"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
# Gerencie conjuntos de AWS permissões dinamicamente usando o Terraform
*Vinicius Elias e Marcos Vinicius Pinto Jordão, Amazon Web Services*
## Resumo
Centro de Identidade do AWS IAM aprimora AWS Identity and Access Management (IAM) fornecendo um hub centralizado para gerenciar o acesso com login único e aplicativos em nuvem. Contas da AWS No entanto, o gerenciamento manual dos [conjuntos de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) do Centro de Identidade do IAM pode se tornar cada vez mais complexo e propenso a erros à medida que sua organização cresce. Essa complexidade pode levar a possíveis falhas de segurança e sobrecarga administrativa.
Essa solução permite que você gerencie conjuntos de permissões por meio de infraestrutura como código (IaC) usando um pipeline de integração contínua e entrega contínua (CI/CD) criado com Serviços da AWS nativos. Ele permite uma integração perfeita do mecanismo de atribuição do conjunto de permissões com eventos do AWS Control Tower ciclo de vida ou com um ambiente [Account Factory for Terraform](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) (AFT). Essa abordagem fornece configurações de identidade dinâmicas para novas e existentes Contas da AWS.
EventBridge As regras da Amazon monitoram a Conta da AWS criação e as atualizações, o que ajuda suas configurações de identidade a permanecerem sincronizadas com sua estrutura organizacional. Depois de criar ou atualizar contas em AWS Control Tower ou AFT, o pipeline é acionado. Ele avalia um conjunto de arquivos JSON com definições de conjuntos de permissões e regras de atribuição. Em seguida, o pipeline aplica e sincroniza as configurações em todas as contas.
Essa abordagem oferece os seguintes benefícios:
+ **Consistência** — elimina o desvio de configuração manual em toda a sua organização AWS
+ **Auditabilidade**: mantém um histórico completo de todas as alterações no gerenciamento de identidade
+ **Escalabilidade** — aplica configurações automaticamente à medida que seu ambiente cresce AWS
+ **Segurança**: reduz o erro humano nas atribuições de permissões
+ **Conformidade**: facilita o cumprimento dos requisitos regulatórios por meio de alterações documentadas e regras de atribuição
## Pré-requisitos e limitações
+ Um ambiente de várias contas com AWS Control Tower e AWS Organizations configurado. Opcionalmente, você pode usar o AFT com AWS Control Tower.
+ Um administrador delegado do IAM Identity Center Conta da AWS para receber a solução. Para obter mais informações, consulte [Delegated administration](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html) na documentação do Centro de Identidade do IAM.
+ Um repositório do sistema de controle de versão (VCS) para lidar com o código principal. Para ver uma amostra, consulte o GitHub [repositório](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic) da solução.
+ AWS Recursos necessários para o gerenciamento de back-end do Terraform, como um bucket do Amazon Simple Storage Service (Amazon S3) e uma tabela do Amazon DynamoDB.
**Limitações**
+ O pipeline usa recursos AWS nativos e o Terraform de código aberto. O pipeline não está preparado para fazer chamadas para ecossistemas de terceiros.
+ Alguns Serviços da AWS não estão disponíveis em todos Regiões da AWS. Para conferir a disponibilidade de uma região, consulte [AWS Services by Region](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Para endpoints específicos, consulte [Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) e clique no link correspondente ao serviço desejado.
## Arquitetura
O diagrama apresentado a seguir ilustra os componentes e o fluxo de trabalho para este padrão.
![\[Componentes e fluxo de trabalho para gerenciar conjuntos de permissões da AWS usando o Terraform.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/69dc79c7-b4cd-4ad0-b0d2-d58cf0c7adaa/images/649e299c-1142-405a-8982-4a6b2e595d53.png)
**AWS Control Tower fluxo de eventos**
A solução começa com a integração de eventos provenientes de qualquer um AWS Control Tower ou do AFT. A escolha entre um ou outro serviço é feita no momento da implementação por meio da definição de variáveis. Independentemente do método usado, o pipeline é acionado sempre que uma conta é criada ou atualizada. O pipeline reconcilia as políticas armazenadas no repositório de gerenciamento de conjuntos de permissões.
A seguir estão os eventos do AWS Control Tower ciclo de vida:
+ `CreateManagedAccount`: quando uma nova conta é criada
+ `UpdateManagedAccount`: quando uma conta existente é atualizada
**Roteamento de eventos**
EventBridge serve como serviço central de processamento de eventos, capturando eventos gerados na AWS Control Tower conta. Quando os eventos ocorrem, os encaminha de EventBridge forma inteligente para um barramento de eventos centralizado na conta da solução. AWS Control Tower os eventos do ciclo de vida seguem padrões de roteamento distintos. Se a AFT for definida como a origem do evento, a conta de gerenciamento da AFT manipulará os eventos em vez da AWS Control Tower conta. Essa arquitetura orientada a eventos permite respostas automatizadas às alterações organizacionais sem intervenção manual.
**Processo de integração do AFT**
Quando os eventos AWS Control Tower do ciclo de vida chegam à conta de gerenciamento do AFT, eles acionam automaticamente vários processos posteriores que são intrínsecos ao AFT. Depois que o fluxo de trabalho de personalização da conta do AFT é concluído, ele publica uma mensagem no tópico dedicado do Amazon Simple Notification Service (Amazon SNS) `aft-notifications`. Esse tópico aciona a `aft-new-account-forward-event` AWS Lambda função implementada por essa solução. A função do Lambda envia o evento para o barramento de eventos da conta da solução, onde ele é usado para iniciar o pipeline.
**Pipeline da infraestrutura como código**
O pipeline de soluções opera como um mecanismo de implantação totalmente automatizado. O AWS CodePipeline serviço monitora continuamente o repositório em busca de alterações. Ao detectar novas confirmações, ele inicia automaticamente o fluxo de trabalho de implantação e inicia um processo sequencial que inclui fases de validação e execução. O sistema executa `plan` operações do Terraform para identificar as mudanças propostas, seguidas pelos `apply` comandos do Terraform para implementar essas mudanças no AWS ambiente. É importante notar que o pipeline funciona sem nenhuma porta de aprovação manual. Essa abordagem permite a rápida implantação de mudanças na infraestrutura, mantendo a auditabilidade por meio de logs de pipeline e de arquivos de estado do Terraform.
O pipeline AWS CodeBuild se aproveita para executar as operações do Terraform em um ambiente controlado com as permissões apropriadas. Por meio dessa abordagem de IaC, o pipeline pode realizar operações abrangentes de gerenciamento de permissões, incluindo:
+ Criar novos conjuntos de permissões.
+ Atualizar os conjuntos de permissões existentes.
+ Remover conjuntos de permissões desnecessários.
+ Gerencie a atribuição dessas permissões em contas e grupos dentro das AWS organizações.
Para manter a consistência da infraestrutura e evitar mudanças conflitantes, a solução implementa o sistema de gerenciamento de estado de backend do Terraform usando um bucket do Amazon S3 e uma tabela dedicada do Amazon DynamoDB. Essa abordagem fornece um local de armazenamento persistente para arquivos de estado do Terraform e mecanismos de bloqueio de estado para evitar modificações simultâneas nos mesmos recursos.
O código principal do Terraform usa o módulo oficial do AWS `permission-sets` Terraform. Esse módulo pode gerenciar dinamicamente conjuntos de permissões no Centro de Identidade do IAM, com base em modelos de conjuntos de permissões.
**Gerenciamento de controle de origem**
Os modelos de conjunto de permissões (arquivos JSON) residem em um sistema externo de controle de versão, como, por exemplo GitHub, que fornece um repositório centralizado para configurações de gerenciamento de identidade. Essa abordagem estabelece uma única fonte confiável para as definições do conjunto de permissões, ao mesmo tempo em que permite o desenvolvimento colaborativo por meio de práticas padrão de revisão de código. Usuários autorizados podem confirmar alterações nesses modelos seguindo os processos de gerenciamento de mudanças organizacionais. Essas confirmações servem como o principal gatilho para o pipeline de implantação automatizado, iniciando o processo de atualização da infraestrutura.
Para ver um exemplo de como configurar os conjuntos de permissões usando o arquivo JSON no repositório, consulte [Informações adicionais](#manage-aws-permission-sets-dynamically-by-using-terraform-additional).
## Ferramentas
**Serviços da AWS**
+ O [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html) é um serviço de compilação totalmente gerenciado que permite compilar o código-fonte, realizar testes de unidade e produzir artefatos preparados para a implantação.
+ [Conexões de código da AWS](https://docs.aws.amazon.com/dtconsole/latest/userguide/welcome-connections.html)permite que AWS recursos e serviços, como CodePipeline, se conectem a repositórios de código externos, como GitHub.
+ O [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html) ajuda você a modelar e configurar rapidamente os diferentes estágios de uma versão de software, além de automatizar as etapas necessárias para a implantação contínua de alterações.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) é uma ferramenta de código aberto que ajuda você a interagir Serviços da AWS por meio de comandos em seu shell de linha de comando.
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)ajuda você a configurar e administrar um ambiente AWS com várias contas, seguindo as melhores práticas prescritivas.
+ O [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) é um serviço de banco de dados NoSQL totalmente gerenciado que fornece performance rápida, previsível e escalável.
+ EventBridgeA [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) é um serviço de ônibus de eventos sem servidor que ajuda você a conectar seus aplicativos com dados em tempo real de várias fontes. Por exemplo, AWS Lambda funções, endpoints de invocação HTTP usando destinos de API ou barramentos de eventos em outros. Contas da AWS
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.
+ [Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)ajuda você a gerenciar centralmente o acesso de login único (SSO) a todos os seus Contas da AWS aplicativos e à nuvem.
+ O [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)é um serviço de gerenciamento de contas que ajuda você a consolidar várias Contas da AWS em uma organização que você cria e gerencia centralmente.
+ O [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail. Ele permite notificações push para eventos de gerenciamento de contas, garantindo que as partes relevantes sejam informadas sobre mudanças ou ações importantes no sistema.
+ O [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.
**Outras ferramentas**
+ [O Terraform](https://www.terraform.io/) é uma ferramenta de infraestrutura como código (IaC) HashiCorp que ajuda você a criar e gerenciar recursos na nuvem e no local.
**Repositório de código**
O código desse padrão está disponível na organização AWS Samples ou GitHub no repositório [sample-terraform-aws-permission-sets-pipeline](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline).
## Práticas recomendadas
+ Sempre fixe as versões dos módulos e provedores do Terraform usados para executar o código na produção.
+ Use uma ferramenta de análise de código estático, como o [Checkov](https://www.checkov.io/), para verificar seu código e resolver os problemas de segurança.
+ Respeite o princípio de privilégio mínimo, garantindo somente as permissões estritamente necessárias para a execução de uma tarefa. Para obter mais informações, consulte [Concessão de privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) e [Práticas recomendadas de segurança](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) na documentação do IAM.
## Épicos
### Criar os pré-requisitos (opcional)
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie os recursos de backend do Terraform. | Se você ainda não criou seus AWS recursos de back-end do Terraform, use as etapas a seguir para criar um bucket do Amazon S3 `s3-tf-backend-{ACCOUNT_ID}` () e uma tabela do DynamoDB (). `ddb-tf-backend`[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws s3api create-bucket --bucket s3-tf-backend-{ACCOUNT_ID}
aws s3api put-bucket-versioning --bucket s3-tf-backend-{ACCOUNT_ID} --versioning-configuration Status=Enabled
aws dynamodb create-table --table-name ddb-tf-backend --attribute-definitions AttributeName=LockID,AttributeType=S --key-schema AttributeName=LockID,KeyType=HASH --provisioned-throughput ReadCapacityUnits=1,WriteCapacityUnits=1 | Administrador da AWS |
| Criar uma função de conta cruzada. | Você deve fornecer uma função do IAM entre contas na configuração do AWS provedor `event-source-account` Terraform. Se ainda não tiver criado esse perfil, use as seguintes etapas para criá-lo:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam create-role \
--role-name CrossAccountRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{ACCOUNT_ID}:root"
},
"Action": "sts:AssumeRole"
}
]
}'
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam attach-role-policy \
--role-name CrossAccountRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
Este exemplo usa a política AWS gerenciada do IAM [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html). Se preferir, poderá usar uma política mais específica. | Administrador da AWS |
### Preparar o repositório do conjunto de permissões
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie um repositório dedicado. | Essa tarefa pressupõe que você esteja usando GitHub. Crie um repositório dedicado para armazenar o código principal do Terraform e os arquivos JSON do modelo do conjunto de permissões. | DevOps engenheiro |
| Prepare o código do conjunto de permissões. | Para obter informações sobre como você pode estruturar os arquivos a seguir, consulte o [sample code](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic) no repositório da solução:├── main.tf├── outputs.tf├── providers.jinja└── templatesCopie o conteúdo, mantenha os valores `providers.jinja` e faça os ajustes necessários nos outros arquivos. Por exemplo, adicione os arquivos do modelo de conjunto de permissões em `templates` ou fixe a versão do módulo `aws-ia/permission-sets/aws` no arquivo `main.tf`. | DevOps engenheiro |
| Confirme suas alterações. | Confirme e envie as alterações para o repositório que você criou anteriormente. Salve o nome do repositório e sua GitHub organização, por exemplo,`myorg/aws-ps-pipeline`. | DevOps engenheiro |
### Preparar o código de implantação
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Baixe o conteúdo. | Baixe (clone) o conteúdo do [repositório](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline) da solução. | DevOps engenheiro |
| Preencha as variáveis. | Crie um arquivo `terraform.tfvars` e adicione as seguintes variáveis necessárias:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)repository_name = "myorg/aws-ps-pipeline"
branch_name = "main"
vcs_provider = "github"
account_lifecycle_events_source = "CT"
Para obter informações sobre opções adicionais de variáveis, consulte o arquivo [variables.tf](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/blob/main/variables.tf) no repositório desse padrão. GitHub | DevOps engenheiro |
| Ajuste a configuração do backend do Terraform. | No arquivo `backend.tf`, substitua os espaços reservados com seus próprios valores. Use a AWS Control Tower página inicial Região da AWS e forneça os nomes do bucket Amazon S3 e da tabela do DynamoDB criados anteriormente.terraform {
required_version = ">=1.6"
backend "s3" {
region = "{region}"
bucket = "{bucket_name}"
key = "terraform.tfstate"
dynamodb_table = "{table_name}"
encrypt = "true"
}
}Se preferir, você pode usar sua própria configuração de backend do Terraform. | DevOps engenheiro |
| Ajuste a configuração do provedor do Terraform. | No arquivo `providers.tf`, substitua os espaços reservados por suas próprias informações. Use a região de AWS Control Tower origem e forneça o ARN da função IAM entre contas criada anteriormente para o provedor. `event-source-account`provider "aws" {
region = "{region}"
}
provider "aws" {
alias = "event-source-account"
region = "{region}"
assume_role {
role_arn = "{role_arn}"
}
}
| DevOps engenheiro |
### Implantar a solução manualmente
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Selecione Conta da AWS o. | Recomendamos que você implante a solução na conta do administrador delegado do Centro de Identidade do IAM. No entanto, você também pode implantá-lo na conta AWS Organizations de gerenciamento.Para fazer login na conta selecionada na mesma região da instância do Centro de Identidade do IAM, use a AWS CLI. Certifique-se de que o perfil do IAM que você está usando tenha permissão para assumir o perfil especificado para o provedor `event-source-account` nas etapas anteriores. Além disso, essa função deve ter acesso aos AWS recursos usados na configuração de back-end do Terraform. | Administrador da AWS |
| Execute o Terraform manualmente. | Para inicializar, planejar e aplicar as configurações, execute os seguintes comandos do Terraform, um de cada vez:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) | DevOps engenheiro |
| Verificar os resultados da implantação. | Na conta do administrador delegado do Centro de Identidade do IAM, verifique se o pipeline `aws-ps-pipeline` foi criado. Verifique também se há uma Conexões de código da AWS conexão com o status **Pendente**. | AWS DevOps |
| Conclua a CodeConnections configuração. | Para finalizar a CodeConnections configuração, use as seguintes etapas:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)O pipeline agora deve ter acesso ao repositório do conjunto de permissões.Para obter instruções detalhadas, consulte [Update a pending connection](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-update.html) na documentação do console do Developer Tools. | AWS DevOps |
### Escolher um fluxo de execução do pipeline para testar a solução
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Execute o pipeline por meio AWS Control Tower de atualizações do AFT. | Depois que uma conta é criada ou alterada usando nosso AWS Control Tower AFT (dependendo do tipo de eventos de ciclo de vida que você escolheu), o pipeline começa. | Administrador da AWS |
| Execute o pipeline alterando o código. | Depois de alterar o código e confirmá-lo na ramificação `main`, o pipeline é iniciado. | AWS DevOps |
| Execute o pipeline manualmente. | Para iniciar o pipeline manualmente, use o recurso [Release Change](https://docs.aws.amazon.com/codepipeline/latest/userguide/pipelines-rerun-manually.html) no AWS CodePipeline. | AWS DevOps |
## Solução de problemas
| Problema | Solução |
| --- | --- |
| Acesso negado | Verifique se você tem as permissões necessárias para implantar a solução. |
| CodeConnections problemas | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| Problemas na execução do pipeline | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| Problemas na implantação dos conjuntos de permissões | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
## Recursos relacionados
**AWS service (Serviço da AWS) documentação**
+ [Centro de Identidade do AWS IAM Guia do usuário](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ [Gerencie Contas da AWS com conjuntos de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) (documentação do IAM Identity Center)
**Outros recursos**
+ [AWS Módulo de conjuntos de permissões](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest) (Terraform)
## Mais informações
**Arquivo JSON com conjunto de permissões de exemplo**
O exemplo a seguir mostra como configurar um conjunto de permissões usando o arquivo JSON no repositório:
```
{
"Name": "ps-billing", // Permission set identifier
"Comment": "Sample permission set for billing access", // Comment to document the purpose of the permission set
"Description": "Billing access in AWS", // Detailed description
"SessionDuration": "PT4H", // Session duration = 4 hours (ISO 8601 format)
"ManagedPolicies": [ // List of AWS IAM managed policies
"arn:aws:iam::aws:policy/job-function/Billing",
"arn:aws:iam::aws:policy/job-function/SupportUser",
"arn:aws:iam::aws:policy/AWSSupportAccess",
"arn:aws:iam::aws:policy/job-function/ViewOnlyAccess"
],
"CustomerPolicies": [], // References to IAM policies previously created
"CustomPolicy": {}, // Inline IAM policy defined directly in the permission set
"PermissionBoundary": { // AWS or customer managed IAM policy to be used as boundary
"ManagedPolicy": "",
"CustomerPolicy": ""
},
"Assignments": [ // Define the assignment rules
{
"all_accounts": true, // Apply to ALL active AWS accounts in organization
"principal": "G_BILLING_USERS", // Group/user name in Identity Center
"type": "GROUP", // Can be "GROUP" or "USER"
"account_id": [], // List of AWS account ID (empty since all_accounts=true)
"account_ou": [], // List of AWS Organizational Unit IDs with target AWS accounts
"account_tag": [] // List of tags (key:value) to match AWS Organization accounts tags
}
]
}
```
Para obter mais informações, consulte o esquema JSON na documentação [AWS Permission Sets module](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest#json-file-templates) no site do Terraform.
**Dicas**
+ Você pode usar os [blocos de importação](https://developer.hashicorp.com/terraform/language/import) do Terraform para importar um conjunto de permissões existente para a solução.
+ Você pode usar o AFT para implementar o pipeline do conjunto de AWS permissões em uma conta delegada. Para obter mais informações, consulte [AFT Blueprints](https://awslabs.github.io/aft-blueprints/index.html).
# Marque anexo do gateway de trânsito automaticamente usando o AWS Organizations
*Richard Milner-Watts, Haris Bin Ayub e John Capps, Amazon Web Services*
## Resumo
Na Amazon Web Services (AWS), você pode usar [AWS Resource Access Manager](https://aws.amazon.com/ram/)para compartilhar Conta da AWS além [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)dos limites. No entanto, quando você cria anexo do gateway de trânsito além dos limites da conta, os anexos são criados sem uma tag de nome. Isso pode tornar a identificação de anexos demorada.
Esta solução fornece um mecanismo automatizado destinado à coleta de informações sobre cada anexo do gateway de trânsito para as contas pertencentes a uma organização gerenciada pelo [AWS Organizations](https://aws.amazon.com/organizations/). O processo inclui pesquisar o intervalo [Encaminhamento Entre Domínios Sem Classificação ](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)(CIDR) na tabela de rotas do Transit Gateway. Em seguida, a solução aplica uma tag de nome na forma de `-` ao anexo na conta que contém o Transit Gateway.
Essa solução pode ser usada junto com uma solução como o [Serverless Transit Network Orchestrator](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/) da Solutions Library. AWS O Serverless Transit Network Orchestrator possibilita a criação automatizada de anexos do gateway de trânsito em grande escala.
## Pré-requisitos e limitações
**Pré-requisitos **
+ Um ativo Conta da AWS
+ Uma AWS Organizations organização que contém todas as contas relacionadas
+ Acesso à conta de gerenciamento da organização, sob a raiz da organização, para criar a função AWS Identity and Access Management (IAM) necessária
+ Uma conta de membro da Rede Compartilhada contendo um ou mais gateways de trânsito que são compartilhados com a organização e têm anexos
## Arquitetura
A captura de tela a seguir Console de gerenciamento da AWS mostra exemplos de anexos do Transit Gateway sem etiqueta de nome associada e dois anexos do Transit Gateway com etiquetas de nome geradas por essa solução. A estrutura da tag de nome gerada é `-`.
![\[Console mostrando anexos sem tags de nome e dois anexos com tags de nome.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/7e7d4a47-f07a-4708-8022-a1d22855bb5d.png)
Essa solução é usada [AWS CloudFormation](https://aws.amazon.com/cloudformation/)para implantar um [AWS Step Functions](https://aws.amazon.com/step-functions/)fluxo de trabalho que gerencia a criação de tags de nome do Transit Gateway em todas as configurações Regiões da AWS. O fluxo de trabalho invoca funções do [AWS Lambda](https://aws.amazon.com/lambda/), que executam as tarefas subjacentes.
Depois que a solução obtém os nomes das contas AWS Organizations, a máquina de estado Step Functions obtém todos os anexos do Transit Gateway IDs. Essas IDs são processadas em paralelo por região. Esse processamento inclui a pesquisa do intervalo CIDR para cada anexo. O intervalo CIDR é obtido pesquisando nas tabelas de rotas do Transit Gateway na região por uma ID de anexo do gateway de trânsito correspondente. Se todas as informações necessárias estiverem disponíveis, a solução aplicará uma tag de nome ao anexo. A solução não substituirá nenhuma tag de nome existente.
A solução é executada em uma programação controlada por um EventBridge evento [da Amazon](https://aws.amazon.com/eventbridge/). O evento inicia a solução todos os dias às 06:00 UTC.
**Pilha de tecnologias de destino**
+ Amazon EventBridge
+ AWS Lambda
+ AWS Organizations
+ AWS Transit Gateway
+ Amazon Virtual Private Cloud (Amazon VPC)
+ AWS X-Ray
**Arquitetura de destino**
A arquitetura da solução e o fluxo de trabalho são mostrados no diagrama a seguir.
![\[Processo em nove etapas que envolve contas gerenciais da organização e de rede compartilhada.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/873cc89f-c6e3-43cd-94ed-59b6ea2b8d49.png)
1. O evento agendado inicia a regra.
1. A EventBridge regra inicia a máquina de estado Step Functions.
1. A máquina de estado invoca a `tgw-tagger-organizations-account-query` função do Lambda.
1. A função do Lambda `tgw-tagger-organizations-account-query` assume a função na conta de gerenciamento da organização.
1. A função `tgw-tagger-organizations-account-query` Lambda chama a API Organizations para retornar Conta da AWS metadados.
1. A máquina de estado invoca a `tgw-tagger-attachment-query` função do Lambda.
1. Para cada região, paralelamente, a máquina de estado invoca a função do Lambda `tgw-tagger-rtb-query` para ler o intervalo CIDR de cada anexo.
1. Para cada região, paralelamente, a máquina de estado invoca a função do Lambda `tgw-tagger-attachment-tagger`****.
1. As tags de nome são criadas para anexo do gateway de trânsito na conta da Rede Compartilhada.
**Automação e escala**
A solução processa cada região em paralelo para reduzir a duração total da execução.
## Ferramentas
**Serviços da AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)fornece uma maneira de modelar uma coleção de recursos relacionados AWS e de terceiros, provisioná-los de forma rápida e consistente e gerenciá-los em todo o ciclo de vida, tratando a infraestrutura como código.
+ CloudWatchA [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) ajuda você a monitorar as métricas dos seus recursos da AWS e dos aplicativos em que você executa AWS em tempo real.
+ EventBridgeA [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) é um serviço de ônibus de eventos sem servidor que você pode usar para conectar seus aplicativos a dados de várias fontes. EventBridge recebe um evento, um indicador de uma mudança no ambiente, e aplica uma regra para rotear o evento até um alvo. As regras fazem a correspondência entre os eventos e os destinos com base na estrutura do evento, chamada padrão do evento ou em um schedule.
+ O [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) é um serviço de computação que permite a execução de código sem a necessidade de provisionar ou gerenciar servidores. O Lambda executa o código somente quando necessário e dimensiona automaticamente, desde algumas solicitações por dia a milhares por segundo. Você paga apenas pelo tempo de computação consumido. Não haverá cobranças quando seu código não estiver em execução.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ajuda você a gerenciar e governar centralmente seu ambiente à medida que você cresce e escala seus AWS recursos. Usando o Organizations, você pode criar recursos novos Contas da AWS e alocar programaticamente, agrupar contas para organizar seus fluxos de trabalho, aplicar políticas a contas ou grupos para fins de governança e simplificar o faturamento usando um único método de pagamento para todas as suas contas.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)é um serviço de fluxo de trabalho visual de baixo código usado para orquestrar Serviços da AWS, automatizar processos de negócios e criar aplicativos sem servidor. Os fluxos de trabalho gerenciam falhas, novas tentativas, paralelização, integrações de serviços e observabilidade para que os desenvolvedores possam se concentrar em uma lógica de negócios de maior valor.
+ [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)conexões VPCs e redes locais por meio de um hub central. Isso simplifica sua rede e acaba com relacionamentos complexos de peering. Ele atua como um roteador na nuvem, de forma que cada nova conexão seja feita apenas uma vez.
+ [A Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) é um serviço para lançar AWS recursos em uma rede virtual logicamente isolada que você define.
+ O [AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html) coleta dados sobre as solicitações atendidas pela sua aplicação e fornece ferramentas que permitem visualizar, filtrar e obter insights sobre esses dados para identificar problemas e oportunidades de otimização.
**Código **
O código-fonte dessa solução está disponível no GitHub repositório [Transit Gateway Attachment Tagger](https://github.com/aws-samples/tgw-attachment-tagger). O repositório inclui os seguintes arquivos:
+ `tgw-attachment-tagger-main-stack.yaml` cria todos os recursos para oferecer suporte a essa solução na conta de rede compartilhada.
+ `tgw-attachment-tagger-organizations-stack.yaml`** **cria uma função na conta de gerenciamento da organização.
## Épicos
### Implemente a pilha principal de soluções
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Reúna as informações necessárias sobre os pré-requisitos. | Para configurar o acesso entre contas da função Lambda AWS Organizations à API, você precisa do ID da conta de gerenciamento da organização.****A ordem na qual as duas CloudFormation pilhas são criadas é importante. Primeiro, você deve implantar recursos na conta de rede compartilhada. A função na conta de rede compartilhada já deve existir antes de implantar recursos na conta de gerenciamento da organização. Para obter mais informações, consulte a [documentação do AWS](https://docs.amazonaws.cn/en_us/IAM/latest/UserGuide/id_roles_create_for-user.html). | DevOps engenheiro |
| Inicie o CloudFormation modelo para a pilha principal de soluções. | O modelo para a pilha principal de soluções implantará as funções do IAM, o fluxo de trabalho Step Functions, as funções Lambda e o evento da Amazon CloudWatch .Abra o Console de gerenciamento da AWS para a conta de rede compartilhada e, em seguida, abra o console: &CFN. Crie a pilha usando o modelo `tgw-attachment-tagger-main-stack.yaml` e especificando os seguintes valores: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)Para obter mais informações sobre o lançamento de uma CloudFormation pilha, consulte a [AWS documentação](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). | DevOps engenheiro |
| Verifique se a solução foi iniciada com sucesso. | Aguarde até que a CloudFormation pilha alcance o status **CREATE\$1COMPLETE**. Isso deve levar menos de um minuto.Abra o console Step Functions e verifique se uma nova máquina de estado foi criada com o nome **tgw-attachment-tagger-state-machine**. | DevOps engenheiro |
### Implante a pilha do AWS Organizations
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Reúna as informações necessárias sobre os pré-requisitos. | Para configurar o acesso entre contas da função do Lambda à API do AWS Organizations, você precisa do ID da conta da rede compartilhada. | DevOps engenheiro |
| Inicie o CloudFormation modelo para a pilha Organizations | O modelo da pilha do AWS Organizations implantará o perfil do IAM na conta de gerenciamento da organização. Acesse o console da AWS para a conta de gerenciamento da organização e, em seguida, abra o CloudFormation console. Crie a pilha usando o modelo `tgw-attachment-tagger-organizations-stack.yaml` e especificando os seguintes valores:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)Para as outras opções de criação de pilha, use os padrões. | DevOps engenheiro |
| Verifique se a solução foi iniciada com sucesso. | Aguarde até que a CloudFormation pilha alcance o status **CREATE\$1COMPLETE**. Isso deve levar menos de um minuto.Abra o console AWS Identity and Access Management (IAM) e verifique se uma nova função foi criada com o nome **tgw-attachment-tagger-organization-query-role**. | DevOps engenheiro |
### Verifique a solução
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Execute uma máquina de estado. | Abra o console Step Functions para a conta Shared Networking e escolha **State machines** no painel de navegação.Selecione a máquina de estado **tgw-attachment-tagger-state-máquina** e escolha **Iniciar execução**. Como a entrada para essa máquina de estado não é usada pela solução, você pode usar o valor padrão.{
"Comment": "Insert your JSON here"
}Escolha **Start Execution**. | DevOps engenheiro |
| Observe a máquina de estado até a conclusão. | Na nova página que se abre, você pode assistir à execução da máquina de estado. A duração dependerá do número de anexos do gateway de trânsito a serem processados.Nesta página, você pode examinar cada etapa da máquina de estado. Você pode visualizar as várias tarefas na máquina de estado e seguir os links para os CloudWatch registros das funções do Lambda. Para as tarefas que são executadas paralelamente no mapa, você pode usar a lista suspensa **Índice** para visualizar as implementações específicas para cada região. | DevOps engenheiro |
| Verifique as etiquetas de anexo do gateway de trânsito. | Abra o console VPC da conta de rede compartilhada e escolha **anexo do gateway de trânsito**. No console, uma tag de nome é fornecida para anexos que atendem aos critérios (o anexo é propagado para uma tabela de rotas do Transit Gateway e o proprietário do recurso é membro da organização). | DevOps engenheiro |
| Verifique o início CloudWatch do evento. | Aguarde o início do CloudWatch evento. Isso está programado para às 06:00 UTC. Em seguida, abra o console Step Functions para a conta Shared Networking e escolha **State machines** no painel de navegação.Selecione a máquina de estado **tgw-attachment-tagger-state-máquina**. Verifique se a solução foi executada às 06:00 UTC. | DevOps engenheiro |
## Recursos relacionados
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [AWS Resource Access Manager](https://aws.amazon.com/ram/)
+ [Orquestrador de rede de trânsito com tecnologia sem servidor](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/)
+ [Criação de perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)
+ [Criando uma pilha no console AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
# Mais padrões
**Topics**
+ [Automatize as alocações IPv4 IPAM CIDR do Amazon VPC para novos usando o AFT Contas da AWS](automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.md)
+ [Governança de conjuntos de permissões para várias contas usando o Account Factory para Terraform](govern-permission-sets-aft.md)
+ [Provisione AWS Service Catalog produtos com base em AWS CloudFormation modelos usando GitHub Ações](provision-aws-service-catalog-products-using-github-actions.md)
+ [Provisione funções do IAM com privilégios mínimos implantando uma solução de máquina de venda automática de funções](provision-least-privilege-iam-roles-by-deploying-a-role-vending-machine-solution.md)