本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
地形的 AWS Control Tower Account Factory 概述 () AFT
Terraform (AFT) 的 Account Factory 設定 Terraform 管道,以協助您在 Control Tower 中佈建和自訂帳戶。AWSAFT為您提供基於 Terraform 的帳戶佈建的優勢,同時允許您使用 Control Tower 來管理您的AWS帳戶。
隨著AFT您創建一個帳戶請求 Terraform 文件以獲取觸發帳戶佈建AFT工作流程的輸入。帳戶佈建階段完成後,AFT會在帳戶自訂階段開始之前自動執行一系列步驟。如需詳細資訊,請參閱AFT帳戶佈建管線。
AFT支持地形雲,地形企業版和地形社區版。AFT您可以使用輸入檔案和簡單git push指令來啟動帳戶建立,並自訂新帳戶或現有帳戶。帳戶建立包含所有 Con AWS trol Tower 治理權益和帳戶自訂功能,可協助您符合組織的標準安全性程序和合規準則。
AFT支援帳戶自訂要求追蹤。每次您提交帳戶自訂要求時,都AFT會產生一個唯一的追蹤 Token,該 Token 會通過AFT自訂 AWS Step Functions 狀態機器進行記錄,並將權杖記錄為其執行的一部分。然後,您可以使用 Amazon CloudWatch Logs 深入解析查詢來搜尋時間戳記範圍並擷取請求權杖。因此,您可以看到令牌隨附的有效載荷,因此您可以在整個AFT工作流程中跟踪帳戶自定義請求。如需 CloudWatch 記錄檔和 Step Functions 的相關資訊,請參閱下列內容:
-
什麼是 Amazon CloudWatch 日誌? 在 Amazon CloudWatch 日誌用戶指南
-
什麼是 AWS Step Functions? 在AWS Step Functions 開發人員指南
AFT結合其他 AWS 服務的功能組件服務,建立一個框架,與部署 Terraform 基礎結構代碼(IaC)的管道。AFT 讓您可以:
-
在 GitOps 模型中提交帳戶佈建和更新請求
-
儲存帳戶中繼資料和稽核記錄
-
套用帳戶層級標記
-
將自訂新增至所有帳戶、一組帳戶或個別帳戶
-
啟用功能選項
AFT會建立單獨的帳戶 (稱為AFT管理帳戶) 以部署AFT功能。在進行設置之前AFT,您必須擁有現有的 AWS Control Tower landing zone。管AFT理帳戶與AWS控制中心管理帳戶不同。
AFT提供靈活性
-
為您的平台提供靈活性:AFT支持任何 Terraform 分發以進行初始部署和正在進行的操作:社區版,雲和企業版。
-
為您的版本控制系統提供靈活性:AFT支持 AWS CodeCommit和替代版本控制源 AWS CodeConnections。
AFT提供功能選項
您可以根據最佳做法啟用數個功能選項:
-
建立 CloudTrail 用於記錄資料事件的組織層級
-
刪除帳戶的 AWS VPC預設值
-
將佈建帳戶註冊至 AWS 企業 Support 方案
注意
AFT管道不適用於部署帳戶EC2執行應用程式所需的資源 (例如 Amazon 執行個體)。它僅用於 AWS Control Tower 帳戶的自動佈建和自訂。
影片演練
本影片 (7:33) 說明如何使用 Terraform 的 AWS Control Tower Account Factory 部署帳戶。若要獲得更佳的觀賞效果,請選取影片右下角的圖示,將影片放大至全螢幕。並提供字幕。
