"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
# 使用 Terraform 动态管理 AWS 权限集
*Vinicius Elias 和 Marcos Vinicius Pinto Jordao,Amazon Web Services*
## Summary
AWS IAM Identity Center 通过提供一个用于管理对云应用程序的单点登录访问 AWS 账户 和云应用程序的集中式中心来增强 AWS Identity and Access Management (IAM)。但是,随着组织的发展,手动管理 IAM Identity Center [权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)可能变得越来越复杂和容易出错。这种复杂性可能导致潜在的安全漏洞和管理开销。
这个解决方案可助你使用基于原生 AWS 服务的持续集成和持续交付(CI/CD)管道,通过基础设施即代码(IaC)管理权限集。它可以将权限集分配机制与 AWS Control Tower 生命周期事件或 Acco [unt Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) 环境无缝集成。这种方法为新增和现有身份提供了动态身份配置 AWS 账户。
Amazon EventBridge 规则监控 AWS 账户 创建和更新,这有助于您的身份配置与您的组织结构保持同步。在或 AFT 中创建 AWS Control Tower 或更新账户后,将触发管道。它会评估一组包含权限集定义和分配规则的 JSON 文件。随后,管道将应用这些设置并同步至所有账户。
此方法具有以下优势:
+ **一致性** — 消除整个 AWS 组织的手动配置偏差
+ **可审计性** – 维护所有身份管理变更的完整历史记录
+ **可扩展性** — 随着 AWS 环境的增长自动应用配置
+ **安全性** – 减少权限分配中的人为错误
+ **合规性** – 通过记录在案的变更和分配规则,助力满足监管要求
## 先决条件和限制
+ 带有 AWS Control Tower 和 AWS Organizations 设置的多账户环境。或者,您可以将 AFT 与配合使用 AWS Control Tower。
+ IAM 身份中心委 AWS 账户 托管理员接收解决方案。有关更多信息,请参阅 IAM Identity Center 文档中的[委派管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html)。
+ 一个用于处理主代码的版本控制系统(VCS)存储库。有关示例,请参阅解决方案的 GitHub [存储库](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic)。
+ Terraform 后端管理所需的 AWS 资源,例如亚马逊简单存储服务 (Amazon S3) Service 存储桶和亚马逊 DynamoDB 表。
**限制**
+ 该管道使用 AWS 原生资源和开源 Terraform。管道目前不支持调用第三方生态系统。
+ 有些 AWS 服务 并非全部可用 AWS 区域。有关区域可用性,请参阅[按区域划分的AWS 服务](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。有关特定端点,请参阅[服务端点和配额](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html),然后选择相应服务的链接。
## 架构
下图显示了此模式的组件和工作流。
![\[使用 Terraform 管理 AWS 权限集的组件和工作流。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/images/pattern-img/69dc79c7-b4cd-4ad0-b0d2-d58cf0c7adaa/images/649e299c-1142-405a-8982-4a6b2e595d53.png)
**AWS Control Tower 事件流**
解决方案从整合来自任一方 AWS Control Tower 或 AFT 的事件开始。并在实施阶段通过变量定义选择使用其中一项服务。无论使用哪种方法,只要创建或更新账户,管道就会被触发。管道将协调存储在权限集管理存储库中的策略。
以下是 AWS Control Tower 生命周期事件:
+ `CreateManagedAccount` – 创建新账户时
+ `UpdateManagedAccount` – 现有账户更新时
**事件路由**
EventBridge 用作中央事件处理服务,用于捕获 AWS Control Tower 账户中生成的事件。事件发生时, EventBridge 智能地将其路由到解决方案帐户中的集中式事件总线。 AWS Control Tower 生命周期事件遵循不同的路由模式。如果将 AFT 定义为事件源,则由 AFT 管理账户而不是 AWS Control Tower 账户处理事件。这种事件驱动型架构能够自动响应组织变更,无需人工干预。
**AFT 集成流程**
当 AWS Control Tower 生命周期事件到达AFT管理账户时,它们会自动触发AFT固有的多个下游流程。AFT 账户自定义工作流完成后,会将消息发布到专用的 `aft-notifications` Amazon Simple Notification Service(Amazon SNS)主题。该主题会触发此解决方案实现的`aft-new-account-forward-event` AWS Lambda 函数。Lambda 函数会将事件发送到解决方案账户事件总线,用于启动管道。
**基础设施即代码管道**
解决方案管道作为一个全自动部署机制运行。该 AWS CodePipeline 服务会持续监控存储库中的更改。一旦检测到新的提交,它会自动启动部署工作流,并启动一个包含验证和执行阶段的依序处理流程。系统运行 Terraform `plan` 操作以识别提议的更改,然后运行 Terraform `apply` 命令以在环境中实现这些更改。 AWS 值得注意的是,该管道在运行过程中无任何人工审批环节。这种方法能够助力快速部署基础设施变更,同时通过管道日志和 Terraform 状态文件保持可审计性。
该管道利用 AWS CodeBuild 该管道在具有适当权限的受控环境中运行 Terraform 操作。采用这种 IaC 方法时,管道可以执行全面的权限管理操作,包括:
+ 创建新权限集。
+ 更新现有权限集。
+ 移除不必要的权限集。
+ 管理 AWS 组织内跨账户和群组的这些权限的分配。
为保持基础设施一致性并防止出现冲突的变更,该解决方案使用 Amazon S3 存储桶和专用的 Amazon DynamoDB 表实施 Terraform 后端状态管理系统。这种方法为 Terraform 状态文件提供持久存储位置,并采用状态锁定机制来防止对同一资源进行并发修改。
Terraform 的主代码使用官方的 T AWS `permission-sets` erraform 模块。该模块可以根据权限集模板动态管理 IAM Identity Center 中的权限集。
**源代码控制管理**
权限集模板(JSON 文件)位于外部版本控制系统(例如)中 GitHub,该系统为身份管理配置提供集中存储库。这种方法为权限集定义建立了单一可信数据源,同时通过标准代码审查实践实现协作开发。获授权的用户可以按照组织变更管理流程提交对这些模板的更改。这些提交是自动部署管道的主要触发器,可启动基础设施更新流程。
有关如何使用存储库中的 JSON 文件配置权限集的示例,请参阅[其他信息](#manage-aws-permission-sets-dynamically-by-using-terraform-additional)。
## 工具
**AWS 服务**
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html) 是一项完全托管式构建服务,可编译源代码、运行单元测试和生成部署就绪的构件。
+ [AWS CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/welcome-connections.html)使 AWS 资源和服务(例如 CodePipeline)能够连接到外部代码存储库,例如 GitHub。
+ [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html) 可帮助您快速对软件发布过程的不同阶段进行建模和配置,并自动执行持续发布软件变更所需步骤。
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 是一个开源工具,可帮助您 AWS 服务 通过命令行 shell 中的命令进行交互。
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)按照规范性最佳实践,帮助您设置和管理 AWS 多账户环境。
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) 是一项完全托管式 NoSQL 数据库服务,可提供快速、可预测、可扩展的性能。
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 是一项无服务器事件总线服务,可帮助您将应用程序与来自各种来源的实时数据连接起来。例如, AWS Lambda 函数、使用 API 目的地的 HTTP 调用端点或其他 AWS 账户目的地的事件总线。
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 通过控制谁经过身份验证并有权使用 AWS 资源,从而帮助您安全地管理对资源的访问权限。
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)帮助您集中管理对所有应用程序 AWS 账户 和云应用程序的单点登录 (SSO) 访问权限。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) 是一项计算服务,可帮助您运行代码,无需预调配或管理服务器。它只在需要时运行您的代码,并自动进行扩展,因此您只需为使用的计算时间付费。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)是一项账户管理服务,可帮助您将多个账户整合 AWS 账户 到一个由您创建和集中管理的组织中。
+ [Amazon Simple Notification Service(Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)可帮助您协调和管理发布者与客户端(包括 Web 服务器和电子邮件地址)之间的消息交换。该功能可为账户管理事件启用推送通知,确保相关方及时获悉系统内的重要变更或操作。
+ [Amazon Simple Storage Service(Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)是一项基于云的对象存储服务,可帮助您存储、保护和检索任意数量的数据。
**其他工具**
+ [Terraform](https://www.terraform.io/) 是一款基础设施即代码 (IaC) 工具 HashiCorp ,可帮助您创建和管理云和本地资源。
**代码存储库**
此模式的代码可在 AWS 示例组织中的 [sample-terraform-aws-permission-sets-](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline) pipeline 存储库 GitHub 中找到。
## 最佳实践
+ 在生产环境中运行代码时,始终使用固定版本的 Terraform 模块和提供程序。
+ 使用静态代码分析工具(例如 [Checkov](https://www.checkov.io/))扫描代码,然后解决安全问题。
+ 遵循最低权限原则,并授予执行任务所需的最低权限。有关详情,请参阅 IAM 文档中的[授予最低权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv)和[安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 操作说明
### 创建先决条件(可选)
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 创建 Terraform 后端资源。 | 如果您尚未创建 Terraform 后端 AWS 资源,请使用以下步骤创建 Amazon S3 存储桶 (`s3-tf-backend-{ACCOUNT_ID}`) 和 DynamoDB 表 ()。`ddb-tf-backend`[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws s3api create-bucket --bucket s3-tf-backend-{ACCOUNT_ID}
aws s3api put-bucket-versioning --bucket s3-tf-backend-{ACCOUNT_ID} --versioning-configuration Status=Enabled
aws dynamodb create-table --table-name ddb-tf-backend --attribute-definitions AttributeName=LockID,AttributeType=S --key-schema AttributeName=LockID,KeyType=HASH --provisioned-throughput ReadCapacityUnits=1,WriteCapacityUnits=1 | AWS 管理员 |
| 创建跨账户角色。 | 您必须在 `event-source-account` Terraform AWS 提供商配置中提供跨账户 IAM 角色。如果尚未创建此角色,请先通过以下步骤创建:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam create-role \
--role-name CrossAccountRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{ACCOUNT_ID}:root"
},
"Action": "sts:AssumeRole"
}
]
}'
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam attach-role-policy \
--role-name CrossAccountRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
此示例使用 AWS 托管 IAM 策略[AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html)。如果您愿意,可以使用更具体的策略。 | AWS 管理员 |
### 准备权限集存储库
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 创建专用的存储库。 | 此任务假设你正在使用 GitHub。创建专用的存储库来存储 Terraform 主代码和权限集模板 JSON 文件。 | DevOps 工程师 |
| 准备权限集代码。 | 有关如何架构以下文件的信息,请参阅解决方案存储库中的[示例代码](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic):├── main.tf├── outputs.tf├── providers.jinja└── templates复制内容,保留 `providers.jinja` 值,然后对其他文件进行必要的调整。例如,将权限集模板文件添加到 `templates` 中,或者在 `main.tf` 文件中锁定 `aws-ia/permission-sets/aws` 模块的版本。 | DevOps 工程师 |
| 提交变更。 | 提交变更并将变更推送到之前创建的存储库。例如,保存存储库名称及其 GitHub 组织`myorg/aws-ps-pipeline`。 | DevOps 工程师 |
### 准备部署代码
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 下载内容。 | 从解决方案[存储库](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline)下载(克隆)内容。 | DevOps 工程师 |
| 填入变量。 | 创建 `terraform.tfvars` 文件并添加以下必要变量:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)repository_name = "myorg/aws-ps-pipeline"
branch_name = "main"
vcs_provider = "github"
account_lifecycle_events_source = "CT"
有关其他变量选项的信息,请参阅此模式存储库中的 v [ariables.tf](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/blob/main/variables.tf) 文件。 GitHub | DevOps 工程师 |
| 调整 Terraform 后端配置。 | (在 `backend.tf` 文件中,将占位符替换为您自己的值。) 使用 AWS Control Tower 主页 AWS 区域,并提供之前创建的 Amazon S3 存储桶和 DynamoDB 表的名称。terraform {
required_version = ">=1.6"
backend "s3" {
region = "{region}"
bucket = "{bucket_name}"
key = "terraform.tfstate"
dynamodb_table = "{table_name}"
encrypt = "true"
}
}如果您愿意,可以使用自己的 Terraform 后端配置。 | DevOps 工程师 |
| 调整 Terraform Provider 配置。 | 在 `providers.tf` 文件中,将占位符替换为您自己的信息。使用 AWS Control Tower 主区域,为提供商提供先前创建的跨账户 IAM 角色的 ARN。`event-source-account`provider "aws" {
region = "{region}"
}
provider "aws" {
alias = "event-source-account"
region = "{region}"
assume_role {
role_arn = "{role_arn}"
}
}
| DevOps 工程师 |
### 手动部署解决方案
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 选择 AWS 账户。 | 我们建议您将解决方案部署在 IAM Identity Center 委派管理员账户中。但是,您也可以将其部署到 AWS Organizations 管理账户中。要登录与 IAM Identity Center 实例位于同一区域的选定账户,请使用 AWS CLI。请确保您使用的 IAM 角色具有适当权限,能够担任在前述步骤中为 `event-source-account` 提供者指定的角色。此外,此角色必须有权访问 Terraform 后端配置中使用的 AWS 资源。 | AWS 管理员 |
| 手动运行 Terraform。 | 要初始化、规划和应用配置,请按所示顺序运行以下 Terraform 命令:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) | DevOps 工程师 |
| 检查部署结果。 | 在 IAM Identity Center 委托管理员账户中检查 `aws-ps-pipeline` 管道是否已创建。还要检查是否存在处于 “**待**处理” 状态的 AWS CodeConnections 连接。 | AWS DevOps |
| 完成 CodeConnections 配置。 | 要完成 CodeConnections 配置,请使用以下步骤:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)管道现在应该有权访问权限集存储库。有关详细说明,请参阅开发人员工具控制台文档中的[更新待处理连接](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-update.html)。 | AWS DevOps |
### 选择管道执行流程以测试解决方案
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 通过 AWS Control Tower 或 AFT 更新运行管道。 | 使用 AWS Control Tower 或 AFT(取决于您选择的生命周期事件类型)创建或更改账户后,管道将启动。 | AWS 管理员 |
| 通过更改代码来运行管道。 | 更改代码并将其提交到 `main` 分支后,管道将启动。 | AWS DevOps |
| 手动运行管道。 | 要手动启动管道,请使用中的[版本更改](https://docs.aws.amazon.com/codepipeline/latest/userguide/pipelines-rerun-manually.html)功能 AWS CodePipeline。 | AWS DevOps |
## 问题排查
| 问题 | 解决方案 |
| --- | --- |
| 拒绝访问 | 验证您拥有部署解决方案所需的权限。 |
| CodeConnections 问题 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| 管道执行问题 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| 权限集部署问题 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
## 相关资源
**AWS 服务 文档**
+ [AWS IAM Identity Center 用户指南](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ [AWS 账户 使用权限集进行管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)(IAM 身份中心文档)
**其他资源**
+ [AWS 权限集模块](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest) (Terraform)
## 附加信息
**带示例权限集的 JSON 文件**
以下示例说明如何使用存储库中的 JSON 文件配置权限集:
```
{
"Name": "ps-billing", // Permission set identifier
"Comment": "Sample permission set for billing access", // Comment to document the purpose of the permission set
"Description": "Billing access in AWS", // Detailed description
"SessionDuration": "PT4H", // Session duration = 4 hours (ISO 8601 format)
"ManagedPolicies": [ // List of AWS IAM managed policies
"arn:aws:iam::aws:policy/job-function/Billing",
"arn:aws:iam::aws:policy/job-function/SupportUser",
"arn:aws:iam::aws:policy/AWSSupportAccess",
"arn:aws:iam::aws:policy/job-function/ViewOnlyAccess"
],
"CustomerPolicies": [], // References to IAM policies previously created
"CustomPolicy": {}, // Inline IAM policy defined directly in the permission set
"PermissionBoundary": { // AWS or customer managed IAM policy to be used as boundary
"ManagedPolicy": "",
"CustomerPolicy": ""
},
"Assignments": [ // Define the assignment rules
{
"all_accounts": true, // Apply to ALL active AWS accounts in organization
"principal": "G_BILLING_USERS", // Group/user name in Identity Center
"type": "GROUP", // Can be "GROUP" or "USER"
"account_id": [], // List of AWS account ID (empty since all_accounts=true)
"account_ou": [], // List of AWS Organizational Unit IDs with target AWS accounts
"account_tag": [] // List of tags (key:value) to match AWS Organization accounts tags
}
]
}
```
有关更多信息,请参阅 Terraform 网站 [AWS 权限集模块](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest#json-file-templates)文档中的 JSON 架构。
**提示**
+ 可以使用 Terraform [导入块](https://developer.hashicorp.com/terraform/language/import)将现有权限集导入解决方案。
+ 您可以使用 AFT 在委托账户中实现 AWS 权限集管道。有关更多信息,请参阅 [AFT 蓝图](https://awslabs.github.io/aft-blueprints/index.html)。
# 使用 AWS Organizations 自动标记中转网关连接
*Richard Milner-Watts、Haris Bin Ayub 和 John Capps,Amazon Web Services*
## Summary
在 Amazon Web Services (AWS) 上 [AWS Resource Access Manager](https://aws.amazon.com/ram/),您可以使用[AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)跨 AWS 账户 界共享。然而,当您跨账户边界创建中转网关连接时,创建的连接将没有“名称”标签。这样可能会使识别这些连接变得耗时。
该解决方案提供了一种自动机制,用于为 [AWS Organizations](https://aws.amazon.com/organizations/) 管理的组织内的账户收集有关每个中转网关连接的信息。此过程包括从中转网关路由表中查找[无类别域间路由](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)(CIDR)范围。随后,该解决方案会将 `-` 形式的“名称”标签应用于含有中转网关的那个账户内的连接。
该解决方案可以与解决方案库中的[无服务器公交网络 Orchestrator](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/) 等解决方案一起使用。 AWS 无服务器中转网络编排工具支持大规模自动创建中转网关连接。
## 先决条件和限制
**先决条件**
+ 活跃的 AWS 账户
+ 包含所有相关账户的 AWS Organizations 组织
+ 访问组织根目录下的组织管理账户以创建必需 AWS Identity and Access Management (IAM) 角色
+ 一个共享网络成员账户,其中包含一个或多个与组织共享并具有连接的中转网关
## 架构
以下屏幕截图 AWS 管理控制台 显示了此解决方案生成的没有关联名称标签的 Transit Gateway 附件和两个带有名称标签的 Transit Gateway 附件的示例。生成的“名称”标签的结构为 `-`。
![\[控制台中显示了一些没有“名称”标签的连接和两个具有“名称”标签的连接。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/7e7d4a47-f07a-4708-8022-a1d22855bb5d.png)
此解决方案用于[AWS CloudFormation](https://aws.amazon.com/cloudformation/)部署一个[AWS Step Functions](https://aws.amazon.com/step-functions/)工作流,用于管理所有配置的 Transit Gateway Name 标签的创建 AWS 区域。此工作流将调用 [AWS Lambda](https://aws.amazon.com/lambda/) 函数,这些函数将执行底层任务。
解决方案从中获取账户名后,Step Function AWS Organizations s 状态机将获取所有 Transit Gateway 附件 IDs。系统将按区域来并行处理这些连接。这一处理包含查找每个连接的 CIDR 范围。CIDR 范围是通过在区域内的中转网关路由表中搜索匹配的中转网关连接 ID 来获取的。如果所有必需的信息均可用,该解决方案会将名称标签应用于附件。该解决方案不会覆盖任何现有名称标签。
该解决方案按照 [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 事件控制的时间表运行。该事件每天早上 6:00 UTC 启动解决方案。
**目标技术堆栈**
+ Amazon EventBridge
+ AWS Lambda
+ AWS Organizations
+ AWS Transit Gateway
+ Amazon Virtual Private Cloud(Amazon VPC)
+ AWS X-Ray
**目标架构**
下图显示了该解决方案的架构和工作流。
![\[跨共享网络和组织管理账户的九步流程。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/873cc89f-c6e3-43cd-94ed-59b6ea2b8d49.png)
1. 计划的事件将启动此规则。
1. 该 EventBridge 规则启动 Step Functions 状态机。
1. 状态机调用 Lambda 函数 `tgw-tagger-organizations-account-query`。
1. `tgw-tagger-organizations-account-query` Lambda 函数将在组织管理账户中担任此角色。
1. `tgw-tagger-organizations-account-query`Lambda 函数调用 Organizations API 来返回元数据 AWS 账户 。
1. 状态机将调用 `tgw-tagger-attachment-query` Lambda 函数。
1. 对于每个区域,状态机并行调用 `tgw-tagger-rtb-query` Lambda 函数来读取每个连接的 CIDR 范围。
1. 对于每个区域,状态机并行调用 `tgw-tagger-attachment-tagger`** **Lambda 函数。
1. 名称标签是在共享网络账户中为中转网关连接创建的。
**自动化和扩缩**
该解决方案并行处理每个区域以减少运行的总持续时间。
## 工具
**AWS 服务**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)通过将基础架构视为代码,提供了一种对相关资源 AWS 和第三方资源集合进行建模、快速一致地配置这些资源并在其整个生命周期中对其进行管理的方法。
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) 可帮助您实时监控您的 AWS 资源和您运行 AWS 的应用程序的指标。
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 是一项无服务器事件总线服务,可用于将应用程序与来自各种来源的数据连接起来。 EventBridge 接收事件(环境变化的指示器),并应用规则将事件路由到目标。规则根据事件的结构(称为事件模式)或计划,将事件与目标相匹配。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) 是一项计算服务,无需预调配或管理服务器即可运行代码。Lambda 只在需要时运行您的代码,并自动进行扩展,从每天几个请求扩展到每秒数千个请求。您只需按使用的计算时间付费。代码不运行时不会产生任何费用。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)随着 AWS 资源的增长和扩展,可以帮助你集中管理和治理环境。使用 Organizations,您可以通过编程方式创建新资源 AWS 账户 和分配资源,对账户进行分组以组织工作流程,将策略应用于账户或群组进行治理,并通过对所有账户使用单一付款方式来简化计费。
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)是一种低代码的可视化工作流服务,用于编排 AWS 服务、自动化业务流程和构建无服务器应用程序。工作流负责管理故障、重试、并行化、服务集成和可观测性,这样,您的开发人员就可以专注于更有价值的业务逻辑。
+ [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)通过中央集线器连接 VPCs 和本地网络。这样就简化了您的网络,并消除了复杂的对等关系。它充当一个云路由器,这样,每个新连接只需建立一次。
+ [Amazon Virtual Private Cloud(亚马逊 VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)是一项用于在您定义的逻辑隔离的虚拟网络中启动 AWS 资源的服务。
+ [AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html) 会收集您的应用程序所服务的请求的相关数据,并提供了一些工具,供您查看、筛选和了解这些数据,以便发现问题和优化机会。
**代码**
该解决方案的源代码可在 Tr [ansit Gateway Attachment Tagger](https://github.com/aws-samples/tgw-attachment-tagger) GitHub 存储库中找到。存储库包含以下文件:
+ `tgw-attachment-tagger-main-stack.yaml` 在共享网络账户中创建支持此解决方案的所有资源。
+ `tgw-attachment-tagger-organizations-stack.yaml`**** 在组织的管理账户中创建角色。
## 操作说明
### 部署主解决方案堆栈
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 收集必要的先决条件信息。 | 要配置从 Lambda 函数对 API AWS Organizations 的跨账户访问权限,您需要组织管理账户的账户 ID。****这两个 CloudFormation 堆栈的创建顺序很重要。您必须首先将资源部署到共享网络账户中。在将资源部署到组织的管理账户之前,共享网络账户中的角色必须已经存在。有关详情,请参阅 [AWS 文档](https://docs.amazonaws.cn/en_us/IAM/latest/UserGuide/id_roles_create_for-user.html)。 | DevOps 工程师 |
| 启动主解决方案堆栈的 CloudFormation 模板。 | 主解决方案堆栈的模板将部署 IAM 角色、Step Functions 工作流程、Lambda 函数和亚马逊 CloudWatch 事件。打开共享网络账户 AWS 管理控制台 的,然后打开:&CFN 控制台。 使用 `tgw-attachment-tagger-main-stack.yaml` 模板和下面这些值来创建堆栈: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)有关启动 CloudFormation 堆栈的更多信息,请参阅[AWS 文档](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)。 | DevOps 工程师 |
| 确认已成功启动解决方案。 | 等待 CloudFormation 堆栈达到 CRE **ATE\$1** COMPLETE 状态。此过程花费的时间应当不到 1 分钟。打开 Step Functions 控制台,验证是否创建了一台名为 **tgw-attachment-tagger-state-machine 的新状态机**。 | DevOps 工程师 |
### 部署 AWS Organizations 堆栈
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 收集必要的先决条件信息。 | 要配置从 Lambda 函数到 AWS Organizations API 的跨账户访问,您需要共享联网账户的账户 ID。 | DevOps 工程师 |
| 启动 Organizations 堆栈的 CloudFormation 模板 | AWS Organizations 堆栈模板将在组织管理账户中部署 IAM 角色。 访问组织管理账户的 AWS 控制台。然后打开 CloudFormation 控制台。 使用 `tgw-attachment-tagger-organizations-stack.yaml` 模板和下面这些值来创建堆栈:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)对于其他堆栈创建选项,请用默认值。 | DevOps 工程师 |
| 确认已成功启动解决方案。 | 等待 CloudFormation 堆栈达到 CRE **ATE\$1** COMPLETE 状态。此过程花费的时间应当不到 1 分钟。打开 AWS Identity and Access Management (IAM) 控制台,确认已创建名为 **tgw-attachment-tagger-organization-query-** role 的新角色。 | DevOps 工程师 |
### 验证解决方案
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 运行状态机。 | 打开共享网络账户的 Step Functions 控制台,然后在导航窗格选择**状态机**。选择状态机 **tgw-attachment-tagger-state-机器**,然后选择**开始执行**。 由于解决方案不使用此状态机输入,因此您可使用默认值。{
"Comment": "Insert your JSON here"
}选择**开始执行**。 | DevOps 工程师 |
| 观察状态机直至完成。 | 在打开的新页面,您可观看状态机的运行。持续时间将取决于待处理中转网关连接的数量。在此页面,您可检查状态机的每个步骤。您可以查看状态机中的各种任务,并点击指向 Lambda 函数的 CloudWatch 日志链接。对于在地图中并行运行的任务,您可使用**索引**下拉列表来查看每个区域的具体实现。 | DevOps 工程师 |
| 验证中转网关连接标签。 | 打开共享网络账户的 VPC 控制台,然后选择**中转网关连接**。 在控制台上,为满足标准的连接提供名称标签(连接将传播到中转网关路由表,并且资源所有者是组织的成员)。 | DevOps 工程师 |
| 验证 CloudWatch 事件是否已启动。 | 等待 CloudWatch 事件启动。预定时间为 UTC 时间 06:00。 然后打开共享网络账户的 Step Functions 控制台,然后在导航窗格选择**状态机**。选择状态机 **tgw-attachment-tagger-state-机器**。验证解决方案是否在 06:00 UTC 运行。 | DevOps 工程师 |
## 相关资源
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [AWS Resource Access Manager](https://aws.amazon.com/ram/)
+ [无服务器中转网络编排工具](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/)
+ [创建 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)
+ [在 AWS CloudFormation 控制台上创建堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
# 更多模式
**Topics**
+ [使用 AFT 自动为新 AWS 账户 用户分配 Amazon VPC IPAM IPv4 CIDR](automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.md)
+ [使用 Account Factory for Terraform 来管理多个账户的权限集](govern-permission-sets-aft.md)
+ [使用 GitHub 操作基于 AWS CloudFormation 模板配置 AWS Service Catalog 产品](provision-aws-service-catalog-products-using-github-actions.md)
+ [通过部署角色自动分配机器解决方案,预调配最低权限 IAM 角色](provision-least-privilege-iam-roles-by-deploying-a-role-vending-machine-solution.md)