Configura e avvia il tuo AWS Control Tower Account Factory per Terraform

Implementa AWS Control Tower Account Factory per Terraform () AFT

Questa sezione è dedicata agli amministratori degli ambienti AWS Control Tower che desiderano configurare Account Factory for Terraform (AFT) nel loro ambiente esistente. Descrive come configurare un ambiente Account Factory for Terraform (AFT) con un nuovo account di AFT gestione dedicato.

Nota

Viene distribuito un modulo Terraform. AFT Questo modulo è disponibile nel AFTrepository di e l'intero AFT repository è considerato il modulo. GitHub

Ti consigliamo di fare riferimento ai AFT moduli presenti GitHub invece di clonare il repository. AFT In questo modo è possibile controllare e utilizzare gli aggiornamenti dei moduli non appena sono disponibili.

Per i dettagli sulle ultime versioni della funzionalità AWS Control Tower Account Factory for Terraform (AFT), consulta il file Releases per questo GitHub repository.

Prerequisiti di distribuzione

Prima di configurare e avviare l'AFTambiente, è necessario disporre di quanto segue:

Una landing zone della AWS Control Tower. Per ulteriori informazioni, consulta Pianifica la tua landing zone della AWS Control Tower.
Una regione d'origine per la landing zone AWS della Control Tower. Per ulteriori informazioni, consulta How Regioni AWS work with AWS Control Tower.
Una versione e una distribuzione di Terraform. Per ulteriori informazioni, consulta Terraform e AFT versioni.
Un VCS provider per il monitoraggio e la gestione delle modifiche al codice e ad altri file. Per impostazione predefinita, AFT utilizza AWS CodeCommit. Per ulteriori informazioni, vedi Cos'è AWS CodeCommit? nella Guida AWS CodeCommit per l'utente.

Se esegui la distribuzione AFT per la prima volta e non disponi di un CodeCommit repository esistente, devi scegliere un VCS provider esterno, ad GitHub esempio o. BitBucket Per ulteriori informazioni, consulta Alternative per il controllo della versione del codice sorgente in. AFT
Un ambiente di runtime in cui è possibile eseguire il modulo Terraform che si installaAFT.
AFTopzioni di funzionalità. Per ulteriori informazioni, consulta Abilitare le opzioni delle funzionalità.

Configura e avvia il tuo AWS Control Tower Account Factory per Terraform

I passaggi seguenti presuppongono che tu abbia familiarità con il flusso di lavoro Terraform. Puoi anche saperne di più sulla distribuzione AFT seguendo l'Introduzione al AFT laboratorio sul sito Web di AWS Workshop Studio.

Fase 1: Avvia la landing zone AWS della Control Tower

Completa i passaggi descritti in Guida introduttiva a AWS Control Tower. Qui puoi creare l'account di gestione AWS Control Tower e configurare la tua landing zone AWS della Control Tower.

Nota

Assicurati di creare un ruolo per l'account di gestione AWS Control Tower con AdministratorAccesscredenziali. Per ulteriori informazioni, consulta gli argomenti seguenti:

IAMIdentità (utenti, gruppi di utenti e ruoli) nella Guida per l'AWS Identity and Access Management utente
AdministratorAccessnella AWS Managed Policy Reference Guide

Fase 2: Creare una nuova unità organizzativa per AFT (scelta consigliata)

Si consiglia di creare un'unità organizzativa separata nella propria AWS organizzazione. Qui è dove si distribuisce l'account di AFT gestione. Crea la nuova unità organizzativa con il tuo account di gestione AWS Control Tower. Per ulteriori informazioni, consulta Creare una nuova unità organizzativa.

Fase 3: Eseguire il provisioning dell'account AFT di gestione

AFTrichiede il provisioning di un AWS account dedicato alle operazioni AFT di gestione. L'account di gestione AWS Control Tower, associato alla landing zone AWS della Control Tower, vende l'account di AFT gestione. Per ulteriori informazioni, consulta Fornire account con AWS Service Catalog Account Factory.

Nota

Se hai creato un'unità organizzativa separata perAFT, assicurati di selezionarla quando crei l'account di AFT gestione.

Il provisioning completo dell'account di AFT gestione può richiedere fino a 30 minuti.

Fase 4: Verificare che l'ambiente Terraform sia disponibile per l'implementazione

Questo passaggio presuppone che tu abbia esperienza con Terraform e disponga di procedure per l'esecuzione di Terraform. Per ulteriori informazioni, consulta Command: init sul sito Web per sviluppatori. HashiCorp

Nota

AFTsupporta la versione Terraform 1.6.0 o successiva.

Passaggio 5: chiama il modulo Account Factory for Terraform per l'implementazione AFT

Chiama il AFT modulo con il ruolo che hai creato per l'account di gestione AWS Control Tower con AdministratorAccesscredenziali. AWSControl Tower fornisce un modulo Terraform tramite l'account di gestione AWS Control Tower, che stabilisce tutta l'infrastruttura necessaria per orchestrare le richieste Control AWS Tower Account Factory.

È possibile visualizzare il AFT modulo nel repository su. AFT GitHub L'intero GitHub repository è considerato il AFT modulo. Fate riferimento al READMEfile per informazioni sugli input necessari per eseguire il AFT modulo e distribuirlo. AFT In alternativa, puoi visualizzare il AFT modulo nel registro Terraform.

Il AFT modulo include un aft_enable_vpc parametro che specifica se AWS Control Tower effettua il provisioning delle risorse dell'account all'interno di un cloud privato virtuale (VPC) nell'account di AFT gestione centrale. Per impostazione predefinita, il parametro è impostato su. true Se si imposta questo parametro sufalse, AWS Control Tower esegue la distribuzione AFT senza l'uso di VPC risorse di rete private, come NAT gateway o VPC endpoint. La disabilitazione aft_enable_vpc può aiutare a ridurre i costi operativi di alcuni modelli AFT di utilizzo.

Nota

La riattivazione del aft_enable_vpc parametro (modifica del valore da false atrue) può richiedere l'esecuzione del terraform apply comando due volte di seguito.

Se nel tuo ambiente disponi di pipeline stabilite per la gestione di Terraform, puoi integrare il AFT modulo nel tuo flusso di lavoro esistente. Altrimenti, esegui il AFT modulo da qualsiasi ambiente autenticato con le credenziali richieste.

Il timeout causa il fallimento della distribuzione. Ti consigliamo di utilizzare le credenziali AWS Security Token Service (STS) per assicurarti di avere un timeout sufficiente per una distribuzione completa. Il timeout minimo per le AWS STS credenziali è di 60 minuti. Per ulteriori informazioni, consulta Credenziali di sicurezza temporanee IAM nella Guida per l'AWS Identity and Access Management utente.

Nota

Potresti attendere fino a 30 minuti per AFT completare la distribuzione tramite il modulo Terraform.

Passaggio 6: gestire il file di stato Terraform

Un file di stato Terraform viene generato durante la distribuzione. AFT Questo artefatto descrive lo stato delle risorse create da Terraform. Se prevedi di aggiornare la AFT versione, assicurati di conservare il file di stato Terraform o di configurare un backend Terraform utilizzando Amazon S3 e DynamoDB. Il AFT modulo non gestisce uno stato Terraform di backend.

Nota

Sei responsabile della protezione del file di stato di Terraform. Alcune variabili di input potrebbero contenere valori sensibili, come una ssh chiave privata o un token Terraform. A seconda del metodo di distribuzione, questi valori possono essere visualizzati come testo semplice nel file di stato Terraform. Per ulteriori informazioni, consulta Dati sensibili nello stato sul HashiCorp sito Web.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aggiorna un account esistente

Fasi successive all'implementazione