Walkthrough: Mengotomatiskan Penyediaan Akun di Control AWS Tower dengan Service Catalog APIs - AWS Control Tower
Masukan penyediaan sampel untuk Service Catalog APIPanduan Video

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Walkthrough: Mengotomatiskan Penyediaan Akun di Control AWS Tower dengan Service Catalog APIs

AWSControl Tower terintegrasi dengan beberapa AWS layanan lainnya, seperti AWS Service Catalog. Anda dapat menggunakan APIs untuk membuat dan menyediakan akun anggota Anda di AWS Control Tower.

Video menunjukkan kepada Anda cara menyediakan akun secara otomatis, secara batch, dengan menelepon AWS Service Catalog APIs. Untuk penyediaan, Anda akan memanggil ProvisionProductAPIdari antarmuka baris AWS perintah (CLI), dan Anda akan menentukan JSON file yang berisi parameter untuk setiap akun yang ingin Anda atur. Video menggambarkan menginstal dan menggunakan lingkungan pengembangan AWS Cloud9 untuk melakukan pekerjaan ini. CLIPerintahnya akan sama jika Anda menggunakan AWS Cloudshell alih-alih AWS Cloud9.

catatan

Anda juga dapat menyesuaikan pendekatan ini untuk mengotomatiskan pembaruan akun, dengan menelepon UpdateProvisionedProductAPIdari AWS Service Catalog untuk setiap akun. Anda dapat menulis skrip untuk memperbarui akun, satu per satu.

Sebagai metode otomatisasi yang sama sekali berbeda, jika Anda terbiasa dengan Terraform, Anda dapat menyediakan akun dengan AWS Control Tower Account Factory untuk Terraform (). AFT

Contoh peran administrasi otomatisasi

Berikut adalah contoh templat yang dapat Anda gunakan untuk membantu mengonfigurasi peran administrasi otomatisasi Anda di akun manajemen. Anda akan mengonfigurasi peran ini di akun manajemen Anda sehingga dapat melakukan otomatisasi dengan akses Administrator di akun target.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the SampleAutoAdminRole

Resources:
  AdministrationRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: SampleAutoAdminRole
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service: cloudformation.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: AssumeSampleAutoAdminRole
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - "arn:aws:iam::*:role/SampleAutomationExecutionRole"

Contoh peran eksekusi otomatisasi

Berikut adalah contoh template yang dapat Anda gunakan untuk membantu Anda mengatur peran eksekusi otomatisasi Anda. Anda akan mengonfigurasi peran ini di akun target.

AWSTemplateFormatVersion: "2010-09-09"
Description: "Create automation execution role for creating Sample Additional Role."

Parameters:
  AdminAccountId:
    Type: "String"
    Description: "Account ID for the administrator account (typically management, security or shared services)."
  AdminRoleName:
    Type: "String"
    Description: "Role name for automation administrator access."
    Default: "SampleAutomationAdministrationRole"
  ExecutionRoleName:
    Type: "String"
    Description: "Role name for automation execution."
    Default: "SampleAutomationExecutionRole"
  SessionDurationInSecs:
    Type: "Number"
    Description: "Maximum session duration in seconds."
    Default: 14400

Resources:
  # This needs to run after AdminRoleName exists.
  ExecutionRole:
    Type: "AWS::IAM::Role"
    Properties:
      RoleName: !Ref ExecutionRoleName
      MaxSessionDuration: !Ref SessionDurationInSecs
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: "Allow"
            Principal:
              AWS:
                - !Sub "arn:aws:iam::${AdminAccountId}:role/${AdminRoleName}"
            Action:
              - "sts:AssumeRole"
      Path: "/"
      ManagedPolicyArns:
        - "arn:aws:iam::aws:policy/AdministratorAccess"

Setelah mengonfigurasi peran ini, Anda memanggil AWS Service Catalog APIs untuk melakukan tugas otomatis. CLIPerintah diberikan dalam video.

Masukan penyediaan sampel untuk Service Catalog API

Berikut adalah contoh masukan yang dapat Anda berikan ke Service Catalog ProvisionProduct API jika Anda menggunakan API untuk menyediakan akun AWS Control Tower:

{
  pathId: "lpv2-7n2o3nudljh4e",
  productId: "prod-y422ydgjge2rs",
  provisionedProductName: "Example product 1",
  provisioningArtifactId: "pa-2mmz36cfpj2p4",
  provisioningParameters: [
    {
      key: "AccountEmail",
      value: "abc@amazon.com"
    },
    {
      key: "AccountName",
      value: "ABC"
    },
    {
      key: "ManagedOrganizationalUnit",
      value: "Custom (ou-xfe5-a8hb8ml8)"
    },
    {
      key: "SSOUserEmail",
      value: "abc@amazon.com"
    },
    {
      key: "SSOUserFirstName",
      value: "John"
    },
    {
      key: "SSOUserLastName",
      value: "Smith"
    }
  ],
  provisionToken: "c3c795a1-9824-4fb2-a4c2-4b1841be4068"
}

Untuk informasi selengkapnya, lihat APIreferensi untuk Service Catalog.

catatan

Perhatikan bahwa format string input untuk nilai ManagedOrganizationalUnit telah berubah dari OU_NAME keOU_NAME (OU_ID). Video berikut tidak menyebutkan perubahan ini.

Panduan Video

Video ini (6:58) menjelaskan cara mengotomatiskan penerapan akun di Control Tower. AWS Untuk tampilan yang lebih baik, pilih ikon di sudut kanan bawah video untuk memperbesarnya ke layar penuh. Captioning tersedia.