Déployer la Account Factory AWS Control Tower pour Terraform (AFT) - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Déployer la Account Factory AWS Control Tower pour Terraform (AFT)

Cette section est destinée aux administrateurs des environnements AWS Control Tower qui souhaitent configurer Account Factory for Terraform (AFT) dans leur environnement existant. Il décrit comment configurer un environnement Account Factory for Terraform (AFT) avec un nouveau compte de gestion AFT dédié.

Note

AFT est déployé avec un module Terraform, disponible dans leRéférentiel AF. Nous vous recommandons de vous référer aux modules AFT Terraform du GitHub source, et ne le clonez pas, afin de pouvoir contrôler et utiliser les mises à jour des modules dès qu'ils sont disponibles.

Pour plus de détails sur les dernières versions de la fonctionnalité AWS Control Tower Account Factory for Terraform (AFT), consultezle fichier Releasespour cela GitHub repository.

Prérequis pour le déploiement

AFT possède des prérequis pour l'installation et l'exécution. Ce guide suppose que vous pouvez créer et interagir avec chacune des ressources suivantes requises pour déployer la solution AFT :

  • Une landing zone AWS Control Tower

  • Une version et une distribution de Terraform. VoirVersions Terraform et AFTpour plus de détails sur les distributions AFT Terraform compatibles.

  • Une région d'accueil pour votre landing zone AWS Control Tower

  • Si vous ne choisissez pasAWS CodeCommit— vous devez configurer les référentiels basés sur git disponibles si vous envisagez d'utiliser un système de contrôle de version (VCS) tiers. VoirAlternatives pour le contrôle de version du code source dans AFTpour savoir comment configurer ces référentiels dans votre environnement.

  • Environnement d'exécution dans lequel exécuter le module Terraform qui installe AFT.

  • L'AFT propose des options que vous pouvez sélectionner dans le cadre de votre déploiement AFT. Pour plus d'informations, consultez Activer les options de fonction.

Note

Le déploiement le plus simple pour AFT est de choisirAWS CodeCommiten tant que VCS et Terraform OSS en tant que distribution. Si vous choisissez une autre distribution VCS ou Terraform, veillez à lire les instructions de personnalisation fournies dans les autres sections de ce guide.

Configurez et lancez votre Account Factory AWS Control Tower pour Terraform

Cinq étapes sont nécessaires pour configurer et lancer votre environnement AFT.

Étape 1 : Lancer votre landing zone AWS Control Tower

Avant de lancer AFT, vous devez disposer d'une landing zone de la AWS Control Tower fonctionnelle dans votreAWS. Vous allez configurer et lancer AFT à partir du compte de gestion AWS Control Tower.

Étape 2 : Créer une nouvelle unité organisationnelle pour l'AFT (recommandé)

Nous vous recommandons de créer séparément une UO dans votreAWSorganisation, où vous déploierez le compte de gestion AFT. Créez une unité d'organisation via votreCompte de gestion AWS Control Tower. Pour de plus amples informations sur la création d'une UO, consultezCréer une organisation.dans leAWS OrganizationsGuide de l'utilisateur.

Étape 3 : Provisionner le compte de gestion AFT

L'AFT nécessite unAWSpour gérer et orchestrer ses propres requêtes. À partir du compte de gestion AWS Control Tower associé à votre landing zone AWS Control Tower, vous allez mettre en service ce compte pour AFT.

Pour provisionner le compte de gestion AFT, voirProvisionner des Account Factory avecAWS Service Catalog. Lorsque vous spécifiez une unité d'organisation, veillez à sélectionner l'unité d'organisation que vous avez créée à l'étape 2. Lorsque vous spécifiez un nom, utilisezAFT-Management.

Note

L'approvisionnement complet du compte peut prendre jusqu'à 30 minutes. Validez que vous avez accès au compte de gestion AFT.

Étape 4 : Assurez-vous que l'environnement Terraform est disponible pour le déploiement

Cette étape suppose que vous avez de l'expérience avec Terraform et que vous avez mis en place des procédures pour exécuter Terraform. AFT prend en charge la version Terraform0.15.xou version ultérieure.

Étape 5 : Appelez le module Account Factory for Terraform pour déployer AFT

Le module Account Factory for Terraform doit être appelé pendant que vous êtes authentifié auprès deAdministratorAccessdans votre compte de gestion AWS Control Tower

AWS Control Tower, via le compte de gestion AWS Control Tower, propose un module Terraform qui établit toute l'infrastructure nécessaire pour orchestrer les demandes d'usine de votre compte AWS Control Tower. Vous pouvez afficher ce module dansle référentiel AFT. Reportez-vous au fichier README du module pour plus d'informations sur l'entrée requise pour exécuter le module et déployer AFT.

Si vous avez établi des pipelines pour gérer Terraform dans votre environnement, vous pouvez intégrer ce module à votre flux de travail existant. Sinon, exécutez le module à partir de n'importe quel environnement authentifié avec les informations d'identification requises.

Note

Le module AFT Terraform ne gère pas un état Terraform backend. Veillez à conserver le fichier d'état Terraform qui est généré, après avoir appliqué le module, ou à configurer un backend Terraform à l'aide d'Amazon S3 et DynamoDB.

Certaines variables d'entrée peuvent contenir des valeurs sensibles, comme une variable privéesshclé ou jeton Terraform. Ces valeurs peuvent être affichées sous forme de texte brut dans le fichier d'état Terraform, en fonction de votre méthode de déploiement. Il est de votre responsabilité de protéger le fichier d'état de Terraform, qui peut contenir des données sensibles. Voir.pour en savoir plus.

Note

Le déploiement de l'AFT via le module Terraform prend plusieurs minutes. Le déploiement initial peut nécessiter jusqu'à 30 minutes. À titre de bonne pratique, utilisezAWS Security Token Service(STS) et assurez-vous que le délai d'expiration des informations d'identification est suffisant pour un déploiement complet, car un dépassement de délai entraîne l'échec du déploiement. Le délai d'expiration minimum pourAWS STSles informations d'identification sont de 60 minutes ou plus. Vous pouvez également tirer parti de n'importe quel utilisateur IAM qui possèdeAdministratorAccessautorisations sur le compte de gestion AWS Control Tower