기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
테라폼용 AWS Control Tower Account Factory 배포하기 () AFT
이 섹션은 기존 환경에서 Terraform (AFT) 용 Account Factory를 설정하려는 AWS Control Tower 환경 관리자를 위한 것입니다. 새로운 전용 AFT 관리 계정을 사용하여 Terraform (AFT) 용 Account Factory 환경을 설정하는 방법을 설명합니다.
참고
Terraform 모듈이 배포됩니다. AFT 이 모듈은 의 리포지토리에서 사용할 수 있으며 전체 AFTAFT리포지토리가
AFT리포지토리를 복제하는 GitHub 대신 의 AFT 모듈을 참조하는 것이 좋습니다. 이렇게 하면 모듈에 대한 업데이트가 제공되는 대로 제어하고 사용할 수 있습니다.
Terraform용 AWS Control Tower Account Factory (AFT) 기능의 최신 릴리스에 대한 자세한 내용은 이 GitHub 리포지토리의 릴리스 파일을
배포 사전 요구 사항
AFT환경을 구성하고 시작하기 전에 다음이 있어야 합니다.
-
AWSControl Tower 랜딩 존. 자세한 내용은 AWSControl Tower 랜딩 존 계획을 참조하십시오.
-
AWSControl Tower 랜딩 존의 홈 지역입니다. 자세한 내용은 AWSControl AWS 리전 Tower를 사용하는 방법을 참조하십시오.
-
테라폼 버전 및 배포판. 자세한 내용은 테라폼 및 버전을 참조하십시오. AFT
-
코드 및 기타 파일의 변경 사항을 추적하고 관리하는 VCS 공급자입니다. 기본적으로 AFT 는 를 사용합니다 AWS CodeCommit. 자세한 내용은 AWS CodeCommit무엇입니까를 참조하십시오. AWS CodeCommit 사용 설명서에서.
처음 AFT 배포할 때 기존 CodeCommit 리포지토리가 없는 경우 GitHub 또는 BitBucket 같은 외부 VCS 공급자를 선택해야 합니다. 자세한 내용은 에서 AFT 소스 코드의 버전 관리 대안을 참조하십시오.
-
설치되는 Terraform 모듈을 실행할 수 있는 런타임 환경입니다. AFT
-
AFT기능 옵션. 자세한 내용은 기능 옵션 활성화를 참조하십시오.
Terraform용 AWS Control Tower Account Factory를 구성하고 실행하세요
다음 단계에서는 Terraform 워크플로를 잘 알고 있다고 가정합니다. 또한 AWS Workshop Studio 웹 사이트의 AFT 실습 소개를
1단계: AWS Control Tower 랜딩 존 시작
AWSControl Tower 시작하기에 나와 있는
참고
AdministratorAccess자격 증명이 있는 AWS Control Tower 관리 계정의 역할을 생성해야 합니다. 자세한 내용은 다음 자료를 참조하세요.
-
IAM사용 설명서의 AWS Identity and Access Management ID (사용자, 사용자 그룹, 역할)
-
AdministratorAccess AWS관리형 정책 참조 가이드에서
2단계: 새 조직 단위 만들기 AFT (권장)
AWS 조직에 별도의 OU를 만드는 것이 좋습니다. 여기에서 AFT 관리 계정을 배포합니다. AWSControl Tower 관리 계정으로 새 OU를 생성합니다. 자세한 내용은 새 OU 생성을 참조하십시오.
3단계: AFT 관리 계정 프로비저닝
AFTAFT관리 작업 전용 AWS 계정을 프로비저닝해야 합니다. AWSControl Tower 랜딩 존과 연결된 AWS Control Tower AFT 관리 계정은 관리 계정을 판매합니다. 자세한 내용은 Account Factory를 통한 AWS Service Catalog 계정 프로비저닝을 참조하십시오.
참고
별도의 OU 양식을 만든 경우 AFT 관리 계정을 만들 때 이 OU를 선택해야 합니다. AFT
AFT관리 계정을 완전히 프로비전하는 데 최대 30분이 걸릴 수 있습니다.
4단계: Terraform 환경을 배포할 수 있는지 확인
이 단계에서는 Terraform을 사용해 본 경험이 있고 Terraform을 실행하기 위한 절차가 마련되어 있다고 가정합니다. 자세한 내용은 개발자 웹 사이트의 Command:
참고
AFTTerraform 버전 1.6.0 이상을 지원합니다.
5단계: Terraform 모듈용 Account Factory를 호출하여 배포하기 AFT
AdministratorAccess자격 증명이 있는 AWS Control Tower 관리 계정에 대해 생성한 역할을 사용하여 AFT 모듈을 호출합니다. AWSControl Tower는 Control Tower 관리 계정을 통해 Terraform 모듈을 제공합니다. AWS Control Tower 관리 계정은 Control AWS Tower Account Factory 요청을 오케스트레이션하는 데 필요한 모든 인프라를 설정합니다.
의 저장소에서 AFT 모듈을 볼 수 있습니다. AFT
AFT모듈에는 AWS Control Tower가 중앙 AFT 관리 계정의 가상 사설 클라우드 (VPC) 내에서 계정 리소스를 프로비저닝할지 여부를 지정하는 aft_enable_vpc 매개변수가 포함되어 있습니다. 기본적으로 파라미터는 로 설정됩니다true. 이 매개변수를 로 false 설정하면 AWS Control Tower는 NAT 게이트웨이나 VPC VPC 엔드포인트와 같은 프라이빗 네트워킹 리소스를 사용하지 AFT 않고 배포합니다. 사용하지 않도록 설정하면 aft_enable_vpc 일부 사용 패턴의 운영 비용을 줄이는 데 도움이 될 수 있습니다 AFT.
참고
aft_enable_vpc매개 변수를 다시 활성화하려면 (값을 에서 false 로 전환true) terraform apply 명령을 두 번 연속으로 실행해야 할 수도 있습니다.
환경에 Terraform 관리를 위해 설정된 파이프라인이 있는 경우 AFT 모듈을 기존 워크플로에 통합할 수 있습니다. 그렇지 않으면 필요한 자격 증명으로 인증된 모든 환경에서 AFT 모듈을 실행하세요.
타임아웃으로 인해 배포가 실패합니다. 전체 배포에 충분한 제한 시간을 확보하려면 AWS Security Token Service (STS) 자격 증명을 사용하는 것이 좋습니다. AWS STS 자격 증명의 최소 제한 시간은 60분입니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서의 임시 보안 자격 증명을 참조하십시오. IAM
참고
Terraform 모듈을 통해 배포를 AFT 완료할 때까지 최대 30분을 기다릴 수 있습니다.
6단계: 테라폼 상태 파일 관리
Terraform 상태 파일은 배포 시 생성됩니다. AFT 이 아티팩트는 Terraform이 생성한 리소스의 상태를 설명합니다. AFT버전을 업데이트하려는 경우 Terraform 상태 파일을 보존하거나 Amazon S3 및 DynamoDB를 사용하여 Terraform 백엔드를 설정해야 합니다. 모듈은 AFT 백엔드 Terraform 상태를 관리하지 않습니다.
참고
Terraform 상태 파일을 보호하는 것은 사용자의 책임입니다. 일부 입력 변수에는 개인 ssh 키 또는 Terraform 토큰과 같은 민감한 값이 포함될 수 있습니다. 배포 방법에 따라 Terraform 상태 파일에서 이러한 값을 일반 텍스트로 볼 수 있습니다. 자세한 내용은 웹 사이트의 주 내 민감한 데이터를
