Điều kiện tiên quyết
- Tài khoản AWS với quyền quản trị IAM.
- Quyền tạo IAM role hoặc IAM user trong tài khoản đích.
- Truy cập vào AWS CloudShell hoặc IAM console để thiết lập.
Xác thực dựa trên role (AssumeRole) được ưu tiên mạnh mẽ. Chỉ dùng access key khi AssumeRole không khả thi trong môi trường của bạn.
Thiết lập
- Dựa trên Role (Khuyến nghị)
- Access Key (Thay thế)
IAM role với AssumeRole
Phương pháp này tạo một IAM role mà CloudThinker đảm nhận để truy cập tài nguyên của bạn. Ưu điểm:- Không chia sẻ hoặc lưu trữ thông tin xác thực dài hạn
- Sử dụng AWS STS để có thông tin xác thực tạm thời, tự động xoay vòng
- External ID bảo vệ khỏi các cuộc tấn công confused deputy
- Dễ dàng kiểm tra và thu hồi quyền truy cập
Thiết lập nhanh qua CloudShell
Mở AWS CloudShell
Đăng nhập vào AWS Console và mở CloudShell từ thanh điều hướng trên cùng.
Chạy script thiết lập
Trong hộp thoại kết nối của CloudThinker, nhấp Copy Script và dán vào CloudShell. Script sẽ:
- Kiểm tra
CloudThinkerAccessRolechưa tồn tại - Tạo IAM role với quyền chỉ đọc
- Gắn trust policy với External ID của bạn
Đầu ra mong đợi
Tạo role thủ công
Nếu bạn muốn thiết lập thủ công:Trust policy:Thiết lập đa tài khoản
Đối với tổ chức có nhiều tài khoản AWS:Tạo role trong từng tài khoản
Triển khai IAM role bằng CloudFormation StackSets trên tất cả tài khoản đích.
Chi tiết kết nối
| Trường | Mô tả | Ví dụ |
|---|---|---|
| Role ARN | ARN của IAM role mà CloudThinker đảm nhận (phương pháp dựa trên role) | arn:aws:iam::123456789012:role/CloudThinkerAccessRole |
| External ID | ID bí mật trong trust policy, được CloudThinker cung cấp | — |
| Region | AWS region chính cho kết nối này | us-east-1 |
| Access Key ID | Key ID của IAM user (chỉ phương pháp access key) | — |
| Secret Access Key | Secret key của IAM user (chỉ phương pháp access key) | — |
Quyền cần thiết
Tối thiểu (phân tích chỉ đọc)
Khuyến nghị (phân tích đầy đủ)
Khả năng của agent
Sau khi kết nối, các agent có thể phân tích và tối ưu tài nguyên AWS của bạn.| Agent | Khả năng AWS |
|---|---|
| Alex | Phân tích chi phí, right-sizing EC2, đề xuất Reserved Instance, tối ưu tài nguyên |
| Oliver | Phát hiện Security Hub, kiểm tra IAM, kiểm tra tuân thủ, đánh giá lỗ hổng bảo mật |
| Tony | Phân tích hiệu năng RDS, tối ưu Aurora, điều chỉnh DynamoDB |
| Kai | Quản lý cluster EKS, tối ưu Fargate, phân tích container |
Xác minh kết nối
Ví dụ câu lệnh
Xử lý sự cố
Lỗi Access Denied
Lỗi Access Denied
Xác minh IAM role có đủ quyền cần thiết. Kiểm tra trust policy có chứa account ID của CloudThinker, xác nhận External ID khớp chính xác, và đảm bảo Role ARN đúng.
Thiếu dữ liệu chi phí
Thiếu dữ liệu chi phí
Bật Cost Explorer trong AWS Console (mất tới 24 giờ để kích hoạt). Xác minh quyền
ce:GetCost* đã được cấp và kiểm tra rằng tùy chọn thanh toán cho phép truy cập theo chương trình.Thiếu metric
Thiếu metric
Xác minh CloudWatch metric đang được thu thập. Kiểm tra rằng lựa chọn region bao gồm tất cả region liên quan và xác nhận các dịch vụ đang chạy và tạo ra dữ liệu.
Timeout kết nối
Timeout kết nối
Kiểm tra kết nối mạng tới AWS API. Xác minh không có VPC endpoint nào đang chặn quyền truy cập và thử kết nối từ region khác.
Bảo mật
- Quyền tối thiểu — chỉ cấp các quyền mà agent cần cho trường hợp sử dụng của bạn; bắt đầu với quyền chỉ đọc và mở rộng sau.
- Chỉ đọc theo mặc định — sử dụng thông tin xác thực chỉ đọc trừ khi bạn muốn agent thực hiện thay đổi qua kết nối này.
- Xoay vòng thông tin xác thực — xoay vòng khóa và token theo lịch trình thông thường của bạn; CloudThinker sẽ lấy giá trị mới khi bạn cập nhật kết nối.
- Thu hồi khi bàn giao — xóa thông tin xác thực tại nhà cung cấp khi bạn xóa một kết nối hoặc khi đồng nghiệp rời nhóm.
- Dùng IAM role — ưu tiên AssumeRole hơn access key dài hạn; IAM role sử dụng thông tin xác thực STS ngắn hạn tự động xoay vòng và không cần lưu trữ secret.
- Bật CloudTrail — kiểm tra tất cả lời gọi API được thực hiện qua kết nối CloudThinker để duy trì nhật ký hoạt động đầy đủ.
Liên quan
Agent Alex
Agent tối ưu cloud tập trung vào AWS
Bring Your Own Key (BYOK)
Sử dụng thông tin xác thực AWS Bedrock của bạn để dùng LLM không giới hạn