Présentation Prérequis de personnalisation Appliquer des personnalisations globales Appliquer les personnalisations de compte Réinvoquer les personnalisations Résolution des problèmes liés au suivi des demandes de personnalisation du AFT compte

Personnaliser le compte

AFTpeut déployer des configurations standard ou personnalisées dans des comptes provisionnés. Dans le compte AFT de gestion, AFT fournit un pipeline pour chaque compte. Avec ce pipeline, vous pouvez implémenter vos personnalisations dans tous les comptes, dans un ensemble de comptes ou dans des comptes individuels. Vous pouvez exécuter des scripts Python, des scripts bash et des configurations Terraform, ou vous pouvez interagir avec eux dans le AWS CLI cadre de l'étape de personnalisation de votre compte.

Présentation

Une fois que vos personnalisations ont été spécifiées dans les git référentiels que vous avez choisis, soit celui dans lequel vous stockez vos personnalisations globales, soit celui dans lequel vous stockez les personnalisations de votre compte, l'étape de personnalisation du compte est terminée automatiquement par le pipeline. AFT Pour personnaliser les comptes rétroactivement, voirRéinvoquer les personnalisations.

Personnalisations globales (facultatif)

Vous pouvez choisir d'appliquer certaines personnalisations à tous les comptes approvisionnés par. AFT Par exemple, si vous devez créer un IAM rôle particulier ou déployer un contrôle personnalisé dans chaque compte, l'étape de personnalisation globale du AFT pipeline vous permet de le faire automatiquement.

Personnalisations du compte (facultatif)

Pour personnaliser un compte individuel ou un ensemble de comptes différemment des autres comptes AFT provisionnés, vous pouvez tirer parti de la partie du AFT pipeline consacrée aux personnalisations de comptes pour implémenter des configurations spécifiques au compte. Par exemple, seul un certain compte peut nécessiter l'accès à une passerelle Internet.

Prérequis de personnalisation

Avant de commencer à personnaliser les comptes, assurez-vous que ces conditions préalables sont réunies.

Un entièrement déployéAFT. Pour plus d'informations sur le déploiement, consultezConfigurez et lancez votre AWS Control Tower Account Factory pour Terraform.
gitRéférentiels préremplis pour les personnalisations globales et les personnalisations de compte dans votre environnement. Voir Étape 3 : Remplir chaque référentiel Étapes postérieures au déploiement pour plus d'informations.

Appliquer des personnalisations globales

Pour appliquer des personnalisations globales, vous devez transférer une structure de dossiers spécifique vers le référentiel de votre choix.

Si vos configurations personnalisées prennent la forme de programmes ou de scripts Python, placez-les dans le dossier api_helpers/python de votre dépôt.
Si vos configurations personnalisées prennent la forme de scripts Bash, placez-les dans le dossier api_helpers de votre dépôt.
Si vos configurations personnalisées sont sous la forme de Terraform, placez-les dans le dossier terraform de votre référentiel.
Reportez-vous au README fichier de personnalisations global pour plus de détails sur la création de configurations personnalisées.

Note

Les personnalisations globales sont appliquées automatiquement, après l'étape du framework de provisionnement des AFT comptes dans le AFT pipeline.

Appliquer les personnalisations de compte

Vous pouvez appliquer des personnalisations de compte en transférant une structure de dossiers spécifique vers le référentiel de votre choix. Les personnalisations de compte sont appliquées automatiquement dans le AFT pipeline et après la phase de personnalisation globale. Vous pouvez également créer plusieurs dossiers contenant différentes personnalisations de compte dans votre référentiel de personnalisations de compte. Pour chaque personnalisation de compte dont vous avez besoin, procédez comme suit.

Pour appliquer les personnalisations de compte

Étape 1 : Création d'un dossier pour la personnalisation d'un compte

Dans le dépôt de votre choix, copiez le ACCOUNT_TEMPLATE dossier qui le AFT fournit dans un nouveau dossier. Le nom de votre nouveau dossier doit correspondre à celui account_customizations_name que vous avez indiqué dans votre demande de compte.
Ajoutez les configurations à votre dossier de personnalisation de compte spécifique

Vous pouvez ajouter des configurations au dossier de personnalisation de votre compte en fonction du format de vos configurations.
- Si vos configurations personnalisées prennent la forme de programmes ou de scripts Python, placez-les dans le dossier [account_customizations_name]/api_helpers/python qui se trouve dans votre dépôt.
- Si vos configurations personnalisées prennent la forme de scripts Bash, placez-les dans le dossier [account_customizations_name]/api_helpers qui se trouve dans votre dépôt.
- Si vos configurations personnalisées sont sous la forme de Terraform, placez-les dans le dossier [account_customizations_name]/terraform qui se trouve dans votre référentiel.
Pour plus d'informations sur la création de configurations personnalisées, consultez le README fichier de personnalisation du compte.
Reportez-vous au account_customizations_name paramètre spécifique dans le fichier de demande de compte

Le fichier de demande de AFT compte inclut le paramètre d'entréeaccount_customizations_name. Entrez le nom de la personnalisation de votre compte comme valeur de ce paramètre.

Note

Vous pouvez soumettre plusieurs demandes de compte pour les comptes de votre environnement. Lorsque vous souhaitez appliquer des personnalisations de compte différentes ou similaires, spécifiez-les à l'aide du paramètre account_customizations_name d'entrée dans les demandes de compte. Pour plus d'informations, voir Soumettre des demandes de comptes multiples.

Réinvoquer les personnalisations

AFTfournit un moyen de réinvoquer les personnalisations dans le AFT pipeline. Cette méthode est utile lorsque vous avez ajouté une nouvelle étape de personnalisation ou lorsque vous modifiez une personnalisation existante. Lorsque vous le réappelez, AFT lance le pipeline de personnalisations pour apporter des modifications au compte provisionnéAFT. Une event-source-based réinvocation vous permet d'appliquer des personnalisations à des comptes individuels, à tous les comptes, à des comptes en fonction de leur unité d'organisation ou à des comptes sélectionnés en fonction de balises.

Suivez ces trois étapes pour réinvoquer les personnalisations pour les comptes provisionnésAFT.

Étape 1 : transférer les modifications vers les référentiels globaux ou de personnalisation des git comptes

Vous pouvez mettre à jour vos personnalisations globales et de compte selon vos besoins et renvoyer les modifications à vos git référentiels. À ce stade, rien ne se passe. Le pipeline de personnalisations doit être invoqué par une source d'événements, comme expliqué dans les deux étapes suivantes.

Étape 2 : démarrer une fonction AWS Step pour réinvoquer les personnalisations

AFTfournit une fonction AWS Step appelée aft-invoke-customizations dans le compte AFT de gestion. Le but de cette fonction est de réinvoquer le pipeline de personnalisation pour les comptes AFT -provisionnés.

Voici un exemple de schéma d'événement (JSONformat) que vous pouvez créer pour transmettre des données à la fonction aft-invoke-customizations AWS Step.



{
  "include": [
    {
      "type": "all"
    },
    {
      "type": "ous",
      "target_value": [ "ou1","ou2"]
    },
    {
      "type": "tags",
      "target_value": [ {"key1": "value1"}, {"key2": "value2"}]
    },
    {
      "type": "accounts",
      "target_value": [ "acc1_ID","acc2_ID"]
    }
  ],

  "exclude": [
    {
      "type": "ous",
      "target_value": [ "ou1","ou2"]
    },
    {
      "type": "tags",
      "target_value": [ {"key1": "value1"}, {"key2": "value2"}]
    },
    {
      "type": "accounts",
      "target_value": [ "acc1_ID","acc2_ID"]
    }
  ]
}

L'exemple de schéma d'événement montre que vous pouvez choisir les comptes à inclure ou à exclure du processus de réappel. Vous pouvez filtrer par unité organisationnelle (UO), tags de compte et ID de compte. Si vous n'appliquez aucun filtre et que vous incluez la déclaration"type":"all", la personnalisation pour tous les comptes AFT provisionnés est de nouveau invoquée.

Note

Si votre version de AWS Control Tower Account Factory for Terraform (AFT) est la 1.6.5 ou une version ultérieure, vous pouvez cibler (imbriqué à l'OUsaide de la syntaxe). OU Name (ou-id-1234 Pour plus d'informations, consultez la rubrique suivante sur GitHub.

Une fois que vous avez renseigné les paramètres de l'événement, Step Functions s'exécute et invoque les personnalisations correspondantes. AFTpeut invoquer un maximum de 5 personnalisations à la fois. Step Functions attend et tourne en boucle jusqu'à ce que tous les comptes correspondant aux critères de l'événement soient complets.

Étape 3 : Surveillez la sortie de la fonction AWS Step et regardez AWS CodePipeline en cours

La sortie Step Function qui en résulte contient un compte IDs qui correspond à la source d'événement d'entrée Step Function.
Accédez à la AWS CodePipeline section Outils de développement et consultez les pipelines de personnalisation correspondants pour l'ID de compte.

Résolution des problèmes liés au suivi des demandes de personnalisation du AFT compte

Workflows de personnalisation des comptes basés sur des journaux AWS Lambda d'émission contenant le compte cible et la demande de personnalisationIDs. AFTvous permet de suivre et de résoudre les demandes de personnalisation avec Amazon CloudWatch Logs en vous fournissant des requêtes CloudWatch Logs Insights que vous pouvez utiliser pour filtrer les CloudWatch journaux liés à votre demande de personnalisation en fonction de votre compte cible ou de votre ID de demande de personnalisation. Pour plus d'informations, consultez la section Analyse des données de journal avec Amazon CloudWatch Logs dans le guide de l'utilisateur Amazon CloudWatch Logs.

Pour utiliser CloudWatch Logs Insights pour AFT

Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.
Dans le volet de navigation, choisissez Logs, puis Logs insights.
Choisissez Requêtes.
Sous Exemples de requêtes, choisissez Account Factory for Terraform, puis sélectionnez l'une des requêtes suivantes :
- Journaux de personnalisation par identifiant de compte
  
  Note
  Assurez-vous de le remplacer "YOUR-ACCOUNT-ID" par votre identifiant de compte cible.
```
fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.account_id == "YOUR-ACCOUNT-ID" and @message like /customization_request_id/
```
- Journaux de personnalisation par ID de demande de personnalisation
  
  Note
  Assurez-vous de le remplacer "YOUR-CUSTOMIZATION-REQUEST-ID" par votre identifiant de demande de personnalisation. Vous pouvez trouver l'ID de votre demande de personnalisation dans la sortie de la machine d' AWS Step Functions état du framework de provisionnement des AFT comptes. Pour plus d'informations sur le cadre de provisionnement des AFT comptes, consultez la section Pipeline de provisionnement des AFT comptes
```
fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.customization_request_id == "YOUR-CUSTOMIZATION-REQUEST-ID"
```
Après avoir sélectionné une requête, assurez-vous de sélectionner un intervalle de temps, puis choisissez Exécuter la requête.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AFTpipeline de provisionnement de comptes

Alternative VCS