Información general Requisitos previos de personalización Aplica personalizaciones globales Aplica personalizaciones de cuentas Vuelva a invocar las personalizaciones Solución de problemas con el seguimiento de las solicitudes de personalización de la cuenta AFT

Personalizaciones de cuentas

AFT puede implementar configuraciones estándar o personalizadas en las cuentas aprovisionadas. En la cuenta de administración de AFT, AFT proporciona una canalización para cada cuenta. Con esta canalización, puede implementar sus personalizaciones en todas las cuentas, en un conjunto de cuentas o en cuentas individuales. Puede ejecutar scripts de Python, scripts de bash y configuraciones de Terraform, o puede interactuar con la AWS CLI como parte de la etapa de personalización de su cuenta.

Información general

Una vez especificadas las personalizaciones en los git repositorios elegidos, ya sea en el repositorio en el que almacene las personalizaciones globales o en el que almacene las personalizaciones de la cuenta, la fase de personalización de la cuenta se completa automáticamente en la fase de personalización de la cuenta. Para personalizar las cuentas de forma retroactiva, consulte. Vuelva a invocar las personalizaciones

Personalizaciones globales (opcional)

Puede optar por aplicar determinadas personalizaciones a todas las cuentas aprovisionadas por AFT. Por ejemplo, si necesita crear un rol de IAM concreto o implementar un control personalizado en cada cuenta, la fase de personalización global de AFT le permitirá hacerlo automáticamente.

Personalizaciones de la cuenta (opcional)

Para personalizar una cuenta individual, o un conjunto de cuentas, de manera diferente a otras cuentas aprovisionadas por AFT, puede aprovechar la parte de personalización de cuentas del proceso de AFT para implementar configuraciones específicas de la cuenta. Por ejemplo, es posible que solo una cuenta determinada requiera acceso a una puerta de enlace de Internet.

Requisitos previos de personalización

Antes de empezar a personalizar las cuentas, asegúrese de que se cumplen estos requisitos previos.

Una AFT completamente desplegada. Para obtener información sobre cómo realizar la implementación, consulteConfigura y lanza tu AWS Control Tower Account Factory para Terraform.
gitRepositorios prepoblados para personalizaciones globales y personalizaciones de cuentas en su entorno. Consulte el paso 3: Rellenar cada repositorio para obtener más información. Pasos posteriores a la implementación

Aplica personalizaciones globales

Para aplicar las personalizaciones globales, debe insertar una estructura de carpetas específica en el repositorio que elija.

Si tus configuraciones personalizadas están en forma de programas o scripts de Python, colócalas en la carpeta api_helpers/python de tu repositorio.
Si tus configuraciones personalizadas están en forma de scripts de Bash, colócalas en la carpeta api_helpers de tu repositorio.
Si tus configuraciones personalizadas tienen el formato de Terraform, colócalas en la carpeta terraform de tu repositorio.
Consulta el archivo README de personalizaciones globales para obtener más información sobre la creación de configuraciones personalizadas.

nota

Las personalizaciones globales se aplican automáticamente, una vez finalizada la fase de creación del marco de aprovisionamiento de cuentas AFT.

Aplica personalizaciones de cuentas

Puede aplicar las personalizaciones de la cuenta insertando una estructura de carpetas específica en el repositorio que elija. Las personalizaciones de las cuentas se aplican automáticamente en el proceso de AFT y después de la fase de personalización global. También puede crear varias carpetas que contengan diferentes personalizaciones de cuentas en su repositorio de personalizaciones de cuentas. Para cada personalización de cuenta que necesites, sigue estos pasos.

Para aplicar las personalizaciones de la cuenta

Paso 1: Crea una carpeta para personalizar una cuenta

En el repositorio que elija, copie la ACCOUNT_TEMPLATE carpeta que proporciona AFT en una nueva carpeta. El nombre de su nueva carpeta debe coincidir con el account_customizations_name que proporcionó en su solicitud de cuenta.
Agrega las configuraciones a la carpeta de personalizaciones de tu cuenta específica

Puede añadir configuraciones a la carpeta de personalizaciones de su cuenta en función del formato de las configuraciones.
- Si tus configuraciones personalizadas están en forma de programas o scripts de Python, colócalas en la carpeta [account_customizations_name] /api_helpers/python que se encuentra en tu repositorio.
- Si tus configuraciones personalizadas están en forma de scripts de Bash, colócalas en la carpeta [account_customizations_name] /api_helpers de tu repositorio.
- Si tus configuraciones personalizadas tienen el formato de Terraform, colócalas en la carpeta [account_customizations_name] /terraform que se encuentra en tu repositorio.
Para obtener más información sobre la creación de configuraciones personalizadas, consulta el archivo README de personalizaciones de cuentas.
Consulte el account_customizations_name parámetro específico en el archivo de solicitud de cuenta

El archivo de solicitud de cuenta AFT incluye el parámetro de entradaaccount_customizations_name. Introduzca el nombre de la personalización de su cuenta como valor para este parámetro.

nota

Puede enviar varias solicitudes de cuentas para las cuentas de su entorno. Si desea aplicar personalizaciones de cuenta diferentes o similares, especifique las personalizaciones de la cuenta mediante el parámetro de account_customizations_name entrada de las solicitudes de cuenta. Para obtener más información, consulta Enviar solicitudes de varias cuentas.

Vuelva a invocar las personalizaciones

AFT proporciona una forma de volver a invocar las personalizaciones en la cartera de AFT. Este método es útil cuando ha agregado un nuevo paso de personalización o cuando está realizando cambios en una personalización existente. Al volver a invocar, AFT inicia el proceso de personalizaciones para realizar cambios en la cuenta aprovisionada por AFT. Al event-source-based volver a invocar, puede aplicar personalizaciones a cuentas individuales, a todas las cuentas, a las cuentas según su OU o a las cuentas seleccionadas según las etiquetas.

Siga estos tres pasos para volver a invocar las personalizaciones de las cuentas aprovisionadas por AFT.

Paso 1: Envía los cambios a los repositorios de personalizaciones globales o de cuentas git

Puedes actualizar tus personalizaciones globales y de cuenta según sea necesario y devolver los cambios a tus repositorios. git En este momento, no pasa nada. Una fuente de eventos debe invocar la canalización de personalizaciones, tal y como se explica en los dos pasos siguientes.

Paso 2: iniciar una ejecución de AWS Step Function para volver a invocar las personalizaciones

AFT proporciona una función AWS Step llamada aft-invoke-customizations en la cuenta de administración de AFT. El propósito de esa función es volver a invocar el proceso de personalización de las cuentas aprovisionadas por AFT.

Este es un ejemplo de un esquema de eventos (formato JSON) que puede crear para pasar la entrada a la aft-invoke-customizations AWS Step Function.



{
  "include": [
    {
      "type": "all"
    },
    {
      "type": "ous",
      "target_value": [ "ou1","ou2"]
    },
    {
      "type": "tags",
      "target_value": [ {"key1": "value1"}, {"key2": "value2"}]
    },
    {
      "type": "accounts",
      "target_value": [ "acc1_ID","acc2_ID"]
    }
  ],

  "exclude": [
    {
      "type": "ous",
      "target_value": [ "ou1","ou2"]
    },
    {
      "type": "tags",
      "target_value": [ {"key1": "value1"}, {"key2": "value2"}]
    },
    {
      "type": "accounts",
      "target_value": [ "acc1_ID","acc2_ID"]
    }
  ]
}

El ejemplo de esquema de eventos muestra que puede elegir cuentas para incluirlas o excluirlas del proceso de reinvocación. Puedes filtrar por unidad organizativa (OU), etiquetas de cuenta e ID de cuenta. Si no aplicas ningún filtro e incluyes la declaración"type":"all", se volverá a invocar la personalización de todas las cuentas aprovisionadas por AFT.

nota

Si su versión de AWS Control Tower es la 1.6.5 o posterior, puede segmentar las unidades organizativas anidadas (con la sintaxisOU Name (ou-id-1234). Para obtener más información, consulte el siguiente tema sobre. GitHub

Tras rellenar los parámetros del evento, Step Functions ejecuta e invoca las personalizaciones correspondientes. AFT puede invocar un máximo de 5 personalizaciones a la vez. Step Functions espera y se repite hasta que se completen todas las cuentas que cumplen los criterios del evento.

Paso 3: Supervise el resultado de AWS Step Function y observe cómo CodePipeline funciona AWS

El resultado de Step Function contiene identificadores de cuenta que coinciden con la fuente del evento de entrada de Step Function.
Diríjase a AWS CodePipeline en Herramientas para desarrolladores y consulte las canalizaciones de personalización correspondientes al ID de la cuenta.

Solución de problemas con el seguimiento de las solicitudes de personalización de la cuenta AFT

Flujos de trabajo de personalización de cuentas que se basan en registros de AWS Lambda emisiones que contienen los ID de la cuenta de destino y de las solicitudes de personalización. AFT le permite rastrear las solicitudes de personalización y solucionar problemas con Amazon CloudWatch Logs al proporcionarle consultas de CloudWatch Logs Insights que puede usar para filtrar CloudWatch los registros relacionados con su solicitud de personalización por su cuenta de destino o ID de solicitud de personalización. Para obtener más información, consulte Análisis de datos de registro con Amazon CloudWatch Logs en la Guía del usuario de Amazon CloudWatch Logs.

Para utilizar CloudWatch Logs Insights para AFT

Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, selecciona Registros y, a continuación, selecciona Logs insights.
Elija Consultas.
En Consultas de muestra, elige Account Factory for Terraform y, a continuación, selecciona una de las siguientes consultas:
- Registros de personalización por ID de cuenta
  
  nota
  Asegúrate de reemplazar «YOUR-ACCOUNT-ID» por tu ID de cuenta objetivo.
```
fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.account_id == "YOUR-ACCOUNT-ID" and @message like /customization_request_id/
```
- Registros de personalización por ID de solicitud de personalización
  
  nota
  Asegúrese de reemplazar «YOUR-CUSTOMIZATION-REQUEST-ID» por el ID de su solicitud de personalización. Puede encontrar el ID de su solicitud de personalización en la salida de la máquina de estados del marco de aprovisionamiento de cuentas AFT. AWS Step Functions Para obtener más información sobre el marco de aprovisionamiento de cuentas AFT, consulte Canalización de aprovisionamiento de cuentas AFT
```
fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.customization_request_id == "YOUR-CUSTOMIZATION-REQUEST-ID"
```
Después de seleccionar una consulta, asegúrese de seleccionar un intervalo de tiempo y, a continuación, elija Ejecutar consulta.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Canalización de aprovisionamiento de cuentas AFT

Alternativa VCS