Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit
Dieser Abschnitt richtet sich an Administratoren von AWS Control Tower Tower-Umgebungen, die Account Factory for Terraform (AFT) in ihrer bestehenden Umgebung einrichten möchten. Es beschreibt, wie Sie eine Account Factory for Terraform (AFT) -Umgebung mit einem neuen, dedizierten AFT-Verwaltungskonto einrichten.
Anmerkung
Ein Terraform-Modul stellt AFT bereit. Dieses Modul ist im AFT-Repository am
Wir empfehlen, dass Sie auf die AFT-Module verweisen, GitHub anstatt das AFT-Repository zu klonen. Auf diese Weise können Sie Updates für die Module kontrollieren und nutzen, sobald sie verfügbar sind.
Einzelheiten zu den neuesten Versionen der AWS Control Tower Account Factory for Terraform (AFT) -Funktionalität finden Sie in der Release-Datei
Voraussetzungen für die Bereitstellung
Bevor Sie Ihre AFT-Umgebung konfigurieren und starten, müssen Sie über die folgenden Ressourcen verfügen:
-
Eine Heimatregion für Ihre AWS Control Tower Tower-Landezone. Weitere Informationen finden Sie unter So AWS-Regionen arbeiten Sie mit AWS Control Tower.
-
Eine landing zone im AWS Control Tower. Weitere Informationen finden Sie unter Planen Ihrer AWS Control Tower Tower-Landezone.
Ein AFT-Verwaltungskonto, das Sie in AWS Control Tower oder auf andere Weise bereitstellen und sich bei AWS Control Tower registrieren können.
-
Eine Terraform-Version und -Distribution. Weitere Informationen finden Sie unter Terraform - und AFT-Versionen.
-
Ein VCS-Anbieter für die Nachverfolgung und Verwaltung von Änderungen an Code und anderen Dateien. Standardmäßig verwendet AWS CodeCommit AFT. Weitere Informationen finden Sie unter Was ist AWS CodeCommit? im AWS CodeCommit Benutzerhandbuch.
Wenn Sie AFT zum ersten Mal bereitstellen und kein vorhandenes CodeCommit Repository haben, müssen Sie einen externen VCS-Anbieter wie GitHub oder BitBucket wählen. Weitere Informationen finden Sie unter Alternativen zur Versionskontrolle von Quellcode in AFT.
-
Eine Laufzeitumgebung, in der Sie das Terraform-Modul ausführen können, das AFT installiert.
-
AFT-Funktionsoptionen. Weitere Informationen finden Sie unter Funktionsoptionen aktivieren.
Konfigurieren und starten Sie Ihre AWS Control Tower Account Factory für Terraform
Bei den folgenden Schritten wird davon ausgegangen, dass Sie mit dem Terraform-Workflow vertraut sind. Sie können auch mehr über die Bereitstellung von AFT erfahren, indem Sie dem Lab Einführung in AFT auf
Schritt 1: Starten Sie Ihre AWS Control Tower Tower-Landezone
Führen Sie die Schritte unter Erste Schritte mit AWS Control Tower
Anmerkung
Stellen Sie sicher, dass Sie eine Rolle für das AWS Control Tower Tower-Verwaltungskonto mit AdministratorAccessAnmeldeinformationen erstellen. Weitere Informationen finden Sie hier:
-
IAM-Identitäten (Benutzer, Benutzergruppen und Rollen) im AWS Identity and Access Management Benutzerhandbuch
-
AdministratorAccessim Referenzhandbuch für AWS verwaltete Richtlinien
Schritt 2: Erstellen Sie eine neue Organisationseinheit für AFT (dringend empfohlen)
Wir empfehlen Ihnen, eine separate Organisationseinheit in Ihrer AWS Control Tower Tower-Landing landing zone zu erstellen. In dieser Organisationseinheit stellen Sie das AFT-Verwaltungskonto bereit. Erstellen Sie die neue Organisationseinheit und das AFT-Verwaltungskonto von Ihrem AWS Control Tower Tower-Verwaltungskonto aus. Weitere Informationen finden Sie unter Neue Organisationseinheit erstellen.
Schritt 3: Stellen Sie das AFT-Verwaltungskonto bereit
AFT erfordert, dass Sie ein AWS Konto einrichten, das für AFT-Verwaltungsvorgänge vorgesehen ist. Erstellen Sie das AFT-Verwaltungskonto, wenn Sie bei dem AWS Control Tower Tower-Verwaltungskonto angemeldet sind, das Ihrer AWS Control Tower Tower-Landezone zugeordnet ist. Sie können das AFT-Verwaltungskonto von der AWS Control Tower Tower-Konsole aus bereitstellen, indem Sie auf der Seite Organisation die Option Konto erstellen auswählen, oder auf andere Weise. Weitere Informationen finden Sie unter Konten mit AWS Service Catalog Account Factory bereitstellen.
Anmerkung
Wenn Sie eine separate OU für AFT erstellt haben, achten Sie darauf, diese OU auszuwählen, wenn Sie das AFT-Verwaltungskonto erstellen.
Es kann bis zu 30 Minuten dauern, bis das AFT-Verwaltungskonto vollständig bereitgestellt ist.
Schritt 4: Stellen Sie sicher, dass die Terraform-Umgebung für die Bereitstellung verfügbar ist
Dieser Schritt setzt voraus, dass Sie Erfahrung mit Terraform haben und über Verfahren zur Ausführung von Terraform verfügen. Weitere Informationen finden Sie unter Command: init
Anmerkung
AFT unterstützt die Terraform-Version 1.6.0
oder höher.
Schritt 5: Rufen Sie das Account Factory for Terraform-Modul auf, um AFT bereitzustellen
Rufen Sie das AFT-Modul mit der Rolle auf, die Sie für das AWS Control Tower Tower-Verwaltungskonto mit AdministratorAccessAnmeldeinformationen erstellt haben. AWS Control Tower stellt über das AWS Control Tower-Verwaltungskonto ein Terraform-Modul bereit, das die gesamte Infrastruktur einrichtet, die für die Orchestrierung von AWS Control Tower Account Factory Factory-Anfragen erforderlich ist.
Sie können das AFT-Modul im AFT-Repository unter
Das AFT-Modul enthält einen aft_enable_vpc
Parameter, der angibt, ob AWS Control Tower Kontoressourcen innerhalb einer Virtual Private Cloud (VPC) im zentralen AFT-Verwaltungskonto bereitstellt. Standardmäßig ist der Parameter auf true
eingestellt. Wenn Sie diesen Parameter auf setzenfalse
, stellt AWS Control Tower AFT ohne die Verwendung einer VPC und privater Netzwerkressourcen wie NAT-Gateways oder VPC-Endpoints bereit. Die Deaktivierung aft_enable_vpc
kann bei einigen Nutzungsmustern dazu beitragen, die Betriebskosten von AFT zu senken.
Anmerkung
Wenn Sie den aft_enable_vpc
Parameter erneut aktivieren (den Wert von false
auf änderntrue
), müssen Sie den terraform apply
Befehl möglicherweise zweimal hintereinander ausführen.
Wenn Sie in Ihrer Umgebung über Pipelines verfügen, die für die Verwaltung von Terraform eingerichtet wurden, können Sie das AFT-Modul in Ihren bestehenden Workflow integrieren. Andernfalls führen Sie das AFT-Modul in einer beliebigen Umgebung aus, die mit den erforderlichen Anmeldeinformationen authentifiziert wurde.
Ein Timeout führt dazu, dass die Bereitstellung fehlschlägt. Wir empfehlen die Verwendung von AWS Security Token Service (STS-) Anmeldeinformationen, um sicherzustellen, dass Sie einen Timeout haben, der für eine vollständige Bereitstellung ausreicht. Das Mindesttimeout für AWS STS Anmeldeinformationen beträgt 60 Minuten. Weitere Informationen finden Sie unter Temporäre Sicherheitsanmeldeinformationen in IAM im AWS Identity and Access Management Benutzerhandbuch.
Anmerkung
Sie können bis zu 30 Minuten warten, bis AFT die Bereitstellung über das Terraform-Modul abgeschlossen hat.
Schritt 6: Verwalten Sie die Terraform-Statusdatei
Bei der Bereitstellung von AFT wird eine Terraform-Statusdatei generiert. Dieses Artefakt beschreibt den Status der Ressourcen, die Terraform erstellt hat. Wenn Sie die AFT-Version aktualisieren möchten, achten Sie darauf, die Terraform-Statusdatei beizubehalten, oder richten Sie ein Terraform-Backend mit Amazon S3 und DynamoDB ein. Das AFT-Modul verwaltet keinen Terraform-Back-End-Status.
Anmerkung
Sie sind für den Schutz der Terraform-Statusdatei verantwortlich. Einige Eingabevariablen können sensible Werte enthalten, z. B. einen privaten ssh
Schlüssel oder ein Terraform-Token. Abhängig von Ihrer Bereitstellungsmethode können diese Werte in der Terraform-Statusdatei als Klartext angezeigt werden. Weitere Informationen finden Sie unter Sensible Daten in State