"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
# 使用 Terraform 動態管理 AWS 許可集
*Vinicius Elias 和 Marcos Vinicius Pinto Jordao,Amazon Web Services*
## 摘要
AWS IAM Identity Center enhances AWS Identity and Access Management (IAM) 提供集中式中樞,用於管理 AWS 帳戶 和雲端應用程式的單一登入存取。不過,隨著組織的成長,手動管理 IAM Identity Center [許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)可能會變得越來越複雜且容易出錯。這種複雜性可能會導致潛在的安全漏洞和管理開銷。
此解決方案可讓您使用以原生建置的持續整合和持續交付 (CI/CD) 管道,透過基礎設施將許可集管理為程式碼 (IaC) AWS 服務。它可讓許可集指派機制與 AWS Control Tower 生命週期事件或 [Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) 環境無縫整合。此方法為新的和現有的 提供動態身分組態 AWS 帳戶。
Amazon EventBridge 規則會監控 AWS 帳戶 建立和更新,這有助於您的身分組態與您的組織結構保持同步。在 或 AFT 中建立 AWS Control Tower 或更新帳戶之後,就會觸發管道。它使用許可集定義和指派規則來評估一組 JSON 檔案。然後,管道會套用並同步所有帳戶的設定。
此方法提供下列優勢:
+ **一致性** – 消除整個 AWS 組織的手動組態偏離
+ 可**稽核性** – 維護所有身分管理變更的完整歷史記錄
+ **可擴展性** – 隨著 AWS 環境的成長,自動套用組態
+ **安全性** – 減少許可指派中的人為錯誤
+ **合規** – 透過記錄的變更和指派規則,協助滿足法規要求
## 先決條件和限制
+ 具有 AWS Control Tower 和 AWS Organizations 設定的多帳戶環境。或者,您可以搭配 使用 AFT AWS Control Tower。
+ AWS 帳戶 接收解決方案的 IAM Identity Center 委派管理員。如需詳細資訊,請參閱 IAM Identity Center 文件中的[委派管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html)。
+ 處理主要程式碼的版本控制系統 (VCS) 儲存庫。如需範例,請參閱解決方案的 GitHub [儲存庫](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic)。
+ Terraform 後端管理的必要 AWS 資源,例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體和 Amazon DynamoDB 資料表。
**限制**
+ 管道使用 AWS 原生資源和開放原始碼 Terraform。管道尚未準備好呼叫第三方生態系統。
+ 有些 AWS 服務 不適用於所有 AWS 區域。如需區域可用性,請參閱[AWS 依區域的服務](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。如需特定端點,請參閱[服務端點和配額](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html),然後選擇服務的連結。
## Architecture
下圖顯示此模式的元件和工作流程。
![\[使用 Terraform 管理 AWS 許可集的元件和工作流程。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/69dc79c7-b4cd-4ad0-b0d2-d58cf0c7adaa/images/649e299c-1142-405a-8982-4a6b2e595d53.png)
**AWS Control Tower 事件流程**
解決方案從整合來自 AWS Control Tower 或 AFT 的事件開始。在實作時間,會透過變數定義,選擇一項或另一項服務。無論使用何種方法,只要建立或更新帳戶,就會觸發管道。管道會協調存放在許可集管理儲存庫中的政策。
以下是 AWS Control Tower 生命週期事件:
+ `CreateManagedAccount` – 建立新帳戶時
+ `UpdateManagedAccount` – 更新現有帳戶時
**事件路由**
EventBridge 做為中央事件處理服務,擷取 AWS Control Tower 帳戶中產生的事件。事件發生時,EventBridge 會以智慧方式將事件路由到解決方案帳戶中的集中式事件匯流排。 AWS Control Tower 生命週期事件遵循不同的路由模式。如果 AFT 定義為事件來源,則 AFT 管理帳戶會處理事件,而不是 AWS Control Tower 帳戶。此事件驅動型架構可自動回應組織變更,無需手動介入。
**AFT 整合程序**
當 AWS Control Tower 生命週期事件到達 AFT 管理帳戶時,它們會自動觸發多個 AFT 內部的下游程序。AFT 帳戶自訂工作流程完成後,它會將訊息發佈至專用 `aft-notifications` Amazon Simple Notification Service (Amazon SNS) 主題。該主題會觸發此解決方案實作的 `aft-new-account-forward-event` AWS Lambda 函數。Lambda 函數會將事件傳送至解決方案帳戶事件匯流排,用於啟動管道。
**基礎設施即程式碼管道**
解決方案管道以全自動化的部署機制運作。 AWS CodePipeline 服務會持續監控儲存庫的變更。偵測到新的遞交時,會自動啟動部署工作流程,並啟動包含驗證和執行階段的循序程序。系統會執行 Terraform `plan`操作來識別提議的變更,接著執行 Terraform `apply`命令以在 AWS 環境中實作這些變更。值得注意的是,管道在沒有任何手動核准閘道的情況下執行。此方法可讓您快速部署基礎設施變更,同時透過管道日誌和 Terraform 狀態檔案維持可稽核性。
管道會利用 AWS CodeBuild ,在具有適當許可的受控環境中執行 Terraform 操作。透過此 IaC 方法,管道可以執行全面的許可管理操作,包括:
+ 建立新的許可集。
+ 更新現有的許可集。
+ 移除不必要的許可集。
+ 管理組織中帳戶和群組之間這些許可的指派 AWS 。
為了維持基礎設施一致性並防止發生衝突的變更,解決方案會使用 Amazon S3 儲存貯體和專用 Amazon DynamoDB 資料表實作 Terraform 後端狀態管理系統。此方法為 Terraform 狀態檔案和狀態鎖定機制提供持久性儲存位置,以防止同時修改相同的資源。
主要 Terraform 程式碼使用官方 AWS `permission-sets` Terraform 模組。此模組可以根據許可集範本,在 IAM Identity Center 中動態管理許可集。
**來源控制管理**
許可集範本 (JSON 檔案) 位於外部版本控制系統中,例如 GitHub,為身分管理組態提供集中式儲存庫。此方法為許可集定義建立單一事實來源,同時透過標準程式碼檢閱實務進行協作開發。授權使用者可以在組織變更管理程序之後,將變更遞交至這些範本。這些遞交可做為自動化部署管道的主要觸發條件,啟動基礎設施更新程序。
如需如何使用儲存庫中的 JSON 檔案設定許可集的範例,請參閱[其他資訊](#manage-aws-permission-sets-dynamically-by-using-terraform-additional)。
## 工具
**AWS 服務**
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html) 是一種全受管建置服務,可協助您編譯原始程式碼、執行單元測試,並產生準備好部署的成品。
+ [AWS CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/welcome-connections.html) 可讓 CodePipeline 等 AWS 資源和服務連線至外部程式碼儲存庫,例如 GitHub。
+ [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html) 可協助您快速建模和設定軟體版本的不同階段,並自動化持續發行軟體變更所需的步驟。
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 是一種開放原始碼工具,可協助您 AWS 服務 透過命令列 Shell 中的命令與 互動。
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 可協助您設定和管理 AWS 多帳戶環境,並遵循規範最佳實務。
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) 是一項全受管 NoSQL 資料庫服務,可提供快速、可預期且可擴展的效能。
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 是一種無伺服器事件匯流排服務,可協助您將應用程式與來自各種來源的即時資料連線。例如, AWS Lambda 函數、使用 API 目的地的 HTTP 調用端點,或其他事件匯流排 AWS 帳戶。
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 透過控制已驗證並獲授權使用的人員,協助您安全地管理對 AWS 資源的存取。
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 可協助您集中管理所有 AWS 帳戶 和雲端應用程式的單一登入 (SSO) 存取。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) 是一項運算服務,可協助您執行程式碼,無需佈建或管理伺服器。它只會在需要時執行程式碼並自動擴展,因此您只需按使用的運算時間付費。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 是一種帳戶管理服務,可協助您將多個 合併 AWS 帳戶 到您建立並集中管理的組織。
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) 可協助您協調和管理發佈者和用戶端之間的訊息交換,包括 Web 伺服器和電子郵件地址。它可啟用帳戶管理事件的推播通知,確保相關各方知道系統中的重要變更或動作。
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) 是一種雲端型物件儲存服務,可協助您儲存、保護和擷取任何數量的資料。
**其他工具**
+ [Terraform](https://www.terraform.io/) 是 HashiCorp 的基礎設施即程式碼 (IaC) 工具,可協助您建立和管理雲端和內部部署資源。
**程式碼儲存庫**
此模式的程式碼可在 AWS sample[sample-terraform-aws-permission-sets-pipeline](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline)儲存庫的 GitHub 上的 Samples 組織中取得。
## 最佳實務
+ 一律鎖定用於在生產環境中執行程式碼的 Terraform 模組和提供者版本。
+ 使用靜態程式碼分析工具,例如 [Checkov](https://www.checkov.io/),掃描您的程式碼,然後解決安全問題。
+ 遵循最低權限原則,並授予執行任務所需的最低許可。如需詳細資訊,請參閱 IAM 文件中的[授予最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv)和[安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 史詩
### 建立先決條件 (選用)
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 建立 Terraform 後端資源。 | 如果您尚未建立 Terraform 後端 AWS 資源,請使用下列步驟來建立 Amazon S3 儲存貯體 (`s3-tf-backend-{ACCOUNT_ID}`) 和 DynamoDB 資料表 ()`ddb-tf-backend`。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws s3api create-bucket --bucket s3-tf-backend-{ACCOUNT_ID}
aws s3api put-bucket-versioning --bucket s3-tf-backend-{ACCOUNT_ID} --versioning-configuration Status=Enabled
aws dynamodb create-table --table-name ddb-tf-backend --attribute-definitions AttributeName=LockID,AttributeType=S --key-schema AttributeName=LockID,KeyType=HASH --provisioned-throughput ReadCapacityUnits=1,WriteCapacityUnits=1 | AWS 管理員 |
| 建立跨帳戶角色。 | 您必須在 `event-source-account` Terraform AWS 提供者組態中提供跨帳戶 IAM 角色。如果您尚未建立此角色,請使用下列步驟來建立角色:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam create-role \
--role-name CrossAccountRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{ACCOUNT_ID}:root"
},
"Action": "sts:AssumeRole"
}
]
}'
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam attach-role-policy \
--role-name CrossAccountRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
此範例使用 AWS 受管 IAM 政策 [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html)。如果您願意,可以使用更具體的政策。 | AWS 管理員 |
### 準備許可集儲存庫
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 建立專用儲存庫。 | 此任務假設您使用的是 GitHub。建立專用儲存庫來存放主要 Terraform 程式碼和許可集範本 JSON 檔案。 | DevOps 工程師 |
| 準備許可集程式碼。 | 如需如何建構下列檔案的資訊,請參閱解決方案儲存庫上的[範例程式碼](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic):├ – main.tf://├ – outputs.tf://├ – provider.jinja└ — 範本複製內容、保留`providers.jinja`值,並對其他檔案進行必要的調整。例如,將許可集範本檔案新增至 檔案,`templates`或將`aws-ia/permission-sets/aws`模組版本釘選在 `main.tf` 檔案中。 | DevOps 工程師 |
| 遞交您的變更。 | 遞交變更並推送至您先前建立的儲存庫。儲存儲存庫名稱及其 GitHub 組織,例如 `myorg/aws-ps-pipeline`。 | DevOps 工程師 |
### 準備部署程式碼
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 下載內容。 | 從解決方案[儲存庫](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline)下載 (複製) 內容。 | DevOps 工程師 |
| 履行變數。 | 建立`terraform.tfvars`檔案並新增下列必要變數:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)repository_name = "myorg/aws-ps-pipeline"
branch_name = "main"
vcs_provider = "github"
account_lifecycle_events_source = "CT"
如需其他變數選項的詳細資訊,請參閱此模式的 GitHub 儲存庫中的 [variables.tf](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/blob/main/variables.tf) 檔案。 | DevOps 工程師 |
| 調整 Terraform 後端組態。 | 在 `backend.tf` 檔案中,將預留位置取代為您自己的值。使用 AWS Control Tower 首頁 AWS 區域,並提供先前建立的 Amazon S3 儲存貯體和 DynamoDB 資料表的名稱。terraform {
required_version = ">=1.6"
backend "s3" {
region = "{region}"
bucket = "{bucket_name}"
key = "terraform.tfstate"
dynamodb_table = "{table_name}"
encrypt = "true"
}
}如果您願意,可以使用自己的 Terraform 後端組態。 | DevOps 工程師 |
| 調整 Terraform 提供者組態。 | 在 `providers.tf` 檔案中,將預留位置取代為您自己的資訊。使用 AWS Control Tower 主區域,並提供先前為`event-source-account`提供者建立的跨帳戶 IAM 角色的 ARN。provider "aws" {
region = "{region}"
}
provider "aws" {
alias = "event-source-account"
region = "{region}"
assume_role {
role_arn = "{role_arn}"
}
}
| DevOps 工程師 |
### 手動部署解決方案
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 選取 AWS 帳戶。 | 我們建議您在 IAM Identity Center 委派管理員帳戶中部署解決方案。不過,您也可以在 AWS Organizations 管理帳戶中部署它。若要登入與 IAM Identity Center 執行個體位於相同區域中的所選帳戶,請使用 AWS CLI。請確定您使用的 IAM 角色具有許可,可擔任先前步驟中為`event-source-account`提供者指定的角色。此外,此角色必須能夠存取 Terraform 後端組態中使用的 AWS 資源。 | AWS 管理員 |
| 手動執行 Terraform。 | 若要初始化、規劃和套用組態,請依所示順序執行下列 Terraform 命令:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) | DevOps 工程師 |
| 檢查部署結果。 | 在 IAM Identity Center 委派管理員帳戶中,檢查`aws-ps-pipeline`管道是否已建立。同時檢查是否有處於**待定**狀態的 AWS CodeConnections 連線。 | AWS DevOps |
| 完成 CodeConnections 組態。 | 若要完成 CodeConnections 組態,請使用下列步驟:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)管道現在應該可以存取許可集儲存庫。如需詳細說明,請參閱開發人員工具主控台文件中的[更新待定連線](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-update.html)。 | AWS DevOps |
### 選擇管道執行流程以測試解決方案
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 依 AWS Control Tower 或 AFT 更新執行管道。 | 使用 AWS Control Tower 或 AFT 建立或變更帳戶後 (取決於您選擇的生命週期事件類型),管道就會啟動。 | AWS 管理員 |
| 變更程式碼以執行管道。 | 在您變更程式碼並將其遞交至`main`分支之後,管道就會啟動。 | AWS DevOps |
| 手動執行管道。 | 若要手動啟動管道,請使用 中的[發行變更](https://docs.aws.amazon.com/codepipeline/latest/userguide/pipelines-rerun-manually.html)功能 AWS CodePipeline。 | AWS DevOps |
## 疑難排解
| 問題 | 解決方案 |
| --- | --- |
| 存取遭拒 | 確認您具有部署解決方案所需的許可。 |
| CodeConnections 問題 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| 管道執行問題 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| 許可集部署問題 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
## 相關資源
**AWS 服務 文件**
+ [AWS IAM Identity Center 使用者指南](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ [AWS 帳戶 使用許可集管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) (IAM Identity Center 文件)
**其他資源**
+ [AWS 許可集模組 ](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest)(Terraform)
## 其他資訊
**具有範例許可集的 JSON 檔案**
下列範例示範如何使用儲存庫中的 JSON 檔案來設定許可集:
```
{
"Name": "ps-billing", // Permission set identifier
"Comment": "Sample permission set for billing access", // Comment to document the purpose of the permission set
"Description": "Billing access in AWS", // Detailed description
"SessionDuration": "PT4H", // Session duration = 4 hours (ISO 8601 format)
"ManagedPolicies": [ // List of AWS IAM managed policies
"arn:aws:iam::aws:policy/job-function/Billing",
"arn:aws:iam::aws:policy/job-function/SupportUser",
"arn:aws:iam::aws:policy/AWSSupportAccess",
"arn:aws:iam::aws:policy/job-function/ViewOnlyAccess"
],
"CustomerPolicies": [], // References to IAM policies previously created
"CustomPolicy": {}, // Inline IAM policy defined directly in the permission set
"PermissionBoundary": { // AWS or customer managed IAM policy to be used as boundary
"ManagedPolicy": "",
"CustomerPolicy": ""
},
"Assignments": [ // Define the assignment rules
{
"all_accounts": true, // Apply to ALL active AWS accounts in organization
"principal": "G_BILLING_USERS", // Group/user name in Identity Center
"type": "GROUP", // Can be "GROUP" or "USER"
"account_id": [], // List of AWS account ID (empty since all_accounts=true)
"account_ou": [], // List of AWS Organizational Unit IDs with target AWS accounts
"account_tag": [] // List of tags (key:value) to match AWS Organization accounts tags
}
]
}
```
如需詳細資訊,請參閱 Terraform 網站上的[AWS 許可集模組](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest#json-file-templates)文件中的 JSON 結構描述。
**提示**
+ 您可以使用 Terraform [匯入區塊](https://developer.hashicorp.com/terraform/language/import),將現有的許可集匯入解決方案。
+ 您可以使用 AFT 在委派帳戶中實作 AWS 許可集管道。如需詳細資訊,請參閱 [AFT 藍圖](https://awslabs.github.io/aft-blueprints/index.html)。
# 使用 AWS Organizations 自動標記 Transit Gateway 連接
*Richard Milner-Watts、Haris Bin Ayub 和 John Capps,Amazon Web Services*
## 總結
在 Amazon Web Services (AWS) 上,您可以使用 [AWS Resource Access Manager](https://aws.amazon.com/ram/) 跨[AWS Transit Gateway](https://aws.amazon.com/transit-gateway/) AWS 帳戶 邊界共用。不過,當您跨帳戶邊界建立 Transit Gateway 連接時,會建立沒有名稱標籤的連接。這可能會讓識別連接耗時。
此解決方案提供自動化機制,可收集由 管理之組織內帳戶的每個 Transit Gateway 連接的相關資訊[AWS Organizations](https://aws.amazon.com/organizations/)。程序包括從 Transit Gateway [路由表中查詢無類別網域間](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)路由 (CIDR) 範圍。解決方案接著會將 形式的 Name 標籤`-`套用至擁有傳輸閘道之帳戶內的附件。
此解決方案可與解決方案程式庫中的 [Serverless Transit Network Orchestrator](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/) 等 AWS 解決方案搭配使用。Serverless Transit Network Orchestrator 可大規模自動建立 Transit Gateway 附件。
## 先決條件和限制
**先決條件**
+ 作用中 AWS 帳戶
+ 包含所有相關帳戶 AWS Organizations 的組織
+ 在組織的根目錄下存取組織管理帳戶,以建立 required AWS Identity and Access Management (IAM) 角色
+ 共用網路成員帳戶,其中包含與組織共用並具有附件的一或多個傳輸閘道
## Architecture
的下列螢幕擷取畫面 AWS 管理主控台 顯示沒有相關聯名稱標籤的 Transit Gateway 附件範例,以及具有此解決方案產生之名稱標籤的兩個 Transit Gateway 附件範例。產生的名稱標籤結構為 `-`。
![\[主控台顯示不含名稱標籤的附件,以及兩個含名稱標籤的附件。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/7e7d4a47-f07a-4708-8022-a1d22855bb5d.png)
此解決方案使用 [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 部署[AWS Step Functions](https://aws.amazon.com/step-functions/)工作流程,管理所有已設定之 Transit Gateway Name 標籤的建立 AWS 區域。工作流程會叫用 [AWS Lambda](https://aws.amazon.com/lambda/)函數,以執行基礎任務。
解決方案從中取得帳戶名稱後 AWS Organizations,Step Functions 狀態機器會取得所有 Transit Gateway 連接 IDs。這些是由區域平行處理。此處理包括查詢每個附件的 CIDR 範圍。CIDR 範圍是透過搜尋區域內的 Transit Gateway 路由表來取得相符的 Transit Gateway 連接 ID。如果所有必要資訊都可用,解決方案會將名稱標籤套用至附件。解決方案不會覆寫任何現有的名稱標籤。
解決方案會按照由 [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 事件控制的排程執行。事件會在 UTC 每天上午 6:00 啟動解決方案。
**目標技術堆疊**
+ Amazon EventBridge
+ AWS Lambda
+ AWS Organizations
+ AWS Transit Gateway
+ Amazon Virtual Private Cloud (Amazon VPC)
+ AWS X-Ray
**目標架構**
下圖顯示解決方案架構和工作流程。
![\[跨共用聯網和組織管理帳戶的九個步驟程序。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/873cc89f-c6e3-43cd-94ed-59b6ea2b8d49.png)
1. 排程事件會啟動規則。
1. EventBridge 規則會啟動 Step Functions 狀態機器。
1. 狀態機器會叫用 `tgw-tagger-organizations-account-query` Lambda 函數。
1. `tgw-tagger-organizations-account-query` Lambda 函數會擔任組織管理帳戶中的角色。
1. `tgw-tagger-organizations-account-query` Lambda 函數會呼叫 Organizations API 來傳回 AWS 帳戶 中繼資料。
1. 狀態機器會叫用 `tgw-tagger-attachment-query` Lambda 函數。
1. 對於每個區域,狀態機器會並行叫用 `tgw-tagger-rtb-query` Lambda 函數來讀取每個附件的 CIDR 範圍。
1. 對於每個區域,狀態機器會平行叫用 `tgw-tagger-attachment-tagger`****Lambda 函數。
1. 系統會為共用網路帳戶中的 Transit Gateway 附件建立名稱標籤。
**自動化和擴展**
解決方案會平行處理每個區域,以減少執行的總持續時間。
## 工具
**AWS 服務**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) 透過將基礎設施視為程式碼,提供建立相關 AWS 和第三方資源集合模型、快速一致地佈建它們,以及在整個生命週期中管理它們的方法。
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) 可協助您 AWS 即時監控 AWS 資源的指標,以及您執行的應用程式。
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 是一種無伺服器事件匯流排服務,可用來將應用程式與來自各種來源的資料連線。EventBridge 會收到事件、環境變更的指標,並套用規則將事件路由至目標。規則會根據事件的結構、稱為事件模式或排程,將事件與目標配對。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) 是一種運算服務,支援執行程式碼,無需佈建或管理伺服器。Lambda 只會在需要時執行程式碼,並自動擴展,從每天幾個請求擴展到每秒數千個請求。您只需為使用的運算時間支付費用。程式碼未執行時無須付費。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 隨著資源的成長和擴展, 可協助您集中管理和控管您的環境 AWS 。使用 Organizations,您可以透過程式設計方式建立新的資源 AWS 帳戶 並配置資源、將 帳戶分組以組織您的工作流程、將政策套用到帳戶或群組以進行控管,以及為所有帳戶使用單一付款方式來簡化計費。
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html) 是一種低程式碼視覺化工作流程服務,用於協調 AWS 服務、自動化業務流程和建置無伺服器應用程式。工作流程會管理故障、重試、平行化、服務整合和可觀測性,讓開發人員可以專注於更高價值的商業邏輯。
+ [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/) 透過中央中樞連接 VPCs 和內部部署網路。這可簡化您的網路,並結束複雜的互連關係。它充當雲端路由器,因此每個新連線只會進行一次。
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 是一種在您定義的邏輯隔離虛擬網路中啟動 AWS 資源的服務。
+ [AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html) 會收集應用程式提供的請求相關資料,並提供可用來檢視、篩選和深入了解該資料的工具,以識別問題和最佳化的機會。
**Code**
此解決方案的原始程式碼可在 [Transit Gateway Attachment Tagger](https://github.com/aws-samples/tgw-attachment-tagger) GitHub 儲存庫中使用。儲存庫包含下列檔案:
+ `tgw-attachment-tagger-main-stack.yaml` 會在共用網路帳戶中建立所有資源以支援此解決方案。
+ `tgw-attachment-tagger-organizations-stack.yaml`****在組織的管理帳戶中建立角色。
## 史詩
### 部署主要解決方案堆疊
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 收集必要的先決條件資訊。 | 若要設定從 Lambda 函數到 AWS Organizations API 的跨帳戶存取權,您需要組織管理帳戶的帳戶 ID。****建立兩個 CloudFormation 堆疊的順序很重要。您必須先將資源部署到共用網路帳戶。在將資源部署到組織的管理帳戶中之前,共用網路帳戶中的角色必須已存在。如需詳細資訊,請參閱 [AWS 文件](https://docs.amazonaws.cn/en_us/IAM/latest/UserGuide/id_roles_create_for-user.html)。 | DevOps 工程師 |
| 啟動主要解決方案堆疊的 CloudFormation 範本。 | 主要解決方案堆疊的範本將部署 IAM 角色、Step Functions 工作流程、Lambda 函數和 Amazon CloudWatch 事件。開啟 AWS 管理主控台 共用網路帳戶的 ,然後開啟 :&CFN 主控台。 使用`tgw-attachment-tagger-main-stack.yaml` 範本和下列值建立堆疊: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)如需啟動 CloudFormation 堆疊的詳細資訊,請參閱 [AWS 文件](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)。 | DevOps 工程師 |
| 確認解決方案已成功啟動。 | 等待 CloudFormation 堆疊達到 **CREATE\$1COMPLETE** 狀態。這應該需要不到一分鐘的時間。開啟 Step Functions 主控台,並確認已建立名為 **tgw-attachment-tagger-state-machine** 的新狀態機器。 | DevOps 工程師 |
### 部署 AWS Organizations 堆疊
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 收集必要的先決條件資訊。 | 若要設定從 Lambda 函數到 AWS Organizations API 的跨帳戶存取權,您需要共用網路帳戶的帳戶 ID。 | DevOps 工程師 |
| 啟動 Organizations 堆疊的 CloudFormation 範本 | AWS Organizations 堆疊的範本將在組織的管理帳戶中部署 IAM 角色。 存取組織管理帳戶的 AWS 主控台。然後開啟 CloudFormation 主控台。 使用`tgw-attachment-tagger-organizations-stack.yaml` 範本和下列值建立堆疊:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)對於其他堆疊建立選項,請使用預設值。 | DevOps 工程師 |
| 確認解決方案已成功啟動。 | 等待 CloudFormation 堆疊達到 **CREATE\$1COMPLETE** 狀態。這應該需要不到一分鐘的時間。開啟 AWS Identity and Access Management (IAM) 主控台,並確認已建立名為 **tgw-attachment-tagger-organization-query-role** 的新角色。 | DevOps 工程師 |
### 驗證解決方案
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 執行狀態機器。 | 開啟共用網路帳戶的 Step Functions 主控台,然後在導覽窗格中選擇**狀態機器**。選取狀態機器 **tgw-attachment-tagger-state-machine**,然後選擇**開始執行**。 由於解決方案不會使用此狀態機器的輸入,因此您可以使用預設值。{
"Comment": "Insert your JSON here"
}選擇 **Start Execution (開始執行)**。 | DevOps 工程師 |
| 觀看狀態機器直到完成。 | 在開啟的新頁面上,您可以觀看狀態機器執行。持續時間取決於要處理的 Transit Gateway 附件數量。在此頁面上,您可以檢查狀態機器的每個步驟。您可以在狀態機器中檢視各種任務,並遵循 Lambda 函數的 CloudWatch 日誌連結。對於在映射中平行執行的任務,您可以使用**索引**下拉式清單來檢視每個區域的特定實作。 | DevOps 工程師 |
| 驗證 Transit Gateway 連接標籤。 | 開啟共用網路帳戶的 VPC 主控台,然後選擇**傳輸閘道附件**。 在 主控台上,為符合條件的附件提供名稱標籤 (附件會傳播到 Transit Gateway 路由表,而資源擁有者是組織的成員)。 | DevOps 工程師 |
| 驗證 CloudWatch 事件啟動。 | 等待 CloudWatch 事件啟動。這是排程為 06:00 UTC。 然後開啟共用網路帳戶的 Step Functions 主控台,然後在導覽窗格中選擇**狀態機器**。選取狀態機器 **tgw-attachment-tagger-state-machine**。確認解決方案在 UTC 的 06:00 執行。 | DevOps 工程師 |
## 相關資源
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [AWS Resource Access Manager](https://aws.amazon.com/ram/)
+ [無伺服器傳輸網路協調器](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/)
+ [建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)
+ [在 AWS CloudFormation 主控台上建立堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
# 更多模式
**Topics**
+ [AWS 帳戶 使用 AFT 自動化新 的 Amazon VPC IPAM IPv4 CIDR 配置](automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.md)
+ [使用 Account Factory for Terraform 管理多個帳戶的許可集](govern-permission-sets-aft.md)
+ [使用 GitHub 動作根據 AWS CloudFormation 範本佈建 AWS Service Catalog 產品](provision-aws-service-catalog-products-using-github-actions.md)
+ [透過部署角色販賣機解決方案來佈建最低權限的 IAM 角色](provision-least-privilege-iam-roles-by-deploying-a-role-vending-machine-solution.md)