Pipeline zur Bereitstellung von AFT-Konten - AWS Control Tower
Einrichten der Framework-Anpassungen für die Kontobereitstellung mit einem ZustandsautomatenErstellen Ihres Zustandsautomaten für die AFT-KontobereitstellungsanpassungSo starten Sie das Framework und die Anpassungen für die AFT-Kontobereitstellung neu

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Pipeline zur Bereitstellung von AFT-Konten

Nachdem die Phase der Kontobereitstellung der Pipeline abgeschlossen ist, wird das AFT-Framework fortgesetzt. Es führt automatisch eine Reihe von Schritten aus, um sicherzustellen, dass die neu bereitgestellten Konten über Details verfügen, bevor die Anpassungen des Kontos Phase beginnt.

Hier sind die nächsten Schritte, die die AFT-Pipeline ausführt.

  1. Validiert die Eingabe der Kontoanforderung.

  2. Ruft Informationen über das bereitgestellte Konto ab, z. B. die Konto-ID.

  3. Speichert die Kontometadaten in einer DynamoDB-Tabelle im AFT-Verwaltungskonto.

  4. Erstellt die AWSAFTExecution IAM-Rolle im neu bereitgestellten Konto. AFT übernimmt diese Rolle, um die Kontoanpassungsphase durchzuführen, da diese Rolle Zugriff auf das Account-Factory-Portfolio gewährt.

  5. Wendet die Konto-Tags an, die Sie als Teil der Eingabeparameter der Kontoanforderung angegeben haben.

  6. Wendet die AFT-Funktionsoptionen an, die Sie zum Zeitpunkt der AFT-Bereitstellung ausgewählt haben.

  7. Wendet die von Ihnen bereitgestellten Anpassungen der AFT-Kontobereitstellung an. Im nächsten Abschnitt erfahren Sie mehr darüber, wie Sie diese Anpassungen mit einem AWS Step Functions-Zustandsautomaten in einem gitRepository einrichten. Diese Phase wird manchmal als Framework-Phase für die Kontobereitstellung bezeichnet. Es ist Teil des Kernbereitstellungsprozesses, aber Sie haben zuvor ein Framework eingerichtet, das im Rahmen Ihres Kontobereitstellungs-Workflows benutzerdefinierte Integrationen bereitstellt, bevor den Konten in der nächsten Phase zusätzliche Anpassungen hinzugefügt werden.

  8. Für jedes bereitgestellte Konto wird ein AWS CodePipeline im AFT-Verwaltungskonto erstellt, das ausgeführt wird, um die (nächste, globale) Anpassungen des Kontos Phase durchzuführen.

  9. Ruft die Pipeline für Kontoanpassungen für jedes bereitgestellte (und gezielte) Konto auf.

  10. Sendet eine Erfolgs- oder Fehlerbenachrichtigung an das SNS-Thema, aus dem Sie die Nachrichten abrufen können.

Einrichten der Framework-Anpassungen für die Kontobereitstellung mit einem Zustandsautomaten

Wenn Sie vor der Bereitstellung Ihrer Konten benutzerdefinierte Nicht-Terraform-Integrationen einrichten, sind diese Anpassungen in Ihrem AFT-Workflow zur Kontobereitstellung enthalten. Sie können beispielsweise bestimmte Anpassungen erfordern, um sicherzustellen, dass alle von AFT erstellten Konten den Standards und Richtlinien Ihrer Organisation entsprechen, z. B. Sicherheitsstandards, und diese Standards können vor der zusätzlichen Anpassung zu Konten hinzugefügt werden. Diese Framework-Anpassungen für die Kontobereitstellung werden auf jedem bereitgestellten Konto implementiert, bevor die globale Kontoanpassungsphase als Nächstes beginnt.

Anmerkung

Die in diesem Abschnitt beschriebene AFT-Funktion richtet sich an fortgeschrittene Benutzer, die die Funktion von AWS Step Functions verstehen. Als Alternative empfehlen wir Ihnen, in der Phase der Kontoanpassung mit den globalen Helfern zu arbeiten.

Das AFT-Framework zur Kontobereitstellung ruft einen AWS Step Functions-Zustandsautomaten auf, den Sie definieren, um Ihre Anpassungen zu implementieren. Weitere Informationen zu den möglichen Integrationen von Zustandsautomaten finden Sie in der AWS Step Functions-Dokumentation.

Hier sind einige gängige Integrationen.

  • AWS Lambda-Funktionen in der Sprache Ihrer Wahl

  • AWS ECS- oder AWS Fargate-Aufgaben unter Verwendung von Docker-Containern

  • AWS Step Functions-Aktivitäten mit benutzerdefinierten Workern, die entweder in AWS oder On-Premises gehostet werden

  • Amazon SNS- oder SQS-Integrationen

Wenn kein AWS Step Functions -Zustandsautomatdefiniert ist, wird die Stufe ohne Betrieb bestanden. Um einen Zustandsautomaten für die AFT-Kontobereitstellungsanpassung zu erstellen, folgen Sie den Anweisungen unter Erstellen Ihres Zustandsautomaten für die AFT-Kontobereitstellungsanpassung. Bevor Sie Anpassungen hinzufügen, stellen Sie sicher, dass Sie über die Voraussetzungen verfügen.

Diese Integrationstypen sind nicht Teil von AWS Control Tower und können während der globalen Pre-API-Phase der AFT-Kontoanpassung nicht hinzugefügt werden. Stattdessen können Sie diese Anpassungen im Rahmen des Bereitstellungsprozesses mit der AFT-Pipeline einrichten und sie werden im Bereitstellungsworkflow ausgeführt. Sie müssen diese Anpassungen implementieren, indem Sie Ihren Zustandsautomaten im Voraus erstellen, bevor Sie die AFT-Kontobereitstellungsphase starten, wie in den folgenden Abschnitten beschrieben.

Voraussetzungen für das Erstellen eines Zustandsautomaten

Erstellen Ihres Zustandsautomaten für die AFT-Kontobereitstellungsanpassung

Schritt 1: Ändern der Definition des Zustandsautomaten

Ändern Sie die Definition des Beispiels für einen customizations.asl.json Zustandsautomaten. Das Beispiel ist in dem gitRepository verfügbar, das Sie zum Speichern von Anpassungen der AFT-Kontobereitstellung eingerichtet haben, in Ihren Schritten nach der Bereitstellung. Weitere Informationen zu Definitionen von Zustandsautomaten finden Sie im AWS Step Functions-Entwicklerhandbuch.

Schritt 2: Die entsprechende Terraform-Konfiguration einschließen

Fügen Sie Terraform-Dateien mit der .tf Erweiterung in dasselbe gitRepository mit der Definition des Zustandsautomaten für Ihre benutzerdefinierte Integration ein. Wenn Sie beispielsweise eine Lambda-Funktion in Ihrer Aufgabendefinition des Zustandsautomaten aufrufen möchten, fügen Sie die lambda.tf Datei in dasselbe Verzeichnis ein. Stellen Sie sicher, dass Sie die erforderlichen IAM-Rollen und -Berechtigungen für Ihre benutzerdefinierten Konfigurationen angeben.

Wenn Sie die entsprechende Eingabe bereitstellen, ruft die AFT-Pipeline Ihren Zustandsautomaten automatisch auf und stellt Ihre Anpassungen im Rahmen der Framework-Phase für die Bereitstellung von AFT-Konten bereit.

So starten Sie das Framework und die Anpassungen für die AFT-Kontobereitstellung neu

AFT führt das Framework zur Kontobereitstellung aus und passt die Schritte für jedes Konto an, das über die AFT-Pipeline verkauft wird. Um Anpassungen der Kontobereitstellung neu zu starten, können Sie eine dieser beiden Methoden verwenden:

  1. Nehmen Sie Änderungen an einem vorhandenen Konto im Kontoanforderungs-Repo vor.

  2. Stellen Sie ein neues Konto mit AFT bereit.