Pertimbangan untuk Kustomisasi Account Factory (AFC)Jika terjadi kesalahan cetak biru Menyesuaikan dokumen kebijakan Anda untuk cetak biru AFC berdasarkan CloudFormation Izin tambahan diperlukan untuk membuat produk Service Catalog berbasis Terraform

Kustomisasi akun dengan Kustomisasi Account Factory (AFC)

AWS Control Tower memungkinkan Anda menyesuaikan yang baru dan yang sudah ada Akun AWS saat Anda menyediakan sumber daya mereka dari konsol AWS Control Tower. Setelah menyiapkan kustomisasi pabrik akun, AWS Control Tower mengotomatiskan proses ini untuk penyediaan di masa mendatang, sehingga Anda tidak perlu memelihara saluran pipa apa pun. Akun yang disesuaikan tersedia untuk digunakan segera setelah sumber daya disediakan.

Akun khusus Anda disediakan di pabrik akun, melalui AWS CloudFormation templat, atau dengan Terraform. Anda akan menentukan template yang berfungsi sebagai cetak biru akun yang disesuaikan. Cetak biru Anda menjelaskan sumber daya dan konfigurasi spesifik yang Anda perlukan saat akun disediakan. Cetak biru yang telah ditentukan sebelumnya, dibangun dan dikelola oleh AWS mitra, juga tersedia. Untuk informasi selengkapnya tentang cetak biru yang dikelola mitra, lihat Pustaka Memulai.AWS Service Catalog

catatan

AWS Control Tower berisi kontrol proaktif, yang memantau AWS CloudFormation sumber daya di AWS Control Tower. Secara opsional, Anda dapat mengaktifkan kontrol ini di landing zone Anda. Ketika Anda menerapkan kontrol proaktif, mereka memeriksa untuk memastikan bahwa sumber daya yang akan Anda terapkan ke akun Anda sesuai dengan kebijakan dan prosedur organisasi Anda. Untuk informasi selengkapnya tentang kontrol proaktif, lihat Kontrol proaktif.

Cetak biru akun Anda disimpan dalam Akun AWS, yang untuk tujuan kami disebut sebagai akun hub. Blueprints disimpan dalam bentuk produk Service Catalog. Kami menyebut produk ini cetak biru, untuk membedakannya dari produk Service Catalog lainnya. Untuk mempelajari lebih lanjut tentang cara membuat produk Service Catalog, lihat Membuat produk di Panduan AWS Service Catalog Administrator.

Terapkan cetak biru ke akun yang ada

Anda juga dapat menerapkan cetak biru yang disesuaikan ke akun yang ada, dengan mengikuti langkah-langkah Perbarui akun di konsol AWS Control Tower. Lihat perinciannya di Perbarui akun di konsol.

Sebelum Anda mulai

Sebelum Anda mulai membuat akun khusus dengan AWS Control Tower Account Factory, Anda harus memiliki lingkungan landing zone AWS Control Tower yang diterapkan, dan Anda harus memiliki unit organisasi (OU) yang terdaftar di AWS Control Tower, tempat akun yang baru dibuat akan ditempatkan.

Untuk informasi selengkapnya tentang bekerja dengan AFC, lihat Mengotomatiskan penyesuaian akun menggunakan Kustomisasi Account Factory di AWS Control Tower.

Persiapan untuk kustomisasi

Anda dapat membuat akun baru untuk berfungsi sebagai akun hub, atau Anda dapat menggunakan akun yang sudah ada Akun AWS. Kami sangat menyarankan agar Anda tidak menggunakan akun manajemen AWS Control Tower sebagai akun hub cetak biru Anda.
Jika Anda berencana untuk mendaftar Akun AWS ke AWS Control Tower dan menyesuaikannya, Anda harus terlebih dahulu menambahkan AWSControlTowerExecution peran tersebut ke akun tersebut, seperti yang Anda lakukan untuk akun lain yang Anda daftarkan ke AWS Control Tower.
Jika Anda berencana untuk menggunakan cetak biru mitra yang memiliki persyaratan berlangganan marketplace, Anda harus mengonfigurasinya dari akun manajemen AWS Control Tower sebelum menerapkan cetak biru mitra sebagai cetak biru penyesuaian pabrik akun.

Topik

catatan

Satu cetak biru dapat diterapkan per akun AWS Control Tower.

Pertimbangan untuk Kustomisasi Account Factory (AFC)

AFC mendukung kustomisasi menggunakan produk AWS Service Catalog cetak biru tunggal saja.
Produk AWS Service Catalog cetak biru harus dibuat di akun hub, dan di Wilayah yang sama dengan Wilayah home AWS Control Tower landing zone.
Peran AWSControlTowerBlueprintAccess IAM harus dibuat dengan nama, izin, dan kebijakan kepercayaan yang tepat.
AWS Control Tower mendukung dua opsi penerapan untuk cetak biru: hanya menerapkan ke Wilayah asal, atau menerapkan ke semua Wilayah yang diatur oleh AWS Control Tower. Pemilihan Wilayah tidak tersedia.
Saat Anda memperbarui cetak biru di akun anggota, ID akun hub cetak biru dan produk cetak biru tidak dapat diubah. AWS Service Catalog
AWS Control Tower tidak mendukung penghapusan cetak biru yang ada dan menambahkan cetak biru baru dalam satu operasi pembaruan cetak biru. Anda dapat menghapus cetak biru dan kemudian menambahkan cetak biru baru dalam operasi terpisah.
AWS Control Tower mengubah perilaku, berdasarkan apakah Anda membuat atau mendaftarkan akun yang disesuaikan, atau akun yang tidak disesuaikan. Jika Anda tidak membuat atau mendaftarkan akun yang disesuaikan dengan cetak biru, AWS Control Tower membuat produk yang disediakan Account Factory (melalui Service Catalog) di akun manajemen AWS Control Tower. Jika Anda menentukan penyesuaian saat membuat atau mendaftarkan akun dengan cetak biru, AWS Control Tower tidak membuat produk yang disediakan Account Factory di akun manajemen AWS Control Tower.

Jika terjadi kesalahan cetak biru

Kesalahan saat menerapkan cetak biru

Jika terjadi kesalahan selama proses penerapan cetak biru ke akun — baik akun baru atau akun yang sudah ada yang Anda daftarkan ke AWS Control Tower — prosedur pemulihannya sama. Akun akan ada, tetapi tidak disesuaikan, dan tidak terdaftar ke AWS Control Tower. Untuk melanjutkan, ikuti langkah-langkah untuk mendaftarkan akun ke AWS Control Tower, dan tambahkan cetak biru pada saat pendaftaran.

Kesalahan saat membuat AWSControlTowerBlueprintAccess peran, dan solusi

Saat membuat AWSControlTowerBlueprintAccess peran dari akun AWS Control Tower, Anda harus masuk sebagai prinsipal menggunakan AWSControlTowerExecution peran tersebut. Jika Anda masuk seperti yang lain, CreateRole operasi dicegah oleh SCP, seperti yang ditunjukkan dalam artefak berikut:


{
            "Condition": {
                "ArnNotLike": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::*:role/AWSControlTowerExecution",
                        "arn:aws:iam::*:role/stacksets-exec-*"
                    ]
                }
            },
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:DeleteRolePermissionsBoundary",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy",
                "iam:UpdateAssumeRolePolicy",
                "iam:UpdateRole",
                "iam:UpdateRoleDescription"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-controltower-*",
                "arn:aws:iam::*:role/*AWSControlTower*",
                "arn:aws:iam::*:role/stacksets-exec-*"
            ],
            "Effect": "Deny",
            "Sid": "GRIAMROLEPOLICY"
        }

Solusi berikut tersedia:

(Paling direkomendasikan) Asumsikan AWSControlTowerExecution peran dan buat AWSControlTowerBlueprintAccess peran. Jika Anda memilih solusi ini, pastikan untuk keluar dari AWSControlTowerExecution peran segera sesudahnya, untuk mencegah perubahan sumber daya yang tidak diinginkan.
Masuk ke akun yang tidak terdaftar di AWS Control Tower, dan karenanya tidak tunduk pada SCP ini.
Edit sementara SCP ini untuk mengizinkan operasi.
(Sangat tidak disarankan) Gunakan akun manajemen AWS Control Tower Anda sebagai akun hub Anda, sehingga akun tersebut tidak tunduk pada SCP.

Menyesuaikan dokumen kebijakan Anda untuk cetak biru AFC berdasarkan CloudFormation

Saat Anda mengaktifkan cetak biru melalui pabrik akun, AWS Control Tower mengarahkan AWS CloudFormation untuk membuat atas nama Anda. StackSet AWS CloudFormation memerlukan akses ke akun terkelola Anda untuk membuat AWS CloudFormation tumpukan di. StackSet Meskipun AWS CloudFormation sudah memiliki hak administrator di akun yang dikelola melalui AWSControlTowerExecution peran, peran ini tidak dapat diasumsikan oleh. AWS CloudFormation

Sebagai bagian dari mengaktifkan cetak biru, AWS Control Tower menciptakan peran dalam akun anggota, yang AWS CloudFormation dapat diasumsikan untuk menyelesaikan tugas manajemen. StackSet Cara termudah untuk mengaktifkan cetak biru khusus Anda melalui pabrik akun adalah dengan menggunakan kebijakan izinkan semua, karena kebijakan tersebut kompatibel dengan templat cetak biru apa pun.

Namun, praktik terbaik menyarankan bahwa Anda harus membatasi izin untuk AWS CloudFormation di akun target. Anda dapat memberikan kebijakan yang disesuaikan, yang diterapkan AWS Control Tower pada peran yang dibuatnya AWS CloudFormation untuk digunakan. Misalnya, jika cetak biru Anda membuat Parameter SSM yang disebut sesuatu yang penting, Anda dapat memberikan kebijakan berikut:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCloudFormationActionsOnStacks",
            "Effect": "Allow",
            "Action": "cloudformation:*",
            "Resource": "arn:aws:cloudformation:*:*:stack/*"
        },
        {
            "Sid": "AllowSsmParameterActions",
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter",
                 "ssm:DeleteParameter",
                 "ssm:GetParameter",
                 "ssm:GetParameters"
            ],
            "Resource": "arn:*:ssm:*:*:parameter/something-important"
        }
    ]
}

AllowCloudFormationActionsOnStacksPernyataan ini diperlukan untuk semua kebijakan kustom AFC; AWS CloudFormation menggunakan peran ini untuk membuat instance tumpukan, oleh karena itu memerlukan izin untuk melakukan AWS CloudFormation tindakan pada tumpukan. AllowSsmParameterActionsBagian ini khusus untuk template yang diaktifkan.

Selesaikan masalah izin

Ketika Anda mengaktifkan cetak biru dengan kebijakan terbatas, Anda mungkin menemukan bahwa tidak ada cukup izin untuk mengaktifkan cetak biru. Untuk mengatasi masalah ini, revisi dokumen kebijakan Anda dan perbarui preferensi cetak biru akun anggota untuk menggunakan kebijakan yang diperbaiki. Untuk memastikan bahwa kebijakan tersebut cukup untuk mengaktifkan cetak biru, pastikan AWS CloudFormation izin diberikan, dan Anda dapat membuat tumpukan secara langsung menggunakan peran tersebut.

Izin tambahan diperlukan untuk membuat produk Service Catalog berbasis Terraform

Saat Anda membuat produk AWS Service Catalog Eksternal dengan file konfigurasi Terraform untuk AFC, AWS Service Catalog izin tertentu harus ditambahkan ke kebijakan IAM kustom AFC Anda, selain izin yang diperlukan untuk membuat sumber daya yang ditentukan dalam templat Anda. Jika Anda memilih kebijakan Admin lengkap default, Anda tidak perlu menambahkan izin tambahan ini.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "resource-groups:CreateGroup",
                "resource-groups:ListGroupResources",
                "resource-groups:DeleteGroup",
                "resource-groups:Tag"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "tag:GetResources",
                "tag:GetTagKeys",
                "tag:GetTagValues",
                "tag:TagResources",
                "tag:UntagResources"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "s3:GetObject",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
                }
            }
        }
    ]
}

Untuk informasi selengkapnya tentang membuat produk Terraform menggunakan jenis produk Eksternal AWS Service Catalog, lihat Langkah 5: Membuat peran peluncuran di Panduan Administrator Service Catalog.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Sumber daya Account Factory

Siapkan untuk kustomisasi