AWS Control Tower Account Factory for Terraform(AFT)概述
Account Factory for Terraform(AFT)设置 Terraform 管道来帮助您在 AWS Control Tower 中预置和自定义账户。AFT 为您提供基于 Terraform 的账户预置的优势,同时让您可以使用 AWS Control Tower 管理您的账户。
借助 AFT,您可以创建一个账户请求 Terraform 文件,以获取触发 AFT 账户预置工作流的输入。账户预置阶段完成后,AFT 会在账户自定义阶段开始之前自动运行一系列步骤。有关更多信息,请参阅 AFT account provisioning pipeline。
AFT 支持 Terraform 云、Terraform 企业版和 Terraform 社区版。借助 AFT,您可以使用输入文件和一个简单的 git push 命令启动账户创建,并自定义新账户或现有账户。账户创建包括 AWS Control Tower 的所有治理优势和账户自定义,可帮助您满足组织的标准安全程序和合规性准则。
AFT 支持账户自定义请求跟踪。每次您提交账户自定义请求时,AFT 都会生成一个唯一的跟踪令牌,该令牌通过 AFT 自定义 AWS Step Functions 状态机传递,并且这个状态机会在执行过程中记录令牌。然后,您可以使用 Amazon CloudWatch Logs Insights 查询来搜索时间戳范围并检索请求令牌。因此,您可以看到令牌附带的有效载荷,这使您可以在整个 AFT 工作流中跟踪您账户的自定义请求。有关 CloudWatch Logs 和 Step Functions 的更多信息,请参阅以下主题:
-
《Amazon CloudWatch Logs 用户指南》中的什么是 Amazon CloudWatch Logs?
-
《AWS Step Functions 开发人员指南》中的什么是 AWS Step Functions?
AFT 将其他 AWS 服务的功能作为 组件服务 进行组合,构建了一个框架,其中包含部署 Terraform 基础设施即代码(IaC)的管道。AFT 让您能够:
-
在 GitOps 模型中提交账户预置和更新请求
-
存储账户元数据和审计历史记录
-
应用账户级标签
-
为所有账户、一组账户或个别账户添加自定义设置
-
启用功能选项
AFT 创建了一个名为 AFT 管理账户的单独账户来部署 AFT 功能。您必须已有的 AWS Control Tower 登录区,然后才能设置 AFT。AFT 管理账户与 AWS Control Tower 管理账户有所不同。
AFT 提供了灵活性
-
平台的灵活性:AFT 支持任何 Terraform 发行版的初始部署和持续运行:Terraform 社区版、Terraform 云和 Terraform 企业版。
-
版本控制系统的灵活性:AFT 支持 AWS CodeCommit,以及通过 AWS CodeConnections 提供的其他版本控制源。
AFT 提供功能选项
您可以根据最佳实践启用多个功能选项:
-
创建用于记录数据事件的组织级 CloudTrail
-
删除账户的 AWS 默认 VPC
-
将预置账户注册到 AWS Enterprise Support 计划中
注意
AFT 管道不适用于部署您的账户运行应用程序所需的资源,例如 Amazon EC2 实例。它仅用于自动预置和自定义 AWS Control Tower 账户。
视频演练
此视频(7:33)描述了如何使用 AWS Control Tower Account Factory for Terraform 部署账户。为了更好地观看,请选择视频右下角的图标以将其放大为全屏。可以使用字幕。
