本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
预置方法
AWS Control Tower 提供了多种创建和更新成员账户的方法。有些方法主要基于控制台,有些方法主要是自动化的。
概述
创建成员账户的标准方法是通过 Account Factory,这是一款基于控制台的产品,属于 Service Catalog 的一部分。如果您的登录区未处于偏移状态,则可以使用创建账户来从控制台添加新账户,也可以使用注册账户来将现有 AWS 账户注册到 AWS Control Tower。
借助 Account Factory,您可以依靠 AWS Control Tower 默认设置来预置基本账户。您还可以预置满足特殊使用案例要求的自定义账户。
Account Factory Customization(AFC)是一种从 AWS Control Tower 控制台预置自定义账户的方法,它可以自动自定义和部署账户。执行一些一次性设置步骤后,它就可以实现基于控制台的自动预置,而无需编写脚本或设置管道。有关更多信息,请参阅 使用 Account Factory Customization(AFC)功能自定义账户。
基于控制台的方法:
-
通过属于基本账户或自定义账户的 Accoun AWS Service Catalog t Factory 控制台。有关详细信息和说明,请查阅 使用 Account Factory 预置和管理账户。
-
如果您的登录区未处于偏移状态,请通过 AWS Control Tower 中的注册账户功能。请参阅 注册现有账户。
-
在 AWS Control Tower 控制台中,您可以使用 Account Factory 同时创建、更新或注册最多五个账户。
自动化方法:
-
Lambda 代码:通过 AWS Control Tower 登录区的管理账户进行操作(使用 Lambda 代码和适当的 IAM 角色)。请参阅使用 IAM 角色自动预置账户。
-
Terraform:来自适用于 Terraform 的 AWS Control Tower Account Factory (AFT),该工厂依靠账户工厂和 GitOps 模型来实现账户配置和更新的自动化。请参阅 利用 AWS Control Tower Account Factory for Terraform(AFT)预置账户 。
-
AWS Control Tower 控制台中的 Account Factory Customization:完成设置步骤后,今后再提供自定义账户时,无需进行额外的配置或管道维护。账户是通过名为蓝图 AWS Service Catalog 的产品进行配置的。蓝图可以使用 AWS CloudFormation 模板或 Terraform 模板。
注意
AWS CloudFormation 蓝图可以将资源部署到多个区域。Terraform 蓝图只能将资源部署到单个区域。默认情况下,这就是主区域。
