AFT による新しいアカウントのプロビジョニング - AWS Control Tower
アカウントリクエスト Terraform ファイルのパラメータ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AFT による新しいアカウントのプロビジョニング

このセクションでは、AFT と AFT 管理アカウントが既に設定されており、追加のアカウントをプロビジョニングしていることを前提としています。

AFT で新しいアカウントをプロビジョニングするには、アカウントリクエストの Terraform ファイルを作成します。このファイルには、aft-account-request リポジトリ内のパラメータの入力が含まれています。アカウントリクエストの Terraform ファイルを作成したら、git push を実行してアカウントリクエストの処理を開始します。このコマンドは、 で ct-aft-account-requestオペレーションを呼び出します。これは AWS CodePipeline、アカウントのプロビジョニングが完了した後に AFT 管理アカウントで作成されます。詳細については、「AFT アカウントプロビジョニングパイプライン」を参照してください。

アカウントリクエスト Terraform ファイルのパラメータ

アカウントリクエストの Terraform ファイルには、次のパラメータを含める必要があります。アカウントリクエストの Terraform ファイルの例は GitHub で確認できます。

  • module name の値は、 AWS アカウント リクエストごとに一意である必要があります。

  • module source の値は、AFT が提供するアカウントリクエスト Terraform モジュールへのパスです。

  • control_tower_parameters の値は、AWS Control Tower アカウントの作成に必要な入力をキャプチャします。値には次の入力フィールドが含まれます。

    • AccountEmail

    • AccountName

    • ManagedOrganizationalUnit

    • SSOUserEmail

    • SSOUserFirstName

    • SSOUserLastName

注記

control_tower_parameters に対して入力した内容は、アカウントのプロビジョニング中に変更することはできません。

aft-account-request リポジトリの ManagedOrganizationalUnit の指定にサポートされている形式には、 OUName および OUName (OU-ID) があります。

  • account_tags は、ビジネス基準 AWS アカウント に従ってタグ付けできるユーザー定義のキーと値をキャプチャします。詳細については、 AWS Organizations ユーザーガイドAWS Organizations リソースへのタグ付けを参照してください。

  • change_management_parameters の値には、アカウントリクエストが作成された理由やアカウントリクエストを開始したユーザーなどの追加情報が含まれます。値には次の入力フィールドが含まれます。

    • change_reason

    • change_requested_by

  • custom_fields は、/aft/account-request/custom-fields/ で発行されたアカウントに SSM パラメータとしてデプロイするキーと値を持つ追加メタデータをキャプチャします。アカウントのカスタマイズ中にこのメタデータを参照すると、適切なコントロールをデプロイできます。例えば、規制コンプライアンスの対象となるアカウントは、追加の をデプロイする場合があります AWS Config ルール。custom_fields で収集したメタデータは、アカウントのプロビジョニングおよび更新中に追加の処理を引き起こす可能性があります。アカウントリクエストからカスタムフィールドを削除すると、そのカスタムフィールドは発行されたアカウントの SSM パラメータストアから削除されます。

  • (オプション) account_customizations_name は、aft-account-customizations リポジトリ内のアカウントテンプレートフォルダをキャプチャします。詳細については、「アカウントのカスタマイズ」を参照してください。