Siapkan untuk kustomisasi - AWS Control Tower
Langkah 1. Buat peran yang diperlukanLangkah 2. Buat AWS Service Catalog produkLangkah 3. Tinjau cetak biru kustom AndaLangkah 4. Hubungi cetak biru Anda untuk membuat akun yang disesuaikan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan untuk kustomisasi

Bagian selanjutnya memberikan langkah-langkah untuk menyiapkan Account Factory untuk proses kustomisasi. Kami menyarankan Anda menyiapkan admin yang didelegasikan untuk akun hub, sebelum memulai langkah-langkah ini.

Ringkasan

  • Langkah 1. Buat peran yang diperlukan. Buat peran IAM yang memberikan izin kepada AWS Control Tower untuk memiliki akses ke akun (hub), tempat produk Service Catalog, juga disebut cetak biru, disimpan.

  • Langkah 2. Buat AWS Service Catalog produk. Buat AWS Service Catalog produk (juga disebut “produk cetak biru”) yang Anda perlukan untuk membuat dasar akun kustom.

  • Langkah 3. Tinjau cetak biru kustom Anda. Periksa AWS Service Catalog produk (cetak biru) yang Anda buat.

  • Langkah 4. Hubungi cetak biru Anda untuk membuat akun yang disesuaikan. Masukkan informasi produk cetak biru dan informasi peran ke bidang yang sesuai di Account Factory, di konsol AWS Control Tower, saat membuat akun.

Langkah 1. Buat peran yang diperlukan

Sebelum mulai menyesuaikan akun, Anda harus menyiapkan peran yang berisi hubungan kepercayaan antara AWS Control Tower dan akun hub Anda. Saat diasumsikan, peran tersebut memberikan akses AWS Control Tower untuk mengelola akun hub. Peran itu harus diberi nama AWSControlTowerBlueprintAccess.

AWS Control Tower mengasumsikan peran ini untuk membuat sumber daya Portofolio atas nama Anda AWS Service Catalog, lalu menambahkan cetak biru Anda sebagai Produk Katalog Layanan ke Portofolio ini, dan kemudian membagikan Portofolio ini, dan cetak biru Anda, dengan akun anggota Anda selama penyediaan akun.

Anda akan membuat AWSControlTowerBlueprintAccess peran, seperti yang dijelaskan di bagian berikut.

Arahkan ke konsol IAM untuk mengatur peran yang diperlukan.

Untuk mengatur peran dalam akun AWS Control Tower yang terdaftar

  1. Buat federasi atau masuk sebagai prinsipal di akun manajemen AWS Control Tower.

  2. Dari prinsipal federasi di akun manajemen, asumsikan atau alihkan peran ke AWSControlTowerExecution peran di akun AWS Control Tower terdaftar yang Anda pilih untuk dijadikan akun hub cetak biru.

  3. Dari AWSControlTowerExecution peran di akun AWS Control Tower yang terdaftar, buat AWSControlTowerBlueprintAccess peran dengan izin dan hubungan kepercayaan yang tepat.

catatan

Untuk mematuhi panduan praktik AWS terbaik, penting bagi Anda untuk segera keluar dari AWSControlTowerExecution peran tersebut setelah Anda membuat AWSControlTowerBlueprintAccess peran.

Untuk mencegah perubahan sumber daya yang tidak diinginkan, AWSControlTowerExecution peran ini dimaksudkan untuk digunakan oleh AWS Control Tower saja.

Jika akun hub cetak biru Anda tidak terdaftar di AWS Control Tower, AWSControlTowerExecution peran tersebut tidak akan ada di akun, dan tidak perlu berasumsi sebelum melanjutkan pengaturan peran. AWSControlTowerBlueprintAccess

Untuk mengatur peran dalam akun anggota yang tidak terdaftar

  1. Federasi atau masuk sebagai kepala sekolah di akun yang ingin Anda tetapkan sebagai akun hub, melalui metode pilihan Anda.

  2. Saat masuk sebagai prinsipal di akun, buat AWSControlTowerBlueprintAccess peran dengan izin dan hubungan kepercayaan yang tepat.

AWSControlTowerBlueprintAccessPeran harus diatur untuk memberikan kepercayaan kepada dua kepala sekolah:

  • Prinsipal (pengguna) yang menjalankan AWS Control Tower di akun manajemen AWS Control Tower.

  • Peran yang disebutkan AWSControlTowerAdmin dalam akun manajemen AWS Control Tower.

Berikut adalah contoh kebijakan kepercayaan, mirip dengan yang perlu Anda sertakan untuk peran Anda. Kebijakan ini menunjukkan praktik terbaik dalam memberikan akses hak istimewa paling sedikit. Saat Anda membuat kebijakan sendiri, ganti istilah YourManagementAccountIddengan ID acccount aktual akun manajemen AWS Control Tower Anda, dan ganti istilah tersebut YourControlTowerUserRoledengan pengenal peran IAM untuk akun manajemen Anda.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                "arn:aws:iam::YourManagementAccountId:role/service-role/AWSControlTowerAdmin", 
                "arn:aws:iam::YourManagementAccountId:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Kebijakan izin yang diperlukan

AWS Control Tower mengharuskan kebijakan terkelola yang diberi nama AWSServiceCatalogAdminFullAccess harus dilampirkan ke AWSControlTowerBlueprintAccess peran. Kebijakan ini memberikan izin yang AWS Service Catalog dicari ketika AWS Control Tower mengizinkan AWS Control Tower mengelola portofolio dan sumber daya AWS Service Catalog Produk Anda. Anda dapat melampirkan kebijakan ini saat membuat peran di konsol IAM.

Izin tambahan mungkin diperlukan

  • Jika Anda menyimpan cetak biru di Amazon S3, AWS Control Tower juga memerlukan kebijakan AmazonS3ReadOnlyAccess izin untuk peran tersebut. AWSControlTowerBlueprintAccess

  • Jenis produk AWS Service Catalog Terraform mengharuskan Anda menambahkan beberapa izin tambahan ke kebijakan IAM kustom AFC, jika Anda tidak menggunakan kebijakan Admin default. Ini membutuhkan ini selain izin yang diperlukan untuk membuat sumber daya yang Anda tentukan di templat terraform Anda.

Langkah 2. Buat AWS Service Catalog produk

Untuk membuat AWS Service Catalog produk, ikuti langkah-langkah di Membuat produk di Panduan AWS Service Catalog Administrator. Anda akan menambahkan cetak biru akun Anda sebagai templat saat membuat produk. AWS Service Catalog

penting

Sebagai hasil dari HashiCorp lisensi Terraform yang diperbarui, AWS Service Catalog mengubah dukungan untuk produk Terraform Open Source dan menyediakan produk ke jenis produk baru, yang disebut Eksternal. Untuk mempelajari lebih lanjut tentang bagaimana perubahan ini memengaruhi AFC, termasuk cara memperbarui cetak biru akun yang ada ke jenis produk Eksternal, tinjau Transisi ke jenis produk Eksternal.

Ringkasan langkah-langkah untuk membuat cetak biru

  • Buat atau unduh AWS CloudFormation templat atau file konfigurasi Terraform tar.gz yang akan menjadi cetak biru akun Anda. Beberapa contoh template diberikan nanti di bagian ini.

  • Masuk ke Akun AWS tempat Anda menyimpan cetak biru Account Factory (terkadang disebut akun hub).

  • Arahkan ke AWS Service Catalog konsol. Pilih daftar Produk, lalu pilih Unggah produk baru.

  • Di panel Detail Produk, masukkan detail untuk produk cetak biru Anda, seperti nama dan deskripsi.

  • Pilih Gunakan file templat dan kemudian pilih Pilih file. Pilih atau tempel templat atau file konfigurasi yang telah Anda kembangkan atau unduh untuk digunakan sebagai cetak biru Anda.

  • Pilih Buat produk di bagian bawah halaman konsol.

Anda dapat mengunduh AWS CloudFormation template dari repositori arsitektur AWS Service Catalog referensi. Salah satu contoh dari repositori itu membantu menyiapkan rencana cadangan untuk sumber daya Anda.

Berikut adalah contoh template, untuk perusahaan fiktif bernama Best Pets. Ini membantu mengatur koneksi ke database hewan peliharaan mereka.

Resources:
  ConnectionStringGeneratorLambdaRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - lambda.amazonaws.com
            Action:
              - "sts:AssumeRole"
  ConnectionStringGeneratorLambda:
    Type: AWS::Lambda::Function
    Properties:
      FunctionName: !Join ['-', ['ConnectionStringGenerator', !Select [4, !Split ['-', !Select [2, !Split ['/', !Ref AWS::StackId]]]]]]
      Description: Retrieves the connection string for this account to access the Pet Database
      Role: !GetAtt ConnectionStringGeneratorLambdaRole.Arn
      Runtime: nodejs16.x
      Handler: index.handler
      Timeout: 5
      Code:
        ZipFile: >
          const response = require("cfn-response");
          exports.handler = function (event, context) {
            const awsAccountId = context.invokedFunctionArn.split(":")[4]
            const connectionString= "fake connection string that's specific to account " + awsAccountId;
            const responseData = {
              Value: connectionString,
            }
            response.send(event, context, response.SUCCESS, responseData);
            return connectionString;
          };

  ConnectionString:
    Type: Custom::ConnectionStringGenerator
    Properties:
      ServiceToken: !GetAtt ConnectionStringGeneratorLambda.Arn

  PetDatabaseConnectionString:
    DependsOn: ConnectionString
    # For example purposes we're using SSM parameter store.
    # In your template, use secure alternatives to store
    # sensitive values such as connection strings.
    Type: AWS::SSM::Parameter
    Properties: 
      Name: pet-database-connection-string
      Description: Connection information for the BestPets pet database
      Type: String
      Value: !GetAtt ConnectionString.Value

Langkah 3. Tinjau cetak biru kustom Anda

Anda dapat melihat cetak biru Anda di konsol. AWS Service Catalog Untuk informasi selengkapnya, lihat Mengelola produk di Panduan Adminstrator Service Catalog.

Langkah 4. Hubungi cetak biru Anda untuk membuat akun yang disesuaikan

Saat mengikuti alur kerja Buat akun di konsol AWS Control Tower, Anda akan melihat bagian opsional tempat Anda dapat memasukkan informasi tentang cetak biru yang ingin Anda gunakan untuk menyesuaikan akun.

catatan

Anda harus menyiapkan akun hub kustomisasi dan menambahkan setidaknya satu cetak biru (produk Service Catalog) sebelum Anda dapat memasukkan informasi tersebut ke konsol AWS Control Tower dan mulai menyediakan akun yang disesuaikan.

Buat atau perbarui akun yang disesuaikan di konsol AWS Control Tower.

  1. Masukkan ID akun untuk akun yang berisi cetak biru Anda.

  2. Dari akun tersebut, pilih produk Service Catalog yang sudah ada (cetak biru yang ada).

  3. Pilih versi cetak biru yang tepat (produk Service Catalog), jika Anda memiliki lebih dari satu versi.

  4. (Opsional) Anda dapat menambahkan atau mengubah kebijakan penyediaan cetak biru pada saat ini dalam proses. Kebijakan penyediaan cetak biru ditulis dalam JSON dan dilampirkan ke peran IAM, sehingga dapat menyediakan sumber daya yang ditentukan dalam templat cetak biru. AWS Control Tower membuat peran ini di akun anggota sehingga Service Catalog dapat menyebarkan sumber daya menggunakan kumpulan AWS CloudFormation tumpukan. Peran ini bernama AWSControlTower-BlueprintExecution-bp-xxxx. AdministratorAccessKebijakan ini diterapkan di sini secara default.

  5. Pilih Wilayah AWS atau Wilayah tempat Anda ingin menyebarkan akun berdasarkan cetak biru ini.

  6. Jika cetak biru Anda berisi parameter, Anda dapat memasukkan nilai untuk parameter ke dalam bidang tambahan dalam alur kerja AWS Control Tower. Nilai tambahan dapat mencakup: nama GitHub repositori, GitHub cabang, nama cluster Amazon ECS, dan GitHub identitas untuk pemilik repositori.

  7. Anda dapat menyesuaikan akun di lain waktu dengan mengikuti proses pembaruan Akun, jika akun hub atau cetak biru Anda belum siap.

Untuk detail selengkapnya, lihat Buat akun yang disesuaikan dari cetak biru.