Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Stellen Sie AWS Control Tower Account Factory für Terraform bereit () AFT
Dieser Abschnitt richtet sich an Administratoren von AWS Control Tower Tower-Umgebungen, die Account Factory for Terraform (AFT) in ihrer bestehenden Umgebung einrichten möchten. Es beschreibt, wie eine Account Factory for Terraform (AFT) -Umgebung mit einem neuen, dedizierten AFT Verwaltungskonto eingerichtet wird.
Anmerkung
Ein Terraform-Modul wird bereitgestellt. AFT Dieses Modul ist am im AFTRepository
Wir empfehlen, dass Sie auf die AFT Module unter verweisen, GitHub anstatt das AFT Repository zu klonen. Auf diese Weise können Sie Updates für die Module kontrollieren und nutzen, sobald sie verfügbar sind.
Einzelheiten zu den neuesten Versionen der AWS Control Tower Account Factory for Terraform (AFT) -Funktionalität finden Sie in der Release-Datei
Voraussetzungen für die Bereitstellung
Bevor Sie Ihre AFT Umgebung konfigurieren und starten, müssen Sie über Folgendes verfügen:
-
Eine landing zone im AWS Control Tower. Weitere Informationen finden Sie unter Planen Sie Ihre AWS Control Tower Tower-Landezone.
-
Eine Heimatregion für Ihre AWS Control Tower Tower-Landezone. Weitere Informationen finden Sie unter So AWS-Regionen arbeiten Sie mit AWS Control Tower.
-
Eine Terraform-Version und -Distribution. Weitere Informationen finden Sie unter Terraform und Versionen. AFT
-
Ein VCS Anbieter für die Nachverfolgung und Verwaltung von Änderungen an Code und anderen Dateien. Standardmäßig AFT verwendet AWS CodeCommit. Weitere Informationen finden Sie unter Was ist AWS CodeCommit? im AWS CodeCommit Benutzerhandbuch.
Wenn Sie die Bereitstellung AFT zum ersten Mal durchführen und noch kein CodeCommit Repository haben, müssen Sie einen externen VCS Anbieter wählen, z. B. GitHub oder BitBucket. Weitere Informationen finden Sie unter Alternativen zur Versionskontrolle von Quellcode in AFT.
-
Eine Laufzeitumgebung, in der Sie das Terraform-Modul ausführen können, das installiert wird. AFT
-
AFTFunktionsoptionen. Weitere Informationen finden Sie unter Funktionsoptionen aktivieren.
Konfigurieren und starten Sie Ihre AWS Control Tower Account Factory für Terraform
Bei den folgenden Schritten wird davon ausgegangen, dass Sie mit dem Terraform-Workflow vertraut sind. Sie können auch mehr über die Bereitstellung erfahren, AFT indem Sie der Einführung in das AFT Lab auf
Schritt 1: Starte deine AWS Control Tower Tower-Landezone
Führen Sie die Schritte unter Erste Schritte mit AWS Control Tower
Anmerkung
Stellen Sie sicher, dass Sie eine Rolle für das AWS Control Tower Tower-Verwaltungskonto mit AdministratorAccessAnmeldeinformationen erstellen. Weitere Informationen finden Sie hier:
-
IAMIdentitäten (Benutzer, Benutzergruppen und Rollen) im AWS Identity and Access Management Benutzerhandbuch
-
AdministratorAccessim Referenzhandbuch für AWS verwaltete Richtlinien
Schritt 2: Erstellen Sie eine neue Organisationseinheit für AFT (empfohlen)
Wir empfehlen Ihnen, eine separate Organisationseinheit in Ihrer AWS Organisation zu erstellen. Hier stellen Sie das AFT Verwaltungskonto bereit. Erstellen Sie die neue Organisationseinheit mit Ihrem AWS Control Tower Tower-Verwaltungskonto. Weitere Informationen finden Sie unter Neue Organisationseinheit erstellen.
Schritt 3: Stellen Sie das AFT Verwaltungskonto bereit
AFTerfordert, dass Sie ein AWS Konto einrichten, das für AFT Verwaltungsvorgänge vorgesehen ist. Das AWS Control Tower Tower-Verwaltungskonto, das mit Ihrer AWS Control Tower Tower-Landezone verknüpft ist, verkauft das AFT Verwaltungskonto. Weitere Informationen finden Sie unter Konten mit AWS Service Catalog Account Factory bereitstellen.
Anmerkung
Wenn Sie eine separate Organisationseinheit für erstellt habenAFT, achten Sie darauf, diese Organisationseinheit bei der Erstellung des AFT Verwaltungskontos auszuwählen.
Die vollständige Bereitstellung des AFT Verwaltungskontos kann bis zu 30 Minuten dauern.
Schritt 4: Stellen Sie sicher, dass die Terraform-Umgebung für die Bereitstellung verfügbar ist
Dieser Schritt setzt voraus, dass Sie Erfahrung mit Terraform haben und über Verfahren zur Ausführung von Terraform verfügen. Weitere Informationen finden Sie unter Command: init
Anmerkung
AFTunterstützt die Terraform-Version 1.6.0 oder höher.
Schritt 5: Rufen Sie das Account Factory for Terraform-Modul zur Bereitstellung auf AFT
Rufen Sie das AFT Modul mit der Rolle auf, die Sie für das AWS Control Tower Tower-Verwaltungskonto mit AdministratorAccessAnmeldeinformationen erstellt haben. AWSControl Tower stellt über das AWS Control Tower-Verwaltungskonto ein Terraform-Modul bereit, das die gesamte Infrastruktur einrichtet, die für die Orchestrierung von AWS Control Tower Account Factory Factory-Anfragen erforderlich ist.
Sie können das AFT Modul im Repository unter anzeigen. AFT
Das AFT Modul enthält einen aft_enable_vpc Parameter, der angibt, ob AWS Control Tower Kontoressourcen innerhalb einer virtuellen privaten Cloud (VPC) im zentralen AFT Verwaltungskonto bereitstellt. Standardmäßig ist der Parameter auf eingestellttrue. Wenn Sie diesen Parameter auf setzenfalse, wird AWS Control Tower AFT ohne Verwendung von A VPC und privaten Netzwerkressourcen wie NAT Gateways oder VPC Endpoints bereitgestellt. Bei einigen aft_enable_vpc Nutzungsmustern kann die Deaktivierung dazu beitragen, die Betriebskosten AFT zu senken.
Anmerkung
Wenn Sie den aft_enable_vpc Parameter erneut aktivieren (den Wert von false auf änderntrue), müssen Sie den terraform apply Befehl möglicherweise zweimal hintereinander ausführen.
Wenn Sie in Ihrer Umgebung über Pipelines verfügen, die für die Verwaltung von Terraform eingerichtet wurden, können Sie das AFT Modul in Ihren bestehenden Workflow integrieren. Andernfalls führen Sie das AFT Modul in einer beliebigen Umgebung aus, die mit den erforderlichen Anmeldeinformationen authentifiziert wurde.
Ein Timeout führt dazu, dass die Bereitstellung fehlschlägt. Wir empfehlen die Verwendung von AWS Security Token Service (STS) -Anmeldeinformationen, um sicherzustellen, dass Sie einen Timeout haben, der für eine vollständige Bereitstellung ausreicht. Das Mindesttimeout für AWS STS Anmeldeinformationen beträgt 60 Minuten. Weitere Informationen finden Sie unter Temporäre Sicherheitsanmeldeinformationen IAM im AWS Identity and Access Management Benutzerhandbuch.
Anmerkung
Sie können bis zu 30 Minuten warten, AFT bis die Bereitstellung über das Terraform-Modul abgeschlossen ist.
Schritt 6: Verwalten Sie die Terraform-Statusdatei
Bei der Bereitstellung wird eine Terraform-Statusdatei generiert. AFT Dieses Artefakt beschreibt den Status der Ressourcen, die Terraform erstellt hat. Wenn Sie die AFT Version aktualisieren möchten, achten Sie darauf, die Terraform-Statusdatei beizubehalten, oder richten Sie ein Terraform-Backend mit Amazon S3 und DynamoDB ein. Das AFT Modul verwaltet keinen Terraform-Back-End-Status.
Anmerkung
Sie sind für den Schutz der Terraform-Statusdatei verantwortlich. Einige Eingabevariablen können sensible Werte enthalten, z. B. einen privaten ssh Schlüssel oder ein Terraform-Token. Abhängig von Ihrer Bereitstellungsmethode können diese Werte in der Terraform-Statusdatei als Klartext angezeigt werden. Weitere Informationen finden Sie unter Sensible Daten in State
