Verbindungen zu Umgebungskonten - AWS Proton
Erstellen Sie eine Umgebung mit UmgebungskontoverbindungenVerbindungen zu Umgebungskonten verwalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbindungen zu Umgebungskonten

Übersicht

Erfahren Sie, wie Sie eine erstellen und verwaltenAWS ProtonUmgebung in einem Konto und Bereitstellung seiner Infrastrukturressourcen in einem anderen Konto. Dies kann dazu beitragen, die Sichtbarkeit und Effizienz im großen Maßstab zu verbessern. Verbindungen zu Umgebungskonten unterstützen nur die Standardbereitstellung mitAWS CloudFormationInfrastruktur als Code.

Anmerkung

Die Informationen in diesem Thema sind relevant für Umgebungen, die konfiguriert sind mitAWSverwaltete Bereitstellung. Mit Umgebungen, die konfiguriert sind mitselbstverwaltete Bereitstellung,AWS Protonstellt Ihre Infrastruktur nicht direkt bereit. Stattdessen sendet es Pull-Requests (PRs) zur Bereitstellung an Ihr Repository. Es liegt in Ihrer Verantwortung sicherzustellen, dass Ihr Automatisierungscode die richtige Identität und Rolle annimmt.

Weitere Hinweise zu Bereitstellungsmethoden finden Sie unterWie stellt AWS Proton die Infrastruktur bereit.

Terminologie

Ein Diagramm, das beschreibtAWS ProtonRessourcen in einem einzigen Konto (Verwaltungskonto), das sich in einem einzigen Konto befindetAWS-Region. Es zeigt auch, wieAWS ProtonUmgebungen in diesem Konto können Umgebungskontoverbindungen verwenden, um sie für andere Konten (Umgebungskonten) in derselben Region bereitzustellen.

MitAWS Proton Verbindungen zu Umgebungskonten, Sie können eine erstellenAWS ProtonUmgebung von einem Konto aus und Bereitstellung der Infrastruktur in einem anderen Konto.

Verwaltungskonto

Das einzige Konto, in dem Sie als Administrator einAWS ProtonUmgebung, die Infrastrukturressourcen in einer anderen bereitstelltUmweltkonto.

Umweltkonto

Ein Konto, in dem die Umgebungsinfrastruktur bereitgestellt wird, wenn Sie einAWS ProtonUmgebung in einem anderen Konto.

Verbindung zum Umgebungskonto

Eine sichere bidirektionale Verbindung zwischen einemVerwaltungskontound einUmweltkonto. Es verwaltet Autorisierungen und Berechtigungen, wie in den folgenden Abschnitten weiter beschrieben.

Wenn Sie eine Umgebungskontoverbindung in einem Umgebungskonto in einer bestimmten Region erstellen, können nur die Verwaltungskonten in derselben Region die Umgebungskontoverbindung sehen und verwenden. Das bedeutet, dass derAWS ProtonDie im Verwaltungskonto erstellte Umgebung und die im Umgebungskonto bereitgestellte Umgebungsinfrastruktur müssen sich in derselben Region befinden.

Überlegungen zur Verbindung mit dem Umgebungskonto

  • Sie benötigen eine Umgebungskontoverbindung für jede Umgebung, die Sie in einem Umgebungskonto bereitstellen möchten.

  • Hinweise zu Kontingenten für Verbindungen von Umgebungskonten finden Sie unterAWS Proton-Kontingente.

Markieren

Verwenden Sie im Umgebungskonto die Konsole oderAWS CLIum von Kunden verwaltete Tags zur Umgebungskontoverbindung einzusehen und zu verwalten.AWSverwaltete Schlagwortesind nichtgeneriert für Verbindungen mit Umgebungskonten. Weitere Informationen finden Sie unter AWS ProtonRessourcen und Tagging.

Erstellen Sie eine Umgebung in einem Konto und stellen Sie die zugehörige Infrastruktur in einem anderen Konto bereit

Um eine Umgebung von einem einzigen Verwaltungskonto aus zu erstellen und bereitzustellen, richten Sie ein Umgebungskonto für eine Umgebung ein, die Sie erstellen möchten.

Starten Sie im Umgebungskonto und stellen Sie eine Verbindung her.

Erstellen Sie im Umgebungskonto einAWS ProtonServicerolle, die nur auf die Berechtigungen beschränkt ist, die für die Bereitstellung Ihrer Umgebungsinfrastrukturressourcen erforderlich sind. Weitere Informationen finden Sie unter AWS Proton Servicerolle für die Bereitstellung mit AWS CloudFormation.

Erstellen Sie dann eine Anfrage zur Verbindung eines Umgebungskontos und senden Sie sie an Ihr Verwaltungskonto. Wenn die Anfrage akzeptiert wird,AWS Protonkann die zugehörige IAM-Rolle verwenden, die die Bereitstellung von Umgebungsressourcen im zugehörigen Umgebungskonto ermöglicht.

Akzeptieren oder lehnen Sie im Verwaltungskonto die Verbindung mit dem Umgebungskonto ab.

Akzeptieren oder lehnen Sie im Verwaltungskonto die Verbindungsanfrage für das Umgebungskonto ab. Dukann nichtlöschen Sie eine Umgebungskontoverbindung aus Ihrem Verwaltungskonto.

Wenn Sie die Anfrage annehmen,AWS Protonkann die zugehörige IAM-Rolle verwenden, die die Ressourcenbereitstellung im zugehörigen Umgebungskonto ermöglicht.

Die Ressourcen der Umgebungsinfrastruktur werden im zugehörigen Umgebungskonto bereitgestellt. Du kannst nur verwendenAWS ProtonAPIs für den Zugriff auf und die Verwaltung Ihrer Umgebung und ihrer Infrastrukturressourcen von Ihrem Verwaltungskonto aus. Weitere Informationen erhalten Sie unter Erstellen Sie eine Umgebung in einem Konto und stellen Sie in einem anderen Konto eine Bereitstellung bereit und Eine Umgebung aktualisieren.

Nachdem Sie eine Anfrage abgelehnt haben,kann nichtakzeptieren oder verwenden Sie die abgelehnte Umgebungskontoverbindung.

Anmerkung

Dukann nichtlehnt eine Verbindung mit einem Umgebungskonto ab, die mit einer Umgebung verbunden ist. Um die Verbindung mit dem Umgebungskonto abzulehnen, müssen Sie zuerst die zugehörige Umgebung löschen.

Greifen Sie im Umgebungskonto auf die bereitgestellten Infrastrukturressourcen zu.

Im Umgebungskonto können Sie die bereitgestellten Infrastrukturressourcen einsehen und darauf zugreifen. Sie können zum Beispiel verwendenCloudFormationAPI-Aktionen zur Überwachung und Bereinigung von Stacks, falls erforderlich. Du kannst das nicht benutzenAWS ProtonAPI-Aktionen für den Zugriff auf oder die Verwaltung derAWS ProtonUmgebung, die zur Bereitstellung der Infrastrukturressourcen verwendet wurde.

Im Umgebungskonto können Sie Umgebungskontoverbindungen löschen, die Sie im Umgebungskonto erstellt haben. Dukann nichtakzeptiere oder lehne sie ab. Wenn Sie eine Umgebungskontoverbindung löschen, die von einem verwendet wirdAWS ProtonUmwelt,AWS Protonkann die Ressourcen der Umgebungsinfrastruktur erst verwalten, wenn eine neue Umgebungsverbindung für das Umgebungskonto und die benannte Umgebung akzeptiert wird. Sie sind dafür verantwortlich, bereitgestellte Ressourcen zu bereinigen, die keine Umgebungsverbindung haben.

Verwenden Sie die Konsole oder CLI, um Verbindungen zu Umgebungskonten zu verwalten

Sie können die Konsole oder die CLI verwenden, um Umgebungskontoverbindungen zu erstellen und zu verwalten.

AWS Management Console
Verwenden Sie die Konsole, um eine Verbindung zu einem Umgebungskonto herzustellen, und senden Sie eine Anfrage an das Verwaltungskonto, wie in den nächsten Schritten gezeigt.

  1. Entscheiden Sie sich für einen Namen für die Umgebung, die Sie in Ihrem Verwaltungskonto erstellen möchten, oder wählen Sie den Namen einer vorhandenen Umgebung, für die eine Verbindung mit dem Umgebungskonto erforderlich ist.

  2. In einem Umweltkonto, in derAWS ProtonKonsole, wähleVerbindungen zu Umgebungskontenim Navigationsbereich.

  3. In derVerbindungen zu UmgebungskontenSeite, wählenAnfrage zur Verbindung.

    Anmerkung

    Überprüfen Sie die Konto-ID, die imVerbindung zum UmgebungskontoSeitenüberschrift. Stellen Sie sicher, dass sie mit der Konto-ID des Umgebungskontos übereinstimmt, in dem Ihre benannte Umgebung bereitgestellt werden soll.

  4. In derAnfrage zur Verbindungseite:

    1. In derStellen Sie eine Verbindung zum Verwaltungskonto herAbschnitt, geben Sie den einID des Verwaltungskontosund derName der Umgebungdie Sie in Schritt 1 eingegeben haben.

    2. In derRolle UmweltAbschnitt, wählenNeue ServicerolleundAWS Protonerstellt automatisch eine neue Rolle für Sie. Oder wählen SieBestehende Servicerolleund der Name der Servicerolle, die Sie zuvor erstellt haben.

      Anmerkung

      Die Rolle, dieAWS Protonerstellt automatisch für Sie und verfügt über weitreichende Berechtigungen. Wir empfehlen, dass Sie die Rolle auf die Berechtigungen beschränken, die für die Bereitstellung Ihrer Umgebungsinfrastrukturressourcen erforderlich sind. Weitere Informationen finden Sie unter AWS Proton Servicerolle für die Bereitstellung mit AWS CloudFormation.

    3. (Optional) In derSchlagworteAbschnitt, wählenNeues Schlagwort hinzufügenum ein vom Kunden verwaltetes Tag für Ihre Umgebungskontoverbindung zu erstellen.

    4. Wählen SieAnfrage zur Verbindung.

  5. Ihre Anfrage wird als ausstehend angezeigt in derUmgebungsverbindungen, die an ein Verwaltungskonto gesendet wurdenEine Tabelle und ein Modal informieren Sie darüber, wie Sie die Anfrage vom Verwaltungskonto aus annehmen können.

Eine Anfrage zur Verbindung eines Umgebungskontos annehmen oder ablehnen.

  1. In einem Verwaltungskonto, in derAWS ProtonKonsole, wähleVerbindungen zu Umgebungskontenim Navigationsbereich.

  2. In derVerbindungen zu UmgebungskontenSeite, in derVerbindungsanfragen für UmgebungskontenTabelle, wählen Sie die Umgebungsverbindungsanfrage aus, die akzeptiert oder abgelehnt werden soll.

    Anmerkung

    Überprüfen Sie die Konto-ID, die imVerbindung zum UmgebungskontoSeitenüberschrift. Vergewissern Sie sich, dass es mit der Konto-ID des Verwaltungskontos übereinstimmt, das mit der zurückzuweisenden Umgebungskontoverbindung verknüpft ist. Nachdem Sie diese Verbindung mit dem Umgebungskonto abgelehnt haben,kann nichtakzeptieren oder verwenden Sie die abgelehnte Umgebungskontoverbindung.

  3. Wählen SieAblehnenoderAkzeptieren.

    • Wenn du ausgewählt hastAblehnen, der Status ändert sich vonausstehendzuzurückgewiesen.

    • Wenn du ausgewählt hastAkzeptieren, der Status ändert sich vonausstehendzuverbunden.

Löscht eine Verbindung mit einem Umgebungskonto.

  1. In einem Umweltkonto, in derAWS ProtonKonsole, wähleVerbindungen zu Umgebungskontenim Navigationsbereich.

    Anmerkung

    Überprüfen Sie die Konto-ID, die imVerbindung zum UmgebungskontoSeitenüberschrift. Vergewissern Sie sich, dass es mit der Konto-ID des Verwaltungskontos übereinstimmt, das mit der zurückzuweisenden Umgebungskontoverbindung verknüpft ist. Nachdem Sie diese Umgebungskontoverbindung gelöscht haben,AWS Proton kann nichtverwalten Sie die Ressourcen der Umgebungsinfrastruktur im Umgebungskonto. Es kann es erst verwalten, nachdem eine neue Umgebungskontoverbindung für das Umgebungskonto und die benannte Umgebung vom Verwaltungskonto akzeptiert wurden.

  2. In derVerbindungen zu UmgebungskontenSeite, in derGesendete Anfragen zur Verbindung mit dem VerwaltungskontoAbschnitt, wählenLöschen.

  3. Ein Modal fordert Sie auf, zu bestätigen, dass Sie löschen möchten. Wählen Sie Löschen.

AWS CLI

Entscheiden Sie sich für einen Namen für die Umgebung, die Sie in Ihrem Verwaltungskonto erstellen möchten, oder wählen Sie den Namen einer vorhandenen Umgebung, für die eine Verbindung mit dem Umgebungskonto erforderlich ist.

Erstellen Sie eine Umgebungskontoverbindung in einem Umgebungskonto.

Führen Sie den Befehl aus:

$ aws proton create-environment-account-connection \
    --environment-name "simple-env-connected" \
    --role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \
    --management-account-id "111111111111"

Antwort:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "PENDING"
    }
}

Akzeptieren oder lehnen Sie eine Verbindung mit einem Umgebungskonto in einem Verwaltungskonto ab, wie im folgenden Befehl und in der folgenden Antwort dargestellt.

Anmerkung

Wenn Sie diese Umgebungskontoverbindung ablehnen, können Sie die abgelehnte Umgebungskontoverbindung nicht akzeptieren oder verwenden.

Wenn Sie angebenAblehnen, der Status ändert sich vonausstehendzuzurückgewiesen.

Wenn Sie angebenAkzeptieren, der Status ändert sich vonausstehendzuverbunden.

Führen Sie den folgenden Befehl aus, um die Verbindung mit dem Umgebungskonto zu akzeptieren:

$ aws proton accept-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Antwort:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}

Führen Sie den folgenden Befehl aus, um die Verbindung mit dem Umgebungskonto abzulehnen:

$ aws proton reject-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Antwort:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "status": "REJECTED",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-reject",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role"
    }
}

Sehen Sie sich die Verbindungen eines Umgebungskontos an. Du kannsterhaltenoderListeVerbindungen zu Umgebungskonten.

Führen Sie den folgenden Befehl get aus:

$ aws proton get-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Antwort:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}

Löschen Sie eine Umgebungskontoverbindung in einem Umgebungskonto.

Anmerkung

Wenn Sie diese Umgebungskontoverbindung löschen,AWS Protonkann die Umgebungsinfrastrukturressourcen im Umgebungskonto erst verwalten, wenn eine neue Umgebungsverbindung für das Umgebungskonto und die benannte Umgebung akzeptiert wurde. Sie sind dafür verantwortlich, bereitgestellte Ressourcen zu bereinigen, die keine Umgebungsverbindung haben.

Führen Sie den Befehl aus:

$ aws proton delete-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Antwort:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}