Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conexiones de cuentas de entorno
Información general
Obtenga información sobre cómo crear y administrar un entorno de AWS Proton en una cuenta y aprovisionar sus recursos de infraestructura en otra cuenta. Esto puede ayudar a mejorar la visibilidad y la eficiencia a gran escala. Las conexiones de cuentas de entorno solo admiten el aprovisionamiento estándar con la infraestructura como código (IaC) de AWS CloudFormation.
La información de este tema es relevante para los entornos que estén configurados con aprovisionamiento administrado por AWS. En el caso de los entornos configurados con aprovisionamiento autoadministrado, AWS Proton no aprovisiona directamente la infraestructura. En su lugar, envía solicitudes de extracción (PR) al repositorio del usuario para llevar a cabo el aprovisionamiento. Es responsabilidad del usuario asegurarse de que su código de automatización asuma la identidad y el rol correctos.
Para obtener más información acerca de los métodos de aprovisionamiento, consulte Cómo AWS Proton aprovisiona la infraestructura.
Terminología
Con las conexiones de cuentas de entorno de AWS Proton, se puede crear un entorno de AWS Proton a partir de una cuenta y aprovisionar su infraestructura en otra cuenta.
- Cuenta de administración
-
La única cuenta en la que el usuario, como administrador, crea un entorno de AWS Proton que aprovisiona recursos de infraestructura en otra cuenta de entorno.
- Cuenta de entorno
-
Una cuenta en la que se aprovisiona la infraestructura del entorno cuando se crea un entorno de AWS Proton en otra cuenta.
- Conexión de cuenta de entorno
-
Una conexión bidireccional segura entre una cuenta de administración y una cuenta de entorno. Mantiene la autorización y los permisos como se describe más adelante en las siguientes secciones.
Al crear una conexión de cuenta de entorno en una cuenta de entorno de una región específica, solo las cuentas de administración de la misma región pueden ver y utilizar la conexión de cuenta de entorno. Esto significa que el entorno de AWS Proton creado en la cuenta de administración y la infraestructura de entorno aprovisionada en la cuenta de entorno deben estar en la misma región.
Consideraciones sobre la conexión de cuenta de entorno
-
El usuario necesita una conexión de cuenta de entorno para cada entorno que desee aprovisionar en una cuenta de entorno.
-
Para obtener información sobre las cuotas de conexión de cuentas de entorno, consulte Cuotas de AWS Proton.
Etiquetado
En la cuenta de entorno, utilice la consola o la AWS CLI para ver y administrar las etiquetas de conexión de cuenta de entorno administradas por el cliente. Las etiquetas administradas por AWS no se generan para las conexiones de cuentas de entorno. Para obtener más información, consulte Recursos y etiquetado de AWS Proton.
Creación de un entorno en una cuenta y aprovisionamiento de su infraestructura en otra cuenta
Para crear y aprovisionar un entorno desde una sola cuenta de administración, configure una cuenta de entorno para el entorno que vaya a crear.
Comience en la cuenta de entorno y cree la conexión.
En la cuenta de entorno, cree un rol de servicio de AWS Proton que se limite únicamente a los permisos necesarios para aprovisionar los recursos de infraestructura del entorno. Para obtener más información, consulte AWS Proton rol de servicio para el aprovisionamiento mediante AWS CloudFormation.
A continuación, cree y envíe una solicitud de conexión de una cuenta de entorno a su cuenta de administración. Cuando se acepta la solicitud, AWS Proton puede utilizar el rol de IAM asociado que permite el aprovisionamiento de recursos del entorno en la cuenta de entorno asociada.
En la cuenta de administración, acepte o rechace la conexión de la cuenta de entorno.
En la cuenta de administración, acepte o rechace la solicitud de conexión de cuenta de entorno. No se puede eliminar la conexión de una cuenta de entorno de la cuenta de administración.
Si acepta la solicitud, AWS Proton puede utilizar el rol de IAM asociado que permite el aprovisionamiento de recursos en la cuenta de entorno asociada.
Los recursos de la infraestructura del entorno se aprovisionan en la cuenta de entorno asociada. Solo se pueden utilizar las API de AWS Proton para acceder y administrar tanto el entorno como sus recursos de infraestructura desde la cuenta de administración. Para obtener más información, consulte Creación de un entorno en una cuenta y aprovisionamiento en otra cuenta y Actualización de un entorno.
Tras rechazar una solicitud, no se podrá aceptar ni utilizar la conexión de cuenta de entorno rechazada.
No se puede rechazar una conexión de cuenta de entorno que esté conectada a un entorno. Para rechazar la conexión de cuenta de entorno, primero hay que eliminar el entorno asociado.
En la cuenta de entorno, acceda a los recursos de infraestructura aprovisionados.
En la cuenta de entorno, puede ver los recursos de infraestructura aprovisionados y acceder a ellos. Por ejemplo, puede utilizar las acciones de la API de CloudFormation para monitorizar y limpiar las pilas si es necesario. No puede utilizar las acciones de la API de AWS Proton para acceder o administrar el entorno de AWS Proton que se utilizó para aprovisionar los recursos de infraestructura.
En la cuenta de entorno, puede eliminar las conexiones de cuenta de entorno que haya creado en la cuenta de entorno. No puede aceptarlas ni rechazarlas. Si elimina una conexión de cuenta de entorno que esté utilizando un entorno de AWS Proton, AWS Proton no podrá administrar los recursos de infraestructura del entorno hasta que se acepte una nueva conexión de entorno para la cuenta de entorno y el entorno designado. El usuario es responsable de limpiar los recursos aprovisionados que permanezcan sin ninguna conexión al entorno.
Uso de la consola o de la CLI para administrar las conexiones de cuentas de entorno
Puede utilizar la CLI para crear una conexión de cuenta de entorno
- AWS Management Console
-
Utilice la consola para crear una conexión de cuenta de entorno y enviar una solicitud a la cuenta de administración, tal y como se muestra en los pasos siguientes.
-
Elija un nombre para el entorno que planea crear en su cuenta de administración o elija el nombre de un entorno existente que requiera una conexión a una cuenta de entorno.
-
En una cuenta de entorno, en la consola de AWS Proton, seleccione Conexiones de cuentas de entorno en el panel de navegación.
-
En la página Conexiones de cuentas de entorno, seleccione Solicitud de conexión.
Verifique que el ID de cuenta aparezca en el encabezado de la página Conexión de cuenta de entorno. Asegúrese de que coincida con el ID de cuenta de la cuenta de entorno en la que desee aprovisionar el entorno designado.
-
En la página Solicitud de conexión:
-
En la sección Conectarse a una cuenta de administración, introduzca el ID de la cuenta de administración y el Nombre del entorno que introdujo en el paso 1.
-
En la sección Rol de entorno, elija Nuevo rol de servicio y AWS Proton creará automáticamente un nuevo rol. O bien, seleccione el Rol de servicio existente y el nombre del rol de servicio que creó anteriormente.
-
(Opcional) En la sección Etiquetas, elija Añadir nueva etiqueta para crear una etiqueta administrada por el cliente para la conexión de la cuenta de entorno.
-
Seleccione Solicitud de conexión.
-
La solicitud aparecerá como pendiente en la tabla de conexiones del entorno enviadas a una cuenta de administración y un modal indicará al usuario cómo aceptar la solicitud de la cuenta de administración.
Acepte o rechace la solicitud de conexión de cuenta de entorno.
-
En una cuenta de administración, en la consola de AWS Proton, seleccione Conexiones de cuentas de entorno en el panel de navegación.
-
En la página Conexiones de cuentas de entorno, en la tabla Solicitudes de conexión de cuentas de entorno, seleccione la solicitud de conexión de entorno que desee aceptar o rechazar.
Verifique que el ID de cuenta aparezca en el encabezado de la página Conexión de cuenta de entorno. Asegúrese de que coincida con el ID de cuenta de la cuenta de administración asociada a la conexión de la cuenta de entorno que se va a rechazar. Tras rechazar esta conexión de cuenta de entorno, no podrá aceptar ni utilizar la conexión de cuenta de entorno rechazada.
-
Elija Rechazar o Aceptar.
-
Si ha seleccionado Rechazar, el estado cambiará de pendiente a rechazado.
-
Si ha seleccionado Aceptar, el estado cambiará de pendiente a conectado.
Elimine una conexión de cuenta de entorno.
-
En una cuenta de entorno, en la consola de AWS Proton, seleccione Conexiones de cuentas de entorno en el panel de navegación.
Verifique que el ID de cuenta aparezca en el encabezado de la página Conexión de cuenta de entorno. Asegúrese de que coincida con el ID de cuenta de la cuenta de administración asociada a la conexión de la cuenta de entorno que se va a rechazar. Después de eliminar la conexión de esta cuenta de entorno, AWS Proton no podrá administrar los recursos de infraestructura del entorno en la cuenta de entorno. Solo se podrá administrar después de que la cuenta de administración acepte una nueva conexión de cuenta de entorno para la cuenta de entorno y el entorno designado.
-
En la página Conexiones de cuentas de entorno, en la sección Solicitudes enviadas para conectarse a la cuenta de administración, seleccione Eliminar.
-
Un modal le pedirá que confirme que desea continuar con la eliminación. Elija Eliminar.
- AWS CLI
-
Elija un nombre para el entorno que planea crear en su cuenta de administración o elija el nombre de un entorno existente que requiera una conexión a una cuenta de entorno.
Cree una conexión de cuenta de entorno en una cuenta de entorno.
Ejecute el siguiente comando:
$ aws proton create-environment-account-connection \
--environment-name "simple-env-connected" \
--role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \
--management-account-id "111111111111"
Respuesta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "PENDING"
}
}
Acepte o rechace la conexión de una cuenta de entorno en una cuenta de administración, tal y como se muestra en el siguiente comando y respuesta.
Si rechaza esta conexión de cuenta de entorno, no podrá aceptar ni utilizar la conexión de cuenta de entorno rechazada.
Si especifica Rechazar, el estado cambiará de pendiente a rechazado.
Si especifica Aceptar, el estado cambiará de pendiente a conectado.
Ejecute el siguiente comando para aceptar la conexión de cuenta de entorno:
$ aws proton accept-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Respuesta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
Ejecute el siguiente comando para rechazar la conexión de cuenta de entorno:
$ aws proton reject-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Respuesta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"status": "REJECTED",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-reject",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role"
}
}
Vea las conexiones de una cuenta de entorno. Puede obtener o enumerar las conexiones de cuentas de entorno.
Ejecute el siguiente comando “get”:
$ aws proton get-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Respuesta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
Elimine una conexión de cuenta de entorno en una cuenta de entorno.
Si elimina esta conexión de cuenta de entorno, AWS Proton no podrá administrar los recursos de infraestructura del entorno en la cuenta de entorno hasta que se haya aceptado una nueva conexión de entorno para la cuenta de entorno y el entorno designado. El usuario es responsable de limpiar los recursos aprovisionados que permanezcan sin ninguna conexión al entorno.
Ejecute el siguiente comando:
$ aws proton delete-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Respuesta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
