AFT 帳戶佈建管道 - AWS Control Tower
使用狀態機器設定帳戶佈建架構自訂建立AFT您的帳戶佈建自訂狀態機器重新啟動AFT帳戶佈建架構和自訂

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AFT 帳戶佈建管道

管道的帳戶佈建階段完成後,AFT架構會繼續。它會自動執行一系列步驟,以確保新佈建的帳戶在帳戶自訂階段開始之前已備妥詳細資訊。

以下是AFT管道執行的後續步驟。

  1. 驗證帳戶請求輸入。

  2. 擷取已佈建帳戶的相關資訊,例如帳戶 ID。

  3. 將帳戶中繼資料存放在AFT管理帳戶中的 DynamoDB 資料表中。

  4. 在新佈建的帳戶中建立AWSAFTExecutionIAM角色。 會AFT擔任此角色來執行帳戶自訂階段,因為此角色會授予帳戶工廠產品組合的存取權。

  5. 套用您在帳戶請求輸入參數中提供的帳戶標籤。

  6. 套用您在AFT部署時選擇AFT的功能選項。

  7. 套用您提供的AFT帳戶佈建自訂。下一節將說明如何在git儲存庫中使用 AWS Step Functions 狀態機器設定這些自訂。此階段有時稱為帳戶佈建架構階段。這是核心佈建程序的一部分,但您先前已設定架構,在下一個階段將其他自訂新增至帳戶之前,該架構會在帳戶佈建工作流程中提供自訂整合。

  8. 對於每個佈建的帳戶,它會 AWS CodePipeline 在AFT管理帳戶中建立 ,該帳戶將執行 以執行 (下一個、全域) 帳戶自訂階段。

  9. 叫用每個佈建 (和目標) 帳戶的帳戶自訂管道。

  10. 傳送成功或失敗通知至SNS主題,您可以從中擷取訊息。

使用狀態機器設定帳戶佈建架構自訂

如果您在佈建帳戶之前設定自訂的非 Terraform 整合,這些自訂會包含在AFT您的帳戶佈建工作流程中。例如,您可能需要特定自訂,以確保 建立的所有帳戶AFT都符合組織的標準和政策,例如安全標準,而且這些標準可能會在其他自訂之前新增至帳戶。這些帳戶佈建架構自訂會在每個佈建帳戶上實作,之後才開始全球帳戶自訂階段。

注意

本節所述的AFT功能適用於了解 AWS Step Functions 功能的進階使用者。或者,我們建議您在帳戶自訂階段與全球協助程式合作。

AFT 帳戶佈建架構會呼叫您定義的 AWS Step Functions 狀態機器,以實作您的自訂。請參閱 AWS Step Functions 文件,進一步了解可能的 狀態機器整合。

以下是一些常見的整合。

  • AWS 您選擇的語言 Lambda 函數

  • AWS ECS 或 AWS Fargate 任務,使用 Docker 容器

  • AWS 使用自訂工作者的 Step Functions 活動,託管於內部AWS或內部部署

  • Amazon SNS或SQS整合

如果未定義 AWS Step Functions 狀態機器,則階段會傳遞為無操作。若要建立AFT帳戶佈建自訂狀態機器,請遵循 中的指示建立AFT您的帳戶佈建自訂狀態機器。新增自訂之前,請確定您已備妥先決條件。

這些類型的整合不屬於 AWS Control Tower,而且無法在AFT帳戶自訂的全域預API階段期間新增。反之,AFT管道可讓您將這些自訂設定為佈建程序的一部分,並在佈建工作流程中執行。您必須在啟動AFT帳戶佈建階段之前,事先建立狀態機器來實作這些自訂,如以下各節所述。

建立狀態機器的先決條件

建立AFT您的帳戶佈建自訂狀態機器

步驟 1:修改狀態機器定義

修改範例customizations.asl.json狀態機器定義。此範例在您為儲存AFT帳戶佈建自訂而設定的儲存git庫中提供,位於部署後步驟。請參閱 AWS Step Functions 開發人員指南,進一步了解狀態機器定義。

步驟 2:包含對應的 Terraform 組態

在具有自訂整合狀態機器定義的相同git儲存庫中包含.tf副檔名的 Terraform 檔案。例如,如果您選擇在狀態機器任務定義中呼叫 Lambda 函數,您會在相同的目錄中包含 lambda.tf 檔案。請確定您包含自訂組態所需的IAM角色和許可。

當您提供適當的輸入時,AFT管道會自動調用您的狀態機器,並在AFT帳戶佈建架構階段中部署您的自訂。

重新啟動AFT帳戶佈建架構和自訂

AFT 會針對透過AFT管道販賣的每個帳戶,執行帳戶佈建架構和自訂步驟。若要重新啟動帳戶佈建自訂,您可以使用下列兩種方法之一:

  1. 對帳戶請求儲存庫中的現有帳戶進行任何變更。

  2. 使用 佈建新帳戶AFT。