適用於 Terraform 的 AWS Control Tower 帳戶工廠概觀 (AFT) - AWS Control Tower
影片演練

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

適用於 Terraform 的 AWS Control Tower 帳戶工廠概觀 (AFT)

Account Factory for Terraform (AFT) 會設定 Terraform 管道,以協助您在 AWS Control Tower 中佈建和自訂帳戶。 AFT 為您提供以 Terraform 為基礎的帳戶佈建的優勢,同時可讓您使用 AWS Control Tower 管理帳戶。

AFT 使用 建立帳戶請求 Terraform 檔案,以取得觸發帳戶佈建AFT工作流程的輸入。在帳戶佈建階段完成後, 會在帳戶自訂階段開始之前AFT自動執行一系列步驟。如需詳細資訊,請參閱AFT帳戶佈建管道

AFT 支援 Terraform Cloud、Terraform Enterprise 和 Terraform Community Edition。透過 AFT ,您可以使用輸入檔案和簡單的git push命令來啟動帳戶建立,並自訂新的或現有的帳戶。帳戶建立包括所有 AWS Control Tower 管理優點和帳戶自訂,可協助您符合組織的標準安全程序和合規準則。

AFT 支援帳戶自訂請求追蹤。每次您提交帳戶自訂請求時, 都會AFT產生唯一的追蹤字符,透過AFT自訂 AWS Step Functions 狀態機器傳遞,該機器會將字符記錄為執行的一部分。然後,您可以使用 Amazon CloudWatch Logs 洞見查詢來搜尋時間戳記範圍並擷取請求字符。因此,您可以看到權杖隨附的承載,因此您可以在整個AFT工作流程中追蹤您的帳戶自訂請求。如需 CloudWatch 日誌和步進函數的相關資訊,請參閱以下內容:

AFT 結合了其他 AWS 服務的功能做為 元件服務來建置架構,以及部署 Terraform Infrastructure as Code (IaC) 的管道。 AFT可讓您:

  • 在 GitOps 模型中提交帳戶佈建和更新請求

  • 儲存帳戶中繼資料和稽核歷史記錄

  • 套用帳戶層級標籤

  • 將自訂新增至所有帳戶、一組帳戶或個別帳戶

  • 啟用功能選項

AFT 會建立稱為 AFT 管理帳戶的個別帳戶,以部署 AFT功能。您必須先有現有的 AWS Control Tower 登陸區域AFT,才能設定 。AFT 管理帳戶與 AWS Control Tower 管理帳戶不同。

AFT 提供彈性

  • 平台的彈性: AFT支援任何 Terraform Distribution 進行初始部署和持續操作:Community Edition、Cloud 和 Enterprise。

  • 版本控制系統的彈性: AFT支援 AWS CodeCommit和透過 的替代版本控制來源 AWS CodeConnections。

AFT 提供功能選項

您可以根據最佳實務啟用數個功能選項:

  • 建立 CloudTrail 記錄資料事件的組織層級

  • 刪除 VPC 帳戶的 AWS 預設值

  • 將佈建帳戶註冊至 AWS 企業支援計劃

注意

此AFT管道不適用於部署您帳戶執行應用程式所需的 資源,例如 Amazon EC2執行個體。它僅用於自動佈建和自訂 AWS Control Tower 帳戶。

影片演練

此影片 (7:33) 說明如何使用 AWS Control Tower Account Factory for Terraform 部署帳戶。若要獲得更佳的觀賞效果,請選取影片右下角的圖示,將影片放大至全螢幕。並提供字幕。