收集器 - 這是一個守護進程，它將取得並快取本機 SQL 資料庫中的資料。這應該定期運行。

 # build the containers
docker-compose build

# start up the containers
docker-compose up

最後，淨化環境

 # bring down the containers
docker-compose down

# remove the containers
docker-compoes rm

Aardvark 將啟動配置中指定的執行緒數。其中每個執行緒都將檢索帳戶的 Access Advisor 數據，然後保留該數據。

regex查詢僅在 Postgres（本機）和 SQLite 中支援（透過sqla_regex檔案中 Xion 的一些魔法）。

我們建議為任何服務啟用 TLS。設定 TLS 的說明超出了本文檔的範圍。

v0.3.1 中的新功能

Aardvark 在其更新過程中使用 Blinker 作為訊號。這些訊號可用於發出指標、附加日誌記錄或對帳戶採取更多操作等。您可以透過編寫定義處理程序並呼叫aardvark.manage.main()腳本來使用它們。例如，建立一個名為signals_example.py的文件，其中包含以下內容：

 import logging

from aardvark . manage import main
from aardvark . updater import AccountToUpdate

logger = logging . getLogger ( 'aardvark_signals' )


@ AccountToUpdate . on_ready . connect
def handle_on_ready ( sender ):
    logger . info ( f"got on_ready from { sender } " )


@ AccountToUpdate . on_complete . connect
def handle_on_complete ( sender ):
    logger . info ( f"got on_complete from { sender } " )


if __name__ == "__main__" :
    main ()

現在可以使用與manage.py相同的方式來呼叫該檔案：

python signals_example.py update -a cool_account

日誌輸出將類似以下內容：

 INFO: getting bucket swag-bucket
INFO: Thread #1 updating account 123456789012 with all arns
INFO: got on_ready from <aardvark.updater.AccountToUpdate object at 0x10c379b50>
INFO: got on_complete from <aardvark.updater.AccountToUpdate object at 0x10c379b50>
INFO: Thread #1 persisting data for account 123456789012
INFO: Thread #1 FINISHED persisting data for account 123456789012

請參閱待辦事項