Exemplarische Vorgehensweise: Automatisieren Sie die Kontobereitstellung in AWS Control Tower mit Service Catalog APIs - AWS Control Tower
Beispiel für eine Bereitstellungseingabe für Service Catalog APIVideo-Anleitung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Exemplarische Vorgehensweise: Automatisieren Sie die Kontobereitstellung in AWS Control Tower mit Service Catalog APIs

AWSControl Tower ist in mehrere andere AWS Dienste integriert, AWS Service Catalog z. Sie können das verwendenAPIs, um Ihre Mitgliedskonten in AWS Control Tower zu erstellen und bereitzustellen.

Das Video zeigt Ihnen, wie Sie Konten automatisiert und stapelweise bereitstellen können, indem Sie den aufrufen AWS Service Catalog APIs. Für die Bereitstellung rufen Sie ProvisionProductAPIvon der AWS Befehlszeilenschnittstelle (CLI) aus auf und geben eine JSON Datei an, die die Parameter für jedes Konto enthält, das Sie einrichten möchten. Das Video zeigt die Installation und Verwendung der AWS Cloud9-Entwicklungsumgebung für diese Arbeit. Die CLI Befehle wären dieselben, wenn Sie AWS Cloudshell anstelle von AWS Cloud9 verwenden würden.

Anmerkung

Sie können diesen Ansatz auch für die Automatisierung von Kontoaktualisierungen anpassen, indem Sie AWS Service Catalog für jedes Konto den Befehl UpdateProvisionedProductAPIof aufrufen. Sie können ein Skript schreiben, um die Konten nacheinander zu aktualisieren.

Als völlig andere Automatisierungsmethode können Sie, wenn Sie mit Terraform vertraut sind, Konten mit AWS Control Tower Account Factory for Terraform () bereitstellen. AFT

Beispiel für eine Administratorrolle für die Automatisierung

Hier ist eine Beispielvorlage, die Sie verwenden können, um Ihre Automatisierungsadministratorrolle im Verwaltungskonto zu konfigurieren. Sie würden diese Rolle in Ihrem Verwaltungskonto so konfigurieren, dass sie die Automatisierung mit Administratorzugriff in den Zielkonten durchführen kann.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the SampleAutoAdminRole

Resources:
  AdministrationRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: SampleAutoAdminRole
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service: cloudformation.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: AssumeSampleAutoAdminRole
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - "arn:aws:iam::*:role/SampleAutomationExecutionRole"

Beispiel für eine Rolle zur Ausführung der Automatisierung

Im Folgenden finden Sie eine Beispielvorlage, mit der Sie die Automatisierungsausführungsrolle einrichten können. Sie würden diese Rolle in den Zielkonten konfigurieren.

AWSTemplateFormatVersion: "2010-09-09"
Description: "Create automation execution role for creating Sample Additional Role."

Parameters:
  AdminAccountId:
    Type: "String"
    Description: "Account ID for the administrator account (typically management, security or shared services)."
  AdminRoleName:
    Type: "String"
    Description: "Role name for automation administrator access."
    Default: "SampleAutomationAdministrationRole"
  ExecutionRoleName:
    Type: "String"
    Description: "Role name for automation execution."
    Default: "SampleAutomationExecutionRole"
  SessionDurationInSecs:
    Type: "Number"
    Description: "Maximum session duration in seconds."
    Default: 14400

Resources:
  # This needs to run after AdminRoleName exists.
  ExecutionRole:
    Type: "AWS::IAM::Role"
    Properties:
      RoleName: !Ref ExecutionRoleName
      MaxSessionDuration: !Ref SessionDurationInSecs
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: "Allow"
            Principal:
              AWS:
                - !Sub "arn:aws:iam::${AdminAccountId}:role/${AdminRoleName}"
            Action:
              - "sts:AssumeRole"
      Path: "/"
      ManagedPolicyArns:
        - "arn:aws:iam::aws:policy/AdministratorAccess"

Nachdem Sie diese Rollen konfiguriert haben, rufen Sie die AWS Service Catalog APIs auf, um die automatisierten Aufgaben auszuführen. Die CLI Befehle sind im Video angegeben.

Beispiel für eine Bereitstellungseingabe für Service Catalog API

Hier ist ein Beispiel für die Eingaben, die Sie in den Service Catalog eingeben können, ProvisionProduct API wenn Sie den API zur Bereitstellung von AWS Control Tower Tower-Konten verwenden:

{
  pathId: "lpv2-7n2o3nudljh4e",
  productId: "prod-y422ydgjge2rs",
  provisionedProductName: "Example product 1",
  provisioningArtifactId: "pa-2mmz36cfpj2p4",
  provisioningParameters: [
    {
      key: "AccountEmail",
      value: "abc@amazon.com"
    },
    {
      key: "AccountName",
      value: "ABC"
    },
    {
      key: "ManagedOrganizationalUnit",
      value: "Custom (ou-xfe5-a8hb8ml8)"
    },
    {
      key: "SSOUserEmail",
      value: "abc@amazon.com"
    },
    {
      key: "SSOUserFirstName",
      value: "John"
    },
    {
      key: "SSOUserLastName",
      value: "Smith"
    }
  ],
  provisionToken: "c3c795a1-9824-4fb2-a4c2-4b1841be4068"
}

Weitere Informationen finden Sie in der APIReferenz für Service Catalog.

Anmerkung

Beachten Sie, dass sich das Format der Eingabezeichenfolge für den Wert von von von von OU_NAME geändert ManagedOrganizationalUnit hatOU_NAME (OU_ID). Das folgende Video erwähnt diese Änderung nicht.

Video-Anleitung

In diesem Video (6:58) wird beschrieben, wie Sie Kontobereitstellungen im AWS Control Tower automatisieren können. Wählen Sie zur besseren Ansicht das Symbol in der rechten unteren Ecke des Videos, um es in voller Bildschirmgröße anzuzeigen. Es stehen Untertitel zur Verfügung.