Pipeline di fornitura degli account AFT - AWS Control Tower
Configura le personalizzazioni del framework di provisioning degli account con una macchina a statiCrea il tuo account AFT (provisioning customizations state machine)Per riavviare il framework di provisioning degli account AFT e le personalizzazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Pipeline di fornitura degli account AFT

Una volta completata la fase di fornitura degli account della pipeline, il framework AFT continua. Esegue automaticamente una serie di passaggi per garantire che gli account appena assegnati dispongano dei dettagli necessari, prima dell'inizio della Personalizzazioni dell'account fase.

Ecco i passaggi successivi eseguiti dalla pipeline AFT.

  1. Convalida l'input della richiesta dell'account.

  2. Recupera informazioni sull'account fornito, ad esempio l'ID dell'account.

  3. Memorizza i metadati dell'account in una tabella DynamoDB nell'account di gestione AFT.

  4. Crea il ruolo AWSAFTExecutionIAM nell'account appena assegnato. AFT assume questo ruolo per eseguire la fase di personalizzazione dell'account, poiché questo ruolo garantisce l'accesso al portafoglio Account Factory.

  5. Applica i tag dell'account che hai fornito come parte dei parametri di input della richiesta di account.

  6. Applica le opzioni di funzionalità AFT scelte al momento della distribuzione di AFT.

  7. Applica le personalizzazioni fornite per il provisioning degli account AFT. La sezione successiva fornisce ulteriori informazioni su come configurare queste personalizzazioni con una macchina a stati AWS Step Functions, in un git repository. Questa fase viene talvolta definita fase del framework di provisioning degli account. Fa parte del processo di provisioning di base, ma in precedenza avete impostato un framework che fornisce integrazioni personalizzate come parte del flusso di lavoro di provisioning degli account, prima che vengano aggiunte ulteriori personalizzazioni agli account nella fase successiva.

  8. Per ogni account fornito, viene creato un AWS CodePipeline account di gestione AFT, che verrà eseguito per eseguire la fase (successiva, globale). Personalizzazioni dell'account

  9. Richiama la pipeline di personalizzazione degli account per ogni account assegnato (e scelto come target).

  10. Invia una notifica di esito positivo o negativo all'argomento SNS, da cui è possibile recuperare i messaggi.

Configura le personalizzazioni del framework di provisioning degli account con una macchina a stati

Se configuri integrazioni personalizzate non Terraform prima di effettuare il provisioning dei tuoi account, queste personalizzazioni sono incluse nel flusso di lavoro di provisioning degli account AFT. Ad esempio, potreste richiedere alcune personalizzazioni per garantire che tutti gli account creati da AFT siano conformi agli standard e alle politiche della vostra organizzazione, come gli standard di sicurezza, e questi standard possono essere aggiunti agli account prima di ulteriori personalizzazioni. Queste personalizzazioni del framework di provisioning degli account vengono implementate su ogni account fornito, prima che inizi la fase successiva di personalizzazione globale dell'account.

Nota

La funzionalità AFT descritta in questa sezione è destinata agli utenti esperti che comprendono il funzionamento di AWS Step Functions. In alternativa, ti consigliamo di collaborare con gli aiutanti globali nella fase di personalizzazione dell'account.

Il framework di provisioning degli account AFT richiama una macchina a stati AWS Step Functions, definita dall'utente, per implementare le personalizzazioni. Consulta la documentazione di AWS Step Functions per ulteriori informazioni sulle possibili integrazioni di macchine a stati.

Ecco alcune integrazioni comuni.

  • Le funzioni di AWS Lambda nella lingua che preferisci

  • Attività AWS ECS o AWS Fargate, utilizzando contenitori Docker

  • Attività di AWS Step Functions con worker personalizzati, ospitati in AWS o in locale

  • Integrazioni Amazon SNS o SQS

Se non è definita alcuna macchina a stati AWS Step Functions, la fase passa con un no-op. Per creare una macchina a stati per il provisioning delle personalizzazioni dell'account AFT, segui le istruzioni riportate in. Crea il tuo account AFT (provisioning customizations state machine) Prima di aggiungere personalizzazioni, assicurati di disporre dei prerequisiti.

Questi tipi di integrazioni non fanno parte di AWS Control Tower e non possono essere aggiunti durante la fase globale pre-API della personalizzazione dell'account AFT. Invece, la pipeline AFT consente di configurare queste personalizzazioni come parte del processo di provisioning e vengono eseguite nel flusso di lavoro di provisioning. È necessario implementare queste personalizzazioni creando la macchina a stati in anticipo, prima di avviare la fase di provisioning dell'account AFT, come descritto nelle sezioni seguenti.

Prerequisiti per la creazione di una macchina a stati

Crea il tuo account AFT (provisioning customizations state machine)

Fase 1: Modificare la definizione della macchina a stati

Modificare la definizione di macchina a customizations.asl.json stati di esempio. L'esempio è disponibile nel git repository configurato per archiviare le personalizzazioni del provisioning degli account AFT, nelle fasi successive alla distribuzione. Consulta la AWS Step Functions Developer Guide per ulteriori informazioni sulle definizioni delle macchine a stati.

Fase 2: Includi la configurazione Terraform corrispondente

Includi i file Terraform con l'.tfestensione nello stesso git repository con la definizione della macchina a stati per la tua integrazione personalizzata. Ad esempio, se scegli di chiamare una funzione Lambda nella definizione dell'attività della macchina a stati, includerai il lambda.tf file nella stessa directory. Assicurati di includere i ruoli e le autorizzazioni IAM richiesti per le tue configurazioni personalizzate.

Quando fornite l'input appropriato, la pipeline AFT richiama automaticamente la vostra macchina a stati e implementa le vostre personalizzazioni come parte della fase del framework di provisioning degli account AFT.

Per riavviare il framework di provisioning degli account AFT e le personalizzazioni

AFT esegue il framework di provisioning degli account e le fasi di personalizzazione per ogni account venduto attraverso la pipeline AFT. Per riavviare le personalizzazioni del provisioning degli account, puoi utilizzare uno di questi due metodi:

  1. Apporta qualsiasi modifica a un account esistente nel repository di richieste di account.

  2. Fornisci un nuovo account con AFT.