Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Déployez AWS Control Tower Account Factory pour Terraform () AFT
Cette section est destinée aux administrateurs des environnements AWS Control Tower qui souhaitent configurer Account Factory for Terraform (AFT) dans leur environnement existant. Il décrit comment configurer un environnement Account Factory pour Terraform (AFT) avec un nouveau compte de AFT gestion dédié.
Note
Un module Terraform se déploie. AFT Ce module est disponible dans le AFTréférentiel
Nous vous recommandons de vous référer aux AFT modules au GitHub lieu de cloner le AFT référentiel. De cette façon, vous pouvez contrôler et utiliser les mises à jour des modules dès qu'elles sont disponibles.
Pour plus de détails sur les dernières versions de la fonctionnalité AWS Control Tower Account Factory for Terraform (AFT), consultez le fichier Releases
Conditions préalables au déploiement
Avant de configurer et de lancer votre AFT environnement, vous devez disposer des éléments suivants :
-
Une zone d'atterrissage de la AWS Control Tower. Pour plus d'informations, consultez Planifier la zone d'atterrissage AWS de votre Control Tower.
-
Une région d'accueil pour la zone d'atterrissage AWS de votre Control Tower. Pour plus d'informations, consultez How Régions AWS work with AWS Control Tower.
-
Une version et une distribution de Terraform. Pour plus d'informations, consultez Terraform et AFT ses versions.
-
Un VCS fournisseur pour le suivi et la gestion des modifications apportées au code et à d'autres fichiers. Par défaut, AFT utilise AWS CodeCommit. Pour plus d'informations, voir Qu'est-ce que c'est AWS CodeCommit ? dans le guide de AWS CodeCommit l'utilisateur.
Si vous déployez AFT pour la première fois et que vous n'avez pas de CodeCommit référentiel existant, vous devez choisir un VCS fournisseur externe, tel que GitHub ou BitBucket. Pour plus d'informations, consultez la section Alternatives pour le contrôle de version du code source dans AFT.
-
Un environnement d'exécution dans lequel vous pouvez exécuter le module Terraform qui s'installe. AFT
-
AFToptions de fonctionnalités. Pour plus d'informations, consultez la section Activer les options des fonctionnalités.
Configurez et lancez votre AWS Control Tower Account Factory pour Terraform
Les étapes suivantes supposent que vous connaissez le flux de travail Terraform. Vous pouvez également en savoir plus sur le déploiement AFT en suivant l'introduction au AFT
Étape 1 : Lancez la zone d'atterrissage AWS de votre Control Tower
Suivez les étapes décrites dans Getting started with AWS Control Tower
Note
Assurez-vous de créer un rôle pour le compte de gestion AWS Control Tower doté d'AdministratorAccessinformations d'identification. Pour plus d’informations, consultez les ressources suivantes :
-
IAMIdentités (utilisateurs, groupes d'utilisateurs et rôles) dans le guide de AWS Identity and Access Management l'utilisateur
-
AdministratorAccessdans le Guide de référence des politiques AWS gérées
Étape 2 : Création d'une nouvelle unité organisationnelle pour AFT (recommandé)
Nous vous recommandons de créer une unité d'organisation distincte dans votre AWS organisation. C'est ici que vous déployez le compte AFT de gestion. Créez la nouvelle unité d'organisation avec votre compte de gestion AWS Control Tower. Pour plus d'informations, voir Création d'une nouvelle unité d'organisation.
Étape 3 : provisionner le compte AFT de gestion
AFTexige que vous fournissiez un AWS compte dédié aux opérations AFT de gestion. Le compte de gestion AWS Control Tower, qui est associé à votre zone d'atterrissage AWS Control Tower, vend le compte AFT de gestion. Pour plus d'informations, consultez Provisionner des comptes avec AWS Service Catalog Account Factory.
Note
Si vous avez créé une unité d'organisation distincte pourAFT, assurez-vous de sélectionner cette unité d'organisation lorsque vous créez le compte AFT de gestion.
Le provisionnement complet du compte de AFT gestion peut prendre jusqu'à 30 minutes.
Étape 4 : Vérifiez que l'environnement Terraform est disponible pour le déploiement
Cette étape suppose que vous avez de l'expérience avec Terraform et que vous avez mis en place des procédures pour exécuter Terraform. Pour plus d'informations, consultez Command : init
Note
AFTprend en charge la version Terraform 1.6.0
ou ultérieure.
Étape 5 : Appelez le module Account Factory for Terraform pour le déployer AFT
Appelez le AFT module avec le rôle que vous avez créé pour le compte de gestion AWS Control Tower doté d'AdministratorAccessinformations d'identification. AWSControl Tower fournit un module Terraform via le compte de gestion AWS Control Tower, qui établit toute l'infrastructure requise pour orchestrer les demandes de AWS Control Tower Account Factory.
Vous pouvez consulter le AFT module dans le AFTréférentiel
Le AFT module inclut un aft_enable_vpc
paramètre qui indique si AWS Control Tower fournit les ressources du compte dans un cloud privé virtuel (VPC) dans le compte AFT de gestion central. Par défaut, le paramètre est défini surtrue
. Si vous définissez ce paramètre surfalse
, AWS Control Tower se déploie AFT sans utiliser de ressources réseau privées, telles que VPC des NAT passerelles ou VPC des points de terminaison. La désactivation aft_enable_vpc
peut contribuer à réduire les coûts d'exploitation AFT de certains modèles d'utilisation.
Note
La réactivation du aft_enable_vpc
paramètre (passage de la valeur de false
àtrue
) peut nécessiter que vous exécutiez la terraform apply
commande deux fois de suite.
Si votre environnement possède des pipelines établis pour gérer Terraform, vous pouvez intégrer le AFT module à votre flux de travail existant. Sinon, exécutez le AFT module depuis n'importe quel environnement authentifié avec les informations d'identification requises.
Le délai d'expiration entraîne l'échec du déploiement. Nous vous recommandons d'utiliser les informations d'identification AWS Security Token Service (STS) pour vous assurer que vous disposez d'un délai d'attente suffisant pour un déploiement complet. Le délai d'expiration minimum pour les AWS STS informations d'identification est de 60 minutes. Pour plus d'informations, consultez la section Informations d'identification de sécurité temporaires IAM dans le Guide de AWS Identity and Access Management l'utilisateur.
Note
Vous pouvez attendre jusqu'à 30 minutes AFT pour terminer le déploiement via le module Terraform.
Étape 6 : Gérer le fichier d'état Terraform
Un fichier d'état Terraform est généré lors du déploiement. AFT Cet artefact décrit l'état des ressources créées par Terraform. Si vous prévoyez de mettre à jour la AFT version, assurez-vous de conserver le fichier d'état Terraform ou de configurer un backend Terraform à l'aide d'Amazon S3 et DynamoDB. Le AFT module ne gère pas l'état d'un backend Terraform.
Note
Vous êtes responsable de la protection du fichier d'état de Terraform. Certaines variables d'entrée peuvent contenir des valeurs sensibles, telles qu'une ssh
clé privée ou un jeton Terraform. Selon votre méthode de déploiement, ces valeurs peuvent être visualisées sous forme de texte brut dans le fichier d'état Terraform. Pour plus d'informations, consultez la section Données sensibles en état