Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kustomisasi akun
AFT dapat menerapkan konfigurasi standar atau khusus di akun yang disediakan. Di akun manajemen AFT, AFT menyediakan satu pipeline untuk setiap akun. Dengan pipeline ini, Anda dapat menerapkan penyesuaian di semua akun, dalam satu set akun, atau di akun individual. Anda dapat menjalankan skrip Python, skrip bash, dan konfigurasi Terraform, atau Anda dapat berinteraksi dengan AWS CLI sebagai bagian dari tahap penyesuaian akun Anda.
Ikhtisar
Setelah kustomisasi Anda ditentukan dalam git
repositori pilihan Anda, baik tempat Anda menyimpan penyesuaian global atau tempat Anda menyimpan penyesuaian akun, tahap penyesuaian akun diselesaikan secara otomatis oleh pipeline AFT. Untuk menyesuaikan akun secara surut, lihatMemanggil kembali kustomisasi.
Kustomisasi global (opsional)
Anda dapat memilih untuk menerapkan penyesuaian tertentu ke semua akun yang disediakan oleh AFT. Misalnya, jika Anda perlu membuat peran IAM tertentu, atau menerapkan kontrol kustom di setiap akun, tahap penyesuaian global dalam pipeline AFT memungkinkan Anda melakukannya, secara otomatis.
Kustomisasi akun (opsional)
Untuk menyesuaikan akun individual, atau satu set akun, secara berbeda dari akun yang disediakan AFT lainnya, Anda dapat memanfaatkan bagian penyesuaian akun dari pipeline AFT untuk menerapkan konfigurasi khusus akun. Misalnya, hanya akun tertentu yang mungkin memerlukan akses ke gateway internet.
Prasyarat kustomisasi
Sebelum Anda mulai menyesuaikan akun, pastikan prasyarat ini sudah ada.
-
AFT yang sepenuhnya dikerahkan. Untuk informasi tentang cara menerapkan, lihatKonfigurasikan dan luncurkan AWS Control Tower Account Factory Anda untuk Terraform.
-
git
Repositori terisi sebelumnya untuk penyesuaian global dan penyesuaian akun di lingkungan Anda. Lihat Langkah 3: Isi setiap repositori Langkah-langkah pasca-penerapan untuk informasi lebih lanjut.
Terapkan kustomisasi global
Untuk menerapkan penyesuaian global, Anda harus mendorong struktur folder tertentu ke repositori pilihan Anda.
-
Jika konfigurasi kustom Anda dalam bentuk program atau skrip Python, letakkan di bawah folder api_helpers/python di repositori Anda.
-
Jika konfigurasi kustom Anda dalam bentuk skrip Bash, letakkan di bawah folder api_helpers di repositori Anda.
-
Jika konfigurasi khusus Anda dalam bentuk Terraform, letakkan di bawah folder terraform di repositori Anda.
-
Lihat file README kustomisasi global untuk detail selengkapnya tentang membuat konfigurasi kustom.
catatan
Kustomisasi global diterapkan secara otomatis, setelah tahap kerangka kerja penyediaan akun AFT di pipeline AFT.
Terapkan kustomisasi akun
Anda dapat menerapkan penyesuaian akun dengan mendorong struktur folder tertentu ke repositori pilihan Anda. Kustomisasi akun diterapkan secara otomatis di pipeline AFT dan setelah tahap penyesuaian global. Anda juga dapat membuat beberapa folder yang berisi penyesuaian akun yang berbeda di repositori penyesuaian akun Anda. Untuk setiap penyesuaian akun yang Anda butuhkan, gunakan langkah-langkah berikut.
Untuk menerapkan kustomisasi akun
-
Langkah 1: Buat folder untuk kustomisasi akun
Di repositori pilihan Anda, salin
ACCOUNT_TEMPLATE
folder yang disediakan AFT ke folder baru. Nama folder baru Anda harus sesuai denganaccount_customizations_name
yang Anda berikan dalam permintaan akun Anda. -
Tambahkan konfigurasi ke folder kustomisasi akun spesifik Anda
Anda dapat menambahkan konfigurasi ke folder penyesuaian akun Anda berdasarkan format konfigurasi Anda.
-
Jika konfigurasi kustom Anda dalam bentuk program atau skrip Python, letakkan di bawah folder
[account_customizations_name] /api_helpers/python
yang ada di repositori Anda. -
Jika konfigurasi kustom Anda dalam bentuk skrip Bash, letakkan di bawah folder
[account_customizations_name] /api_helpers
yang ada di repositori Anda. -
Jika konfigurasi khusus Anda dalam bentuk Terraform, letakkan di bawah folder
[account_customizations_name]
/terraform yang ada di repositori Anda.
Untuk informasi selengkapnya tentang membuat konfigurasi kustom, lihat file README penyesuaian akun.
-
-
Lihat
account_customizations_name
parameter spesifik dalam file permintaan akunFile permintaan akun AFT menyertakan parameter input
account_customizations_name
. Masukkan nama kustomisasi akun Anda sebagai nilai untuk parameter ini.
catatan
Anda dapat mengirimkan beberapa permintaan akun untuk akun di lingkungan Anda. Bila Anda ingin menerapkan kustomisasi akun yang berbeda atau serupa, tentukan kustomisasi akun menggunakan parameter account_customizations_name
input dalam permintaan akun Anda. Untuk informasi selengkapnya, lihat Mengirimkan beberapa permintaan akun.
Memanggil kembali kustomisasi
AFT menyediakan cara untuk memanggil kembali penyesuaian di pipeline AFT. Metode ini berguna ketika Anda telah menambahkan langkah penyesuaian baru, atau ketika Anda membuat perubahan pada kustomisasi yang ada. Saat Anda memanggil ulang, AFT memulai pipeline penyesuaian untuk membuat perubahan pada akun yang disediakan AFT. event-source-based Pemanggilan ulang memungkinkan Anda untuk menerapkan penyesuaian ke akun individual, ke semua akun, ke akun sesuai dengan OU mereka, atau ke akun yang dipilih sesuai dengan tag.
Ikuti tiga langkah ini untuk mengaktifkan kembali penyesuaian untuk akun yang disediakan AFT.
Langkah 1: Dorong perubahan ke repositori kustomisasi git
global atau akun
Anda dapat memperbarui penyesuaian global dan akun sesuai kebutuhan dan mendorong perubahan kembali ke repositori Andagit
. Pada titik ini, tidak ada yang terjadi, Pipa penyesuaian harus dipanggil oleh sumber acara, seperti yang dijelaskan dalam dua langkah berikutnya.
Langkah 2: Mulai AWS Step Function untuk menjalankan kembali kustomisasi
AFT menyediakan AWS Step Function yang disebut aft-invoke-customizations
di akun manajemen AFT. Tujuan dari fungsi itu adalah untuk memanggil kembali pipeline kustomisasi untuk akun yang disediakan AFT.
Berikut adalah contoh skema acara (format JSON) yang dapat Anda buat untuk meneruskan input ke aft-invoke-customizations
AWS Step Function.
{ "include": [ { "type": "all" }, { "type": "ous", "target_value": [ "ou1","ou2"] }, { "type": "tags", "target_value": [ {"key1": "value1"}, {"key2": "value2"}] }, { "type": "accounts", "target_value": [ "acc1_ID","acc2_ID"] } ], "exclude": [ { "type": "ous", "target_value": [ "ou1","ou2"] }, { "type": "tags", "target_value": [ {"key1": "value1"}, {"key2": "value2"}] }, { "type": "accounts", "target_value": [ "acc1_ID","acc2_ID"] } ] }
Contoh skema acara menunjukkan bahwa Anda dapat memilih akun untuk disertakan atau dikecualikan dari proses pemanggilan ulang. Anda dapat memfilter berdasarkan unit organisasi (OU), tag akun, dan ID akun. Jika Anda tidak menerapkan filter apa pun dan menyertakan pernyataan"type":"all"
, penyesuaian untuk semua akun yang disediakan AFT akan dipanggil kembali.
catatan
Jika versi AWS Control Tower adalah 1.6.5 atau yang lebih baru, Anda dapat menargetkan OU bersarang dengan sintaks). OU Name (ou-id-1234
Untuk informasi lebih lanjut, lihat topik berikut di GitHub
Setelah Anda mengisi parameter acara, Step Functions berjalan dan memanggil penyesuaian yang sesuai. AFT dapat memanggil maksimal 5 penyesuaian sekaligus. Step Functions menunggu dan mengulang sampai semua akun yang cocok dengan kriteria acara selesai.
Langkah 3: Pantau output AWS Step Function dan saksikan AWS CodePipeline berjalan
-
Output Step Function yang dihasilkan berisi ID akun yang cocok dengan sumber peristiwa masukan Fungsi Langkah.
-
Arahkan ke AWS CodePipeline di bawah Alat Pengembang dan lihat pipeline penyesuaian yang sesuai untuk ID akun.
Pemecahan masalah dengan penelusuran permintaan kustomisasi akun AFT
Alur kerja kustomisasi akun yang didasarkan pada log AWS Lambda emit yang berisi akun target dan ID permintaan kustomisasi. AFT memungkinkan Anda melacak dan memecahkan masalah permintaan kustomisasi dengan Amazon CloudWatch Logs dengan menyediakan kueri Wawasan CloudWatch Log yang dapat Anda gunakan untuk memfilter CloudWatch Log yang terkait dengan permintaan penyesuaian berdasarkan akun target atau ID permintaan kustomisasi. Untuk informasi selengkapnya, lihat Menganalisis data log dengan CloudWatch Log Amazon di Panduan Pengguna CloudWatch Log Amazon.
Untuk menggunakan Wawasan CloudWatch Log untuk AFT
-
Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/
. -
Dari panel navigasi, pilih Log, lalu pilih Wawasan log.
-
Pilih Kueri.
-
Di bawah Contoh kueri, pilih Account Factory untuk Terraform, lalu pilih salah satu kueri berikut:
-
Log Kustomisasi berdasarkan ID Akun
catatan
Pastikan untuk mengganti
“ID AKUN-AKUN ANDA” dengan ID
akun target Anda.fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream | sort @timestamp desc | filter log_message.account_id ==
"YOUR-ACCOUNT-ID"
and @message like /customization_request_id/ -
Log Kustomisasi dengan ID Permintaan Kustomisasi
catatan
Pastikan untuk mengganti
“YOUR-CUSTOMIZATION-REQUEST-ID” dengan ID permintaan kustomisasi
Anda. Anda dapat menemukan ID permintaan kustomisasi Anda di output mesin AWS Step Functions status kerangka kerja penyediaan akun AFT. Untuk informasi selengkapnya tentang kerangka kerja penyediaan akun AFT, lihat pipeline penyediaan akun AFTfields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream | sort @timestamp desc | filter log_message.customization_request_id ==
"YOUR-CUSTOMIZATION-REQUEST-ID"
-
-
Setelah Anda memilih kueri, pastikan untuk memilih interval waktu, lalu pilih Jalankan kueri.