Panoramica Prerequisiti di personalizzazione Applica personalizzazioni globali Applica le personalizzazioni dell'account Richiama nuovamente le personalizzazioni Risoluzione dei problemi relativi al tracciamento delle richieste di personalizzazione AFT dell'account

Personalizzazioni dell'account

AFTpuò implementare configurazioni standard o personalizzate negli account assegnati. Nell'account di AFT gestione, AFT fornisce una pipeline per ogni account. Con questa pipeline, puoi implementare le tue personalizzazioni in tutti gli account, in un set di account o in singoli account. Puoi eseguire script Python, script bash e configurazioni Terraform oppure puoi interagire con loro AWS CLI come parte della fase di personalizzazione del tuo account.

Panoramica

Dopo aver specificato le personalizzazioni nei git repository prescelti, quello in cui memorizzi le personalizzazioni globali o in cui archivi le personalizzazioni dell'account, la fase di personalizzazione dell'account viene completata automaticamente dalla pipeline. AFT Per personalizzare gli account in modo retroattivo, consulta. Richiama nuovamente le personalizzazioni

Personalizzazioni globali (facoltative)

Puoi scegliere di applicare determinate personalizzazioni a tutti gli account forniti da. AFT Ad esempio, se devi creare un IAM ruolo particolare o implementare un controllo personalizzato in ogni account, la fase di personalizzazione globale in corso ti AFT consente di farlo automaticamente.

Personalizzazioni dell'account (facoltative)

Per personalizzare un singolo account, o un insieme di account, in modo diverso dagli altri AFT account assegnati, puoi sfruttare la parte della AFT pipeline dedicata alle personalizzazioni degli account per implementare configurazioni specifiche dell'account. Ad esempio, solo un determinato account può richiedere l'accesso a un gateway Internet.

Prerequisiti di personalizzazione

Prima di iniziare a personalizzare gli account, assicurati che questi prerequisiti siano soddisfatti.

Un completamente distribuitoAFT. Per informazioni su come eseguire la distribuzione, vedere. Configura e avvia il tuo AWS Control Tower Account Factory per Terraform
gitArchivi precompilati per personalizzazioni globali e personalizzazioni degli account nell'ambiente in uso. Per ulteriori informazioni, consulta la Fase 3: Compila ogni repository. Fasi successive all'implementazione

Applica personalizzazioni globali

Per applicare personalizzazioni globali, devi inserire una struttura di cartelle specifica nel repository prescelto.

Se le tue configurazioni personalizzate sono sotto forma di programmi o script Python, inseriscili nella cartella api_helpers/python nel tuo repository.
Se le tue configurazioni personalizzate sono sotto forma di script Bash, inseriscile nella cartella api_helpers del tuo repository.
Se le tue configurazioni personalizzate sono sotto forma di Terraform, inseriscile nella cartella terraform del tuo repository.
Fai riferimento al README file di personalizzazione globale per maggiori dettagli sulla creazione di configurazioni personalizzate.

Nota

Le personalizzazioni globali vengono applicate automaticamente, dopo la fase del framework di provisioning AFT dell'account nella pipeline. AFT

Applica le personalizzazioni dell'account

Puoi applicare personalizzazioni all'account inserendo una struttura di cartelle specifica nel repository prescelto. Le personalizzazioni degli account vengono applicate automaticamente nella AFT pipeline e dopo la fase di personalizzazione globale. Puoi anche creare più cartelle che contengono diverse personalizzazioni dell'account nel tuo repository di personalizzazioni dell'account. Per ogni personalizzazione dell'account richiesta, utilizza i seguenti passaggi.

Per applicare le personalizzazioni dell'account

Passaggio 1: creare una cartella per la personalizzazione dell'account

Nel repository prescelto, copia la ACCOUNT_TEMPLATE cartella che la AFT fornisce in una nuova cartella. Il nome della nuova cartella deve corrispondere a account_customizations_name quello fornito nella richiesta dell'account.
Aggiungi le configurazioni alla cartella di personalizzazione dell'account specifica

Puoi aggiungere configurazioni alla cartella delle personalizzazioni dell'account in base al formato delle configurazioni.
- Se le tue configurazioni personalizzate sono sotto forma di programmi o script Python, inseriscile nella cartella /api_helpers/python che si [account_customizations_name]trova nel tuo repository.
- Se le tue configurazioni personalizzate sono sotto forma di script Bash, inseriscile nella cartella /api_helpers che si trova nel tuo repository. [account_customizations_name]
- Se le tue configurazioni personalizzate sono sotto forma di Terraform, inseriscile nella cartella /terraform che si trova nel tuo repository. [account_customizations_name]
Per ulteriori informazioni sulla creazione di configurazioni personalizzate, consulta il file di personalizzazione dell'account. README
Fai riferimento al account_customizations_name parametro specifico nel file di richiesta dell'account

Il file di richiesta AFT dell'account include il parametro di inputaccount_customizations_name. Inserisci il nome della personalizzazione dell'account come valore per questo parametro.

Nota

È possibile inviare più richieste di account per gli account presenti nel proprio ambiente. Quando desideri applicare personalizzazioni dell'account diverse o simili, specifica le personalizzazioni dell'account utilizzando il parametro di account_customizations_name input nelle richieste dell'account. Per ulteriori informazioni, consulta Inviare più richieste di account.

Richiama nuovamente le personalizzazioni

AFTfornisce un modo per richiamare nuovamente le personalizzazioni nella pipeline. AFT Questo metodo è utile quando hai aggiunto un nuovo passaggio di personalizzazione o quando apporti modifiche a una personalizzazione esistente. Quando si richiama nuovamente, AFT avvia la pipeline di personalizzazioni per apportare modifiche all'account fornito. AFT Una event-source-based nuova richiamata consente di applicare personalizzazioni a singoli account, a tutti gli account, agli account in base all'unità organizzativa o agli account selezionati in base ai tag.

Segui questi tre passaggi per richiamare nuovamente le personalizzazioni per gli account -provisioned. AFT

Passaggio 1: invia le modifiche agli archivi di personalizzazione globali o degli account git

Puoi aggiornare le personalizzazioni globali e dell'account secondo necessità e inviare le modifiche ai tuoi repository. git A questo punto, non succede nulla. La pipeline di personalizzazioni deve essere richiamata da una fonte di eventi, come spiegato nei due passaggi successivi.

Fase 2: Avviare un'esecuzione di AWS Step Function per richiamare nuovamente le personalizzazioni

AFTfornisce una AWS Step Function richiamata aft-invoke-customizations nell'account di gestione. AFT Lo scopo di tale funzione è richiamare nuovamente la pipeline di personalizzazione per gli account -provisioned. AFT

Ecco un esempio di schema di eventi (JSONformato) che puoi creare per passare l'input alla Step Function. aft-invoke-customizations AWS



{
  "include": [
    {
      "type": "all"
    },
    {
      "type": "ous",
      "target_value": [ "ou1","ou2"]
    },
    {
      "type": "tags",
      "target_value": [ {"key1": "value1"}, {"key2": "value2"}]
    },
    {
      "type": "accounts",
      "target_value": [ "acc1_ID","acc2_ID"]
    }
  ],

  "exclude": [
    {
      "type": "ous",
      "target_value": [ "ou1","ou2"]
    },
    {
      "type": "tags",
      "target_value": [ {"key1": "value1"}, {"key2": "value2"}]
    },
    {
      "type": "accounts",
      "target_value": [ "acc1_ID","acc2_ID"]
    }
  ]
}

Lo schema di eventi di esempio mostra che è possibile scegliere gli account da includere o escludere dal processo di reinvoca. È possibile filtrare per unità organizzativa (OU), tag di account e ID account. Se non applichi alcun filtro e includi l'estratto conto"type":"all", viene richiamata nuovamente la personalizzazione per tutti gli account AFT predisposti.

Nota

Se la tua versione di AWS Control Tower Account Factory for Terraform (AFT) è 1.6.5 o successiva, puoi scegliere come target nested (OUscon la sintassi). OU Name (ou-id-1234 Per ulteriori informazioni, consulta il seguente argomento su. GitHub

Dopo aver compilato i parametri dell'evento, Step Functions viene eseguito e richiama le personalizzazioni corrispondenti. AFTpuò richiamare un massimo di 5 personalizzazioni alla volta. Step Functions attende e si ripete fino al completamento di tutti gli account che soddisfano i criteri dell'evento.

Fase 3: Monitora l'uscita di AWS Step Function e guarda la corsa AWS CodePipeline

L'output Step Function risultante contiene account IDs che corrispondono alla fonte dell'evento di input Step Function.
Vai alla AWS CodePipeline sezione Strumenti per sviluppatori e visualizza le pipeline di personalizzazione corrispondenti per l'ID dell'account.

Risoluzione dei problemi relativi al tracciamento delle richieste di personalizzazione AFT dell'account

Flussi di lavoro di personalizzazione dell'account basati su registri di emissione contenenti l'account di AWS Lambda destinazione e la richiesta di personalizzazione. IDs AFTti consente di tracciare e risolvere i problemi delle richieste di personalizzazione con Amazon CloudWatch Logs fornendoti le query di CloudWatch Logs Insights che puoi utilizzare per filtrare i CloudWatch log relativi alla tua richiesta di personalizzazione in base all'account di destinazione o all'ID della richiesta di personalizzazione. Per ulteriori informazioni, consulta Analyzing log data with Amazon CloudWatch Logs nella Amazon CloudWatch Logs User Guide.

Per utilizzare Logs Insights per CloudWatch AFT

Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.
Dal riquadro di navigazione, scegli Logs, quindi seleziona Logs insights.
Scegli Query.
In Query di esempio, scegli Account Factory for Terraform, quindi seleziona una delle seguenti query:
- Registri di personalizzazione per ID account
  
  Nota
  Assicurati di sostituirlo "YOUR-ACCOUNT-ID" con l'ID dell'account di destinazione.
```
fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.account_id == "YOUR-ACCOUNT-ID" and @message like /customization_request_id/
```
- Registri di personalizzazione in base all'ID della richiesta di personalizzazione
  
  Nota
  Assicurati di sostituirlo "YOUR-CUSTOMIZATION-REQUEST-ID" con l'ID della richiesta di personalizzazione. Puoi trovare l'ID della tua richiesta di personalizzazione nell'output dell'AFTAccount Provisioning Framework AWS Step Functions State Machine. Per ulteriori informazioni sull'AFTaccount provisioning framework, consulta AFT Account Provisioning Pipeline
```
fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.customization_request_id == "YOUR-CUSTOMIZATION-REQUEST-ID"
```
Dopo aver selezionato una query, assicurati di selezionare un intervallo di tempo, quindi scegli Esegui query.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AFTpipeline di approvvigionamento degli account

Alternativa VCS