Validez le code Account Factory pour Terraform (AFT) localement - Recommandations AWS
RécapitulatifConditions préalables et limitationsArchitectureOutilsÉpopées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Validez le code Account Factory pour Terraform (AFT) localement

Créée par Alexandru Pop (AWS) et Michal Gorniak (AWS)

Environnement : Production

Technologies : infrastructure DevOps ; modernisation ; DevelopmentAndTesting

Charge de travail : Open source

Services AWS : AWS Control Tower

Récapitulatif

Ce modèle montre comment tester localement le code HashiCorp Terraform géré par AWS Control Tower Account Factory for Terraform (AFT). Terraform est un outil open source d'infrastructure sous forme de code (IaC) qui vous aide à utiliser le code pour provisionner et gérer l'infrastructure et les ressources cloud. AFT met en place un pipeline Terraform qui vous aide à provisionner et à personnaliser plusieurs comptes AWS dans AWS Control Tower.

Lors du développement du code, il peut être utile de tester votre infrastructure Terraform en tant que code (IaC) localement, en dehors du pipeline AFT. Ce modèle montre comment effectuer les opérations suivantes :

  • Récupérez une copie locale du code Terraform stocké dans les CodeCommit référentiels AWS de votre compte de gestion AFT.

  • Simulez le pipeline AFT localement en utilisant le code récupéré.

Cette procédure peut également être utilisée pour exécuter des commandes Terraform qui ne font pas partie du pipeline AFT normal. Par exemple, vous pouvez utiliser cette méthode pour exécuter des commandes telles que terraform validateterraform plan,terraform destroy, etterraform import.

Conditions préalables et limitations

Prérequis

Limites

  • Ce modèle ne couvre pas les étapes de déploiement requises pour AWS Control Tower, AFT ou tout autre module Terraform spécifique.

  • La sortie générée localement au cours de cette procédure n'est pas enregistrée dans les journaux d'exécution du pipeline AFT.

Architecture

Pile technologique cible

  • Infrastructure AFT déployée dans le cadre d'un déploiement d'AWS Control Tower

  • Terraform

  • Git

  • Version 2 de l'interface de ligne de commande AWS

Automatisation et mise à l'échelle

Ce modèle montre comment invoquer localement le code Terraform pour les personnalisations de comptes globaux AFT dans un seul compte AWS géré par AFT. Une fois votre code Terraform validé, vous pouvez l'appliquer aux comptes restants de votre environnement multi-comptes. Pour plus d'informations, consultez la section Personnalisations de Re-invoke dans la documentation d'AWS Control Tower.

Vous pouvez également utiliser un processus similaire pour exécuter des personnalisations de compte AFT dans un terminal local. Pour invoquer localement le code Terraform à partir des personnalisations de compte AFT, clonez le aft-account-customizations référentiel plutôt que le aft-global-account-customizationsréférentiel depuis votre compte de CodeCommit gestion AFT.

Outils

Services AWS

  • AWS Control Tower vous aide à configurer et à gérer un environnement AWS multi-comptes, conformément aux meilleures pratiques prescriptives.

  • L'interface de ligne de commande AWS (AWS CLI) est un outil open source qui vous permet d'interagir avec les services AWS par le biais de commandes dans votre shell de ligne de commande.

Autres services

  • HashiCorp Terraform est un outil open source d'infrastructure sous forme de code (IaC) qui vous aide à utiliser le code pour provisionner et gérer l'infrastructure et les ressources cloud.

  • Git est un système de contrôle de version distribué et open source.

Code

Voici un exemple de script bash qui peut être utilisé pour exécuter localement du code Terraform géré par AFT. Pour utiliser le script, suivez les instructions de la section Epics de ce modèle.

#! /bin/bash
# Version: 1.1 2022-06-24 Unsetting AWS_PROFILE since, when set, it interferes with script operation
#          1.0 2022-02-02 Initial Version
#
# Purpose: For use with AFT: This script runs the local copy of TF code as if it were running within AFT pipeline.
#        * Facilitates testing of what the AFT pipline will do 
#           * Provides the ability to run terraform with custom arguments (like 'plan' or 'move') which are currently not supported within the pipeline.
#
# © 2021 Amazon Web Services, Inc. or its affiliates. All Rights Reserved.
# This AWS Content is provided subject to the terms of the AWS Customer Agreement
# available at http://aws.amazon.com/agreement or other written agreement between
# Customer and either Amazon Web Services, Inc. or Amazon Web Services EMEA SARL or both.
#
# Note: Arguments to this script are passed directly to 'terraform' without parsing nor validation by this script.
#
# Prerequisites:
#    1. local copy of ct GIT repositories
#    2. local backend.tf and aft-providers.tf filled with data for the target account on which terraform is to be run
#       Hint: The contents of above files can be obtain from the logs of a previous execution of the AFT pipeline for the target account.
#    3. 'terraform' binary is available in local PATH
#    4. Recommended: .gitignore file containing 'backend.tf', 'aft_providers.tf' so the local copy of these files are not pushed back to git

readonly credentials=$(aws sts assume-role \
    --role-arn arn:aws:iam::$(aws sts get-caller-identity --query "Account" --output text ):role/AWSAFTAdmin \
    --role-session-name AWSAFT-Session \
    --query Credentials )

unset AWS_PROFILE
export AWS_ACCESS_KEY_ID=$(echo $credentials | jq -r '.AccessKeyId')
export AWS_SECRET_ACCESS_KEY=$(echo $credentials | jq -r '.SecretAccessKey')
export AWS_SESSION_TOKEN=$(echo $credentials | jq -r '.SessionToken')
terraform "$@"

Épopées

TâcheDescriptionCompétences requises

Enregistrez l'exemple de code dans un fichier local.

  1. Copiez l'exemple de script bash qui se trouve dans la section Code de ce modèle et collez-le dans un éditeur de code.

  2. Nommez le fichier ct_terraform.sh. Enregistrez ensuite le fichier localement dans un dossier dédié, tel que ~/scripts ou~/bin.

Administrateur AWS

Rendez l'exemple de code exécutable.

Ouvrez une fenêtre de terminal et authentifiez-vous sur votre compte de gestion AWS AFT en effectuant l'une des opérations suivantes :

  • Utilisez un profil AWS CLI existant configuré avec les autorisations requises pour accéder au compte de gestion AFT. Pour utiliser le profil, vous pouvez exécuter la commande suivante : 

export AWS_PROFILE=<aft account profile name>

  • Si votre organisation utilise l'authentification unique pour accéder à AWS, entrez les informations d'identification de votre compte de gestion AFT sur la page SSO de votre organisation.

Remarque : votre organisation dispose peut-être également d'un outil personnalisé pour fournir des informations d'authentification à votre environnement AWS.

Administrateur AWS

Vérifiez l'accès au compte de gestion AFT dans la bonne région AWS.

Important : Assurez-vous d'utiliser la même session de terminal que celle avec laquelle vous vous êtes authentifié sur votre compte de gestion AFT.

  1. Accédez à la région AWS de votre déploiement AFT en exécutant la commande suivante :

    export AWS_REGION=<aft_region>

  2. Vérifiez que vous êtes dans le bon compte en procédant comme suit :

    • Exécutez la commande suivante :

    aws code-commit list-repositories

    • Vérifiez ensuite que les référentiels répertoriés dans la sortie correspondent aux noms des référentiels présents dans votre compte de gestion AFT.

Administrateur AWS

Créez un nouveau répertoire local pour stocker le code du référentiel AFT.

Au cours de la même session de terminal, exécutez les commandes suivantes :

mkdir my_aft 
cd my_aft
Administrateur AWS

Clonez le code du référentiel AFT distant.

  1. Dans votre terminal local, exécutez la commande suivante :

    git clone codecommit::$AWS_REGION://aft-global-customizations

    Remarque : Pour des raisons de simplicité, cette procédure et AFT utilisent uniquement une branche de code principale. Pour utiliser le branchement de code, vous pouvez également saisir des commandes de branchement de code ici. Cependant, toute modification appliquée depuis la branche non principale sera annulée lorsque l'automatisation AFT appliquera le code de la branche principale.

  2. Naviguez ensuite dans le répertoire cloné en exécutant la commande suivante :

    cd aft-global-customizations/terraform
Administrateur AWS
TâcheDescriptionCompétences requises

Ouvrez un pipeline AFT déjà exécuté et copiez les fichiers de configuration Terraform dans un dossier local.

Remarque : Les fichiers de configuration backend.tf et aft-providers.tf créés dans cette épopée sont nécessaires au fonctionnement local du pipeline AFT. Ces fichiers sont créés automatiquement dans le pipeline AFT basé sur le cloud, mais doivent être créés manuellement pour que le pipeline s'exécute localement. L'exécution locale du pipeline AFT nécessite un ensemble de fichiers représentant l'exécution du pipeline au sein d'un seul compte AWS.

  1. À l'aide des informations d'identification de votre compte de gestion AWS Control Tower, connectez-vous à l'AWS Management Console. Ouvrez ensuite la CodePipeline console AWS. Assurez-vous que vous vous trouvez dans la même région AWS où vous avez déployé AFT.

  2. Dans le volet de navigation de gauche, choisissez Pipelines.

  3. Choisissez ##########-customizations-pipeline. (Le ########### est l'ID de compte AWS que vous utilisez pour exécuter le code Terraform localement).

  4. Assurez-vous que l'exécution la plus récente marquée indique une valeur réussie. Si la valeur est différente, vous devez réinvoquer vos personnalisations dans le pipeline AFT. Pour plus d'informations, consultez la section Personnalisations de Re-invoke dans la documentation d'AWS Control Tower.

  5. Choisissez le moteur d'exécution le plus récent pour en afficher les détails.

  6. Dans la section Apply-AFT-Global-Customizations, recherchez le stage Apply-Terraform.

  7. Sélectionnez la section Détails du stage Apply-Terraform.

  8. Trouvez le journal d'exécution du stage Apply-Terraform.

  9. Dans le journal d'exécution, recherchez la section qui commence et se termine par les lignes suivantes : «\n\naft-providers.tf... «\n\nbackend.tf » 

  10. Copiez la sortie entre ces deux étiquettes et enregistrez-la sous forme de fichier local nommé aft-providers.tf dans le dossier Terraform local (le répertoire de travail actuel de votre session de terminal).

    Exemple de déclaration providers.tf générée automatiquement

    ## Autogenerated providers.tf ##
## Updated on: 2022-05-31 16:27:45 ##
provider "aws" {
  region = "us-east-2"
  assume_role {
    role_arn    = "arn:aws:iam::############:role/AWSAFTExecution"
  }
  default_tags {
    tags = {
      managed_by                  = "AFT"
    }
  }
}

  11. Dans le journal d'exécution, recherchez la section qui commence et se termine par les lignes suivantes : «\n\ntf... «\n\nbackup.tf » 

  12. Copiez la sortie entre ces deux étiquettes et enregistrez-la sous forme de fichier local nommé tf dans le dossier Terraform local (le répertoire de travail actuel de votre session de terminal).

Exemple d'instruction backend.tf générée automatiquement

## Autogenerated backend.tf ##
## Updated on: 2022-05-31 16:27:45 ##
terraform {
  required_version = ">= 0.15.0"
  backend "s3" {
    region         = "us-east-2"
    bucket         = "aft-backend-############-primary-region"
    key            = "############-aft-global-customizations/terraform.tfstate"
    dynamodb_table = "aft-backend-############"
    encrypt        = "true"
    kms_key_id     = "cbdc21d6-e04d-4c37-854f-51e199cfcb7c"
    kms_key_id     = "########-####-####-####-############"
    role_arn       = "arn:aws:iam::#############:role/AWSAFTExecution"
  }
}

Remarque : Les aft-providers.tf fichiers backend.tf et sont liés à un compte AWS, à un déploiement AFT et à un dossier spécifiques. Ces fichiers sont également différents selon qu'ils se trouvent dans le aft-global-customizationsréférentiel et dans le aft-account-customizationsréférentiel du même déploiement AFT. Assurez-vous de générer les deux fichiers à partir de la même liste d'environnements d'exécution.

Administrateur AWS
TâcheDescriptionCompétences requises

Implémentez les modifications de configuration Terraform que vous souhaitez valider.

  1. Accédez au aft-global-customizationsréférentiel cloné en exécutant la commande suivante :

    cd aft-global-customizations/terraform

    Remarque : Les fichiers backend.tf et les fichiers aft-providers.tf se trouvent dans ce répertoire. Le répertoire contient également les fichiers Terraform du aft-global-customizations référentiel.

  2. Incorporez les modifications de code Terraform que vous souhaitez tester localement dans les fichiers de configuration.

Administrateur AWS

Exécutez le script ct_terraform.sh et examinez le résultat.

  1. Accédez au dossier local qui contient le script sh.

  2. Pour valider votre code Terraform modifié, exécutez le ct_terraform.sh script en exécutant la commande suivante :

    ~/scripts/ct_terraform.sh apply

    Remarque : vous pouvez exécuter n'importe quelle commande Terraform au cours de cette étape. Pour voir la liste complète des commandes Terraform, exécutez la commande suivante :

    terraform --help

  3. Passez en revue le résultat de la commande. Déboguez ensuite les modifications de code localement avant de les valider et de les renvoyer dans le référentiel AFT.

Important :

  • Toutes les modifications apportées localement et non renvoyées au référentiel distant sont temporaires et peuvent être annulées à tout moment par une automatisation du pipeline AFT en cours d'exécution.

  • L'automatisation AFT peut être exécutée à tout moment, car elle peut être invoquée par d'autres utilisateurs et par des déclencheurs d'automatisation AFT.

  • AFT appliquera toujours le code de la branche principale du référentiel, annulant ainsi toute modification non validée.

Administrateur AWS
TâcheDescriptionCompétences requises

Ajoutez des références aux fichiers backend.tf et aft-providers.tf à un fichier .gitignore.

Ajoutez les aft-providers.tf fichiers backend.tf et que vous avez créés à un .gitignore fichier en exécutant les commandes suivantes :

echo backend.tf >> .gitignore
echo aft-providers.tf >>.gitignore

Remarque : le déplacement des fichiers vers le .gitignore fichier garantit qu'ils ne seront pas validés et renvoyés vers le référentiel AFT distant.

Administrateur AWS

Validez et transférez vos modifications de code dans le référentiel AFT distant.

  1. Pour ajouter de nouveaux fichiers de configuration Terraform au référentiel, exécutez la commande suivante :

    git add <filename>

  2. Pour valider vos modifications et les transférer vers le référentiel AFT distant d'AWS CodeCommit, exécutez les commandes suivantes :

    git commit -a
git push

Important : les modifications de code que vous introduisez en suivant cette procédure jusqu'à présent ne sont appliquées qu'à un seul compte AWS.

Administrateur AWS
TâcheDescriptionCompétences requises

Appliquez les modifications à tous vos comptes gérés par AFT.

Pour appliquer les modifications à plusieurs comptes AWS gérés par AFT, suivez les instructions de la section Personnalisations Réinvoquée dans la documentation d'AWS Control Tower.

Administrateur AWS