Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit

Dieser Abschnitt richtet sich an Administratoren von AWS Control Tower Tower-Umgebungen, die Account Factory for Terraform (AFT) in ihrer bestehenden Umgebung einrichten möchten. Es beschreibt, wie Sie eine Account Factory for Terraform (AFT) -Umgebung mit einem neuen, dedizierten AFT-Verwaltungskonto einrichten.

Anmerkung

Ein Terraform-Modul stellt AFT bereit. Dieses Modul ist im AFT-Repository am verfügbar GitHub, und das gesamte AFT-Repository wird als Modul betrachtet.

Wir empfehlen, dass Sie auf die AFT-Module verweisen, GitHub anstatt das AFT-Repository zu klonen. Auf diese Weise können Sie Updates für die Module kontrollieren und nutzen, sobald sie verfügbar sind.

Einzelheiten zu den neuesten Versionen der AWS Control Tower Account Factory for Terraform (AFT) -Funktionalität finden Sie in der Release-Datei für dieses GitHub Repository.

Voraussetzungen für die Bereitstellung

Bevor Sie Ihre AFT-Umgebung konfigurieren und starten, müssen Sie über Folgendes verfügen:

• Eine landing zone im AWS Control Tower. Weitere Informationen finden Sie unter Planen Ihrer AWS Control Tower Tower-Landezone.

• Eine Heimatregion für Ihre AWS Control Tower Tower-Landezone. Weitere Informationen finden Sie unter So AWS-Regionen arbeiten Sie mit AWS Control Tower.

• Eine Terraform-Version und -Distribution. Weitere Informationen finden Sie unter Terraform - und AFT-Versionen.

• Ein VCS-Anbieter für die Nachverfolgung und Verwaltung von Änderungen an Code und anderen Dateien. Standardmäßig verwendet AWS CodeCommit AFT. Weitere Informationen finden Sie unter Was ist AWS CodeCommit? im AWS CodeCommit Benutzerhandbuch. Wenn Sie einen anderen VCS-Anbieter wählen möchten, finden Sie weitere Informationen unter Alternativen zur Versionskontrolle von Quellcode in AFT.

• Eine Laufzeitumgebung, in der Sie das Terraform-Modul ausführen können, das AFT installiert.

• AFT-Funktionsoptionen. Weitere Informationen finden Sie unter Funktionsoptionen aktivieren.

Konfigurieren und starten Sie Ihre AWS Control Tower Account Factory für Terraform

Bei den folgenden Schritten wird davon ausgegangen, dass Sie mit dem Terraform-Workflow vertraut sind. Sie können auch mehr über die Bereitstellung von AFT erfahren, indem Sie dem Lab Einführung in AFT auf der AWS Workshop Studio-Website folgen.

Schritt 1: Starten Sie Ihre AWS Control Tower Tower-Landezone

Führen Sie die Schritte unter Erste Schritte mit AWS Control Tower aus. Hier erstellen Sie das AWS Control Tower Tower-Verwaltungskonto und richten Ihre AWS Control Tower Tower-Landezone ein.

Anmerkung

Stellen Sie sicher, dass Sie eine Rolle für das AWS Control Tower Tower-Verwaltungskonto mit AdministratorAccessAnmeldeinformationen erstellen. Weitere Informationen finden Sie hier:

• IAM-Identitäten (Benutzer, Benutzergruppen und Rollen) im AWS Identity and Access Management Benutzerhandbuch

• AdministratorAccessim Referenzhandbuch für AWS verwaltete Richtlinien

Schritt 2: Erstellen Sie eine neue Organisationseinheit für AFT (empfohlen)

Wir empfehlen, dass Sie in Ihrer AWS Organisation eine separate Organisationseinheit erstellen. Hier stellen Sie das AFT-Verwaltungskonto bereit. Erstellen Sie die neue Organisationseinheit mit Ihrem AWS Control Tower Tower-Verwaltungskonto. Weitere Informationen finden Sie unter Neue Organisationseinheit erstellen.

Schritt 3: Stellen Sie das AFT-Verwaltungskonto bereit

AFT erfordert, dass Sie ein AWS Konto einrichten, das für AFT-Verwaltungsvorgänge vorgesehen ist. Das AWS Control Tower Tower-Verwaltungskonto, das Ihrer AWS Control Tower Tower-Landezone zugeordnet ist, verkauft das AFT-Verwaltungskonto. Weitere Informationen finden Sie unter Konten mit AWS Service Catalog Account Factory bereitstellen.

Anmerkung

Wenn Sie eine separate OU für AFT erstellt haben, achten Sie darauf, diese OU auszuwählen, wenn Sie das AFT-Verwaltungskonto erstellen.

Es kann bis zu 30 Minuten dauern, bis das AFT-Verwaltungskonto vollständig bereitgestellt ist.

Schritt 4: Stellen Sie sicher, dass die Terraform-Umgebung für die Bereitstellung verfügbar ist

Dieser Schritt setzt voraus, dass Sie Erfahrung mit Terraform haben und über Verfahren zur Ausführung von Terraform verfügen. Weitere Informationen finden Sie unter Command: init auf der Entwickler-Website. HashiCorp

Anmerkung

AFT unterstützt die Terraform-Version 1.2.0 oder höher.

Schritt 5: Rufen Sie das Account Factory for Terraform-Modul auf, um AFT bereitzustellen

Rufen Sie das AFT-Modul mit der Rolle auf, die Sie für das AWS Control Tower Tower-Verwaltungskonto mit AdministratorAccessAnmeldeinformationen erstellt haben. AWS Control Tower stellt über das AWS Control Tower-Verwaltungskonto ein Terraform-Modul bereit, das die gesamte Infrastruktur einrichtet, die für die Orchestrierung von AWS Control Tower Account Factory Factory-Anfragen erforderlich ist.

Sie können das AFT-Modul im AFT-Repository unter anzeigen. GitHub Das gesamte GitHub Repository wird als AFT-Modul betrachtet. In der README-Datei finden Sie Informationen zu den Eingaben, die für die Ausführung des AFT-Moduls und die Bereitstellung von AFT erforderlich sind. Alternativ können Sie das AFT-Modul in der Terraform-Registrierung einsehen.

Das AFT-Modul enthält einen aft_enable_vpc Parameter, der angibt, ob AWS Control Tower Kontoressourcen innerhalb einer Virtual Private Cloud (VPC) im zentralen AFT-Verwaltungskonto bereitstellt. Standardmäßig ist der Parameter auf true eingestellt. Wenn Sie diesen Parameter auf setzenfalse, stellt AWS Control Tower AFT ohne die Verwendung einer VPC und privater Netzwerkressourcen wie NAT-Gateways oder VPC-Endpoints bereit. Die Deaktivierung aft_enable_vpc kann bei einigen Nutzungsmustern dazu beitragen, die Betriebskosten von AFT zu senken.

Anmerkung

Wenn Sie den aft_enable_vpc Parameter erneut aktivieren (den Wert von false auf änderntrue), müssen Sie den terraform apply Befehl möglicherweise zweimal hintereinander ausführen.

Wenn Sie in Ihrer Umgebung über Pipelines verfügen, die für die Verwaltung von Terraform eingerichtet wurden, können Sie das AFT-Modul in Ihren bestehenden Workflow integrieren. Andernfalls führen Sie das AFT-Modul in einer beliebigen Umgebung aus, die mit den erforderlichen Anmeldeinformationen authentifiziert wurde.

Ein Timeout führt dazu, dass die Bereitstellung fehlschlägt. Wir empfehlen die Verwendung von AWS Security Token Service (STS-) Anmeldeinformationen, um sicherzustellen, dass Sie einen Timeout haben, der für eine vollständige Bereitstellung ausreicht. Das Mindesttimeout für AWS STS Anmeldeinformationen beträgt 60 Minuten. Weitere Informationen finden Sie unter Temporäre Sicherheitsanmeldeinformationen in IAM im AWS Identity and Access Management Benutzerhandbuch.

Anmerkung

Sie können bis zu 30 Minuten warten, bis AFT die Bereitstellung über das Terraform-Modul abgeschlossen hat.

Schritt 6: Verwalten Sie die Terraform-Statusdatei

Bei der Bereitstellung von AFT wird eine Terraform-Statusdatei generiert. Dieses Artefakt beschreibt den Status der Ressourcen, die Terraform erstellt hat. Wenn Sie die AFT-Version aktualisieren möchten, achten Sie darauf, die Terraform-Statusdatei beizubehalten, oder richten Sie ein Terraform-Backend mit Amazon S3 und DynamoDB ein. Das AFT-Modul verwaltet keinen Terraform-Back-End-Status.

Anmerkung

Sie sind für den Schutz der Terraform-Statusdatei verantwortlich. Einige Eingabevariablen können sensible Werte enthalten, z. B. einen privaten ssh Schlüssel oder ein Terraform-Token. Abhängig von Ihrer Bereitstellungsmethode können diese Werte in der Terraform-Statusdatei als Klartext angezeigt werden. Weitere Informationen finden Sie unter Sensible Daten in State auf der HashiCorp Website.