本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AFT 帳戶佈建管道
管道的帳戶佈建階段完成後,AFT 架構會繼續進行。它會自動執行一系列步驟,以確保新佈建的帳戶在帳戶自訂階段開始之前具有適當的詳細資料。
以下是 AFT 管線執行的後續步驟。
-
驗證帳戶請求輸入。
-
擷取已佈建之帳戶的相關資訊,例如帳號 ID。
-
將帳戶中繼資料儲存在 AFT 管理帳戶的 DynamoDB 表格中。
-
在新佈建的帳戶中建立 AWSAFTExecutionIAM 角色。AFT 會假設此角色來執行帳戶自訂階段,因為此角色會授與帳戶工廠組合的存取權。
-
套用您提供的帳戶標籤作為帳戶請求輸入參數的一部分。
-
套用您在 AFT 部署時選擇的 AFT 功能選項。
-
套用您提供的 AFT 帳戶佈建自訂。下一節將詳細說明如何使用
git儲存庫中的 AWS Step Functions 狀態機設定這些自訂。此階段有時稱為帳戶佈建架構階段。這是核心佈建程序的一部分,但是您先前已設定一個架構,該架構會在帳戶佈建工作流程中提供自訂整合,然後再將額外的自訂項目新增至下一階段的帳戶。 -
對於佈建的每個帳戶,它會 AWS CodePipeline 在 AFT 管理帳戶中建立一個帳戶,該帳戶將執行以執行(下一個全域)帳戶自訂階段。
-
針對每個佈建 (以及目標) 的帳戶叫用帳戶自訂管道。
-
傳送成功或失敗通知至 SNS 主題,您可以從中擷取訊息。
使用狀態機器設定帳戶佈建架構自訂
如果您在佈建帳戶之前設定了自訂的非 TerraForm 整合,這些自訂會包含在 AFT 帳戶佈建工作流程中。例如,您可能需要特定的自訂,以確保 AFT 建立的所有帳戶都符合組織的標準和策略 (例如安全性標準),而且這些標準可能會在其他自訂之前新增至帳戶。在全域帳戶自訂階段下一步開始之前,會在每個佈建的帳戶上實作這些帳戶佈建架構自訂。
注意
本節中描述的 AFT 功能適用於了解 AWS Step Functions 的進階使用者。或者,我們建議您在帳戶自訂階段使用全域助手。
AFT 帳戶佈建架構會呼叫您定義的 AWS Step Functions 狀態機器來實作您的自訂。請參閱 AWS Step Functions 文件,進一步了解可能的狀態機器整合。
以下是一些常見的集成。
-
使用您選擇的語言提供 AWS Lambda 函數
-
AWS ECS 或 AWS Fargate 任務,使用碼頭容器
-
使用在 AWS 或現場部署託管的自訂工作者的 AWS Step Functions 活動
-
Amazon SNS 或 SQS 整合
如果未定義任何 AWS Step Functions 狀態機器,則階段會以無操作狀態通過。若要建立 AFT 帳戶佈建自訂狀態機器,請遵循中建立您的 AFT 帳戶佈建自訂狀態機器的指示。在新增自訂之前,請確定您已具備必要條件。
這些類型的整合不屬於 AWS Control Tower,且無法在 AFT 帳戶自訂的全球 API 前階段新增。AFT 管線可讓您將這些自訂設定為佈建程序的一部分,並在佈建工作流程中執行這些自訂。您必須在開始 AFT 帳戶佈建階段之前提前建立狀態機器來實作這些自訂,如下列各節所述。
建立狀態機的先決條件
-
一個完全部署的船尾。部署地形的 AWS Control Tower Account Factory () AFT如需 AFT 部署的詳細資訊,請參閱。
-
在您的環境中設定 AFT 帳戶佈建自訂的
git存放庫。如需更多資訊,請參閱部署後步驟。
建立您的 AFT 帳戶佈建自訂狀態機器
步驟 1:修改狀態機定義
修改範例customizations.asl.json狀態機器定義。此範例可在您設定用來儲存 AFT 帳戶佈建自訂的儲存git庫中,在部署後的步驟中取得。請參閱 AWS Step Functions 開發人員指南,進一步了解狀態機器定義。
步驟 2:包含對應的地形組態
將具有.tf副檔名的 Terraform 檔案包含在同一個git儲存庫中,以及自訂整合的狀態機器定義。例如,如果您選擇在狀態機器工作定義中呼叫 Lambda 函數,則會將該lambda.tf檔案包含在相同的目錄中。確保為自訂組態包含必要的 IAM 角色和許可。
當您提供適當的輸入時,AFT 管道會自動叫用您的狀態機器,並將您的自訂部署為 AFT 帳戶佈建架構階段的一部分。
若要重新啟動 AFT 帳戶佈建架構和自訂
AFT 會針對每個透過 AFT 管道供應的帳戶執行帳戶佈建架構和自訂步驟。若要重新啟動帳戶佈建自訂,您可以使用下列兩種方法之一:
-
對帳戶請求存儲庫中的現有帳戶進行任何更改。
-
在 AFT 提供新帳戶。
