Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Déployez AWS Control Tower Account Factory pour Terraform (AFT)
Cette section s'adresse aux administrateurs des environnements AWS Control Tower qui souhaitent configurer Account Factory for Terraform (AFT) dans leur environnement existant. Il décrit comment configurer un environnement Account Factory for Terraform (AFT) avec un nouveau compte de gestion AFT dédié.
Note
Un module Terraform déploie AFT. Ce module est disponible dans le référentiel AFT
Nous vous recommandons de vous référer aux modules AFT GitHub plutôt que de cloner le référentiel AFT. De cette façon, vous pouvez contrôler et utiliser les mises à jour des modules dès qu'elles sont disponibles.
Pour en savoir plus sur les dernières versions de la fonctionnalité AWS Control Tower Account Factory for Terraform (AFT), consultez le fichier Releases
Conditions préalables au déploiement
Avant de configurer et de lancer votre environnement AFT, vous devez disposer des ressources suivantes :
-
Une région d'origine pour votre zone de landing AWS Control Tower. Pour plus d'informations, consultez Comment Régions AWS travailler avec AWS Control Tower.
-
Une zone d'atterrissage pour AWS Control Tower. Pour plus d'informations, consultez Planifier la zone d'atterrissage de votre AWS Control Tower.
Un compte de gestion AFT, que vous pouvez configurer dans AWS Control Tower, ou approvisionner par d'autres moyens et vous inscrire à AWS Control Tower.
-
Une version et une distribution de Terraform. Pour plus d'informations, consultez les versions Terraform et AFT.
-
Un fournisseur VCS pour le suivi et la gestion des modifications apportées au code et à d'autres fichiers. Par défaut, AFT utilise AWS CodeCommit. Pour plus d'informations, voir Qu'est-ce que c'est AWS CodeCommit ? dans le guide de AWS CodeCommit l'utilisateur.
Si vous déployez AFT pour la première fois et que vous n'avez pas de CodeCommit référentiel existant, vous devez choisir un fournisseur VCS externe, tel que GitHub ou BitBucket. Pour plus d'informations, voir Alternatives pour le contrôle de version du code source dans AFT.
-
Un environnement d'exécution dans lequel vous pouvez exécuter le module Terraform qui installe AFT.
-
Options de fonctionnalités AFT. Pour plus d'informations, consultez la section Activer les options des fonctionnalités.
Configurez et lancez votre AWS Control Tower Account Factory pour Terraform
Les étapes suivantes supposent que vous connaissez le flux de travail Terraform. Vous pouvez également en savoir plus sur le déploiement de l'AFT en suivant le laboratoire d'introduction à l'AFT
Étape 1 : Lancez votre zone de landing zone AWS Control Tower
Suivez les étapes décrites dans Getting Started with AWS Control Tower
Note
Assurez-vous de créer un rôle pour le compte de gestion AWS Control Tower doté d'AdministratorAccessinformations d'identification. Pour plus d’informations, consultez les ressources suivantes :
-
Identités IAM (utilisateurs, groupes d'utilisateurs et rôles) dans le guide de l'AWS Identity and Access Management utilisateur
-
AdministratorAccessdans le Guide de référence des politiques AWS gérées
Étape 2 : Création d'une nouvelle unité organisationnelle pour l'AFT (fortement recommandé)
Nous vous recommandons de créer une unité d'organisation distincte dans votre zone de landing AWS Control Tower. C'est dans cette UO que vous approvisionnez le compte de gestion AFT. Créez la nouvelle unité d'organisation et le compte de gestion AFT à partir de votre compte de gestion AWS Control Tower. Pour plus d'informations, voir Création d'une nouvelle unité d'organisation.
Étape 3 : provisionner le compte de gestion AFT
L'AFT exige que vous créiez un AWS compte dédié aux opérations de gestion de l'AFT. Créez le compte de gestion AFT lorsque vous êtes connecté au compte de gestion AWS Control Tower associé à votre zone d'atterrissage AWS Control Tower. Vous pouvez configurer le compte de gestion AFT depuis la console AWS Control Tower en sélectionnant Créer un compte sur la page Organisation ou par un autre moyen. Pour plus d'informations, consultez Provisionner des comptes avec AWS Service Catalog Account Factory.
Note
Si vous avez créé une unité d'organisation distincte pour AFT, assurez-vous de sélectionner cette unité d'organisation lorsque vous créez le compte de gestion AFT.
Le provisionnement complet du compte de gestion AFT peut prendre jusqu'à 30 minutes.
Étape 4 : Vérifiez que l'environnement Terraform est disponible pour le déploiement
Cette étape suppose que vous avez de l'expérience avec Terraform et que vous avez mis en place des procédures pour exécuter Terraform. Pour plus d'informations, consultez Command : init
Note
AFT prend en charge la version Terraform 1.6.0
ou ultérieure.
Étape 5 : Appelez le module Account Factory for Terraform pour déployer AFT
Appelez le module AFT avec le rôle que vous avez créé pour le compte de gestion AWS Control Tower doté d'AdministratorAccessinformations d'identification. AWS Control Tower fournit un module Terraform via le compte de gestion AWS Control Tower, qui établit toute l'infrastructure requise pour orchestrer les demandes AWS Control Tower Account Factory.
Vous pouvez consulter le module AFT dans le référentiel AFT
Le module AFT inclut un aft_enable_vpc
paramètre qui indique si AWS Control Tower fournit les ressources du compte au sein d'un cloud privé virtuel (VPC) dans le compte de gestion AFT central. Par défaut, le paramètre est défini surtrue
. Si vous définissez ce paramètre surfalse
, AWS Control Tower déploie AFT sans utiliser de VPC ni de ressources réseau privées, telles que des passerelles NAT ou des points de terminaison VPC. La désactivation aft_enable_vpc
peut contribuer à réduire les coûts d'exploitation de l'AFT pour certains modèles d'utilisation.
Note
La réactivation du aft_enable_vpc
paramètre (passage de la valeur de false
àtrue
) peut nécessiter que vous exécutiez la terraform apply
commande deux fois de suite.
Si votre environnement possède des pipelines établis pour gérer Terraform, vous pouvez intégrer le module AFT dans votre flux de travail existant. Sinon, exécutez le module AFT depuis n'importe quel environnement authentifié avec les informations d'identification requises.
Le délai d'expiration entraîne l'échec du déploiement. Nous vous recommandons d'utiliser les informations d'identification AWS Security Token Service (STS) pour vous assurer que vous disposez d'un délai d'attente suffisant pour un déploiement complet. Le délai minimum pour les AWS STS informations d'identification est de 60 minutes. Pour plus d'informations, consultez la section Informations d'identification de sécurité temporaires dans IAM dans le Guide de l'AWS Identity and Access Management utilisateur.
Note
Vous pouvez attendre jusqu'à 30 minutes pour qu'AFT termine son déploiement via le module Terraform.
Étape 6 : Gérer le fichier d'état Terraform
Un fichier d'état Terraform est généré lorsque vous déployez AFT. Cet artefact décrit l'état des ressources créées par Terraform. Si vous prévoyez de mettre à jour la version AFT, assurez-vous de conserver le fichier d'état Terraform ou de configurer un backend Terraform à l'aide d'Amazon S3 et DynamoDB. Le module AFT ne gère pas l'état Terraform d'un backend.
Note
Vous êtes responsable de la protection du fichier d'état de Terraform. Certaines variables d'entrée peuvent contenir des valeurs sensibles, telles qu'une ssh
clé privée ou un jeton Terraform. Selon votre méthode de déploiement, ces valeurs peuvent être visualisées sous forme de texte brut dans le fichier d'état Terraform. Pour plus d'informations, consultez la section Données sensibles en état