Walkthrough: Automatisieren der Kontobereitstellung in AWS Control Tower über Service-Catalog-APIs - AWS Control Tower
Beispiel für eine Bereitstellungseingabe für die Service-Catalog-APIVideo-Anleitung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Walkthrough: Automatisieren der Kontobereitstellung in AWS Control Tower über Service-Catalog-APIs

AWS Control Tower ist in mehrere andere - AWS Services integriert, z. B. AWS Service Catalog. Sie können die APIs verwenden, um Ihre Mitgliedskonten in AWS Control Tower zu erstellen und bereitzustellen.

Das Video zeigt Ihnen, wie Sie Konten in automatisierter Batch- Weise bereitstellen, indem Sie die - AWS Service Catalog APIs aufrufen. Für die Bereitstellung rufen Sie die ProvisionProduct API über die AWS Befehlszeilenschnittstelle (CLI) auf und geben eine JSON-Datei an, die die Parameter für jedes Konto enthält, das Sie einrichten möchten. Das Video veranschaulicht die Installation und Verwendung der AWS Cloud9-Entwicklungsumgebung für diese Arbeit. Die CLI-Befehle wären dieselben, wenn Sie AWS Cloudshell anstelle von AWS Cloud9 verwenden.

Anmerkung

Sie können diesen Ansatz auch zur Automatisierung von Kontoaktualisierungen anpassen, indem Sie die UpdateProvisionedProduct API von AWS Service Catalog für jedes Konto aufrufen. Sie können ein Skript schreiben, um die Konten nacheinander zu aktualisieren.

Wenn Sie mit Terraform vertraut sind, können Sie als völlig andere Automatisierungsmethode Konten mit AWS Control Tower Account Factory for Terraform (AFT) bereitstellen.

Beispiel für eine Automatisierungs-Verwaltungsrolle

Hier finden Sie eine Beispielvorlage, mit der Sie Ihre Automatisierungsverwaltungsrolle im Verwaltungskonto konfigurieren können. Sie würden diese Rolle in Ihrem Verwaltungskonto so konfigurieren, dass sie die Automatisierung mit Administratorzugriff in den Zielkonten durchführen kann.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the SampleAutoAdminRole

Resources:
  AdministrationRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: SampleAutoAdminRole
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service: cloudformation.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: AssumeSampleAutoAdminRole
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - "arn:aws:iam::*:role/SampleAutomationExecutionRole"

Beispiel für eine Automatisierungsausführungsrolle

Im Folgenden finden Sie eine Beispielvorlage, mit der Sie die Automatisierungsausführungsrolle einrichten können. Sie würden diese Rolle in den Zielkonten konfigurieren.

AWSTemplateFormatVersion: "2010-09-09"
Description: "Create automation execution role for creating Sample Additional Role."

Parameters:
  AdminAccountId:
    Type: "String"
    Description: "Account ID for the administrator account (typically management, security or shared services)."
  AdminRoleName:
    Type: "String"
    Description: "Role name for automation administrator access."
    Default: "SampleAutomationAdministrationRole"
  ExecutionRoleName:
    Type: "String"
    Description: "Role name for automation execution."
    Default: "SampleAutomationExecutionRole"
  SessionDurationInSecs:
    Type: "Number"
    Description: "Maximum session duration in seconds."
    Default: 14400

Resources:
  # This needs to run after AdminRoleName exists.
  ExecutionRole:
    Type: "AWS::IAM::Role"
    Properties:
      RoleName: !Ref ExecutionRoleName
      MaxSessionDuration: !Ref SessionDurationInSecs
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: "Allow"
            Principal:
              AWS:
                - !Sub "arn:aws:iam::${AdminAccountId}:role/${AdminRoleName}"
            Action:
              - "sts:AssumeRole"
      Path: "/"
      ManagedPolicyArns:
        - "arn:aws:iam::aws:policy/AdministratorAccess"

Nachdem Sie diese Rollen konfiguriert haben, rufen Sie die - AWS Service Catalog APIs auf, um die automatisierten Aufgaben auszuführen. Die CLI-Befehle sind im Video enthalten.

Beispiel für eine Bereitstellungseingabe für die Service-Catalog-API

Hier ist ein Beispiel für die Eingabe, die Sie der Service CatalogProvisionProduct-API geben können, wenn Sie die API zur Bereitstellung von AWS Control Tower-Konten verwenden:

{
  pathId: "lpv2-7n2o3nudljh4e",
  productId: "prod-y422ydgjge2rs",
  provisionedProductName: "Example product 1",
  provisioningArtifactId: "pa-2mmz36cfpj2p4",
  provisioningParameters: [
    {
      key: "AccountEmail",
      value: "abc@amazon.com"
    },
    {
      key: "AccountName",
      value: "ABC"
    },
    {
      key: "ManagedOrganizationalUnit",
      value: "Custom (ou-xfe5-a8hb8ml8)"
    },
    {
      key: "SSOUserEmail",
      value: "abc@amazon.com"
    },
    {
      key: "SSOUserFirstName",
      value: "John"
    },
    {
      key: "SSOUserLastName",
      value: "Smith"
    }
  ],
  provisionToken: "c3c795a1-9824-4fb2-a4c2-4b1841be4068"
}

Weitere Informationen finden Sie in der API-Referenz für Service Catalog .

Anmerkung

Beachten Sie, dass sich das Format der Eingabezeichenfolge für den Wert von von von OU_NAME in geändert ManagedOrganizationalUnit hatOU_NAME (OU_ID). Das folgende Video erwähnt diese Änderung nicht.

Video-Anleitung

In diesem Video (6:58) wird beschrieben, wie Sie Kontobereitstellungen in AWS Control Tower automatisieren. Wählen Sie zur besseren Ansicht das Symbol in der rechten unteren Ecke des Videos, um es in voller Bildschirmgröße anzuzeigen. Es stehen Untertitel zur Verfügung.