Connessioni agli account di ambiente - AWS Proton

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessioni agli account di ambiente

Panoramica

Scopri come creare e gestire un AWS Proton ambiente in un account e fornire le relative risorse di infrastruttura in un altro account. Questo può aiutare a migliorare la visibilità e l'efficienza su larga scala. Le connessioni agli account di ambiente supportano solo il provisioning standard con AWS CloudFormation infrastruttura come codice.

Nota

Le informazioni contenute in questo argomento sono rilevanti per gli ambienti configurati con il provisioning AWS gestito. Con ambienti configurati con il provisioning autogestito, AWS Proton non effettua direttamente il provisioning dell'infrastruttura. Al contrario, invia richieste pull (PRs) al repository per il provisioning. È tua responsabilità assicurarti che il codice di automazione assuma l'identità e il ruolo corretti.

Per ulteriori informazioni sui metodi di provisioning, consulta. Come AWS Proton fornisce l'infrastruttura

Terminologia

Un diagramma che descrive AWS Proton le risorse all'interno di un singolo account (account di gestione) contenuto in un unico account. Regione AWS Mostra inoltre come AWS Proton gli ambienti di quell'account possono utilizzare le connessioni degli account di ambiente per eseguire la distribuzione su altri account (account di ambiente) nella stessa regione.

Con le connessioni agli account di AWS Proton ambiente, è possibile creare un AWS Proton ambiente da un account ed eseguire il provisioning della relativa infrastruttura in un altro account.

Gestione dell'account

L'account singolo in cui, in qualità di amministratore, crei un AWS Proton ambiente che fornisce le risorse dell'infrastruttura in un altro account di ambiente.

Account ambientale

Un account in cui viene eseguito il provisioning dell'infrastruttura ambientale, quando si crea un AWS Proton ambiente in un altro account.

Connessione all'account di ambiente

Una connessione bidirezionale sicura tra un account di gestione e un account di ambiente. Mantiene le autorizzazioni e le autorizzazioni come descritto ulteriormente nelle sezioni seguenti.

Quando si crea una connessione con un account di ambiente in una regione specifica, solo gli account di gestione della stessa regione possono visualizzare e utilizzare la connessione all'account di ambiente. Ciò significa che l' AWS Proton ambiente creato nell'account di gestione e l'infrastruttura di ambiente fornita nell'account di ambiente devono trovarsi nella stessa regione.

Considerazioni sulla connessione all'account di ambiente

  • È necessaria una connessione all'account di ambiente per ogni ambiente di cui si desidera effettuare il provisioning in un account di ambiente.

  • Per informazioni sulle quote di connessione degli account di ambiente, vedereQuote AWS Proton.

Assegnazione di tag

Nell'account di ambiente, utilizza la console o i tag gestiti dal cliente AWS CLI per visualizzare e gestire la connessione all'account di ambiente. AWS i tag gestiti non vengono generati per le connessioni agli account di ambiente. Per ulteriori informazioni, consulta AWS Protonrisorse e Tagging.

Crea un ambiente in un account ed esegui il provisioning della relativa infrastruttura in un altro account

Per creare ed eseguire il provisioning di un ambiente da un singolo account di gestione, configura un account di ambiente per un ambiente che intendi creare.

Avvia l'account di ambiente e crea una connessione.

Nell'account di ambiente, crea un ruolo di AWS Proton servizio limitato solo alle autorizzazioni necessarie per il provisioning delle risorse dell'infrastruttura dell'ambiente. Per ulteriori informazioni, consulta AWS Proton ruolo di servizio per il provisioning utilizzando AWS CloudFormation.

Quindi, crea e invia una richiesta di connessione all'account di ambiente al tuo account di gestione. Quando la richiesta viene accettata, AWS Proton può utilizzare il IAM ruolo associato che consente l'approvvigionamento delle risorse di ambiente nell'account di ambiente associato.

Nell'account di gestione, accetta o rifiuta la connessione all'account di ambiente.

Nell'account di gestione, accetta o rifiuta la richiesta di connessione all'account di ambiente. Non puoi eliminare una connessione all'account di ambiente dal tuo account di gestione.

Se accetti la richiesta, AWS Proton possono utilizzare il IAM ruolo associato che consente l'approvvigionamento delle risorse nell'account di ambiente associato.

Le risorse dell'infrastruttura ambientale vengono fornite nell'account di ambiente associato. È possibile utilizzarle AWS Proton APIs per accedere e gestire l'ambiente e le relative risorse di infrastruttura solo dal proprio account di gestione. Per ulteriori informazioni, consulta Crea un ambiente in un account ed esegui il provisioning in un altro account e Aggiorna un ambiente.

Dopo aver rifiutato una richiesta, non è possibile accettare o utilizzare la connessione all'account di ambiente rifiutata.

Nota

Non puoi rifiutare una connessione a un account di ambiente connesso a un ambiente. Per rifiutare la connessione all'account di ambiente, devi prima eliminare l'ambiente associato.

Nell'account di ambiente, accedi alle risorse dell'infrastruttura fornite.

Nell'account di ambiente, è possibile visualizzare e accedere alle risorse dell'infrastruttura assegnate. Ad esempio, è possibile utilizzare CloudFormation API le azioni per monitorare e ripulire gli stack, se necessario. Non è possibile utilizzare le AWS Proton API azioni per accedere o gestire l' AWS Proton ambiente utilizzato per il provisioning delle risorse dell'infrastruttura.

Nell'account di ambiente, è possibile eliminare le connessioni degli account di ambiente che sono state create nell'account di ambiente. Non puoi accettarle o rifiutarle. Se elimini una connessione all'account di ambiente utilizzata da un AWS Proton ambiente, non AWS Proton sarai in grado di gestire le risorse dell'infrastruttura dell'ambiente finché non verrà accettata una nuova connessione di ambiente per l'account di ambiente e l'ambiente denominato. Sei responsabile della pulizia delle risorse assegnate che rimangono senza una connessione all'ambiente.

Usa la console o CLI per gestire le connessioni degli account ambientali

È possibile utilizzare la console o CLI creare e gestire le connessioni degli account di ambiente.

AWS Management Console
Utilizza la console per creare una connessione all'account di ambiente e inviare una richiesta all'account di gestione come illustrato nei passaggi successivi.
  1. Decidi un nome per l'ambiente che intendi creare nel tuo account di gestione o scegli il nome di un ambiente esistente che richiede una connessione all'account di ambiente.

  2. In un account di ambiente, nella AWS Proton console, scegli Environment account connections nel pannello di navigazione.

  3. Nella pagina Connessioni all'account Environment, scegli Richiedi di connessione.

    Nota

    Verifica l'ID dell'account elencato nell'intestazione della pagina di connessione all'account Environment. Assicurati che corrisponda all'ID dell'account di ambiente in cui desideri eseguire il provisioning dell'ambiente denominato.

  4. Nella pagina Richiesta di connessione:

    1. Nella sezione Connect to management account, inserisci l'ID dell'account di gestione e il nome dell'ambiente che hai inserito nel passaggio 1.

    2. Nella sezione Ruolo ambientale, scegli Nuovo ruolo di servizio e crea AWS Proton automaticamente un nuovo ruolo per te. In alternativa, seleziona Ruolo di servizio esistente e il nome del ruolo di servizio creato in precedenza.

      Nota

      Il ruolo creato AWS Proton automaticamente per te dispone di ampie autorizzazioni. Ti consigliamo di limitare il ruolo alle autorizzazioni necessarie per fornire le risorse dell'infrastruttura dell'ambiente. Per ulteriori informazioni, consulta AWS Proton ruolo di servizio per il provisioning utilizzando AWS CloudFormation.

    3. (Facoltativo) Nella sezione Tag, scegli Aggiungi nuovo tag per creare un tag gestito dal cliente per la connessione all'account di ambiente.

    4. Scegli Richiedi la connessione.

  5. La tua richiesta viene visualizzata come in sospeso nella tabella Environment delle connessioni inviate a un account di gestione e un modulo ti consente di sapere come accettare la richiesta dall'account di gestione.

Accetta o rifiuta una richiesta di connessione all'account di ambiente.
  1. In un account di gestione, nella AWS Proton console, scegli Environment account connections nel pannello di navigazione.

  2. Nella pagina Connessioni all'account Environment, nella tabella Richieste di connessione all'account Environment, scegli la richiesta di connessione ambientale da accettare o rifiutare.

    Nota

    Verifica l'ID dell'account elencato nell'intestazione della pagina di connessione all'account Environment. Assicurati che corrisponda all'ID dell'account di gestione associato alla connessione dell'account di ambiente da rifiutare. Dopo aver rifiutato questa connessione all'account di ambiente, non puoi accettare o utilizzare la connessione all'account di ambiente rifiutata.

  3. Scegli Rifiuta o Accetta.

    • Se hai selezionato Rifiuta, lo stato passa da In sospeso a Rifiutato.

    • Se hai selezionato Accetta, lo stato passa da In sospeso a connesso.

Eliminare una connessione all'account di ambiente.
  1. In un account di ambiente, nella AWS Proton console, scegli Connessioni all'account di ambiente nel riquadro di navigazione.

    Nota

    Verifica l'ID dell'account elencato nell'intestazione della pagina di connessione all'account Environment. Assicurati che corrisponda all'ID dell'account di gestione associato alla connessione dell'account di ambiente da rifiutare. Dopo aver eliminato questa connessione all'account di ambiente, non è AWS Proton possibile gestire le risorse dell'infrastruttura di ambiente nell'account di ambiente. Può gestirla solo dopo che una nuova connessione all'account di ambiente per l'account di ambiente e l'ambiente denominato sono stati accettati dall'account di gestione.

  2. Nella pagina Connessioni all'account di ambiente, nella sezione Richieste inviate per la connessione all'account di gestione, scegli Elimina.

  3. Una finestra modale ti chiede di confermare che desideri eliminare. Scegli Elimina.

AWS CLI

Decidi un nome per l'ambiente che intendi creare nel tuo account di gestione o scegli il nome di un ambiente esistente che richiede una connessione all'account di ambiente.

Crea una connessione all'account di ambiente in un account di ambiente.

Esegui il comando seguente:

$ aws proton create-environment-account-connection \ --environment-name "simple-env-connected" \ --role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \ --management-account-id "111111111111"

Risposta:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "PENDING" } }

Accetta o rifiuta una connessione con un account di ambiente in un account di gestione, come illustrato nel comando e nella risposta seguenti.

Nota

Se rifiuti questa connessione all'account di ambiente, non sarai in grado di accettare o utilizzare la connessione all'account di ambiente rifiutata.

Se si specifica Rifiuta, lo stato passa da In sospeso a Rifiutato.

Se si specifica Accept, lo stato passa da In sospeso a connesso.

Esegui il comando seguente per accettare la connessione all'account di ambiente:

$ aws proton accept-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Risposta:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "CONNECTED" } }

Esegui il comando seguente per rifiutare la connessione all'account di ambiente:

$ aws proton reject-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Risposta:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "status": "REJECTED", "environmentAccountId": "222222222222", "environmentName": "simple-env-reject", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" } }

Visualizza le connessioni di un account di ambiente. È possibile ottenere o elencare le connessioni degli account di ambiente.

Esegui il seguente comando get:

$ aws proton get-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Risposta:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "CONNECTED" } }

Elimina una connessione a un account di ambiente in un account di ambiente.

Nota

Se si elimina questa connessione all'account di ambiente, AWS Proton non sarà possibile gestire le risorse dell'infrastruttura di ambiente nell'account di ambiente finché non sarà stata accettata una nuova connessione di ambiente per l'account di ambiente e denominata ambiente. Sei responsabile della pulizia delle risorse assegnate che rimangono senza una connessione all'ambiente.

Esegui il comando seguente:

$ aws proton delete-environment-account-connection \ --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Risposta:

{ "environmentAccountConnection": { "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "environmentAccountId": "222222222222", "environmentName": "simple-env-connected", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00", "managementAccountId": "111111111111", "requestedAt": "2021-04-28T23:13:50.847000+00:00", "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role", "status": "CONNECTED" } }