Conexiones de cuentas de entorno - AWS Proton

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conexiones de cuentas de entorno

Información general

Aprenda a crear y administrar un AWS Proton entorno en una cuenta y aprovisionar sus recursos de infraestructura en otra cuenta. Esto puede ayudar a mejorar la visibilidad y la eficiencia a gran escala. Las conexiones de cuentas de entorno solo admiten el aprovisionamiento estándar con la infraestructura como código (IaC) de AWS CloudFormation .

nota

La información de este tema es relevante para los entornos que estén configurados con aprovisionamiento administrado por AWS . Con los entornos configurados con aprovisionamiento autogestionado, AWS Proton no aprovisiona directamente la infraestructura. En su lugar, envía solicitudes de incorporación de cambios (PRs) a tu repositorio para su aprovisionamiento. Es responsabilidad del usuario asegurarse de que su código de automatización asuma la identidad y el rol correctos.

Para obtener más información acerca de los métodos de aprovisionamiento, consulte Cómo AWS Proton aprovisiona la infraestructura.

Terminología

Un diagrama que describe AWS Proton los recursos de una sola cuenta (cuenta de administración) que está en una sola Región de AWS. También muestra cómo AWS Proton los entornos de esa cuenta pueden usar las conexiones de las cuentas de entorno para implementarlas en otras cuentas (cuentas de entorno) de la misma región.

Con las conexiones de cuentas de AWS Proton entorno, puede crear un AWS Proton entorno a partir de una cuenta y aprovisionar su infraestructura en otra cuenta.

Cuenta de administración

La cuenta única en la que usted, como administrador, crea un AWS Proton entorno que aprovisiona recursos de infraestructura en otra cuenta de entorno.

Cuenta de entorno

Una cuenta en la que se aprovisiona la infraestructura del entorno cuando se crea un entorno de AWS Proton en otra cuenta.

Conexión de cuenta de entorno

Una conexión bidireccional segura entre una cuenta de administración y una cuenta de entorno. Mantiene la autorización y los permisos como se describe más adelante en las siguientes secciones.

Al crear una conexión de cuenta de entorno en una cuenta de entorno de una región específica, solo las cuentas de administración de la misma región pueden ver y utilizar la conexión de cuenta de entorno. Esto significa que el AWS Proton entorno creado en la cuenta de administración y la infraestructura de entorno aprovisionada en la cuenta de entorno deben estar en la misma región.

Consideraciones sobre la conexión de cuenta de entorno

  • El usuario necesita una conexión de cuenta de entorno para cada entorno que desee aprovisionar en una cuenta de entorno.

  • Para obtener información sobre las cuotas de conexión de cuentas de entorno, consulte Cuotas de AWS Proton.

Etiquetado

En la cuenta de entorno, utilice la consola o la AWS CLI para ver y gestionar las etiquetas de conexión de la cuenta de entorno gestionadas por el cliente. AWS las etiquetas administradas no se generan para las conexiones de las cuentas del entorno. Para obtener más información, consulte Recursos y etiquetado de AWS Proton.

Creación de un entorno en una cuenta y aprovisionamiento de su infraestructura en otra cuenta

Para crear y aprovisionar un entorno desde una sola cuenta de administración, configure una cuenta de entorno para el entorno que vaya a crear.

Comience en la cuenta de entorno y cree la conexión.

En la cuenta de entorno, cree un rol de AWS Proton servicio que se limite únicamente a los permisos necesarios para aprovisionar los recursos de infraestructura de su entorno. Para obtener más información, consulte AWS Proton rol de servicio para el aprovisionamiento mediante AWS CloudFormation.

A continuación, cree y envíe una solicitud de conexión de una cuenta de entorno a su cuenta de administración. Cuando se acepte la solicitud, AWS Proton podrá utilizar el IAM rol asociado que permite el aprovisionamiento de recursos del entorno en la cuenta del entorno asociada.

En la cuenta de administración, acepte o rechace la conexión de la cuenta de entorno.

En la cuenta de administración, acepte o rechace la solicitud de conexión de cuenta de entorno. No se puede eliminar la conexión de una cuenta de entorno de la cuenta de administración.

Si acepta la solicitud, AWS Proton pueden usar el IAM rol asociado que permite el aprovisionamiento de recursos en la cuenta de entorno asociada.

Los recursos de la infraestructura del entorno se aprovisionan en la cuenta de entorno asociada. Solo puede usarlo AWS Proton APIs para acceder a su entorno y sus recursos de infraestructura y administrarlos desde su cuenta de administración. Para obtener más información, consulte Creación de un entorno en una cuenta y aprovisionamiento en otra cuenta y Actualización de un entorno.

Tras rechazar una solicitud, no se podrá aceptar ni utilizar la conexión de cuenta de entorno rechazada.

nota

No se puede rechazar una conexión de cuenta de entorno que esté conectada a un entorno. Para rechazar la conexión de cuenta de entorno, primero hay que eliminar el entorno asociado.

En la cuenta de entorno, acceda a los recursos de infraestructura aprovisionados.

En la cuenta de entorno, puede ver los recursos de infraestructura aprovisionados y acceder a ellos. Por ejemplo, puede usar CloudFormation API acciones para monitorear y limpiar las pilas si es necesario. No puede usar las AWS Proton API acciones para acceder o administrar el AWS Proton entorno que se utilizó para aprovisionar los recursos de infraestructura.

En la cuenta de entorno, puede eliminar las conexiones de cuenta de entorno que haya creado en la cuenta de entorno. No puede aceptarlas ni rechazarlas. Si elimina una conexión de cuenta de entorno que esté siendo utilizada por un AWS Proton entorno, AWS Proton no podrá administrar los recursos de infraestructura del entorno hasta que se acepte una nueva conexión de entorno para la cuenta de entorno y el entorno designado. El usuario es responsable de limpiar los recursos aprovisionados que permanezcan sin ninguna conexión al entorno.

Use la consola o CLI para administrar las conexiones de las cuentas del entorno

Puede usar la consola o CLI para crear y administrar las conexiones de las cuentas del entorno.

AWS Management Console
Utilice la consola para crear una conexión de cuenta de entorno y enviar una solicitud a la cuenta de administración, tal y como se muestra en los pasos siguientes.
  1. Elija un nombre para el entorno que planea crear en su cuenta de administración o elija el nombre de un entorno existente que requiera una conexión a una cuenta de entorno.

  2. En una cuenta de entorno, en la consola de AWS Proton, seleccione Conexiones de cuentas de entorno en el panel de navegación.

  3. En la página Conexiones de cuentas de entorno, seleccione Solicitud de conexión.

    nota

    Verifique que el ID de cuenta aparezca en el encabezado de la página Conexión de cuenta de entorno. Asegúrese de que coincida con el ID de cuenta de la cuenta de entorno en la que desee aprovisionar el entorno designado.

  4. En la página Solicitud de conexión:

    1. En la sección Conectarse a una cuenta de administración, introduzca el ID de la cuenta de administración y el Nombre del entorno que introdujo en el paso 1.

    2. En la sección Función de entorno, elija Nueva función de servicio y creará AWS Proton automáticamente una nueva función para usted. O bien, seleccione el Rol de servicio existente y el nombre del rol de servicio que creó anteriormente.

      nota

      El rol que AWS Proton se crea automáticamente para usted tiene amplios permisos. Le recomendamos que limite el rol a los permisos necesarios para aprovisionar los recursos de infraestructura del entorno. Para obtener más información, consulte AWS Proton rol de servicio para el aprovisionamiento mediante AWS CloudFormation.

    3. (Opcional) En la sección Etiquetas, elija Añadir nueva etiqueta para crear una etiqueta administrada por el cliente para la conexión de la cuenta de entorno.

    4. Seleccione Solicitud de conexión.

  5. La solicitud aparecerá como pendiente en la tabla de conexiones del entorno enviadas a una cuenta de administración y un modal indicará al usuario cómo aceptar la solicitud de la cuenta de administración.

Acepte o rechace la solicitud de conexión de cuenta de entorno.
  1. En una cuenta de administración, en la consola de AWS Proton, seleccione Conexiones de cuentas de entorno en el panel de navegación.

  2. En la página Conexiones de cuentas de entorno, en la tabla Solicitudes de conexión de cuentas de entorno, seleccione la solicitud de conexión de entorno que desee aceptar o rechazar.

    nota

    Verifique que el ID de cuenta aparezca en el encabezado de la página Conexión de cuenta de entorno. Asegúrese de que coincida con el ID de cuenta de la cuenta de administración asociada a la conexión de la cuenta de entorno que se va a rechazar. Tras rechazar esta conexión de cuenta de entorno, no podrá aceptar ni utilizar la conexión de cuenta de entorno rechazada.

  3. Elija Rechazar o Aceptar.

    • Si ha seleccionado Rechazar, el estado cambiará de pendiente a rechazado.

    • Si ha seleccionado Aceptar, el estado cambiará de pendiente a conectado.

Elimine una conexión de cuenta de entorno.
  1. En una cuenta de entorno, en la consola de AWS Proton, seleccione Conexiones de cuentas de entorno en el panel de navegación.

    nota

    Verifique que el ID de cuenta aparezca en el encabezado de la página Conexión de cuenta de entorno. Asegúrese de que coincida con el ID de cuenta de la cuenta de administración asociada a la conexión de la cuenta de entorno que se va a rechazar. Después de eliminar esta conexión de cuenta de entorno, no AWS Proton podrá administrar los recursos de infraestructura del entorno en la cuenta de entorno. Solo se podrá administrar después de que la cuenta de administración acepte una nueva conexión de cuenta de entorno para la cuenta de entorno y el entorno designado.

  2. En la página Conexiones de cuentas de entorno, en la sección Solicitudes enviadas para conectarse a la cuenta de administración, seleccione Eliminar.

  3. Un modal le pedirá que confirme que desea continuar con la eliminación. Elija Eliminar.

AWS CLI

Elija un nombre para el entorno que planea crear en su cuenta de administración o elija el nombre de un entorno existente que requiera una conexión a una cuenta de entorno.

Cree una conexión de cuenta de entorno en una cuenta de entorno.

Ejecute el siguiente comando:

$ aws proton create-environment-account-connection \ --environment-name "simple-env-connected" \ --role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \ --management-account-id "111111111111"

Respuesta:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "PENDING" } }

Acepte o rechace la conexión de una cuenta de entorno en una cuenta de administración, tal y como se muestra en el siguiente comando y respuesta.

nota

Si rechaza esta conexión de cuenta de entorno, no podrá aceptar ni utilizar la conexión de cuenta de entorno rechazada.

Si especifica Rechazar, el estado cambiará de pendiente a rechazado.

Si especifica Aceptar, el estado cambiará de pendiente a conectado.

Ejecute el siguiente comando para aceptar la conexión de cuenta de entorno:

$ aws proton accept-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Respuesta:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "CONNECTED" } }

Ejecute el siguiente comando para rechazar la conexión de cuenta de entorno:

$ aws proton reject-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Respuesta:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "status": "REJECTED", "environmentAccountId": "222222222222", "environmentName": "simple-env-reject", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" } }

Vea las conexiones de una cuenta de entorno. Puede obtener o enumerar las conexiones de cuentas de entorno.

Ejecute el siguiente comando “get”:

$ aws proton get-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Respuesta:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "CONNECTED" } }

Elimine una conexión de cuenta de entorno en una cuenta de entorno.

nota

Si elimina esta conexión de cuenta de entorno, AWS Proton no podrá administrar los recursos de infraestructura del entorno en la cuenta de entorno hasta que se haya aceptado una nueva conexión de entorno para la cuenta de entorno y el entorno designado. El usuario es responsable de limpiar los recursos aprovisionados que permanezcan sin ninguna conexión al entorno.

Ejecute el siguiente comando:

$ aws proton delete-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Respuesta:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "CONNECTED" } }