"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
# Dynamisches Verwalten von AWS Berechtigungssätzen mithilfe von Terraform
*Vinicius Elias und Marcos Vinicius Pinto Jordão, Amazon Web Services*
## Zusammenfassung
AWS IAM Identity Center erweitert AWS Identity and Access Management (IAM) durch die Bereitstellung eines zentralen Hubs für die Verwaltung des Single Sign-On-Zugriffs auf und Cloud-Anwendungen. AWS-Konten Die manuelle Verwaltung von IAM Identity [Center-Berechtigungssätzen kann jedoch mit dem](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) Wachstum Ihres Unternehmens immer komplexer und fehleranfälliger werden. Diese Komplexität kann zu potenziellen Sicherheitslücken und administrativem Aufwand führen.
Diese Lösung ermöglicht Ihnen die Verwaltung von Berechtigungssätzen über Infrastructure as Code (IaC) mithilfe einer systemeigenen Pipeline für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD). AWS-Services Es ermöglicht eine nahtlose Integration des Mechanismus zur Zuweisung von Berechtigungssätzen mit AWS Control Tower Lebenszyklusereignissen oder einer [Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) -Umgebung. Dieser Ansatz bietet dynamische Identitätskonfigurationen sowohl für neue als auch für bestehende. AWS-Konten
Die EventBridge Amazon-Regeln überwachen die AWS-Konto Erstellung und Aktualisierung, sodass Ihre Identitätskonfigurationen mit Ihrer Organisationsstruktur synchronisiert bleiben. Nach dem Erstellen oder Aktualisieren von Konten in AWS Control Tower oder AFT wird die Pipeline ausgelöst. Sie wertet eine Reihe von JSON-Dateien mit Definitionen von Berechtigungssätzen und Zuweisungsregeln aus. Anschließend wendet die Pipeline die Einstellungen an und synchronisiert sie für alle Konten.
Diese Methode bietet folgende Vorteile:
+ **Konsistenz** — Eliminiert manuelle Konfigurationsabweichungen in Ihrem Unternehmen AWS
+ **Überprüfbarkeit** — Führt einen vollständigen Verlauf aller Änderungen im Identitätsmanagement
+ **Skalierbarkeit** — Wendet Konfigurationen automatisch an, wenn Ihre AWS Umgebung wächst
+ **Sicherheit** — Reduziert menschliche Fehler bei der Zuweisung von Berechtigungen
+ **Compliance** — Erleichtert die Einhaltung gesetzlicher Anforderungen durch dokumentierte Änderungen und Zuweisungsregeln
## Voraussetzungen und Einschränkungen
+ Eine Umgebung mit mehreren Konten mit AWS Control Tower und AWS Organizations Einrichtung. Optional können Sie AFT mit AWS Control Tower verwenden.
+ Ein Administrator wurde von IAM Identity Center mit dem Empfang der Lösung AWS-Konto beauftragt. Weitere Informationen finden Sie unter [Delegierte Administration](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html) in der IAM Identity Center-Dokumentation.
+ Ein Repository für das Versionskontrollsystem (VCS) zur Verwaltung des Hauptcodes. Ein Beispiel finden Sie im GitHub [Repository](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic) der Lösung.
+ Erforderliche AWS Ressourcen für das Terraform-Backend-Management, z. B. ein Amazon Simple Storage Service (Amazon S3) -Bucket und eine Amazon DynamoDB-Tabelle.
**Einschränkungen**
+ Die Pipeline verwendet AWS native Ressourcen und Open-Source-Terraform. Die Pipeline ist nicht darauf vorbereitet, Ökosysteme von Drittanbietern aufzurufen.
+ Einige AWS-Services sind nicht in allen verfügbar AWS-Regionen. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie unter [AWS Dienste nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie unter [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus.
## Architektur
Das folgende Diagramm zeigt die Komponenten und den Arbeitsablauf für dieses Muster.
![\[Komponenten und Workflow zur Verwaltung von AWS-Berechtigungssätzen mit Terraform.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/69dc79c7-b4cd-4ad0-b0d2-d58cf0c7adaa/images/649e299c-1142-405a-8982-4a6b2e595d53.png)
**AWS Control Tower Ablauf von Ereignissen**
Die Lösung beginnt mit der Integration von Ereignissen, die entweder von AFT AWS Control Tower oder von AFT kommen. Die Wahl zwischen dem einen oder dem anderen Dienst wird bei der Implementierung anhand einer Variablendefinition getroffen. Unabhängig von der verwendeten Methode wird die Pipeline immer dann ausgelöst, wenn ein Konto erstellt oder aktualisiert wird. Die Pipeline gleicht die im Repository zur Verwaltung von Berechtigungssätzen gespeicherten Richtlinien ab.
Im Folgenden sind die AWS Control Tower Lebenszyklusereignisse aufgeführt:
+ `CreateManagedAccount`— Wenn ein neues Konto erstellt wird
+ `UpdateManagedAccount`— Wenn ein vorhandenes Konto aktualisiert wird
**Weiterleitung von Ereignissen**
EventBridge dient als zentraler Dienst zur Ereignisverarbeitung und erfasst Ereignisse, die im AWS Control Tower Konto generiert wurden. Wenn Ereignisse auftreten, werden sie EventBridge intelligent an einen zentralen Event-Bus im Lösungskonto weitergeleitet. AWS Control Tower Lebenszyklusereignisse folgen unterschiedlichen Routingmustern. Wenn AFT als Ereignisquelle definiert ist, verarbeitet das AFT-Verwaltungskonto die Ereignisse und nicht das AWS Control Tower Konto. Diese ereignisgesteuerte Architektur ermöglicht automatisierte Reaktionen auf organisatorische Änderungen ohne manuelles Eingreifen.
**AFT-Integrationsprozess**
Wenn AWS Control Tower Lebenszyklusereignisse das AFT-Verwaltungskonto erreichen, lösen sie automatisch mehrere nachgelagerte Prozesse aus, die für AFT typisch sind. Nachdem der Workflow zur AFT-Kontoanpassung abgeschlossen ist, wird eine Nachricht zum speziellen Thema `aft-notifications` Amazon Simple Notification Service (Amazon SNS) veröffentlicht. Dieses Thema löst die `aft-new-account-forward-event` AWS Lambda Funktion aus, die durch diese Lösung implementiert wird. Die Lambda-Funktion sendet das Ereignis an den Eventbus des Lösungskontos, wo es zum Starten der Pipeline verwendet wird.
**Infrastruktur als Code-Pipeline**
Die Lösungspipeline funktioniert als vollautomatischer Bereitstellungsmechanismus. Der AWS CodePipeline Service überwacht das Repository kontinuierlich auf Änderungen. Sobald neue Commits erkannt werden, initiiert er automatisch den Bereitstellungs-Workflow und leitet einen sequentiellen Prozess ein, der Validierungs- und Ausführungsphasen umfasst. Das System führt `plan` Terraform-Operationen aus, um vorgeschlagene Änderungen zu identifizieren, gefolgt von `apply` Terraform-Befehlen, um diese Änderungen in der Umgebung zu implementieren. AWS Insbesondere läuft die Pipeline ohne manuelle Genehmigungen. Dieser Ansatz ermöglicht eine schnelle Implementierung von Infrastrukturänderungen bei gleichzeitiger Wahrung der Überprüfbarkeit anhand von Pipeline-Protokollen und Terraform-Statusdateien.
Die Pipeline nutzt die Möglichkeit AWS CodeBuild , Terraform-Operationen in einer kontrollierten Umgebung mit entsprechenden Berechtigungen auszuführen. Durch diesen IaC-Ansatz kann die Pipeline umfassende Berechtigungsverwaltungsvorgänge durchführen, darunter:
+ Erstellen Sie neue Berechtigungssätze.
+ Aktualisieren Sie bestehende Berechtigungssätze.
+ Entfernen Sie unnötige Berechtigungssätze.
+ Verwalten Sie die Zuweisung dieser Berechtigungen für Konten und Gruppen innerhalb der AWS Organisationen.
Um die Konsistenz der Infrastruktur aufrechtzuerhalten und widersprüchliche Änderungen zu vermeiden, implementiert die Lösung das Terraform-Backend-Statusverwaltungssystem mithilfe eines Amazon S3 S3-Buckets und einer dedizierten Amazon DynamoDB-Tabelle. Dieser Ansatz bietet einen dauerhaften Speicherort für Terraform-Statusdateien und Zustandssperrmechanismen, um gleichzeitige Änderungen an denselben Ressourcen zu verhindern.
Der Terraform-Hauptcode verwendet das offizielle Terraform-Modul. AWS `permission-sets` Dieses Modul kann Berechtigungssätze in IAM Identity Center dynamisch verwalten, basierend auf Vorlagen für Berechtigungssätze.
**Verwaltung der Quellcodeverwaltung**
Die Berechtigungssatz-Vorlagen (JSON-Dateien) befinden sich in einem externen Versionskontrollsystem GitHub, das beispielsweise ein zentrales Repository für Identitätsverwaltungskonfigurationen bereitstellt. Dieser Ansatz schafft eine zentrale Informationsquelle für Definitionen von Berechtigungssätzen und ermöglicht gleichzeitig die gemeinsame Entwicklung durch standardmäßige Verfahren zur Codeüberprüfung. Autorisierte Benutzer können im Anschluss an die organisatorischen Change-Management-Prozesse Änderungen an diesen Vorlagen vornehmen. Diese Commits dienen als primärer Auslöser für die automatisierte Bereitstellungspipeline und leiten den Aktualisierungsprozess der Infrastruktur ein.
Ein Beispiel für die Konfiguration der Berechtigungssätze mithilfe der JSON-Datei im Repository finden Sie unter [Zusätzliche](#manage-aws-permission-sets-dynamically-by-using-terraform-additional) Informationen.
## Tools
**AWS-Services**
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)ist ein vollständig verwalteter Build-Service, der Sie beim Kompilieren von Quellcode, beim Ausführen von Komponententests und beim Erstellen von Artefakten unterstützt, die sofort einsatzbereit sind.
+ [AWS CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/welcome-connections.html)ermöglicht AWS Ressourcen und Dienste, z. B. CodePipeline das Herstellen einer Verbindung zu externen Code-Repositorys, wie GitHub z.
+ [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html)hilft Ihnen dabei, die verschiedenen Phasen einer Softwareversion schnell zu modellieren und zu konfigurieren und die Schritte zu automatisieren, die für die kontinuierliche Veröffentlichung von Softwareänderungen erforderlich sind.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie AWS-Services über Befehle in Ihrer Befehlszeilen-Shell interagieren können.
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)hilft Ihnen bei der Einrichtung und Verwaltung einer Umgebung AWS mit mehreren Konten und folgt dabei den vorgeschriebenen Best Practices.
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel AWS Lambda Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen. AWS-Konten
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)hilft Ihnen dabei, den Single Sign-On (SSO) -Zugriff auf all Ihre Anwendungen AWS-Konten und Cloud-Anwendungen zentral zu verwalten.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen. Es ermöglicht Push-Benachrichtigungen für Ereignisse in der Kontoverwaltung und stellt so sicher, dass die relevanten Parteien über wichtige Änderungen oder Aktionen innerhalb des Systems informiert werden.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
**Andere Tools**
+ [Terraform](https://www.terraform.io/) ist ein IaC-Tool (Infrastructure as Code) HashiCorp , mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können.
**Code-Repository**
Der Code für dieses Muster ist in der AWS Samples-Organisation GitHub im Repository [sample-terraform-aws-permission-sets-pipeline](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline) verfügbar.
## Best Practices
+ Stecken Sie immer die Versionen der Terraform-Module und -Anbieter fest, die zur Ausführung von Code in der Produktion verwendet werden.
+ Verwenden Sie ein statisches Codeanalyse-Tool wie [Checkov](https://www.checkov.io/), um Ihren Code zu scannen und dann die Sicherheitsprobleme zu lösen.
+ Folgen Sie dem Prinzip der geringsten Rechte und gewähren Sie die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen. Weitere Informationen finden Sie in der IAM-Dokumentation unter [Gewährung der geringsten Rechte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) und [bewährte Methoden zur Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
## Epen
### Erstellen Sie die Voraussetzungen (optional)
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie Terraform-Backend-Ressourcen. | Wenn Sie Ihre AWS Terraform-Backend-Ressourcen noch nicht erstellt haben, gehen Sie wie folgt vor, um einen Amazon S3 S3-Bucket (`s3-tf-backend-{ACCOUNT_ID}`) und eine DynamoDB-Tabelle () zu erstellen. `ddb-tf-backend`[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws s3api create-bucket --bucket s3-tf-backend-{ACCOUNT_ID}
aws s3api put-bucket-versioning --bucket s3-tf-backend-{ACCOUNT_ID} --versioning-configuration Status=Enabled
aws dynamodb create-table --table-name ddb-tf-backend --attribute-definitions AttributeName=LockID,AttributeType=S --key-schema AttributeName=LockID,KeyType=HASH --provisioned-throughput ReadCapacityUnits=1,WriteCapacityUnits=1 | AWS-Administrator |
| Erstellen Sie eine kontoübergreifende Rolle. | Sie müssen in der `event-source-account` AWS Terraform-Anbieterkonfiguration eine kontoübergreifende IAM-Rolle angeben. Wenn Sie diese Rolle noch nicht erstellt haben, gehen Sie wie folgt vor, um sie zu erstellen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam create-role \
--role-name CrossAccountRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{ACCOUNT_ID}:root"
},
"Action": "sts:AssumeRole"
}
]
}'
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam attach-role-policy \
--role-name CrossAccountRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
In diesem Beispiel wird die AWS verwaltete IAM-Richtlinie verwendet. [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) Wenn Sie möchten, können Sie eine spezifischere Richtlinie verwenden. | AWS-Administrator |
### Bereiten Sie das Berechtigungssatz-Repository vor
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie ein spezielles Repository. | Bei dieser Aufgabe wird davon ausgegangen, dass Sie verwenden GitHub. Erstellen Sie ein spezielles Repository zum Speichern des Terraform-Hauptcodes und der JSON-Vorlagendateien für den Berechtigungssatz. | DevOps Ingenieur |
| Bereiten Sie den Code für den Berechtigungssatz vor. | Informationen dazu, wie Sie die folgenden Dateien strukturieren können, finden Sie im [Beispielcode](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic) im Lösungs-Repository:√─ main.tf√─ gibt aus.tf√─ providers.jinja── VorlagenKopieren Sie den Inhalt, behalten Sie die `providers.jinja` Werte bei und nehmen Sie die erforderlichen Anpassungen an den anderen Dateien vor. Fügen Sie beispielsweise Vorlagendateien für Berechtigungssätze in die Datei ein `templates` oder heften Sie die `aws-ia/permission-sets/aws` Modulversion an die `main.tf` Datei an. | DevOps Ingenieur |
| Bestätigen Sie Ihre Änderungen. | Übernehmen Sie die Änderungen und übertragen Sie sie in das Repository, das Sie zuvor erstellt haben. Speichern Sie den Namen des Repositorys und seine GitHub Organisation, `myorg/aws-ps-pipeline` z. B. | DevOps Ingenieur |
### Bereiten Sie den Bereitstellungscode vor
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Laden Sie den Inhalt herunter. | Laden Sie den Inhalt aus dem [Lösungs-Repository herunter (klonen) Sie ihn](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline). | DevOps Ingenieur |
| Erfülle die Variablen. | Erstellen Sie eine `terraform.tfvars` Datei und fügen Sie die folgenden erforderlichen Variablen hinzu:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)repository_name = "myorg/aws-ps-pipeline"
branch_name = "main"
vcs_provider = "github"
account_lifecycle_events_source = "CT"
Informationen zu zusätzlichen Variablenoptionen finden Sie in der Datei [variables.tf](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/blob/main/variables.tf) im Repository dieses Patterns. GitHub | DevOps Ingenieur |
| Passen Sie die Terraform-Backend-Konfiguration an. | Ersetzen Sie in der `backend.tf` Datei die Platzhalter durch Ihre eigenen Werte. Verwenden Sie die AWS Control Tower Startseite AWS-Region und geben Sie die Namen des zuvor erstellten Amazon S3 S3-Buckets und der DynamoDB-Tabelle an.terraform {
required_version = ">=1.6"
backend "s3" {
region = "{region}"
bucket = "{bucket_name}"
key = "terraform.tfstate"
dynamodb_table = "{table_name}"
encrypt = "true"
}
}Wenn Sie möchten, können Sie Ihre eigene Terraform-Backend-Konfiguration verwenden. | DevOps Ingenieur |
| Passen Sie die Terraform-Anbieterkonfiguration an. | Ersetzen Sie in der `providers.tf` Datei die Platzhalter durch Ihre eigenen Informationen. Verwenden Sie die AWS Control Tower Heimatregion und geben Sie den ARN der zuvor erstellten kontoübergreifenden IAM-Rolle für den `event-source-account` Anbieter an.provider "aws" {
region = "{region}"
}
provider "aws" {
alias = "event-source-account"
region = "{region}"
assume_role {
role_arn = "{role_arn}"
}
}
| DevOps Ingenieur |
### Stellen Sie die Lösung manuell bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Wählen Sie die AWS-Konto. | Wir empfehlen, dass Sie die Lösung im delegierten Administratorkonto von IAM Identity Center bereitstellen. Sie können sie jedoch auch im AWS Organizations Verwaltungskonto bereitstellen.Um sich bei dem ausgewählten Konto in derselben Region wie die IAM Identity Center-Instanz anzumelden, verwenden Sie den AWS CLI. Stellen Sie sicher, dass die von Ihnen verwendete IAM-Rolle berechtigt ist, die Rolle anzunehmen, die in den vorherigen Schritten für den `event-source-account` Anbieter angegeben wurde. Außerdem muss diese Rolle Zugriff auf die AWS Ressourcen haben, die in der Terraform-Backend-Konfiguration verwendet werden. | AWS-Administrator |
| Führen Sie Terraform manuell aus. | Um die Konfigurationen zu initialisieren, zu planen und anzuwenden, führen Sie die folgenden Terraform-Befehle in der angegebenen Reihenfolge aus:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) | DevOps Ingenieur |
| Überprüfen Sie die Bereitstellungsergebnisse. | Überprüfen Sie im delegierten Administratorkonto von IAM Identity Center, ob die `aws-ps-pipeline` Pipeline erstellt wurde. Vergewissern Sie sich auch, dass eine AWS CodeConnections Verbindung mit dem **Status Ausstehend** besteht. | AWS DevOps |
| Beenden Sie die CodeConnections Konfiguration. | Gehen Sie wie folgt vor, um die CodeConnections Konfiguration abzuschließen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)Die Pipeline sollte jetzt Zugriff auf das Berechtigungssatz-Repository haben.Ausführliche Anweisungen finden Sie in der Dokumentation zur Developer Tools-Konsole unter [Aktualisieren einer ausstehenden Verbindung](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-update.html). | AWS DevOps |
### Wählen Sie einen Pipeline-Ausführungsablauf, um die Lösung zu testen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Führen Sie die Pipeline durch AWS Control Tower oder durch AFT-Updates aus. | Nachdem ein Konto mithilfe von oder AFT erstellt AWS Control Tower oder geändert wurde (abhängig von der Art der ausgewählten Lebenszyklusereignisse), wird die Pipeline gestartet. | AWS-Administrator |
| Führen Sie die Pipeline aus, indem Sie den Code ändern. | Nachdem Sie den Code geändert und an den `main` Branch übergeben haben, wird die Pipeline gestartet. | AWS DevOps |
| Führen Sie die Pipeline manuell aus. | Um die Pipeline manuell zu starten, verwenden Sie die Funktion zum [Ändern der Version](https://docs.aws.amazon.com/codepipeline/latest/userguide/pipelines-rerun-manually.html) in AWS CodePipeline. | AWS DevOps |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Zugriff verweigert | Stellen Sie sicher, dass Sie über die für die Bereitstellung der Lösung erforderlichen Berechtigungen verfügen. |
| CodeConnections Probleme | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| Probleme bei der Pipeline-Ausführung | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| Probleme bei der Bereitstellung von Berechtigungssätzen | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
## Zugehörige Ressourcen
**AWS-Service Dokumentation**
+ [AWS IAM Identity Center Benutzerhandbuch](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ [AWS-Konten Mit Berechtigungssätzen verwalten](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) (IAM Identity Center-Dokumentation)
**Sonstige Ressourcen**
+ [AWS Modul „Berechtigungssätze](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest)“ (Terraform)
## Zusätzliche Informationen
**JSON-Datei mit Beispiel-Berechtigungssatz**
Das folgende Beispiel zeigt, wie ein Berechtigungssatz mithilfe der JSON-Datei im Repository konfiguriert wird:
```
{
"Name": "ps-billing", // Permission set identifier
"Comment": "Sample permission set for billing access", // Comment to document the purpose of the permission set
"Description": "Billing access in AWS", // Detailed description
"SessionDuration": "PT4H", // Session duration = 4 hours (ISO 8601 format)
"ManagedPolicies": [ // List of AWS IAM managed policies
"arn:aws:iam::aws:policy/job-function/Billing",
"arn:aws:iam::aws:policy/job-function/SupportUser",
"arn:aws:iam::aws:policy/AWSSupportAccess",
"arn:aws:iam::aws:policy/job-function/ViewOnlyAccess"
],
"CustomerPolicies": [], // References to IAM policies previously created
"CustomPolicy": {}, // Inline IAM policy defined directly in the permission set
"PermissionBoundary": { // AWS or customer managed IAM policy to be used as boundary
"ManagedPolicy": "",
"CustomerPolicy": ""
},
"Assignments": [ // Define the assignment rules
{
"all_accounts": true, // Apply to ALL active AWS accounts in organization
"principal": "G_BILLING_USERS", // Group/user name in Identity Center
"type": "GROUP", // Can be "GROUP" or "USER"
"account_id": [], // List of AWS account ID (empty since all_accounts=true)
"account_ou": [], // List of AWS Organizational Unit IDs with target AWS accounts
"account_tag": [] // List of tags (key:value) to match AWS Organization accounts tags
}
]
}
```
Weitere Informationen finden Sie im JSON-Schema in der Dokumentation zum [Modul AWS Permission Sets](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest#json-file-templates) auf der Terraform-Website.
**Tipps**
+ Sie können [Terraform-Importblöcke](https://developer.hashicorp.com/terraform/language/import) verwenden, um einen vorhandenen Berechtigungssatz in die Lösung zu importieren.
+ Sie können AFT verwenden, um die AWS Berechtigungssatz-Pipeline in einem delegierten Konto zu implementieren. Weitere Informationen finden Sie unter [AFT-Blueprints](https://awslabs.github.io/aft-blueprints/index.html).
# Automatisches Taggen Transit Gateway Gateway-Anhängen mithilfe von AWS Organizations
*Richard Milner-Watts, Haris Bin Ayub und John Capps, Amazon Web Services*
## Zusammenfassung
Auf Amazon Web Services (AWS) können Sie verwenden, [AWS Resource Access Manager](https://aws.amazon.com/ram/)um [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/) AWS-Konto grenzübergreifend zu teilen. Wenn Sie Transit Gateway Gateway-Anlagen über Kontogrenzen hinweg erstellen, werden die Anlagen jedoch ohne Namensschild erstellt. Das kann die Identifizierung von Anhängen zeitaufwändig machen.
Diese Lösung bietet einen automatisierten Mechanismus zum Sammeln von Informationen über jeden Transit Gateway Gateway-Anhang für Konten innerhalb einer Organisation, die von verwaltet wird [AWS Organizations](https://aws.amazon.com/organizations/). Der Prozess umfasst die Suche nach dem CIDR-Bereich ([Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)) aus der Transit Gateway Gateway-Routentabelle. Die Lösung wendet dann ein Namensschild in der Form von `-` auf den Anhang innerhalb des Kontos an, das das Transit-Gateway enthält.
Diese Lösung kann zusammen mit einer Lösung wie dem [Serverless Transit Network Orchestrator](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/) aus der AWS Solutions Library verwendet werden. Serverless Transit Network Orchestrator ermöglicht die automatisierte Erstellung von Transit Gateway Gateway-Anhängen in großem Umfang.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ Eine AWS Organizations Organisation, die alle zugehörigen Konten enthält
+ Zugriff auf das Organisationsverwaltungskonto unter dem Stammkonto der Organisation, um die erforderliche Rolle AWS Identity and Access Management (IAM) zu erstellen
+ Ein Shared Networking-Mitgliedskonto, das ein oder mehrere Transit-Gateways enthält, die mit der Organisation gemeinsam genutzt werden und Anlagen haben
## Architektur
Der folgende Screenshot AWS-Managementkonsole zeigt Beispiele für Transit Gateway Gateway-Anhänge ohne zugeordnetes Namensschild und zwei Transit Gateway Gateway-Anlagen mit Namensschildern, die von dieser Lösung generiert wurden. Die Struktur des generierten Namenstags ist`-`.
![\[Konsole mit Anhängen ohne Namensschilder und zwei Anlagen mit Namensschildern.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/7e7d4a47-f07a-4708-8022-a1d22855bb5d.png)
Diese Lösung verwendet [AWS CloudFormation](https://aws.amazon.com/cloudformation/), um einen [AWS Step Functions](https://aws.amazon.com/step-functions/)Workflow bereitzustellen, der die Erstellung von Transit Gateway-Namens-Tags für alle konfigurierten Daten verwaltet AWS-Regionen. Der Workflow ruft [AWS Lambda](https://aws.amazon.com/lambda/)Funktionen auf, die die zugrunde liegenden Aufgaben ausführen.
Nachdem die Lösung die Kontonamen von abgerufen hat AWS Organizations, erhält die Step Functions Functions-Zustandsmaschine alle Transit Gateway Gateway-Anlagen IDs. Diese werden parallel nach Regionen verarbeitet. Diese Verarbeitung beinhaltet das Nachschlagen des CIDR-Bereichs für jeden Anhang. Der CIDR-Bereich wird ermittelt, indem die Transit Gateway Gateway-Routentabellen innerhalb der Region nach einer passenden Transit Gateway Gateway-Anhangs-ID durchsucht werden. Wenn alle erforderlichen Informationen verfügbar sind, fügt die Lösung dem Anhang ein Namensschild hinzu. Die Lösung überschreibt keine vorhandenen Name-Tags.
Die Lösung läuft nach einem Zeitplan, der durch ein [ EventBridgeAmazon-Ereignis](https://aws.amazon.com/eventbridge/) gesteuert wird. Die Veranstaltung initiiert die Lösung täglich um 6:00 Uhr UTC.
**Zieltechnologie-Stack**
+ Amazon EventBridge
+ AWS Lambda
+ AWS Organizations
+ AWS Transit Gateway
+ Amazon Virtual Private Cloud (Amazon VPC)
+ AWS X-Ray
**Zielarchitektur**
Die Lösungsarchitektur und der Arbeitsablauf sind in der folgenden Abbildung dargestellt.
![\[Neunstufiger Prozess für gemeinsam genutzte Netzwerk- und Organisationsverwaltungskonten.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/873cc89f-c6e3-43cd-94ed-59b6ea2b8d49.png)
1. Das geplante Ereignis initiiert die Regel.
1. Die EventBridge Regel startet die Step Functions Functions-Zustandsmaschine.
1. Die Zustandsmaschine ruft die `tgw-tagger-organizations-account-query` Lambda-Funktion auf.
1. Die `tgw-tagger-organizations-account-query` Lambda-Funktion übernimmt die Rolle im Organisationsverwaltungskonto.
1. Die `tgw-tagger-organizations-account-query` Lambda-Funktion ruft die Organizations-API auf, um AWS-Konto Metadaten zurückzugeben.
1. Die Zustandsmaschine ruft die `tgw-tagger-attachment-query` Lambda-Funktion auf.
1. Für jede Region ruft die Zustandsmaschine parallel die `tgw-tagger-rtb-query` Lambda-Funktion auf, um den CIDR-Bereich für jeden Anhang zu lesen.
1. Für jede Region ruft die Zustandsmaschine parallel die `tgw-tagger-attachment-tagger`**** Lambda-Funktion auf.
1. Namensschilder werden für Transit Gateway Gateway-Anlagen im Shared Networking-Konto erstellt.
**Automatisierung und Skalierung**
Die Lösung verarbeitet jede Region parallel, um die Gesamtdauer des Laufs zu reduzieren.
## Tools
**AWS-Services**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)bietet die Möglichkeit, eine Sammlung verwandter Ressourcen AWS und Ressourcen von Drittanbietern zu modellieren, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus zu verwalten, indem Infrastruktur als Code behandelt wird.
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Metriken Ihrer AWS-Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen verbinden können. EventBridge empfängt ein Ereignis, ein Indikator für eine Änderung der Umgebung, und wendet eine Regel an, um das Ereignis an ein Ziel weiterzuleiten. Regeln ordnen Ereignisse Zielen entweder auf der Grundlage der Struktur des Ereignisses, eines so genannten Ereignismusters, oder anhand eines Zeitplans zu.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)ist ein Rechendienst, der die Ausführung von Code unterstützt, ohne Server bereitzustellen oder zu verwalten. Lambda führt Ihren Code nur bei Bedarf aus und skaliert automatisch, von wenigen Anfragen pro Tag bis hin zu Tausenden pro Sekunde. Sie zahlen nur für die tatsächlich konsumierte Zeit. Es werden keine Gebühren berechnet, solange Ihr Code nicht ausgeführt wird.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)hilft Ihnen dabei, Ihre Umgebung zentral zu verwalten und zu steuern, während Sie Ihre AWS Ressourcen erweitern und skalieren. Mithilfe von Organizations können Sie programmgesteuert neue Ressourcen erstellen AWS-Konten und zuweisen, Konten gruppieren, um Ihre Workflows zu organisieren, Richtlinien auf Konten oder Gruppen zur Verwaltung anwenden und die Abrechnung vereinfachen, indem Sie eine einzige Zahlungsmethode für alle Ihre Konten verwenden.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)ist ein visueller Workflow-Dienst mit geringem Programmieraufwand AWS-Services, der zur Orchestrierung und Automatisierung von Geschäftsprozessen und zur Entwicklung serverloser Anwendungen verwendet wird. Workflows verwalten Fehler, Wiederholungen, Parallelisierung, Serviceintegrationen und Beobachtbarkeit, sodass sich Entwickler auf die wertvollere Geschäftslogik konzentrieren können.
+ [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)verbindet VPCs und lokale Netzwerke über einen zentralen Hub. Dies vereinfacht Ihr Netzwerk und macht Schluss mit komplexen Peering-Beziehungen. Es fungiert als Cloud-Router, sodass jede neue Verbindung nur einmal hergestellt wird.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) ist ein Service zum Starten von AWS Ressourcen in einem logisch isolierten virtuellen Netzwerk, das Sie definieren.
+ [AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)sammelt Daten über Anfragen, die Ihre Anwendung bedient, und stellt Tools bereit, mit denen Sie diese Daten anzeigen, filtern und Einblicke in sie gewinnen können, um Probleme und Optimierungsmöglichkeiten zu identifizieren.
**Code**
Der Quellcode für diese Lösung ist im [Transit Gateway Attachment GitHub Tagger-Repository](https://github.com/aws-samples/tgw-attachment-tagger) verfügbar. Das Repository enthält die folgenden Dateien:
+ `tgw-attachment-tagger-main-stack.yaml`erstellt alle Ressourcen zur Unterstützung dieser Lösung innerhalb des Shared Networking-Kontos.
+ `tgw-attachment-tagger-organizations-stack.yaml`****erstellt eine Rolle im Verwaltungskonto der Organisation.
## Epen
### Stellen Sie das Hauptlösungspaket bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Sammeln Sie die erforderlichen Informationen zu den Voraussetzungen. | Um den kontoübergreifenden Zugriff von der Lambda-Funktion auf die AWS Organizations API zu konfigurieren, benötigen Sie die Konto-ID für das Verwaltungskonto der Organisation.****Die Reihenfolge, in der die beiden CloudFormation Stapel erstellt werden, ist wichtig. Sie müssen zuerst Ressourcen für das Shared Networking-Konto bereitstellen. Die Rolle im Shared Networking-Konto muss bereits vorhanden sein, bevor Ressourcen für das Verwaltungskonto der Organisation bereitgestellt werden können. Weitere Informationen finden Sie in der [AWS -Dokumentation](https://docs.amazonaws.cn/en_us/IAM/latest/UserGuide/id_roles_create_for-user.html). | DevOps Ingenieur |
| Starten Sie die CloudFormation Vorlage für den Hauptlösungsstapel. | Die Vorlage für den Hauptlösungsstapel stellt die IAM-Rollen, den Step Functions Functions-Workflow, die Lambda-Funktionen und das CloudWatch Amazon-Event bereit.Öffnen Sie das Konto AWS-Managementkonsole für das Shared Networking und dann die: &CFN-Konsole. Erstellen Sie den Stack mithilfe der `tgw-attachment-tagger-main-stack.yaml` Vorlage und der folgenden Werte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)[Weitere Informationen zum Starten eines CloudFormation Stacks finden Sie in der Dokumentation.AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) | DevOps Ingenieur |
| Stellen Sie sicher, dass die Lösung erfolgreich gestartet wurde. | Warten Sie, bis der CloudFormation Stack den Status **CREATE\$1COMPLETE** erreicht hat. Dies sollte weniger als eine Minute dauern.Öffnen Sie die Step Functions Functions-Konsole und stellen Sie sicher, dass eine neue Zustandsmaschine mit dem Namen **tgw-attachment-tagger-state-machine** erstellt wurde. | DevOps Ingenieur |
### Stellen Sie den AWS Organizations Stack bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Sammeln Sie die erforderlichen Informationen zu den Voraussetzungen. | Um den kontoübergreifenden Zugriff von der Lambda-Funktion auf die AWS Organizations API zu konfigurieren, benötigen Sie die Konto-ID für das Shared Networking-Konto. | DevOps Ingenieur |
| Starten Sie die CloudFormation Vorlage für den Organisations-Stack | Die Vorlage für den AWS Organizations Stack stellt die IAM-Rolle im Verwaltungskonto der Organisation bereit. Greifen Sie auf die AWS-Konsole für das Verwaltungskonto der Organisation zu und öffnen Sie dann die CloudFormation Konsole. Erstellen Sie den Stack mithilfe der `tgw-attachment-tagger-organizations-stack.yaml` Vorlage und der folgenden Werte:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)Verwenden Sie für die anderen Optionen zur Stapelerstellung die Standardeinstellungen. | DevOps Ingenieur |
| Stellen Sie sicher, dass die Lösung erfolgreich gestartet wurde. | Warten Sie, bis der CloudFormation Stack den Status **CREATE\$1COMPLETE** erreicht hat. Dies sollte weniger als eine Minute dauern.Öffnen Sie die AWS Identity and Access Management (IAM-) Konsole und vergewissern Sie sich, dass eine neue Rolle mit dem Namen **tgw-attachment-tagger-organization-query-role** erstellt wurde. | DevOps Ingenieur |
### Überprüfen Sie die Lösung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Führen Sie die Zustandsmaschine aus. | Öffnen Sie die Step Functions Functions-Konsole für das Shared Networking-Konto und wählen Sie im Navigationsbereich **State Machines** aus.Wählen Sie die Zustandsmaschine **tgw-attachment-tagger-state-Maschine** und dann **Ausführung starten** aus. Da die Eingabe für diesen Zustandsmaschine nicht von der Lösung verwendet wird, können Sie den Standardwert verwenden.{
"Comment": "Insert your JSON here"
}Wählen Sie **Start Execution** aus. | DevOps Ingenieur |
| Beobachten Sie die Zustandsmaschine bis zur Fertigstellung. | Auf der neuen Seite, die geöffnet wird, können Sie zusehen, wie die Zustandsmaschine läuft. Die Dauer hängt von der Anzahl der zu verarbeitenden Transit Gateway Gateway-Anlagen ab.Auf dieser Seite können Sie jeden Schritt der Zustandsmaschine untersuchen. Sie können die verschiedenen Aufgaben innerhalb der Zustandsmaschine anzeigen und den Links zu den CloudWatch Protokollen für die Lambda-Funktionen folgen. Für die Aufgaben, die innerhalb der Map parallel ausgeführt werden, können Sie die Dropdownliste **Index** verwenden, um die spezifischen Implementierungen für jede Region anzuzeigen. | DevOps Ingenieur |
| Überprüfen Sie die Transit Gateway Gateway-Anhangs-Tags. | Öffnen Sie die VPC-Konsole für das Shared Networking-Konto und wählen Sie **Transit Gateway Attachments** aus. Auf der Konsole wird ein Namen-Tag für Anlagen bereitgestellt, die die Kriterien erfüllen (der Anhang wird an eine Transit Gateway Gateway-Routentabelle weitergegeben, und der Ressourcenbesitzer ist Mitglied der Organisation). | DevOps Ingenieur |
| Überprüfen Sie die Initiierung des CloudWatch Ereignisses. | Warten Sie, bis das CloudWatch Ereignis ausgelöst wird. Dies ist für 06:00 Uhr UTC geplant. Öffnen Sie dann die Step Functions Functions-Konsole für das Shared Networking-Konto und wählen Sie im Navigationsbereich **State Machines** aus.Wählen Sie den Zustandsmaschine **tgw-attachment-tagger-state-machine** aus. Stellen Sie sicher, dass die Lösung um 06:00 Uhr UTC ausgeführt wurde. | DevOps Ingenieur |
## Zugehörige Ressourcen
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [AWS Resource Access Manager](https://aws.amazon.com/ram/)
+ [Serverloser Transit Network Orchestrator](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/)
+ [IAM-Rollen erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)
+ [Einen Stack auf der AWS CloudFormation Konsole erstellen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
# Mehr Muster
**Topics**
+ [Automatisieren Sie Amazon VPC IPAM IPv4 CIDR-Zuweisungen für neue mithilfe von AFT AWS-Konten](automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.md)
+ [Steuern Sie Berechtigungssätze für mehrere Konten mithilfe von Account Factory for Terraform](govern-permission-sets-aft.md)
+ [Bereitstellen von AWS Service Catalog Produkten auf der Grundlage von AWS CloudFormation Vorlagen mithilfe von GitHub Aktionen](provision-aws-service-catalog-products-using-github-actions.md)
+ [Stellen Sie IAM-Rollen mit den geringsten Rechten bereit, indem Sie eine Rollenautomatenlösung bereitstellen](provision-least-privilege-iam-roles-by-deploying-a-role-vending-machine-solution.md)