AFT 帳戶佈建管道 - AWS Control Tower
使用狀態機器設定帳戶佈建架構自訂建立您的 AFT 帳戶佈建自訂狀態機器重新啟動 AFT 帳戶佈建架構和自訂

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AFT 帳戶佈建管道

管道的帳戶佈建階段完成後,AFT 架構會繼續。它會自動執行一系列步驟,以確保新佈建的帳戶在帳戶自訂階段開始之前已備妥詳細資訊。

以下是 AFT 管道執行的後續步驟。

  1. 驗證帳戶請求輸入。

  2. 擷取有關佈建帳戶的資訊,例如帳戶 ID。

  3. 將帳戶中繼資料存放在 AFT 管理帳戶中的 DynamoDB 資料表中。

  4. 在新佈建的帳戶中建立 AWSAFTExecution IAM 角色。AFT 會擔任此角色來執行帳戶自訂階段,因為此角色會授予帳戶工廠產品組合的存取權。

  5. 套用您在帳戶請求輸入參數中提供的帳戶標籤。

  6. 套用您在 AFT 部署時選擇的 AFT 功能選項。

  7. 套用您提供的 AFT 帳戶佈建自訂。下一節將說明如何在git儲存庫中使用 AWS Step Functions 狀態機器設定這些自訂。此階段有時稱為帳戶佈建架構階段。這是核心佈建程序的一部分,但您先前已設定架構,在下一個階段將其他自訂新增至帳戶之前,該架構會在帳戶佈建工作流程中提供自訂整合。

  8. 對於每個佈建的帳戶,它會 AWS CodePipeline 在 AFT 管理帳戶中建立 ,該帳戶將執行以執行 (下一個、全域) 帳戶自訂階段。

  9. 叫用每個佈建 (和目標) 帳戶的帳戶自訂管道。

  10. 傳送成功或失敗通知至 SNS 主題,您可以從中擷取訊息。

使用狀態機器設定帳戶佈建架構自訂

如果您在佈建帳戶之前設定自訂、非 Terraform 整合,這些自訂會包含在 AFT 帳戶佈建工作流程中。例如,您可能需要特定自訂,以確保 AFT 建立的所有帳戶都符合組織的標準和政策,例如安全標準,而且這些標準可能會在其他自訂之前新增至帳戶。這些帳戶佈建架構自訂會在每個佈建帳戶上實作,之後才開始全球帳戶自訂階段。

注意

本節所述的 AFT 功能適用於了解 AWS Step Functions 功能的進階使用者。或者,我們建議您在帳戶自訂階段與全球協助程式合作。

AFT 帳戶佈建架構會呼叫您定義的 AWS Step Functions 狀態機器,以實作您的自訂。請參閱 AWS Step Functions 文件,進一步了解可能的 狀態機器整合。

以下是一些常見的整合。

  • 以您選擇的語言提供的 AWS Lambda 函數

  • AWS ECS 或 AWS Fargate 任務,使用 Docker 容器

  • 使用自訂工作者的 AWS Step Functions 活動,託管於 AWS 或內部部署

  • Amazon SNS 或 SQS 整合

如果未定義 AWS Step Functions 狀態機器,則階段會通過無操作。若要建立 AFT 帳戶佈建自訂狀態機器,請遵循 中的指示建立您的 AFT 帳戶佈建自訂狀態機器。新增自訂之前,請確定您已備妥先決條件。

這些類型的整合不屬於 AWS Control Tower,而且無法在 AFT 帳戶自訂的全域 API 前階段新增。反之,AFT 管道可讓您將這些自訂設定為佈建程序的一部分,並在佈建工作流程中執行。您必須在啟動 AFT 帳戶佈建階段之前,事先建立您的狀態機器來實作這些自訂,如以下各節所述。

建立狀態機器的先決條件

建立您的 AFT 帳戶佈建自訂狀態機器

步驟 1:修改狀態機器定義

修改範例customizations.asl.json狀態機器定義。此範例在您為存放 AFT 帳戶佈建自訂而設定的儲存git庫中提供,位於部署後步驟。請參閱 AWS Step Functions 開發人員指南,進一步了解狀態機器定義。

步驟 2:包含對應的 Terraform 組態

在具有自訂整合狀態機器定義的相同git儲存庫中包含.tf副檔名的 Terraform 檔案。例如,如果您選擇在狀態機器任務定義中呼叫 Lambda 函數,您會在相同的目錄中包含 lambda.tf 檔案。請確定您包含自訂組態所需的 IAM 角色和許可。

當您提供適當的輸入時,AFT 管道會自動調用您的狀態機器,並在 AFT 帳戶佈建架構階段中部署您的自訂項目。

重新啟動 AFT 帳戶佈建架構和自訂

AFT 會執行帳戶佈建架構,並為每個透過 AFT 管道販賣的帳戶自訂步驟。若要重新啟動帳戶佈建自訂,您可以使用下列兩種方法之一:

  1. 對帳戶請求儲存庫中的現有帳戶進行任何變更。

  2. 使用 AFT 佈建新帳戶。