Passen Sie Konten mit Account Factory Customization (AFC) an - AWS Control Tower
Überlegungen zu Account Factory Factory-Anpassungen (AFC)Im Falle eines Blueprint-FehlersAnpassen Ihres Richtliniendokuments für AFC-Blueprints auf der Grundlage von CloudFormationZusätzliche Berechtigungen sind für die Erstellung eines Terraform-basierten Service Catalog-Produkts erforderlich

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Passen Sie Konten mit Account Factory Customization (AFC) an

Mit AWS Control Tower können Sie neue und bestehende Ressourcen anpassen, AWS-Konten wenn Sie deren Ressourcen über die AWS Control Tower Tower-Konsole bereitstellen. Nachdem Sie die werkseitige Anpassung des Kontos eingerichtet haben, automatisiert AWS Control Tower diesen Prozess für die future Bereitstellung, sodass Sie keine Pipelines verwalten müssen. Maßgeschneiderte Konten können unmittelbar nach der Bereitstellung der Ressourcen verwendet werden.

Ihre benutzerdefinierten Konten werden in Account Factory, über AWS CloudFormation Vorlagen oder mit Terraform bereitgestellt. Sie definieren eine Vorlage, die als benutzerdefinierter Konto-Blueprint dient. Ihr Blueprint beschreibt die spezifischen Ressourcen und Konfigurationen, die Sie für die Bereitstellung eines Kontos benötigen. Vordefinierte Blueprints, die von AWS Partnern erstellt und verwaltet werden, sind ebenfalls verfügbar. Weitere Informationen zu von Partnern verwalteten Blueprints finden Sie in der Bibliothek „Erste Schritte“.AWS Service Catalog

Anmerkung

AWS Control Tower enthält proaktive Kontrollen, die AWS CloudFormation Ressourcen im AWS Control Tower überwachen. Optional können Sie diese Steuerungen in Ihrer landing zone aktivieren. Wenn Sie proaktive Kontrollen anwenden, wird überprüft, ob die Ressourcen, die Sie für Ihre Konten bereitstellen möchten, den Richtlinien und Verfahren Ihres Unternehmens entsprechen. Weitere Informationen zu proaktiven Kontrollen finden Sie unter Proaktive Kontrollen.

Ihre Konto-Blueprints werden in einem Konto gespeichert AWS-Konto, das für unsere Zwecke als Hub-Konto bezeichnet wird. Blueprints werden in Form eines Service Catalog-Produkts gespeichert. Wir nennen dieses Produkt eine Blaupause, um es von allen anderen Service Catalog-Produkten zu unterscheiden. Weitere Informationen zum Erstellen von Service Catalog-Produkten finden Sie unter Produkte erstellen im AWS Service Catalog Administratorhandbuch.

Wenden Sie Blueprints auf bestehende Konten an

Sie können benutzerdefinierte Blueprints auch auf bestehende Konten anwenden, indem Sie die Schritte Konto aktualisieren in der AWS Control Tower Tower-Konsole befolgen. Details hierzu finden Sie unter Aktualisieren Sie das Konto in der Konsole.

Bevor Sie beginnen

Bevor Sie mit der Erstellung benutzerdefinierter Konten bei AWS Control Tower Account Factory beginnen, müssen Sie eine AWS Control Tower-Landing Zone-Umgebung bereitgestellt haben und Sie müssen eine Organisationseinheit (OU) bei AWS Control Tower registriert haben, in der Ihre neu erstellten Konten platziert werden.

Weitere Informationen zur Arbeit mit AFC finden Sie unter Automatisieren der Kontoanpassung mithilfe von Account Factory Customization in AWS Control Tower.

Vorbereitung für die Anpassung

  • Sie können ein neues Konto erstellen, das als Hub-Konto dient, oder Sie können ein vorhandenes verwenden AWS-Konto. Wir empfehlen dringend, das AWS Control Tower Tower-Managementkonto nicht als Ihr Blueprint-Hub-Konto zu verwenden.

  • Wenn Sie sich bei AWS Control Tower registrieren AWS-Konten und sie anpassen möchten, müssen Sie die AWSControlTowerExecution Rolle zunächst zu diesen Konten hinzufügen, wie Sie es für jedes andere Konto tun würden, das Sie bei AWS Control Tower registrieren.

  • Wenn Sie planen, Partner-Blueprints zu verwenden, für die Marketplace-Abonnementanforderungen gelten, müssen Sie diese über Ihr AWS Control Tower Tower-Managementkonto konfigurieren, bevor Sie die Partner-Blueprints als Blueprints für die werkseitige Anpassung von Konten bereitstellen.

Themen
Anmerkung

Pro AWS Control Tower Tower-Konto kann ein Blueprint bereitgestellt werden.

Überlegungen zu Account Factory Factory-Anpassungen (AFC)

  • AFC unterstützt Anpassungen nur mit einem einzigen AWS Service Catalog Blueprint-Produkt.

  • Die AWS Service Catalog Blueprint-Produkte müssen im Hub-Konto und in derselben Region wie die Heimatregion der AWS Control Tower landing zone erstellt werden.

  • Die AWSControlTowerBlueprintAccess IAM-Rolle muss mit dem richtigen Namen, den richtigen Berechtigungen und der Vertrauensrichtlinie erstellt werden.

  • AWS Control Tower unterstützt zwei Bereitstellungsoptionen für Blueprints: Bereitstellung nur in der Heimatregion oder Bereitstellung in allen Regionen, die von AWS Control Tower verwaltet werden. Eine Auswahl von Regionen ist nicht verfügbar.

  • Wenn Sie einen Blueprint in einem Mitgliedskonto aktualisieren, können die Blueprint-Hub-Konto-ID und das AWS Service Catalog Blueprint-Produkt nicht geändert werden.

  • AWS Control Tower unterstützt nicht das Entfernen eines vorhandenen Blueprints und das Hinzufügen eines neuen Blueprints in einem einzigen Blueprint-Aktualisierungsvorgang. Sie können einen Blueprint entfernen und dann in separaten Vorgängen einen neuen Blueprint hinzufügen.

  • AWS Control Tower ändert das Verhalten, je nachdem, ob Sie benutzerdefinierte Konten oder nicht benutzerdefinierte Konten erstellen oder registrieren. Wenn Sie keine benutzerdefinierten Konten mit Blueprints erstellen oder registrieren, erstellt AWS Control Tower ein von Account Factory bereitgestelltes Produkt (über Service Catalog) im AWS Control Tower Tower-Verwaltungskonto. Wenn Sie bei der Erstellung oder Registrierung von Konten mit Blueprints Anpassungen angeben, erstellt AWS Control Tower kein von Account Factory bereitgestelltes Produkt im AWS Control Tower Tower-Verwaltungskonto.

Im Falle eines Blueprint-Fehlers

Fehler beim Anwenden eines Blueprints

Wenn beim Anwenden eines Blueprints auf ein Konto — entweder ein neues Konto oder ein vorhandenes Konto, das Sie bei AWS Control Tower registrieren — ein Fehler auftritt, ist das Wiederherstellungsverfahren dasselbe. Das Konto wird existieren, aber es ist nicht angepasst und es ist nicht bei AWS Control Tower registriert. Um fortzufahren, folgen Sie den Schritten zur Registrierung des Kontos bei AWS Control Tower und fügen Sie den Blueprint bei der Registrierung hinzu.

Fehler beim Erstellen der Rolle und Behelfslösungen AWSControlTowerBlueprintAccess

Wenn Sie die AWSControlTowerBlueprintAccess Rolle von einem AWS Control Tower Tower-Konto aus erstellen, müssen Sie mit der AWSControlTowerExecution Rolle als Principal angemeldet sein. Wenn Sie wie ein anderer angemeldet sind, wird der CreateRole Vorgang durch einen SCP verhindert, wie das folgende Artefakt zeigt:

{
            "Condition": {
                "ArnNotLike": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::*:role/AWSControlTowerExecution",
                        "arn:aws:iam::*:role/stacksets-exec-*"
                    ]
                }
            },
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:DeleteRolePermissionsBoundary",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy",
                "iam:UpdateAssumeRolePolicy",
                "iam:UpdateRole",
                "iam:UpdateRoleDescription"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-controltower-*",
                "arn:aws:iam::*:role/*AWSControlTower*",
                "arn:aws:iam::*:role/stacksets-exec-*"
            ],
            "Effect": "Deny",
            "Sid": "GRIAMROLEPOLICY"
        }

Die folgenden Problemumgehungen sind verfügbar:

  • (Am meisten empfohlen) Nehmen Sie die AWSControlTowerExecution Rolle an und erstellen Sie die AWSControlTowerBlueprintAccess Rolle. Wenn Sie sich für diese Problemumgehung entscheiden, müssen Sie sich unmittelbar danach von der AWSControlTowerExecution Rolle abmelden, um unbeabsichtigte Änderungen an Ressourcen zu verhindern.

  • Melden Sie sich bei einem Konto an, das nicht bei AWS Control Tower registriert ist und daher nicht diesem SCP unterliegt.

  • Bearbeiten Sie diesen SCP vorübergehend, um den Vorgang zuzulassen.

  • (Dringend nicht empfohlen) Verwenden Sie Ihr AWS Control Tower Tower-Managementkonto als Ihr Hub-Konto, sodass es nicht dem SCP unterliegt.

Anpassen Ihres Richtliniendokuments für AFC-Blueprints auf der Grundlage von CloudFormation

Wenn Sie einen Blueprint über Account Factory aktivieren, weist AWS Control Tower an, in StackSet Ihrem Namen einen AWS CloudFormation zu erstellen. AWS CloudFormation benötigt Zugriff auf Ihr verwaltetes Konto, um AWS CloudFormation Stacks in der zu erstellen. StackSet Sie verfügt über diese AWSControlTowerExecution Rolle zwar AWS CloudFormation bereits über Administratorrechte für das verwaltete Konto, diese Rolle kann jedoch nicht von übernommen werden. AWS CloudFormation

Im Rahmen der Aktivierung eines Blueprints erstellt AWS Control Tower eine Rolle im Mitgliedskonto, die die Ausführung der StackSet Verwaltungsaufgaben übernehmen AWS CloudFormation kann. Die einfachste Möglichkeit, Ihren benutzerdefinierten Blueprint über Account Factory zu aktivieren, ist die Verwendung einer Alles-Lass-Richtlinie, da diese Richtlinien mit jeder Blueprint-Vorlage kompatibel sind.

Bewährte Methoden empfehlen jedoch, dass Sie die Berechtigungen für AWS CloudFormation das Zielkonto einschränken müssen. Sie können eine benutzerdefinierte Richtlinie angeben, die AWS Control Tower auf die Rolle anwendet, die es für AWS CloudFormation die Verwendung erstellt hat. Wenn Ihr Blueprint beispielsweise einen SSM-Parameter mit der Bezeichnung something-important erstellt, könnten Sie die folgende Richtlinie angeben:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCloudFormationActionsOnStacks",
            "Effect": "Allow",
            "Action": "cloudformation:*",
            "Resource": "arn:aws:cloudformation:*:*:stack/*"
        },
        {
            "Sid": "AllowSsmParameterActions",
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter",
                 "ssm:DeleteParameter",
                 "ssm:GetParameter",
                 "ssm:GetParameters"
            ],
            "Resource": "arn:*:ssm:*:*:parameter/something-important"
        }
    ]
}

Die AllowCloudFormationActionsOnStacks Anweisung ist für alle benutzerdefinierten AFC-Richtlinien erforderlich. Sie AWS CloudFormation verwendet diese Rolle, um Stack-Instances zu erstellen, weshalb für die Ausführung von Aktionen auf Stacks eine Genehmigung erforderlich ist. AWS CloudFormation Der AllowSsmParameterActions Abschnitt bezieht sich speziell auf die Vorlage, die aktiviert wird.

Probleme mit Berechtigungen lösen

Wenn Sie einen Blueprint mit einer eingeschränkten Richtlinie aktivieren, stellen Sie möglicherweise fest, dass nicht genügend Berechtigungen vorhanden sind, um den Blueprint zu aktivieren. Um diese Probleme zu lösen, überarbeiten Sie Ihr Richtliniendokument und aktualisieren Sie die Blueprint-Einstellungen des Mitgliedskontos, sodass die korrigierte Richtlinie verwendet wird. Um zu überprüfen, ob die Richtlinie ausreicht, um den Blueprint zu aktivieren, stellen Sie sicher, dass die AWS CloudFormation Berechtigungen erteilt wurden und dass Sie mithilfe dieser Rolle direkt einen Stack erstellen können.

Zusätzliche Berechtigungen sind für die Erstellung eines Terraform-basierten Service Catalog-Produkts erforderlich

Wenn Sie ein AWS Service Catalog externes Produkt mit einer Terraform-Konfigurationsdatei für AFC erstellen, AWS Service Catalog müssen Ihrer benutzerdefinierten AFC-IAM-Richtlinie bestimmte Berechtigungen hinzugefügt werden, zusätzlich zu den Berechtigungen, die zum Erstellen der in Ihrer Vorlage definierten Ressourcen erforderlich sind. Wenn Sie die standardmäßige vollständige Administratorrichtlinie wählen, müssen Sie diese zusätzlichen Berechtigungen nicht hinzufügen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "resource-groups:CreateGroup",
                "resource-groups:ListGroupResources",
                "resource-groups:DeleteGroup",
                "resource-groups:Tag"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "tag:GetResources",
                "tag:GetTagKeys",
                "tag:GetTagValues",
                "tag:TagResources",
                "tag:UntagResources"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "s3:GetObject",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
                }
            }
        }
    ]
}

Weitere Informationen zum Erstellen von Terraform-Produkten mit dem Produkttyp External in AWS Service Catalog finden Sie unter Schritt 5: Startrollen erstellen im Service Catalog Administrator Guide.