Panduan: Mengotomatiskan Penyediaan Akun di AWS Control Tower oleh Service Catalog API - AWSControl Tower
Contoh masukan penyediaan untuk Service Catalog APIPanduan Video

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Panduan: Mengotomatiskan Penyediaan Akun di AWS Control Tower oleh Service Catalog API

AWS Control Tower terintegrasi dengan beberapa AWS layanan lain, seperti AWS Service Catalog. Anda dapat menggunakan API untuk membuat dan menyediakan akun anggota Anda di AWS Control Tower.

Video menunjukkan kepada Anda cara menyediakan akun secara otomatis, secara batch, dengan memanggil AWS Service Catalog API. Untuk penyediaan, Anda akan memanggil ProvisionProductAPI dari antarmuka baris AWS perintah (CLI), dan Anda akan menentukan file JSON yang berisi parameter untuk setiap akun yang ingin Anda atur. Video menggambarkan menginstal dan menggunakan lingkungan pengembangan AWS Cloud9 untuk melakukan pekerjaan ini. Perintah CLI akan sama jika Anda menggunakan Cloudshell AWS alih-alih Cloud9. AWS

catatan

Anda juga dapat menyesuaikan pendekatan ini untuk mengotomatiskan pembaruan akun, dengan memanggil UpdateProvisionedProductAPI AWS Service Catalog untuk setiap akun. Anda dapat menulis skrip untuk memperbarui akun, satu per satu.

Sebagai metode otomatisasi yang sama sekali berbeda, jika Anda terbiasa dengan Terraform, Anda dapat menyediakan akun dengan AWS Control Tower Account Factory for Terraform (AFT).

Contoh peran administrasi otomatisasi

Berikut adalah contoh templat yang dapat Anda gunakan untuk membantu mengonfigurasi peran administrasi otomatisasi Anda di akun manajemen. Anda akan mengonfigurasi peran ini di akun manajemen Anda sehingga dapat melakukan otomatisasi dengan akses Administrator di akun target.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the SampleAutoAdminRole

Resources:
  AdministrationRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: SampleAutoAdminRole
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service: cloudformation.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: AssumeSampleAutoAdminRole
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - "arn:aws:iam::*:role/SampleAutomationExecutionRole"

Contoh peran eksekusi otomatisasi

Berikut adalah contoh template yang dapat Anda gunakan untuk membantu Anda mengatur peran eksekusi otomatisasi Anda. Anda akan mengonfigurasi peran ini di akun target.

AWSTemplateFormatVersion: "2010-09-09"
Description: "Create automation execution role for creating Sample Additional Role."

Parameters:
  AdminAccountId:
    Type: "String"
    Description: "Account ID for the administrator account (typically management, security or shared services)."
  AdminRoleName:
    Type: "String"
    Description: "Role name for automation administrator access."
    Default: "SampleAutomationAdministrationRole"
  ExecutionRoleName:
    Type: "String"
    Description: "Role name for automation execution."
    Default: "SampleAutomationExecutionRole"
  SessionDurationInSecs:
    Type: "Number"
    Description: "Maximum session duration in seconds."
    Default: 14400

Resources:
  # This needs to run after AdminRoleName exists.
  ExecutionRole:
    Type: "AWS::IAM::Role"
    Properties:
      RoleName: !Ref ExecutionRoleName
      MaxSessionDuration: !Ref SessionDurationInSecs
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: "Allow"
            Principal:
              AWS:
                - !Sub "arn:aws:iam::${AdminAccountId}:role/${AdminRoleName}"
            Action:
              - "sts:AssumeRole"
      Path: "/"
      ManagedPolicyArns:
        - "arn:aws:iam::aws:policy/AdministratorAccess"

Setelah mengonfigurasi peran ini, Anda memanggil AWS Service Catalog API untuk melakukan tugas otomatis. Perintah CLI diberikan dalam video.

Contoh masukan penyediaan untuk Service Catalog API

Berikut adalah contoh masukan yang dapat Anda berikan ke Service Catalog ProvisionProduct API jika Anda menggunakan API untuk menyediakan akun AWS Control Tower:

{
  pathId: "lpv2-7n2o3nudljh4e",
  productId: "prod-y422ydgjge2rs",
  provisionedProductName: "Example product 1",
  provisioningArtifactId: "pa-2mmz36cfpj2p4",
  provisioningParameters: [
    {
      key: "AccountEmail",
      value: "abc@amazon.com"
    },
    {
      key: "AccountName",
      value: "ABC"
    },
    {
      key: "ManagedOrganizationalUnit",
      value: "Custom (ou-xfe5-a8hb8ml8)"
    },
    {
      key: "SSOUserEmail",
      value: "abc@amazon.com"
    },
    {
      key: "SSOUserFirstName",
      value: "John"
    },
    {
      key: "SSOUserLastName",
      value: "Smith"
    }
  ],
  provisionToken: "c3c795a1-9824-4fb2-a4c2-4b1841be4068"
}

Untuk informasi selengkapnya, lihat referensi API untuk Service Catalog.

catatan

Perhatikan bahwa format string input untuk nilai ManagedOrganizationalUnit telah berubah dari OU_NAME keOU_NAME (OU_ID). Video berikut tidak menyebutkan perubahan ini.

Panduan Video

Video ini (6:58) menjelaskan cara mengotomatiskan penerapan akun di AWS Control Tower. Untuk tampilan yang lebih baik, pilih ikon di sudut kanan bawah video untuk memperbesarnya ke layar penuh. Captioning tersedia.