"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
# Gestisci i set di AWS autorizzazioni in modo dinamico utilizzando Terraform
*Vinicius Elias e Marcos Vinicius Pinto Jordão, Amazon Web Services*
## Riepilogo
AWS IAM Identity Center migliora AWS Identity and Access Management (IAM) fornendo un hub centralizzato per la gestione dell'accesso Single Sign-On alle applicazioni cloud. Account AWS Tuttavia, la gestione manuale dei [set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) di IAM Identity Center può diventare sempre più complessa e soggetta a errori man mano che l'organizzazione cresce. Questa complessità può portare a potenziali lacune di sicurezza e sovraccarichi amministrativi.
Questa soluzione consente di gestire i set di autorizzazioni tramite Infrastructure as Code (IaC) utilizzando una pipeline di integrazione e distribuzione continua (CI/CD) creata con tecnologia nativa. Servizi AWS Consente una perfetta integrazione del meccanismo di assegnazione del set di autorizzazioni con gli eventi del AWS Control Tower ciclo di vita o un ambiente [Account Factory for Terraform](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) (AFT). Questo approccio fornisce configurazioni di identità dinamiche sia per quelle nuove che per quelle esistenti. Account AWS
EventBridge Le regole di Amazon monitorano Account AWS la creazione e gli aggiornamenti, il che aiuta le configurazioni delle identità a rimanere sincronizzate con la struttura organizzativa. Dopo aver creato o aggiornato gli account in AWS Control Tower o AFT, viene attivata la pipeline. Valuta un set di file JSON con definizioni di set di autorizzazioni e regole di assegnazione. Quindi la pipeline applica e sincronizza le impostazioni su tutti gli account.
Questa funzionalità fornisce i seguenti vantaggi:
+ **Coerenza**: elimina la deriva manuale della configurazione all'interno dell'organizzazione AWS
+ **Verificabilità**: mantiene una cronologia completa di tutte le modifiche alla gestione delle identità
+ **Scalabilità**: applica automaticamente le configurazioni man mano che l'ambiente cresce AWS
+ **Sicurezza**: riduce l'errore umano nell'assegnazione delle autorizzazioni
+ **Conformità**: facilita il rispetto dei requisiti normativi attraverso modifiche documentate e regole di assegnazione
## Prerequisiti e limitazioni
+ Un ambiente multi-account con AWS Control Tower e configurato. AWS Organizations Facoltativamente, puoi usare AFT con. AWS Control Tower
+ Un amministratore delegato di IAM Identity Center Account AWS a ricevere la soluzione. Per ulteriori informazioni, consulta [Amministrazione delegata nella documentazione](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html) di IAM Identity Center.
+ Un repository del sistema di controllo della versione (VCS) per gestire il codice principale. [Per un esempio, consultate il repository della soluzione. GitHub ](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic)
+ AWS Risorse necessarie per la gestione del backend Terraform, come un bucket Amazon Simple Storage Service (Amazon S3) e una tabella Amazon DynamoDB.
**Limitazioni**
+ La pipeline utilizza AWS risorse native e Terraform open source. La pipeline non è predisposta per effettuare chiamate verso ecosistemi di terze parti.
+ Alcuni Servizi AWS non sono disponibili in tutti. Regioni AWS Per informazioni sulla disponibilità per regione, consulta [AWS Servizi per regione](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Per endpoint specifici, consulta [Endpoints and quotas del servizio](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) e scegli il link relativo al servizio.
## Architecture
Il diagramma seguente mostra i componenti e il flusso di lavoro di questo modello.
![\[Componenti e flusso di lavoro per gestire i set di autorizzazioni AWS utilizzando Terraform.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/69dc79c7-b4cd-4ad0-b0d2-d58cf0c7adaa/images/649e299c-1142-405a-8982-4a6b2e595d53.png)
**AWS Control Tower flusso di eventi**
La soluzione inizia con l'integrazione degli eventi provenienti da entrambi AWS Control Tower o da AFT. La scelta tra l'uno o l'altro servizio viene effettuata al momento dell'implementazione tramite una definizione variabile. Indipendentemente dal metodo utilizzato, la pipeline viene attivata ogni volta che un account viene creato o aggiornato. La pipeline riconcilia le politiche archiviate nell'archivio di gestione dei set di autorizzazioni.
Di seguito sono riportati gli eventi del ciclo di vita: AWS Control Tower
+ `CreateManagedAccount`— Quando viene creato un nuovo account
+ `UpdateManagedAccount`— Quando viene aggiornato un account esistente
**Routing degli eventi**
EventBridge funge da servizio centrale di elaborazione degli eventi, registrando gli eventi generati nell'account. AWS Control Tower Quando si verificano degli eventi, li indirizza EventBridge in modo intelligente a un bus di eventi centralizzato nell'account della soluzione. AWS Control Tower gli eventi del ciclo di vita seguono schemi di routing distinti. Se AFT è definito come origine dell'evento, l'account di gestione AFT gestisce gli eventi anziché l'account. AWS Control Tower Questa architettura basata sugli eventi consente risposte automatiche ai cambiamenti organizzativi senza intervento manuale.
**Processo di integrazione AFT**
Quando gli eventi AWS Control Tower del ciclo di vita raggiungono l'account di gestione AFT, attivano automaticamente più processi a valle intrinseci ad AFT. Una volta completato il flusso di lavoro di personalizzazione dell'account AFT, pubblica un messaggio nell'argomento dedicato Amazon Simple Notification Service (`aft-notifications`Amazon SNS). Questo argomento attiva la `aft-new-account-forward-event` AWS Lambda funzione implementata da questa soluzione. La funzione Lambda invia l'evento al bus degli eventi dell'account della soluzione, dove viene utilizzato per avviare la pipeline.
**Infrastruttura come pipeline di codice**
La pipeline di soluzioni funziona come un meccanismo di implementazione completamente automatizzato. Il AWS CodePipeline servizio monitora continuamente l'archivio per rilevare eventuali modifiche. Dopo aver rilevato nuovi commit, avvia automaticamente il flusso di lavoro di distribuzione e avvia un processo sequenziale che include fasi di convalida ed esecuzione. Il sistema esegue `plan` le operazioni Terraform per identificare le modifiche proposte, seguite dai `apply` comandi Terraform per implementare tali modifiche nell'ambiente. AWS In particolare, la pipeline funziona senza cancelli di approvazione manuale. Questo approccio consente una rapida implementazione delle modifiche all'infrastruttura mantenendo al contempo la verificabilità tramite i registri della pipeline e i file di stato Terraform.
La pipeline sfrutta le funzionalità di Terraform AWS CodeBuild per eseguire le operazioni di Terraform in un ambiente controllato con le autorizzazioni appropriate. Attraverso questo approccio IaC, la pipeline può eseguire operazioni complete di gestione delle autorizzazioni, tra cui:
+ Creare nuovi set di autorizzazioni.
+ Aggiorna i set di autorizzazioni esistenti.
+ Rimuovere i set di autorizzazioni non necessari.
+ Gestisci l'assegnazione di queste autorizzazioni tra account e gruppi all'interno delle AWS organizzazioni.
Per mantenere la coerenza dell'infrastruttura e prevenire modifiche in conflitto, la soluzione implementa il sistema di gestione dello stato di backend Terraform utilizzando un bucket Amazon S3 e una tabella Amazon DynamoDB dedicata. Questo approccio fornisce una posizione di archiviazione persistente per i file di stato Terraform e meccanismi di blocco dello stato per impedire modifiche simultanee alle stesse risorse.
Il codice Terraform principale utilizza il modulo Terraform ufficiale. AWS `permission-sets` Questo modulo può gestire dinamicamente i set di autorizzazioni in IAM Identity Center, sulla base di modelli di set di autorizzazioni.
**Gestione del controllo del codice sorgente**
I modelli di set di autorizzazioni (file JSON) risiedono in un sistema di controllo delle versioni esterno, ad esempio GitHub, che fornisce un archivio centralizzato per le configurazioni di gestione delle identità. Questo approccio stabilisce un'unica fonte di verità per le definizioni dei set di autorizzazioni, consentendo al contempo lo sviluppo collaborativo attraverso pratiche standard di revisione del codice. Gli utenti autorizzati possono apportare modifiche a questi modelli seguendo i processi di gestione delle modifiche organizzative. Questi commit fungono da trigger principale per la pipeline di distribuzione automatizzata, che avvia il processo di aggiornamento dell'infrastruttura.
[Per un esempio di come configurare i set di autorizzazioni utilizzando il file JSON nel repository, consulta Informazioni aggiuntive.](#manage-aws-permission-sets-dynamically-by-using-terraform-additional)
## Tools (Strumenti)
**Servizi AWS**
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)è un servizio di compilazione completamente gestito che consente di compilare il codice sorgente, eseguire test unitari e produrre artefatti pronti per la distribuzione.
+ [AWS CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/welcome-connections.html)consente a AWS risorse e servizi, ad esempio, di connettersi a repository di codice esterni CodePipeline, come. GitHub
+ [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html)aiuta a modellare e configurare rapidamente le diverse fasi di un rilascio software e ad automatizzare i passaggi necessari per rilasciare le modifiche software in modo continuo.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) è uno strumento open source che consente di interagire Servizi AWS tramite comandi nella shell della riga di comando.
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)ti aiuta a configurare e gestire un ambiente con AWS più account, seguendo le migliori pratiche prescrittive.
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) è un servizio di database NoSQL interamente gestito che offre prestazioni elevate, prevedibili e scalabili.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) è un servizio di bus eventi senza server che ti aiuta a connettere le tue applicazioni con dati in tempo reale provenienti da una varietà di fonti. Ad esempio, AWS Lambda funzioni, endpoint di invocazione HTTP che utilizzano destinazioni API o bus di eventi in altro modo. Account AWS
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ti aiuta a gestire in modo sicuro l'accesso alle tue AWS risorse controllando chi è autenticato e autorizzato a utilizzarle.
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)ti aiuta a gestire centralmente l'accesso Single Sign-On (SSO) a tutte le tue applicazioni e a quelle sul cloud. Account AWS
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) è un servizio di calcolo che consente di eseguire il codice senza gestire i server o effettuarne il provisioning. Esegue il codice solo quando necessario e si ridimensiona automaticamente, quindi paghi solo per il tempo di elaborazione che utilizzi.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)è un servizio di gestione degli account che ti aiuta a consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) ti aiuta a coordinare e gestire lo scambio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail. Abilita le notifiche push per gli eventi di gestione degli account, assicurando che le parti interessate siano informate di importanti modifiche o azioni all'interno del sistema.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) è un servizio di archiviazione degli oggetti basato sul cloud che consente di archiviare, proteggere e recuperare qualsiasi quantità di dati.
**Altri strumenti**
+ [Terraform](https://www.terraform.io/) è uno strumento di infrastruttura come codice (IaC) HashiCorp che ti aiuta a creare e gestire risorse cloud e locali.
**Deposito di codici**
Il codice per questo pattern è disponibile nell'organizzazione AWS Samples del repository [sample-terraform-aws-permission-sets-pipeline](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline). GitHub
## Best practice
+ Aggiungi sempre le versioni dei moduli e dei provider Terraform utilizzati per eseguire il codice in produzione.
+ Utilizza uno strumento di analisi statico del codice, come [Checkov](https://www.checkov.io/), per scansionare il codice e quindi risolvere i problemi di sicurezza.
+ Segui il principio del privilegio minimo e concedi le autorizzazioni minime necessarie per eseguire un'attività. Per ulteriori informazioni, consulta le [best practice relative alla [concessione dei privilegi minimi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) e alla sicurezza nella documentazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) IAM.
## Epiche
### Crea i prerequisiti (opzionale)
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Crea risorse di backend Terraform. | Se non hai ancora creato le tue AWS risorse di backend Terraform, utilizza i seguenti passaggi per creare un bucket Amazon S3 `s3-tf-backend-{ACCOUNT_ID}` () e una tabella DynamoDB (). `ddb-tf-backend`[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws s3api create-bucket --bucket s3-tf-backend-{ACCOUNT_ID}
aws s3api put-bucket-versioning --bucket s3-tf-backend-{ACCOUNT_ID} --versioning-configuration Status=Enabled
aws dynamodb create-table --table-name ddb-tf-backend --attribute-definitions AttributeName=LockID,AttributeType=S --key-schema AttributeName=LockID,KeyType=HASH --provisioned-throughput ReadCapacityUnits=1,WriteCapacityUnits=1 | Amministratore AWS |
| Crea un ruolo per più account. | È necessario fornire un ruolo IAM tra account nella configurazione del provider `event-source-account` Terraform AWS . Se non hai ancora creato questo ruolo, utilizza i seguenti passaggi per crearlo:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam create-role \
--role-name CrossAccountRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{ACCOUNT_ID}:root"
},
"Action": "sts:AssumeRole"
}
]
}'
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam attach-role-policy \
--role-name CrossAccountRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
Questo esempio utilizza la policy IAM AWS gestita [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html). Se preferisci, puoi utilizzare una politica più specifica. | Amministratore AWS |
### Preparare l'archivio dei set di autorizzazioni
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Crea un repository dedicato. | Questa attività presuppone che tu stia utilizzando. GitHub Crea un repository dedicato per archiviare il codice Terraform principale e i file JSON del modello di set di autorizzazioni. | DevOps ingegnere |
| Prepara il codice del set di autorizzazioni. | Per informazioni su come strutturare i seguenti file, consultate il [codice di esempio](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic) nel repository della soluzione:── main.tf─ output.tf─ providers.jinja── modelliCopia il contenuto, conserva i `providers.jinja` valori e apporta le modifiche necessarie agli altri file. Ad esempio, aggiungi i file modello del set di autorizzazioni `templates` o aggiungi la versione del `aws-ia/permission-sets/aws` modulo nel `main.tf` file. | DevOps ingegnere |
| Effettua le tue modifiche. | Conferma e invia le modifiche al repository che hai creato in precedenza. Salva il nome del repository e la sua GitHub organizzazione, ad esempio. `myorg/aws-ps-pipeline` | DevOps ingegnere |
### Prepara il codice di distribuzione
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Scarica il contenuto. | Scarica (clona) il contenuto dal [repository](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline) della soluzione. | DevOps ingegnere |
| Soddisfa le variabili. | Crea un `terraform.tfvars` file e aggiungi le seguenti variabili necessarie:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)repository_name = "myorg/aws-ps-pipeline"
branch_name = "main"
vcs_provider = "github"
account_lifecycle_events_source = "CT"
Per informazioni sulle opzioni variabili aggiuntive, consultate il file [variables.tf](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/blob/main/variables.tf) nel repository di questo pattern. GitHub | DevOps ingegnere |
| Regola la configurazione del backend Terraform. | Nel `backend.tf` file, sostituisci i segnaposto con i tuoi valori. Usa la AWS Control Tower home Regione AWS e fornisci i nomi del bucket Amazon S3 e della tabella DynamoDB creati in precedenza.terraform {
required_version = ">=1.6"
backend "s3" {
region = "{region}"
bucket = "{bucket_name}"
key = "terraform.tfstate"
dynamodb_table = "{table_name}"
encrypt = "true"
}
}Se preferisci, puoi usare la tua configurazione di backend Terraform. | DevOps ingegnere |
| Regola la configurazione del provider Terraform. | Nel `providers.tf` file, sostituisci i segnaposto con le tue informazioni. Utilizza la AWS Control Tower home Region e fornisci l'ARN del ruolo IAM tra account precedentemente creato per il provider. `event-source-account`provider "aws" {
region = "{region}"
}
provider "aws" {
alias = "event-source-account"
region = "{region}"
assume_role {
role_arn = "{role_arn}"
}
}
| DevOps ingegnere |
### Implementa la soluzione manualmente
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Seleziona il Account AWS. | Ti consigliamo di implementare la soluzione nell'account amministratore delegato di IAM Identity Center. Tuttavia, puoi anche distribuirla nell'account di gestione. AWS Organizations Per accedere all'account selezionato nella stessa regione dell'istanza IAM Identity Center, utilizza il AWS CLI. Assicurati che il ruolo IAM che stai utilizzando sia autorizzato ad assumere il ruolo specificato per il `event-source-account` provider nei passaggi precedenti. Inoltre, questo ruolo deve avere accesso alle AWS risorse utilizzate nella configurazione del backend Terraform. | Amministratore AWS |
| Esegui Terraform manualmente. | Per inizializzare, pianificare e applicare le configurazioni, esegui i seguenti comandi Terraform nell'ordine mostrato:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) | DevOps ingegnere |
| Il controllo dei risultati della distribuzione. | Nell'account amministratore delegato di IAM Identity Center, verifica che la `aws-ps-pipeline` pipeline sia stata creata. Verifica anche che esista una AWS CodeConnections connessione con lo stato **In sospeso**. | AWS DevOps |
| Completa la CodeConnections configurazione. | Per completare la CodeConnections configurazione, procedi nel seguente modo:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)La pipeline dovrebbe ora avere accesso all'archivio dei set di autorizzazioni.Per istruzioni dettagliate, consulta [Aggiornare una connessione in sospeso](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-update.html) nella documentazione della console Developer Tools. | AWS DevOps |
### Scegli un flusso di esecuzione della pipeline per testare la soluzione
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Esegui la pipeline AWS Control Tower tramite aggiornamenti AFT. | Dopo la creazione o la modifica di un account utilizzando AWS Control Tower o AFT (a seconda del tipo di eventi del ciclo di vita scelti), viene avviata la pipeline. | Amministratore AWS |
| Esegui la pipeline modificando il codice. | Dopo aver modificato il codice e averlo inviato al `main` ramo, viene avviata la pipeline. | AWS DevOps |
| Esegui la pipeline manualmente. | Per avviare la pipeline manualmente, utilizzate la funzione [Release change](https://docs.aws.amazon.com/codepipeline/latest/userguide/pipelines-rerun-manually.html) in. AWS CodePipeline | AWS DevOps |
## Risoluzione dei problemi
| Problema | Soluzione |
| --- | --- |
| Accesso negato | Verifica di disporre delle autorizzazioni necessarie per distribuire la soluzione. |
| CodeConnections problemi | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| Problemi di esecuzione della pipeline | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| Problemi di distribuzione dei set di autorizzazioni | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
## Risorse correlate
**Servizio AWS documentazione**
+ [AWS IAM Identity Center Guida per l'utente](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ [Gestione Account AWS con set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) (documentazione IAM Identity Center)
**Altre risorse**
+ [AWS Modulo Permission Sets](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest) (Terraform)
## Informazioni aggiuntive
**File JSON con set di autorizzazioni di esempio**
L'esempio seguente mostra come configurare un set di autorizzazioni utilizzando il file JSON nel repository:
```
{
"Name": "ps-billing", // Permission set identifier
"Comment": "Sample permission set for billing access", // Comment to document the purpose of the permission set
"Description": "Billing access in AWS", // Detailed description
"SessionDuration": "PT4H", // Session duration = 4 hours (ISO 8601 format)
"ManagedPolicies": [ // List of AWS IAM managed policies
"arn:aws:iam::aws:policy/job-function/Billing",
"arn:aws:iam::aws:policy/job-function/SupportUser",
"arn:aws:iam::aws:policy/AWSSupportAccess",
"arn:aws:iam::aws:policy/job-function/ViewOnlyAccess"
],
"CustomerPolicies": [], // References to IAM policies previously created
"CustomPolicy": {}, // Inline IAM policy defined directly in the permission set
"PermissionBoundary": { // AWS or customer managed IAM policy to be used as boundary
"ManagedPolicy": "",
"CustomerPolicy": ""
},
"Assignments": [ // Define the assignment rules
{
"all_accounts": true, // Apply to ALL active AWS accounts in organization
"principal": "G_BILLING_USERS", // Group/user name in Identity Center
"type": "GROUP", // Can be "GROUP" or "USER"
"account_id": [], // List of AWS account ID (empty since all_accounts=true)
"account_ou": [], // List of AWS Organizational Unit IDs with target AWS accounts
"account_tag": [] // List of tags (key:value) to match AWS Organization accounts tags
}
]
}
```
Per ulteriori informazioni, consulta lo schema JSON nella documentazione del [modulo AWS Permission Sets](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest#json-file-templates) sul sito Web Terraform.
**Suggerimenti**
+ Puoi utilizzare i [blocchi di importazione](https://developer.hashicorp.com/terraform/language/import) Terraform per importare un set di autorizzazioni esistente nella soluzione.
+ È possibile utilizzare AFT per implementare la pipeline del set di AWS autorizzazioni in un account delegato. Per ulteriori informazioni, consulta [AFT](https://awslabs.github.io/aft-blueprints/index.html) Blueprints.
# Etichetta automaticamente gli allegati Transit Gateway utilizzando AWS Organizations
*Richard Milner-Watts, Haris Bin Ayub e John Capps, Amazon Web Services*
## Riepilogo
Su Amazon Web Services (AWS), puoi utilizzarlo [AWS Resource Access Manager](https://aws.amazon.com/ram/)per condividere [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)oltre Account AWS i confini. Tuttavia, quando si creano allegati Transit Gateway oltre i limiti dell'account, gli allegati vengono creati senza un tag Name. Ciò può rendere l'identificazione degli allegati dispendiosa in termini di tempo.
Questa soluzione fornisce un meccanismo automatizzato per raccogliere informazioni su ogni allegato Transit Gateway per gli account all'interno di un'organizzazione gestita da [AWS Organizations](https://aws.amazon.com/organizations/). Il processo include la ricerca dell'intervallo [Classless Inter-Domain Routing (CIDR) dalla tabella di routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) Transit Gateway. La soluzione applica quindi un tag Name sotto forma di all'allegato all'interno dell'`-`account che contiene il gateway di transito.
Questa soluzione può essere utilizzata insieme a una soluzione come il [Serverless Transit Network Orchestrator](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/) della Solutions Library. AWS Serverless Transit Network Orchestrator consente la creazione automatizzata di allegati Transit Gateway Gateway su larga scala.
## Prerequisiti e limitazioni
**Prerequisiti**
+ Un attivo Account AWS
+ Un' AWS Organizations organizzazione che contiene tutti gli account correlati
+ Accesso all'account di gestione dell'organizzazione, nella directory principale dell'organizzazione, per creare il ruolo richiesto AWS Identity and Access Management (IAM)
+ Un account membro della rete condivisa contenente uno o più gateway di transito condivisi con l'organizzazione e dotati di allegati
## Architecture
La seguente schermata Console di gestione AWS mostra esempi di allegati Transit Gateway senza tag Name associato e due allegati Transit Gateway con tag Name generati da questa soluzione. La struttura del tag Name generato è. `-`
![\[La console mostra gli allegati senza tag Name e due allegati con i tag Name.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/7e7d4a47-f07a-4708-8022-a1d22855bb5d.png)
Questa soluzione utilizza un [AWS Step Functions](https://aws.amazon.com/step-functions/)flusso [AWS CloudFormation](https://aws.amazon.com/cloudformation/)di lavoro che gestisce la creazione di tag Transit Gateway Name su tutte le Regioni AWS configurazioni. Il flusso di lavoro richiama [AWS Lambda](https://aws.amazon.com/lambda/)funzioni che eseguono le attività sottostanti.
Dopo che la soluzione ha ottenuto i nomi degli account da AWS Organizations, la macchina a stati Step Functions ottiene tutti gli allegati Transit Gateway IDs. Questi vengono elaborati in parallelo per regione. Questa elaborazione include la ricerca dell'intervallo CIDR per ogni allegato. L'intervallo CIDR si ottiene cercando nelle tabelle di routing Transit Gateway all'interno della regione un ID allegato Transit Gateway corrispondente. Se tutte le informazioni richieste sono disponibili, la soluzione applica un tag Name all'allegato. La soluzione non sovrascriverà alcun tag Name esistente.
La soluzione viene eseguita secondo una pianificazione controllata da un EventBridge evento [Amazon](https://aws.amazon.com/eventbridge/). L'evento avvia la soluzione ogni giorno alle 06:00 UTC.
**Stack tecnologico Target**
+ Amazon EventBridge
+ AWS Lambda
+ AWS Organizations
+ AWS Transit Gateway
+ Amazon Virtual Private Cloud (Amazon VPC) (Amazon VPC)
+ AWS X-Ray
**Architettura Target**
L'architettura della soluzione e il flusso di lavoro sono illustrati nel diagramma seguente.
![\[Processo in nove fasi tra account di rete condivisi e di gestione dell'organizzazione.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/873cc89f-c6e3-43cd-94ed-59b6ea2b8d49.png)
1. L'evento pianificato avvia la regola.
1. La EventBridge regola avvia la macchina a stati Step Functions.
1. La macchina a stati richiama la funzione Lambda`tgw-tagger-organizations-account-query`.
1. La funzione `tgw-tagger-organizations-account-query` Lambda assume il ruolo nell'account di gestione dell'organizzazione.
1. La funzione `tgw-tagger-organizations-account-query` Lambda richiama l'API Organizations per restituire Account AWS i metadati.
1. La macchina a stati richiama la funzione Lambda`tgw-tagger-attachment-query`.
1. Per ogni regione, in parallelo, la macchina a stati richiama la funzione `tgw-tagger-rtb-query` Lambda per leggere l'intervallo CIDR per ogni allegato.
1. Per ogni regione, in parallelo, la macchina a stati richiama la funzione Lambda `tgw-tagger-attachment-tagger`****.
1. I name tag vengono creati per gli allegati Transit Gateway nell'account Shared Networking.
**Automazione e scalabilità**
La soluzione elabora ogni regione in parallelo per ridurre la durata totale dell'esecuzione.
## Tools (Strumenti)
**Servizi AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)fornisce un modo per modellare una raccolta di risorse correlate AWS e di terze parti, fornirle in modo rapido e coerente e gestirle durante tutto il loro ciclo di vita, trattando l'infrastruttura come codice.
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) ti CloudWatch aiuta a monitorare i parametri delle tue risorse AWS e delle applicazioni su cui esegui AWS in tempo reale.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) è un servizio di bus eventi senza server che puoi utilizzare per connettere le tue applicazioni con dati provenienti da una varietà di fonti. EventBridge riceve un evento, un indicatore di un cambiamento nell'ambiente e applica una regola per indirizzare l'evento verso un obiettivo. Le regole abbinano gli eventi agli obiettivi in base alla struttura dell'evento, chiamata pattern di evento, o a una pianificazione.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)è un servizio di elaborazione che supporta l'esecuzione di codice senza fornire o gestire server. Lambda esegue il codice solo quando necessario e si ridimensiona automaticamente, da poche richieste al giorno a migliaia al secondo. I costi saranno calcolati in base al tempo di elaborazione effettivo. Quando il codice non è in esecuzione non viene addebitato alcun costo.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ti aiuta a gestire e governare centralmente il tuo ambiente man mano che cresci e scalerai le tue risorse. AWS Utilizzando Organizations, puoi creare nuove risorse Account AWS e allocarle in modo programmatico, raggruppare account per organizzare i flussi di lavoro, applicare politiche agli account o ai gruppi per la governance e semplificare la fatturazione utilizzando un unico metodo di pagamento per tutti i tuoi account.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)è un servizio di flusso di lavoro visivo a basso codice utilizzato per orchestrare Servizi AWS, automatizzare i processi aziendali e creare applicazioni serverless. I flussi di lavoro gestiscono gli errori, i nuovi tentativi, la parallelizzazione, le integrazioni dei servizi e l'osservabilità, in modo che gli sviluppatori possano concentrarsi su logiche aziendali di maggior valore.
+ [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)connette e gestisce reti locali tramite un hub centrale. VPCs Ciò semplifica la rete e pone fine alle complesse relazioni di peering. Funziona come un router cloud, in modo che ogni nuova connessione venga effettuata una sola volta.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) è un servizio per l'avvio di AWS risorse in una rete virtuale logicamente isolata da te definita.
+ [AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)raccoglie dati sulle richieste servite dalla tua applicazione e fornisce strumenti che puoi utilizzare per visualizzare, filtrare e ottenere informazioni su tali dati per identificare problemi e opportunità di ottimizzazione.
**Codice**
Il codice sorgente di questa soluzione è disponibile nel GitHub repository [Transit Gateway Attachment Tagger](https://github.com/aws-samples/tgw-attachment-tagger). Il repository include i seguenti file:
+ `tgw-attachment-tagger-main-stack.yaml`crea tutte le risorse per supportare questa soluzione all'interno dell'account Shared Networking.
+ `tgw-attachment-tagger-organizations-stack.yaml`****crea un ruolo nell'account di gestione dell'organizzazione.
## Epiche
### Implementa lo stack di soluzioni principale
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Raccogli le informazioni necessarie sui prerequisiti. | Per configurare l'accesso tra account dalla funzione Lambda all'API, è necessario AWS Organizations l'ID account per l'account di gestione dell'organizzazione.****L'ordine in cui vengono creati i due CloudFormation stack è importante. È necessario prima distribuire le risorse nell'account di rete condivisa. Il ruolo nell'account di rete condivisa deve già esistere prima di distribuire le risorse nell'account di gestione dell'organizzazione. Per ulteriori informazioni, consulta la [documentazione relativa ad AWS](https://docs.amazonaws.cn/en_us/IAM/latest/UserGuide/id_roles_create_for-user.html). | DevOps ingegnere |
| Avvia il CloudFormation modello per lo stack di soluzioni principale. | Il modello per lo stack di soluzioni principale implementerà i ruoli IAM, il flusso di lavoro Step Functions, le funzioni Lambda e l'evento Amazon. CloudWatch Apri l'account Console di gestione AWS for the Shared Networking, quindi apri la console: &CFN. Crea lo stack utilizzando il `tgw-attachment-tagger-main-stack.yaml` modello e i seguenti valori: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)[Per ulteriori informazioni sul lancio di uno CloudFormation stack, consulta la documentazione.AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) | DevOps ingegnere |
| Verifica che la soluzione sia stata avviata correttamente. | Attendi che lo CloudFormation stack raggiunga lo stato **CREATE\$1COMPLETE**. Questa operazione dovrebbe richiedere meno di un minuto.Apri la console Step Functions e verifica che sia stata creata una nuova macchina a stati con il nome **tgw-attachment-tagger-state-machine**. | DevOps ingegnere |
### Implementa lo stack AWS Organizations
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Raccogli le informazioni necessarie sui prerequisiti. | Per configurare l'accesso tra account dalla funzione Lambda all'API AWS Organizations, è necessario l'ID account per l'account Shared Networking. | DevOps ingegnere |
| Avvia il CloudFormation modello per lo stack Organizations | Il modello per lo stack AWS Organizations implementerà il ruolo IAM nell'account di gestione dell'organizzazione. Accedi alla console AWS per l'account di gestione dell'organizzazione, quindi apri la CloudFormation console. Crea lo stack utilizzando il `tgw-attachment-tagger-organizations-stack.yaml` modello e i seguenti valori:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)Per le altre opzioni di creazione dello stack, utilizzate le impostazioni predefinite. | DevOps ingegnere |
| Verifica che la soluzione sia stata avviata correttamente. | Attendi che lo CloudFormation stack raggiunga lo stato **CREATE\$1COMPLETE**. Questa operazione dovrebbe richiedere meno di un minuto.Apri la console AWS Identity and Access Management (IAM) e verifica che sia stato creato un nuovo ruolo con il nome **tgw-attachment-tagger-organization-query-role**. | DevOps ingegnere |
### Verifica la soluzione
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Avvia la macchina a stati. | Apri la console Step Functions per l'account Shared Networking e scegli **Macchine a stati** nel riquadro di navigazione.Seleziona la macchina a stati **tgw-attachment-tagger-state-machine** e scegli **Avvia esecuzione**. Poiché l'input di questa macchina a stati non viene utilizzato dalla soluzione, è possibile utilizzare il valore predefinito.{
"Comment": "Insert your JSON here"
}Selezionare **Start Execution (Avvia esecuzione)**. | DevOps ingegnere |
| Sorveglia la macchina statale fino al completamento. | Nella nuova pagina che si apre, puoi guardare la macchina a stati funzionare. La durata dipenderà dal numero di allegati Transit Gateway da elaborare.In questa pagina è possibile esaminare ogni fase della macchina a stati. È possibile visualizzare le varie attività all'interno della macchina a stati e seguire i collegamenti ai CloudWatch registri delle funzioni Lambda. Per le attività eseguite in parallelo all'interno della mappa, puoi utilizzare l'elenco a discesa **Indice** per visualizzare le implementazioni specifiche per ogni regione. | DevOps ingegnere |
| Verifica i tag degli allegati Transit Gateway. | Apri la console VPC per l'account Shared Networking e scegli **Transit Gateway** Attachments. Sulla console, viene fornito un tag Name per gli allegati che soddisfano i criteri (l'allegato viene propagato a una tabella di routing Transit Gateway e il proprietario della risorsa è un membro dell'organizzazione). | DevOps ingegnere |
| Verifica l'inizio CloudWatch dell'evento. | Attendi l'inizio CloudWatch dell'evento. L'evento è previsto per le 06:00 UTC. Quindi apri la console Step Functions per l'account Shared Networking e scegli **Macchine a stati** nel riquadro di navigazione.Seleziona la macchina a stati **tgw-attachment-tagger-state-macchina.** Verifica che la soluzione sia stata eseguita alle 06:00 UTC. | DevOps ingegnere |
## Risorse correlate
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [AWS Resource Access Manager](https://aws.amazon.com/ram/)
+ [Orchestrator di rete di transito senza server](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/)
+ [Creazione di ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)
+ [Creazione di uno stack sulla console AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
# Altri modelli
**Topics**
+ [Automatizza le allocazioni IPv4 IPAM CIDR di Amazon VPC per nuove applicazioni utilizzando AFT Account AWS](automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.md)
+ [Gestisci i set di autorizzazioni per più account utilizzando Account Factory for Terraform](govern-permission-sets-aft.md)
+ [Esegui il provisioning di AWS Service Catalog prodotti basati su AWS CloudFormation modelli utilizzando GitHub Actions](provision-aws-service-catalog-products-using-github-actions.md)
+ [Fornisci ruoli IAM con privilegi minimi implementando una soluzione di distribuzione automatica di ruoli](provision-least-privilege-iam-roles-by-deploying-a-role-vending-machine-solution.md)