AFT 계정 프로비저닝 파이프라인 - AWS Control Tower
상태 시스템을 사용하여 계정 프로비저닝 프레임워크 사용자 지정 설정AFT 계정 프로비저닝 사용자 지정 상태 시스템 생성AFT 계정 프로비저닝 프레임워크 및 사용자 지정을 다시 시작하려면

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AFT 계정 프로비저닝 파이프라인

파이프라인의 계정 프로비저닝 단계가 완료되면 AFT 프레임워크가 계속됩니다. 계정 사용자 지정 단계가 시작되기 전에 새로 프로비저닝된 계정에 세부 정보가 있는지 확인하기 위해 일련의 단계를 자동으로 실행합니다.

다음은 AFT 파이프라인이 실행하는 다음 단계입니다.

  1. 계정 요청 입력을 검증합니다.

  2. 프로비저닝된 계정, 예를 들어 계정 ID에 대한 정보를 검색합니다.

  3. AFT 관리 계정의 DynamoDB 테이블에 계정 메타데이터를 저장합니다.

  4. 새로 프로비저닝된 계정에서 AWSAFTExecution IAM 역할을 생성합니다. 이 역할은 Account Factory 포트폴리오에 대한 액세스 권한을 부여하므로 AFT가 이 역할을 수임하여 계정 사용자 지정 단계를 수행합니다.

  5. 계정 요청 입력 파라미터의 일부로 제공한 계정 태그를 적용합니다.

  6. AFT 배포 시 선택한 AFT 기능 옵션을 적용합니다.

  7. 제공한 AFT 계정 프로비저닝 사용자 지정을 적용합니다. 다음 섹션에서는 git 리포지토리에서 AWS Step Functions 상태 시스템을 사용하여 이러한 사용자 지정을 설정하는 방법에 대해 자세히 설명합니다. 이 단계를 계정 프로비저닝 프레임워크 단계라고도 합니다. 이는 코어 프로비저닝 프로세스의 일부이지만 이전에 계정 프로비저닝 워크플로의 일부로 사용자 지정 통합을 제공하는 프레임워크를 설정한 후 다음 단계에서 계정에 추가 사용자 지정을 추가합니다.

  8. 프로비저닝된 각 계정에 대해 AWS CodePipeline AFT 관리 계정에를 생성하여 (다음, 글로벌) 계정 사용자 지정 단계를 수행하기 위해 실행됩니다.

  9. 프로비저닝(및 대상 지정)된 각 계정에 대한 계정 사용자 지정 파이프라인을 호출합니다.

  10. 메시지를 검색할 수 있는 SNS 주제로 성공 또는 실패 알림을 보냅니다.

상태 시스템을 사용하여 계정 프로비저닝 프레임워크 사용자 지정 설정

계정을 프로비저닝하기 전에 Terraform 이외의 사용자 지정 통합을 설정한 경우 이러한 사용자 지정은 AFT 계정 프로비저닝 워크플로에 포함됩니다. 예를 들어 AFT에서 생성한 모든 계정이 보안 표준과 같은 조직의 표준 및 정책을 준수하는지 확인하기 위해 특정 사용자 지정이 필요할 수 있으며, 이러한 표준은 추가 사용자 지정 전에 계정에 추가될 수 있습니다. 이러한 계정 프로비저닝 프레임워크 사용자 지정은 글로벌 계정 사용자 지정 단계가 시작되기 전에 모든 프로비저닝된 계정에 구현됩니다.

참고

이 섹션에 설명된 AFT 기능은 AWS Step Functions의 기능을 이해하는 고급 사용자를 위한 것입니다. 또는 계정 사용자 지정 단계에서 글로벌 헬퍼를 사용하는 것을 권장합니다.

AFT 계정 프로비저닝 프레임워크는 사용자 지정을 구현하기 위해 사용자가 정의한 AWS Step Functions 상태 시스템을 호출합니다. 가능한 상태 시스템 통합에 대한 자세한 내용은 AWS Step Functions 설명서를 참조하세요.

다음은 몇 가지 일반적인 통합입니다.

  • 선택한 언어로 제공되는 AWS Lambda 함수

  • AWS ECS 또는 AWS Fargate 태스크, Docker 컨테이너 사용

  • AWS 또는 온프레미스에서 호스팅되는 사용자 지정 작업자를 사용한 AWS Step Functions 작업

  • Amazon SNS 또는 SQS 통합

AWS Step Functions 상태 시스템이 정의되지 않은 경우 해당 단계는 아무런 작업 없이 통과됩니다. AFT 계정 프로비저닝 사용자 지정 상태 시스템을 생성하려면 AFT 계정 프로비저닝 사용자 지정 상태 시스템 생성의 지침을 따릅니다. 사용자 지정을 추가하기 전에 사전 조건이 있는지 확인합니다.

이러한 유형의 통합은 AWS Control Tower의 일부가 아니며 AFT 계정 사용자 지정의 글로벌 API 호출 전 단계 중에는 추가할 수 없습니다. 대신 AFT 파이프라인을 사용하면 프로비저닝 프로세스의 일부로 이러한 사용자 지정을 설정할 수 있으며 프로비저닝 워크플로에서 실행됩니다. 다음 섹션에 설명된 대로 AFT 계정 프로비저닝 단계를 시작하기 전에 상태 시스템을 미리 생성하여 이러한 사용자 지정을 구현해야 합니다.

상태 시스템 생성을 위한 사전 조건

AFT 계정 프로비저닝 사용자 지정 상태 시스템 생성

1단계: 상태 시스템 정의 수정

예제 customizations.asl.json 상태 시스템 정의를 수정합니다. 이 예제는 배포 후 단계의 AFT 계정 프로비저닝 사용자 지정을 저장하기 위해 설정한 git 리포지토리에서 사용할 수 있습니다. 상태 시스템 정의에 대해 자세히 알려면 AWS Step Functions 개발자 안내서를 참조하세요.

2단계: 해당 Terraform 구성 포함

사용자 지정 통합을 위한 상태 시스템 정의와 동일한 git 리포지토리에 확장자가 .tf인 Terraform 파일을 포함합니다. 예를 들어 상태 시스템 작업 정의에서 Lambda 함수를 호출하도록 선택한 경우 동일한 디렉터리에 lambda.tf 파일을 포함하면 됩니다. 사용자 지정 구성에 필요한 IAM 역할과 권한을 포함해야 합니다.

적절한 입력을 제공하면 AFT 파이프라인은 상태 시스템을 자동으로 호출하고 AFT 계정 프로비저닝 프레임워크 단계의 일부로 사용자 지정을 배포합니다.

AFT 계정 프로비저닝 프레임워크 및 사용자 지정을 다시 시작하려면

AFT는 AFT 파이프라인을 통해 제공된 모든 계정에 대해 계정 프로비저닝 프레임워크 및 사용자 지정 단계를 실행합니다. 계정 프로비저닝 사용자 지정을 다시 시작하려는 경우 다음 두 가지 방법 중 하나를 사용할 수 있습니다.

  1. 계정 요청 리포지토리에서 기존 계정을 변경합니다.

  2. AFT를 사용하여 새 계정을 프로비저닝합니다.