Passo a passo: Automatize o provisionamento de contas no Control AWS Tower by Service Catalog APIs - AWS Control Tower
Exemplo de entrada de provisionamento para Service Catalog APIVídeo de demonstração

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Passo a passo: Automatize o provisionamento de contas no Control AWS Tower by Service Catalog APIs

AWSO Control Tower é integrado a vários outros AWS serviços, como AWS Service Catalog. Você pode usar o APIs para criar e provisionar suas contas de membros na AWS Control Tower.

O vídeo mostra como provisionar contas de forma automatizada e em lote, ligando para AWS Service Catalog APIs o. Para provisionamento, você chamará o a ProvisionProductAPIpartir da interface de linha de AWS comando (CLI) e especificará um JSON arquivo que contém os parâmetros de cada conta que você gostaria de configurar. O vídeo ilustra a instalação e o uso do ambiente de desenvolvimento do AWS Cloud9 para execução desse trabalho. Os CLI comandos seriam os mesmos se você usasse o AWS Cloudshell em vez do AWS Cloud9.

nota

Você também pode adaptar essa abordagem para automatizar as atualizações da conta, ligando AWS Service Catalog para o UpdateProvisionedProductAPIde cada conta. Você pode escrever um script para atualizar as contas, uma por uma.

Como um método de automação completamente diferente, se você estiver familiarizado com o Terraform, poderá provisionar contas com o AWS Control Tower Account Factory for Terraform () AFT.

Exemplo de perfil de administração de automação

Aqui está um exemplo de modelo que você pode usar para ajudar a configurar o perfil de administração de automação na conta de gerenciamento. Esse perfil deveria ser configurado em sua conta de gerenciamento para que ela pudesse realizar a automação com acesso de administrador nas contas de destino.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the SampleAutoAdminRole

Resources:
  AdministrationRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: SampleAutoAdminRole
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service: cloudformation.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: AssumeSampleAutoAdminRole
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - "arn:aws:iam::*:role/SampleAutomationExecutionRole"

Exemplo de perfil de execução de automação

Aqui está um modelo de exemplo que você pode usar para ajudar a configurar a função de execução de automação. Esse perfil deveria ser configurado nas contas de destino.

AWSTemplateFormatVersion: "2010-09-09"
Description: "Create automation execution role for creating Sample Additional Role."

Parameters:
  AdminAccountId:
    Type: "String"
    Description: "Account ID for the administrator account (typically management, security or shared services)."
  AdminRoleName:
    Type: "String"
    Description: "Role name for automation administrator access."
    Default: "SampleAutomationAdministrationRole"
  ExecutionRoleName:
    Type: "String"
    Description: "Role name for automation execution."
    Default: "SampleAutomationExecutionRole"
  SessionDurationInSecs:
    Type: "Number"
    Description: "Maximum session duration in seconds."
    Default: 14400

Resources:
  # This needs to run after AdminRoleName exists.
  ExecutionRole:
    Type: "AWS::IAM::Role"
    Properties:
      RoleName: !Ref ExecutionRoleName
      MaxSessionDuration: !Ref SessionDurationInSecs
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: "Allow"
            Principal:
              AWS:
                - !Sub "arn:aws:iam::${AdminAccountId}:role/${AdminRoleName}"
            Action:
              - "sts:AssumeRole"
      Path: "/"
      ManagedPolicyArns:
        - "arn:aws:iam::aws:policy/AdministratorAccess"

Depois de configurar essas funções, você chama o AWS Service Catalog APIs para realizar as tarefas automatizadas. Os CLI comandos são fornecidos no vídeo.

Exemplo de entrada de provisionamento para Service Catalog API

Aqui está uma amostra das informações que você pode fornecer ao Service Catalog ProvisionProduct API se estiver usando o API para provisionar contas da AWS Control Tower:

{
  pathId: "lpv2-7n2o3nudljh4e",
  productId: "prod-y422ydgjge2rs",
  provisionedProductName: "Example product 1",
  provisioningArtifactId: "pa-2mmz36cfpj2p4",
  provisioningParameters: [
    {
      key: "AccountEmail",
      value: "abc@amazon.com"
    },
    {
      key: "AccountName",
      value: "ABC"
    },
    {
      key: "ManagedOrganizationalUnit",
      value: "Custom (ou-xfe5-a8hb8ml8)"
    },
    {
      key: "SSOUserEmail",
      value: "abc@amazon.com"
    },
    {
      key: "SSOUserFirstName",
      value: "John"
    },
    {
      key: "SSOUserLastName",
      value: "Smith"
    }
  ],
  provisionToken: "c3c795a1-9824-4fb2-a4c2-4b1841be4068"
}

Para obter mais informações, consulte a APIreferência do Service Catalog.

nota

Observe que o formato da string de entrada para o valor de ManagedOrganizationalUnit foi alterado de OU_NAME para OU_NAME (OU_ID). O vídeo a seguir não menciona essa mudança.

Vídeo de demonstração

Este vídeo (6:58) descreve como automatizar as implantações de contas no Control TowerAWS. Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.