AFTPipeline zur Kontobereitstellung - AWS Control Tower
Richten Sie die Anpassungen des Account Provisioning Frameworks mit einer Zustandsmaschine einErstellen Sie Ihr AFT Konto und stellen Sie Anpassungen bereit (State-Machine).Um das Framework und die Anpassungen für die Kontobereitstellung neu zu starten AFT

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AFTPipeline zur Kontobereitstellung

Nachdem die Phase der Kontobereitstellung der Pipeline abgeschlossen ist, wird das AFT Framework fortgesetzt. Es führt automatisch eine Reihe von Schritten aus, um sicherzustellen, dass die neu bereitgestellten Konten über die erforderlichen Informationen verfügen, bevor die Anpassungen des Kontos Phase beginnt.

Hier sind die nächsten Schritte, die die AFT Pipeline ausführt.

  1. Überprüft die Eingabe der Kontoanfrage.

  2. Ruft Informationen über das bereitgestellte Konto ab, z. B. die Konto-ID.

  3. Speichert die Konto-Metadaten in einer DynamoDB-Tabelle im AFT Verwaltungskonto.

  4. Erstellt die AWSAFTExecutionIAMRolle im neu bereitgestellten Konto. AFTübernimmt diese Rolle, um die Phase der Kontoanpassungen durchzuführen, da diese Rolle Zugriff auf das Account Factory-Portfolio gewährt.

  5. Wendet die Kontokennzeichnungen an, die Sie als Teil der Eingabeparameter für die Kontoanforderung angegeben haben.

  6. Wendet die AFT Funktionsoptionen an, die Sie zum Zeitpunkt der AFT Bereitstellung ausgewählt haben.

  7. Wendet die von Ihnen angegebenen Anpassungen für die AFT Kontobereitstellung an. Im nächsten Abschnitt erfahren Sie mehr darüber, wie Sie diese Anpassungen mit einer AWS Step Functions Functions-Zustandsmaschine in einem git Repository einrichten. Diese Phase wird manchmal als Framework-Phase für die Kontobereitstellung bezeichnet. Sie ist Teil des zentralen Bereitstellungsprozesses, aber Sie haben bereits ein Framework eingerichtet, das maßgeschneiderte Integrationen als Teil Ihres Workflows für die Kontobereitstellung bereitstellt, bevor in der nächsten Phase weitere Anpassungen zu den Konten hinzugefügt werden.

  8. Für jedes bereitgestellte Konto wird ein AWS CodePipeline AFT Verwaltungskonto erstellt, das ausgeführt wird, um die (nächste, globale) Phase durchzuführen. Anpassungen des Kontos

  9. Ruft die Pipeline für Kontoanpassungen für jedes bereitgestellte (und zielgerichtete) Konto auf.

  10. Sendet eine Erfolgs- oder Fehlschlagsbenachrichtigung an das SNS Thema, von dem aus Sie die Nachrichten abrufen können.

Richten Sie die Anpassungen des Account Provisioning Frameworks mit einer Zustandsmaschine ein

Wenn Sie vor der Bereitstellung Ihrer Konten benutzerdefinierte Integrationen einrichten, die nicht auf Terraform basieren, sind diese Anpassungen in Ihrem Workflow für die Kontobereitstellung enthalten. AFT Beispielsweise können Sie bestimmte Anpassungen verlangen, um sicherzustellen, dass alle Konten, die von erstellt wurden, den Standards und Richtlinien Ihrer Organisation AFT entsprechen, z. B. den Sicherheitsstandards, und diese Standards können vor weiteren Anpassungen zu Konten hinzugefügt werden. Diese Anpassungen des Account Provisioning Frameworks werden für jedes bereitgestellte Konto implementiert, bevor die nächste Phase der globalen Kontoanpassung beginnt.

Anmerkung

Die in diesem Abschnitt beschriebene AFT Funktion richtet sich an fortgeschrittene Benutzer, die mit der Funktionsweise von AWS Step Functions vertraut sind. Als Alternative empfehlen wir, dass Sie in der Phase der Kontoanpassungen mit den globalen Helfern zusammenarbeiten.

Das Framework für die AFT Kontobereitstellung ruft eine von Ihnen definierte AWS Step Functions Functions-Zustandsmaschine auf, um Ihre Anpassungen zu implementieren. Weitere Informationen zu den möglichen Integrationen von Zustandsmaschinen finden Sie in der Dokumentation zu AWS Step Functions.

Hier sind einige gängige Integrationen.

  • AWSLambda-Funktionen in der Sprache Ihrer Wahl

  • AWSECSoder AWS Fargate-Aufgaben mit Docker-Containern

  • AWSStep Functions Functions-Aktivitäten mit benutzerdefinierten Workern, die entweder vor Ort AWS oder vor Ort gehostet werden

  • Amazon SNS oder SQS Integrationen

Wenn kein AWS Step Functions Functions-Zustandsmaschine definiert ist, wird die Phase ohne Operation abgeschlossen. Folgen Sie den Anweisungen unter, um ein AFT Konto für die Bereitstellung von Anpassungen zu erstellen. Erstellen Sie Ihr AFT Konto und stellen Sie Anpassungen bereit (State-Machine). Bevor Sie Anpassungen hinzufügen, stellen Sie sicher, dass die Voraussetzungen erfüllt sind.

Diese Arten von Integrationen sind nicht Teil von AWS Control Tower und können nicht in der globalen API Vorphase der AFT Kontoanpassung hinzugefügt werden. Stattdessen ermöglicht Ihnen die AFT Pipeline, diese Anpassungen als Teil des Bereitstellungsprozesses einzurichten, und sie werden im Provisioning-Workflow ausgeführt. Sie müssen diese Anpassungen implementieren, indem Sie Ihren Zustandsmaschine im Voraus erstellen, bevor Sie mit der AFT Kontobereitstellungsphase beginnen, wie in den folgenden Abschnitten beschrieben.

Voraussetzungen für die Erstellung einer Zustandsmaschine

Erstellen Sie Ihr AFT Konto und stellen Sie Anpassungen bereit (State-Machine).

Schritt 1: Ändern Sie die State-Machine-Definition

Ändern Sie die Beispieldefinition für eine customizations.asl.json Zustandsmaschine. Das Beispiel ist in dem git Repository verfügbar, das Sie in den Schritten nach der Bereitstellung zum Speichern von Anpassungen der AFT Kontobereitstellung eingerichtet haben. Weitere Informationen zu State-Machine-Definitionen finden Sie im AWSStep Functions Developer Guide.

Schritt 2: Fügen Sie die entsprechende Terraform-Konfiguration hinzu

Fügen Sie Terraform-Dateien mit der .tf Erweiterung in dasselbe git Repository wie die State-Machine-Definition für Ihre benutzerdefinierte Integration ein. Wenn Sie sich beispielsweise dafür entscheiden, eine Lambda-Funktion in Ihrer State-Machine-Aufgabendefinition aufzurufen, würden Sie die lambda.tf Datei in dasselbe Verzeichnis aufnehmen. Stellen Sie sicher, dass Sie die erforderlichen IAM Rollen und Berechtigungen für Ihre benutzerdefinierten Konfigurationen angeben.

Wenn Sie die entsprechenden Eingaben machen, ruft die AFT Pipeline automatisch Ihre Zustandsmaschine auf und stellt Ihre Anpassungen als Teil der Framework-Phase für die AFT Kontobereitstellung bereit.

Um das Framework und die Anpassungen für die Kontobereitstellung neu zu starten AFT

AFTführt das Framework für die Kontobereitstellung und die Schritte zur Anpassung für jedes Konto aus, das über die Pipeline verkauft wird. AFT Um die Anpassungen der Kontobereitstellung neu zu starten, können Sie eine der folgenden beiden Methoden verwenden:

  1. Nehmen Sie alle Änderungen an einem vorhandenen Konto im Kontoanforderungsrepo vor.

  2. Richten Sie ein neues Konto mit AFT ein.