Configura y lanza tu AWS Control Tower Account Factory para Terraform

Implemente AWS Control Tower Account Factory para Terraform () AFT

Esta sección está destinada a los administradores de entornos de la Torre de AWS Control que deseen configurar Account Factory para Terraform (AFT) en su entorno actual. Describe cómo configurar un entorno de Account Factory para Terraform (AFT) con una nueva cuenta de AFT administración dedicada.

nota

Se despliega un módulo de Terraform. AFT Este módulo está disponible en el AFTrepositorio y GitHub se considera módulo a todo el AFT repositorio.

Le recomendamos que consulte los AFT módulos en GitHub lugar de clonar el AFT repositorio. De esta forma, puede controlar y consumir las actualizaciones de los módulos a medida que estén disponibles.

Para obtener más información sobre las versiones más recientes de la funcionalidad AWS Control Tower Account Factory for Terraform (AFT), consulta el archivo de versiones de este GitHub repositorio.

Requisitos previos de implementación

Antes de configurar e iniciar el AFT entorno, debe disponer de lo siguiente:

Una zona de aterrizaje de la Torre de AWS Control. Para obtener más información, consulta Cómo planificar la zona de aterrizaje AWS de tu Torre de Control Tower.
Una región de origen para tu zona de aterrizaje AWS de la Torre de Control. Para obtener más información, consulta Cómo Regiones de AWS trabajar con la Torre AWS de Control.
Una versión y distribución de Terraform. Para obtener más información, consulte Terraform y AFT sus versiones.
Un VCS proveedor para rastrear y administrar los cambios en el código y otros archivos. De forma predeterminada, AFT usa AWS CodeCommit. Para obtener más información, consulte ¿Qué es AWS CodeCommit? en la Guía AWS CodeCommit del usuario.

Si va a realizar la implementación AFT por primera vez y no tiene un CodeCommit repositorio existente, debe elegir un VCS proveedor externo, como GitHub o BitBucket. Para obtener más información, consulte Alternativas para el control de versiones del código fuente en AFT.
Un entorno de ejecución en el que puede ejecutar el módulo Terraform que se instalaAFT.
AFTopciones de funciones. Para obtener más información, consulte Habilitar las opciones de funciones.

Configura y lanza tu AWS Control Tower Account Factory para Terraform

En los siguientes pasos se supone que está familiarizado con el flujo de trabajo de Terraform. También puede obtener más información sobre la implementación AFT siguiendo la introducción al AFT laboratorio en el sitio web de AWS Workshop Studio.

Paso 1: Abre la zona de aterrizaje AWS de la Torre de Control

Complete los pasos de Introducción a la Torre AWS de Control. Aquí es donde se crea la cuenta de administración AWS de la Torre de Control y se configura la zona de aterrizaje de la Torre de AWS Control.

nota

Asegúrese de crear un rol para la cuenta de administración AWS de la Torre de Control que tenga AdministratorAccesscredenciales. Para más información, consulte los siguientes temas:

IAMIdentidades (usuarios, grupos de usuarios y roles) en la Guía del AWS Identity and Access Management usuario
AdministratorAccessen la Guía de referencia de políticas AWS gestionadas

Paso 2: Crear una nueva unidad organizativa para AFT (recomendado)

Le recomendamos que cree una unidad organizativa independiente en su AWS organización. Aquí es donde se implementa la cuenta AFT de administración. Cree la nueva OU con su cuenta de administración AWS de la Torre de Control. Para obtener más información, consulte Crear una nueva OU.

Paso 3: Aprovisione la cuenta AFT de administración

AFTrequiere que aprovisione una AWS cuenta dedicada a las operaciones AFT de administración. La cuenta de administración de la Torre de AWS Control, que está asociada a la zona de aterrizaje de la Torre de AWS Control, vende la cuenta AFT de administración. Para obtener más información, consulte Aprovisionar cuentas con AWS Service Catalog Account Factory.

nota

Si creó una unidad organizativa independienteAFT, asegúrese de seleccionar esta unidad organizativa al crear la cuenta AFT de administración.

El aprovisionamiento completo de la cuenta de AFT administración puede tardar hasta 30 minutos.

Paso 4: Compruebe que el entorno Terraform esté disponible para su implementación

En este paso se supone que tiene experiencia con Terraform y que cuenta con procedimientos para ejecutar Terraform. Para obtener más información, consulte Command: init en el sitio web del HashiCorp desarrollador.

nota

AFTes compatible con la versión Terraform 1.6.0 o posterior.

Paso 5: Llame a Account Factory para implementar el módulo Terraform AFT

Llame al AFT módulo con el rol que creó para la cuenta de administración de la Torre de AWS Control Tower que tiene AdministratorAccesscredenciales. AWSControl Tower aprovisiona un módulo Terraform a través de la cuenta de administración de AWS Control Tower, que establece toda la infraestructura necesaria para organizar las solicitudes de AWS Control Tower Account Factory.

Puede ver el AFT módulo en el AFTrepositorio en. GitHub El GitHub repositorio completo se considera el AFT módulo. Consulte el READMEarchivo para obtener información sobre las entradas necesarias para ejecutar el AFT módulo e implementarloAFT. Como alternativa, puede ver el AFT módulo en el registro de Terraform.

El AFT módulo incluye un aft_enable_vpc parámetro que especifica si la Torre de AWS Control aprovisiona los recursos de la cuenta dentro de una nube privada virtual (VPC) en la cuenta AFT de administración central. De forma predeterminada, el parámetro está establecido entrue. Si establece este parámetro enfalse, la Torre de AWS Control se despliega AFT sin el uso de recursos de VPC red privados, como NAT puertas de enlace o VPC puntos finales. La desactivación aft_enable_vpc puede ayudar a reducir el costo operativo de algunos patrones de AFT uso.

nota

Para volver a activar el aft_enable_vpc parámetro (cambiar el valor de false atrue), es posible que tenga que ejecutar el terraform apply comando dos veces seguidas.

Si tiene canalizaciones en su entorno establecidas para administrar Terraform, puede integrar el AFT módulo en su flujo de trabajo actual. De lo contrario, ejecute el AFT módulo desde cualquier entorno que esté autenticado con las credenciales necesarias.

El tiempo de espera provoca un error en la implementación. Te recomendamos usar las credenciales AWS Security Token Service (STS) para asegurarte de que dispones de un tiempo de espera suficiente para una implementación completa. El tiempo de espera mínimo para las AWS STS credenciales es de 60 minutos. Para obtener más información, consulte Credenciales de seguridad temporales IAM en la Guía del AWS Identity and Access Management usuario.

nota

Puede esperar hasta 30 minutos para que termine de AFT implementarse a través del módulo Terraform.

Paso 6: Gestione el archivo de estado de Terraform

Cuando se implementa, se genera un archivo de estado de Terraform. AFT Este artefacto describe el estado de los recursos que creó Terraform. Si planea actualizar la AFT versión, asegúrese de conservar el archivo de estado de Terraform o configure un backend de Terraform con Amazon S3 y DynamoDB. El AFT módulo no administra un estado de Terraform del backend.

nota

Eres responsable de proteger el archivo de estado de Terraform. Algunas variables de entrada pueden contener valores confidenciales, como una ssh clave privada o un token de Terraform. Según el método de implementación, estos valores se pueden ver como texto sin formato en el archivo de estado de Terraform. Para obtener más información, consulte Datos confidenciales del estado en el HashiCorp sitio web.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Actualizar una cuenta existente

Pasos posteriores a la implementación