Menyebarkan AWS Control Tower Account Factory untuk Terraform () AFT - AWSControl Tower
Konfigurasikan dan luncurkan AWS Control Tower Account Factory Anda untuk Terraform

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyebarkan AWS Control Tower Account Factory untuk Terraform () AFT

Bagian ini ditujukan untuk administrator lingkungan AWS Control Tower yang ingin menyiapkan Account Factory for Terraform (AFT) di lingkungan mereka yang ada. Ini menjelaskan cara menyiapkan Account Factory untuk lingkungan Terraform (AFT) dengan akun AFT manajemen khusus yang baru.

catatan

Modul Terraform diterapkan. AFT Modul ini tersedia di AFTrepositori aktif GitHub, dan seluruh AFT repositori dianggap modul.

Kami menyarankan Anda merujuk ke AFT modul GitHub alih-alih mengkloning AFT repositori. Dengan cara ini Anda dapat mengontrol dan menggunakan pembaruan modul saat tersedia.

Untuk detail tentang rilis terbaru dari fungsi AWS Control Tower Account Factory untuk Terraform (AFT), lihat file Rilis untuk repositori ini GitHub .

Prasyarat penyebaran

Sebelum Anda mengonfigurasi dan meluncurkan AFT lingkungan Anda, Anda harus memiliki yang berikut:

Konfigurasikan dan luncurkan AWS Control Tower Account Factory Anda untuk Terraform

Langkah-langkah berikut mengasumsikan bahwa Anda terbiasa dengan alur kerja Terraform. Anda juga dapat mempelajari lebih lanjut tentang penerapan AFT dengan mengikuti Pengantar AFT lab di situs web AWS Workshop Studio.

Langkah 1: Luncurkan landing zone AWS Control Tower

Selesaikan langkah-langkah dalam Memulai dengan AWS Control Tower. Di sinilah Anda membuat akun manajemen AWS Control Tower dan mengatur landing zone AWS Control Tower Anda.

catatan

Pastikan untuk membuat peran untuk akun manajemen AWS Control Tower yang memiliki AdministratorAccesskredensi. Untuk informasi selengkapnya, lihat berikut ini:

Langkah 2: Buat unit organisasi baru untuk AFT (direkomendasikan)

Kami menyarankan Anda membuat OU terpisah di AWS organisasi Anda. Di sinilah Anda menyebarkan akun AFT manajemen. Buat OU baru dengan akun manajemen AWS Control Tower Anda. Untuk informasi selengkapnya, lihat Membuat OU baru.

Langkah 3: Menyediakan akun AFT manajemen

AFTmengharuskan Anda menyediakan AWS akun yang didedikasikan untuk operasi AFT manajemen. Akun manajemen AWS Control Tower, yang terkait dengan zona pendaratan AWS Control Tower Anda, menjual akun AFT manajemen. Untuk informasi selengkapnya, lihat Menyediakan akun dengan AWS Service Catalog Account Factory.

catatan

Jika Anda membuat OU terpisah untukAFT, pastikan untuk memilih OU ini saat Anda membuat akun AFT manajemen.

Diperlukan waktu hingga 30 menit untuk sepenuhnya menyediakan akun AFT manajemen.

Langkah 4: Verifikasi lingkungan Terraform tersedia untuk penerapan

Langkah ini mengasumsikan bahwa Anda memiliki pengalaman dengan Terraform dan memiliki prosedur untuk menjalankan Terraform. Untuk informasi selengkapnya, lihat Command: init di situs web HashiCorp Developer.

catatan

AFTmendukung Versi Terraform 1.6.0 atau yang lebih baru.

Langkah 5: Hubungi Account Factory untuk modul Terraform untuk digunakan AFT

Panggil AFT modul dengan peran yang Anda buat untuk akun manajemen AWS Control Tower yang memiliki AdministratorAccesskredensi. AWSControl Tower menyediakan modul Terraform melalui akun manajemen AWS Control Tower, yang menetapkan semua infrastruktur yang diperlukan untuk mengatur permintaan AWS Control Tower Account Factory.

Anda dapat melihat AFT modul di AFTrepositori pada. GitHub Seluruh GitHub repositori dianggap sebagai modul. AFT Lihat READMEfile untuk informasi tentang input yang diperlukan untuk menjalankan AFT modul dan menyebarkanAFT. Atau, Anda dapat melihat AFT modul di Terraform Registry.

AFTModul ini mencakup aft_enable_vpc parameter yang menentukan apakah AWS Control Tower menyediakan sumber daya akun dalam cloud pribadi virtual (VPC) di akun AFT manajemen pusat. Secara default, parameter diatur ketrue. Jika Anda menyetel parameter inifalse, AWS Control Tower akan digunakan AFT tanpa menggunakan sumber daya jaringan pribadi VPC dan pribadi, seperti NAT Gateways atau endpoint. VPC Menonaktifkan aft_enable_vpc dapat membantu mengurangi biaya operasi AFT untuk beberapa pola penggunaan.

catatan

Mengaktifkan kembali aft_enable_vpc parameter (mengalihkan nilai dari false ketrue) mungkin mengharuskan Anda menjalankan terraform apply perintah dua kali berturut-turut.

Jika Anda memiliki saluran pipa di lingkungan Anda yang dibuat untuk mengelola Terraform, Anda dapat mengintegrasikan AFT modul ke dalam alur kerja yang ada. Jika tidak, jalankan AFT modul dari lingkungan apa pun yang diautentikasi dengan kredensi yang diperlukan.

Timeout menyebabkan penerapan gagal. Sebaiknya gunakan kredensi AWS Security Token Service (STS) untuk memastikan Anda memiliki batas waktu yang cukup untuk penerapan penuh. Batas waktu minimum untuk AWS STS kredensional adalah 60 menit. Untuk informasi selengkapnya, lihat Kredensi keamanan sementara IAM di AWS Identity and Access Management Panduan Pengguna.

catatan

Anda mungkin menunggu hingga 30 menit AFT untuk menyelesaikan penerapan melalui modul Terraform.

Langkah 6: Kelola file status Terraform

File status Terraform dibuat saat Anda menerapkan. AFT Artefak ini menggambarkan keadaan sumber daya yang dibuat Terraform. Jika Anda berencana untuk memperbarui AFT versi, pastikan untuk memilih file status Terraform, atau menyiapkan backend Terraform menggunakan Amazon S3 dan DynamoDB. AFTModul tidak mengelola status Terraform backend.

catatan

Anda bertanggung jawab untuk melindungi file status Terraform. Beberapa variabel input mungkin berisi nilai sensitif, seperti ssh kunci pribadi atau token Terraform. Bergantung pada metode penerapan Anda, nilai-nilai ini dapat dilihat sebagai teks biasa di file status Terraform. Untuk informasi selengkapnya, lihat Data sensitif di Negara di HashiCorp situs web.