本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

部署地形的 AWS Control Tower Account Factory () AFT

本節適用於 AWS Control Tower 環境的管理員，他們希望在其現有環境中設定 Terraform (AFT) 的 Account Factory。它說明如何使用新的專用AFT管理帳戶為 Terraform (AFT) 環境設定 Account Factory。

如需 Terraform (AFT) 功能之 Con AWS trol Tower Account Factory 最新版本的詳細資訊，請參閱此 GitHub 儲存庫的發行檔案。

部署先決條

在設定及啟動AFT環境之前，您必須具備下列項目：

為 Terraform 配置並啟動您的 AWS Control Tower Account Factory

下列步驟假設您熟悉 Terraform 工作流程。您也可以參閱 AWS 工作坊 Studio 網站上AFT的AFT實驗室簡介，進一步了解部署的相關資訊。

步驟 1：啟動 AWS Control Tower landing zone

完成「開始使用 AWS Control Tower」中的步驟。您可以在這裡建立AWS控制中心管理帳戶並設定 AWS Control Tower landing zone。

步驟 2：建立新的組織單位 AFT (建議)

建議您在 AWS 組織中建立個別的 OU。這是您部署AFT管理帳戶的位置。使用您的AWS控制中心管理帳戶建立新的 OU。如需詳細資訊，請參閱建立新的 OU。

步驟 3：佈建管AFT理帳戶

AFT需要您佈建專用於AFT管理作業的 AWS 帳戶。AWS控制中心管理帳戶與您的 AWS Control Tower landing zone 相關聯，會向AFT管理帳戶提供。如需詳細資訊，請參閱使用帳 AWS Service Catalog 戶 Factory 佈建帳戶。

完全佈建AFT管理帳戶最多可能需要 30 分鐘。

步驟 4：確認 Terraform 環境是否可用於部署

此步驟假設您具有使用 Terraform 的經驗，並具有執行 Terraform 的程序。如需詳細資訊，請參閱 HashiCorp 開發人員網站上的命令：init。

步驟 5：呼叫 Terraform 模組的 Account Factory 以進行部署 AFT

使用您為具有AdministratorAccess認證的 AWS Control Tower 管理帳戶建立的角色呼叫AFT模組。AWS控制中心會透過 Control Tower 管理帳戶佈建 Terraform 模組，該帳戶會建立協調 AWS Con AWS trol Tower Account Factory 要求所需的所有基礎結構。

您可以在上檢視AFT儲存庫中的AFT模組 GitHub。整個 GitHub 存儲庫被認為是AFT模塊。如需執行AFT模組和部署所需輸入的資訊，請參閱README檔案AFT。或者，您可以在 Terraform 登錄中檢視AFT模組。

此AFT模組包含一個aft_enable_vpc參數，指定 AWS Control Tower 是否在中央AFT管理帳戶中的虛擬私有雲 (VPC) 內佈建帳戶資源。依預設，參數設定為true。如果將此參數設定為false，則 AWS Control Tower 會在AFT不使用私人網路資源 (例如NAT閘道或VPC端點) 的情況下進行部署。VPC停用aft_enable_vpc可能有助AFT於降低某些使用模式的作業成本。

如果您的環境中已建立用於管理 Terraform 的管道，則可以將該AFT模組整合到現有的工作流程中。否則，請從使用所需認證進行驗證的任何環境中執行AFT模組。

逾時會導致部署失敗。我們建議您使用 AWS Security Token Service (STS) 認證，以確保您的逾時足以進行完整部署。 AWS STS 認證的逾時時間下限為 60 分鐘。如需詳細資訊，請參閱AWS Identity and Access Management 使用指南IAM中的暫時安全登入資料。

步驟 6：管理地形狀態檔

部署時會產生地形狀態檔案。AFT此成品描述了 Terraform 所建立之資源的狀態。如果您打算更新AFT版本，請務必預先設定地形狀態檔案，或使用 Amazon S3 和 DynamoDB 設定地形後端。該AFT模塊不管理後端地形狀態。