Übersicht Voraussetzungen für die Anpassung Anwenden globaler Anpassungen Anwenden von Kontoanpassungen Erneutes Aufrufen von Anpassungen Fehlerbehebung mit der Nachverfolgung von Anforderungen zur Anpassung von AFT-Konten

Anpassungen des Kontos

AFT kann Standard- oder benutzerdefinierte Konfigurationen in bereitgestellten Konten bereitstellen. Im AFT-Verwaltungskonto stellt AFT eine Pipeline für jedes Konto bereit. Mit dieser Pipeline können Sie Ihre Anpassungen in allen Konten, in einer Reihe von Konten oder in einzelnen Konten implementieren. Sie können Python-Skripte, Bash-Skripte und Terraform-Konfigurationen ausführen oder im Rahmen Ihrer Kontoanpassungsphase mit der AWS CLI interagieren.

Übersicht

Nachdem Ihre Anpassungen in den von Ihnen ausgewählten git Repositorys angegeben wurden, entweder in denen Sie Ihre globalen Anpassungen speichern oder in denen Sie Ihre Kontoanpassungen speichern, wird die Phase der Kontoanpassung automatisch von der AFT-Pipeline abgeschlossen. Informationen zum rückwirkenden Anpassen von Konten finden Sie unter Erneutes Aufrufen von Anpassungen.

Globale Anpassungen (optional)

Sie können bestimmte Anpassungen auf alle Konten anwenden, die von AFT bereitgestellt werden. Wenn Sie beispielsweise eine bestimmte IAM-Rolle erstellen oder in jedem Konto eine benutzerdefinierte Kontrolle bereitstellen müssen, ermöglicht Ihnen die Phase der globalen Anpassungen in der AFT-Pipeline dies automatisch.

Kontoanpassungen (optional)

Um ein einzelnes Konto oder eine Gruppe von Konten anders als andere von AFT bereitgestellte Konten anzupassen, können Sie den Teil der AFT-Pipeline zur Kontoanpassung nutzen, um kontospezifische Konfigurationen zu implementieren. Beispielsweise benötigt nur ein bestimmtes Konto möglicherweise Zugriff auf ein Internet-Gateway.

Voraussetzungen für die Anpassung

Bevor Sie mit der Anpassung von Konten beginnen, stellen Sie sicher, dass diese Voraussetzungen erfüllt sind.

Eine vollständig bereitgestellte AFT. Weitere Informationen zur Bereitstellung finden Sie unter Konfigurieren und starten Sie Ihre AWS Control Tower Account Factory für Terraform.
Vorausgefüllte git Repositorys für globale Anpassungen und Kontoanpassungen in Ihrer Umgebung. Weitere Informationen finden Sie unter Schritt 3: Füllen jedes Repositorys in Schritte nach der Bereitstellung .

Anwenden globaler Anpassungen

Um globale Anpassungen anzuwenden, müssen Sie eine bestimmte Ordnerstruktur in das von Ihnen gewählte Repository verschieben.

Wenn Ihre benutzerdefinierten Konfigurationen in Form von Python-Programmen oder -Skripts vorliegen, platzieren Sie diese im Ordner api_helpers/python in Ihrem Repository.
Wenn Ihre benutzerdefinierten Konfigurationen in Form von Bash-Skripten vorliegen, platzieren Sie diese in Ihrem Repository unter dem Ordner api_helpers.
Wenn Ihre benutzerdefinierten Konfigurationen die Form von Terraform haben, platzieren Sie diese im Terraform-Ordner in Ihrem Repository.
Weitere Informationen zum Erstellen von benutzerdefinierten Konfigurationen finden Sie in der README-Datei für globale Anpassungen.

Anmerkung

Globale Anpassungen werden nach der AFT-Kontobereitstellungs-Framework-Phase in der AFT-Pipeline automatisch angewendet.

Anwenden von Kontoanpassungen

Sie können Kontoanpassungen anwenden, indem Sie eine bestimmte Ordnerstruktur in das von Ihnen gewählte Repository verschieben. Kontoanpassungen werden automatisch in der AFT-Pipeline und nach der Phase der globalen Anpassungen angewendet. Sie können auch mehrere Ordner erstellen, die unterschiedliche Kontoanpassungen in Ihrem Repository für Kontoanpassungen enthalten. Gehen Sie für jede erforderliche Kontoanpassung wie folgt vor.

So wenden Sie Kontoanpassungen an

Schritt 1: Erstellen eines Ordners für eine Kontoanpassung

Kopieren Sie in dem von Ihnen ausgewählten Repository den von AFT bereitgestellten ACCOUNT_TEMPLATE Ordner in einen neuen Ordner. Der Name Ihres neuen Ordners sollte mit dem übereinstimmenaccount_customizations_name, den Sie in Ihrer Kontoanforderung angeben.
Fügen Sie die Konfigurationen zu Ihrem spezifischen Ordner für Kontoanpassungen hinzu

Sie können Ihrem Ordner für Kontoanpassungen je nach Format Ihrer Konfigurationen Konfigurationen Konfigurationen hinzufügen.
- Wenn Ihre benutzerdefinierten Konfigurationen in Form von Python-Programmen oder -Skripts vorliegen, platzieren Sie sie unter dem Ordner [account_customizations_name]/api_helpers/python, der sich in Ihrem Repository befindet.
- Wenn Ihre benutzerdefinierten Konfigurationen in Form von Bash-Skripten vorliegen, platzieren Sie sie unter dem Ordner [account_customizations_name]/api_helpers, der sich in Ihrem Repository befindet.
- Wenn Ihre benutzerdefinierten Konfigurationen die Form von Terraform haben, platzieren Sie sie in den Ordner [account_customizations_name]/terraform, der sich in Ihrem Repository befindet.
Weitere Informationen zum Erstellen benutzerdefinierter Konfigurationen finden Sie in der README-Datei für Kontoanpassungen.
Verweisen Sie auf den spezifischen account_customizations_name Parameter in der Kontoanforderungsdatei

Die Anforderungsdatei des AFT-Kontos enthält den Eingabeparameter account_customizations_name. Geben Sie den Namen Ihrer Kontoanpassung als Wert für diesen Parameter ein.

Anmerkung

Sie können mehrere Kontoanfragen für Konten in Ihrer Umgebung einreichen. Wenn Sie verschiedene oder ähnliche Kontoanpassungen anwenden möchten, geben Sie die Kontoanpassungen mit dem account_customizations_name Eingabeparameter in Ihren Kontoanforderungen an. Weitere Informationen finden Sie unter Senden mehrerer Kontoanforderungen.

Erneutes Aufrufen von Anpassungen

AFT bietet eine Möglichkeit, Anpassungen in der AFT-Pipeline erneut aufzurufen. Diese Methode ist nützlich, wenn Sie einen neuen Anpassungsschritt hinzugefügt haben oder wenn Sie Änderungen an einer vorhandenen Anpassung vornehmen. Wenn Sie erneut aufrufen, initiiert AFT die Anpassungspipeline, um Änderungen am bereitgestellten AFT-Konto vorzunehmen. Ein event-source-based erneuter Aufruf ermöglicht es Ihnen, Anpassungen auf einzelne Konten, auf alle Konten, auf Konten entsprechend ihrer Organisationseinheit oder auf Konten anzuwenden, die gemäß Tags ausgewählt wurden.

Gehen Sie wie folgt vor, um Anpassungen für von AFT bereitgestellte Konten erneut aufzurufen.

Schritt 1: Übertragen von Änderungen an globale oder Kontoanpassungsgit-Repositorys

Sie können Ihre globalen und Kontoanpassungen nach Bedarf aktualisieren und Änderungen an Ihre git Repositorys zurücksenden. An diesem Punkt passiert nichts, die Anpassungspipeline muss von einer Ereignisquelle aufgerufen werden, wie in den nächsten beiden Schritten erläutert.

Schritt 2: Starten einer AWS Step Function-Ausführung zum erneuten Aufrufen von Anpassungen

AFT stellt eine AWS Step Function namens aft-invoke-customizations im AFT-Verwaltungskonto bereit. Der Zweck dieser Funktion besteht darin, die Anpassungspipeline für von AFT bereitgestellte Konten erneut aufzurufen.

Hier ist ein Beispiel für ein Ereignisschema (JSON-Format), das Sie erstellen können, um Eingaben an die aft-invoke-customizations AWS Step Function zu übergeben.



{
  "include": [
    {
      "type": "all"
    },
    {
      "type": "ous",
      "target_value": [ "ou1","ou2"]
    },
    {
      "type": "tags",
      "target_value": [ {"key1": "value1"}, {"key2": "value2"}]
    },
    {
      "type": "accounts",
      "target_value": [ "acc1_ID","acc2_ID"]
    }
  ],

  "exclude": [
    {
      "type": "ous",
      "target_value": [ "ou1","ou2"]
    },
    {
      "type": "tags",
      "target_value": [ {"key1": "value1"}, {"key2": "value2"}]
    },
    {
      "type": "accounts",
      "target_value": [ "acc1_ID","acc2_ID"]
    }
  ]
}

Das Beispiel-Ereignisschema zeigt, dass Sie Konten auswählen können, die beim erneuten Aufruf berücksichtigt oder ausgeschlossen werden sollen. Sie können nach Organisationseinheit (OU), Konto-Tags und Konto-ID filtern. Wenn Sie keine Filter anwenden und die Anweisung einschließen"type":"all", wird die Anpassung für alle von AFT bereitgestellten Konten erneut aufgerufen.

Anmerkung

Wenn Ihre Version von AWS Control Tower 1.6.5 oder höher ist, können Sie verschachtelte OUs mit der Syntax anvisierenOU Name (ou-id-1234.) Weitere Informationen finden Sie im folgenden Thema auf GitHub.

Nachdem Sie die Ereignisparameter ausgefüllt haben, führt Step Functions aus und ruft die entsprechenden Anpassungen auf. AFT kann maximal 5 Anpassungen gleichzeitig aufrufen. Step Functions wartet und führt Schleifen aus, bis alle Konten, die den Ereigniskriterien entsprechen, abgeschlossen sind.

Schritt 3: Überwachen Sie die AWS Step Function-Ausgabe und beobachten Sie, wie AWS CodePipeline ausgeführt wird

Die resultierende Step-Function-Ausgabe enthält Konto-IDs, die mit der Step-Function-Eingabeereignisquelle übereinstimmen.
Navigieren Sie zu AWS CodePipeline unter Entwicklertools und zeigen Sie die entsprechenden Anpassungspipelines für die Konto-ID an.

Fehlerbehebung mit der Nachverfolgung von Anforderungen zur Anpassung von AFT-Konten

Workflows zur Kontoanpassung, die auf AWS Lambda -Protokollen basieren, die Zielkonto- und Anpassungsanforderungs-IDs enthalten. Mit AFT können Sie Anpassungsanforderungen mit Amazon CloudWatch Logs verfolgen und Fehler beheben, indem Sie CloudWatch Logs-Insights-Abfragen bereitstellen, mit denen Sie CloudWatch Protokolle im Zusammenhang mit Ihrer Anpassungsanforderung nach Ihrem Zielkonto oder Ihrer Anpassungsanforderungs-ID filtern können. Weitere Informationen finden Sie unter Analysieren von Protokolldaten mit Amazon CloudWatch Logs im Amazon- CloudWatch Logs-Benutzerhandbuch.

So verwenden Sie CloudWatch Logs Insights für AFT

Öffnen Sie die - CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.
Wählen Sie im Navigationsbereich Protokolle und dann Logs Insights aus.
Wählen Sie Abfragen aus.
Wählen Sie unter Beispielabfragen die Option Account Factory für Terraform und dann eine der folgenden Abfragen aus:
- Anpassen von Protokollen nach Konto-ID
  
  Anmerkung
  Stellen Sie sicher, dass Sie „YOUR-ACCOUNT-ID“ durch Ihre Zielkonto-ID ersetzen.
```
fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.account_id == "YOUR-ACCOUNT-ID" and @message like /customization_request_id/
```
- Anpassen von Protokollen nach Anpassungsanforderungs-ID
  
  Anmerkung
  Ersetzen Sie unbedingt „YOUR-CUSTOMIZATION-REQUEST-ID“ durch Ihre Anpassungsanforderungs-ID. Ihre Anpassungsanforderungs-ID finden Sie in der Ausgabe des AFT-Kontobereitstellungs-Framework- AWS Step Functions Zustandsautomaten. Weitere Informationen zum AFT-Kontobereitstellungs-Framework finden Sie unter AFT-Kontobereitstellungs-Pipeline
```
fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.customization_request_id == "YOUR-CUSTOMIZATION-REQUEST-ID"
```
Nachdem Sie eine Abfrage ausgewählt haben, stellen Sie sicher, dass Sie ein Zeitintervall auswählen, und wählen Sie dann Abfrage ausführen aus.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Pipeline zur Bereitstellung von AFT-Konten

Alternative VCS