Déployez AWS Control Tower Account Factory pour Terraform (AFT)

Cette section s'adresse aux administrateurs des environnements AWS Control Tower qui souhaitent configurer Account Factory for Terraform (AFT) dans leur environnement existant. Il décrit comment configurer un environnement Account Factory for Terraform (AFT) avec un nouveau compte de gestion AFT dédié.

Note

Un module Terraform déploie AFT. Ce module est disponible dans le référentiel AFT le GitHub, et l'ensemble du référentiel AFT est considéré comme le module.

Nous vous recommandons de vous référer aux modules AFT GitHub plutôt que de cloner le référentiel AFT. De cette façon, vous pouvez contrôler et utiliser les mises à jour des modules dès qu'elles sont disponibles.

Pour en savoir plus sur les dernières versions de la fonctionnalité AWS Control Tower Account Factory for Terraform (AFT), consultez le fichier Releases de ce GitHub référentiel.

Conditions préalables au déploiement

Avant de configurer et de lancer votre environnement AFT, vous devez disposer des éléments suivants :

• Une zone d'atterrissage pour AWS Control Tower. Pour plus d'informations, consultez Planifier la zone d'atterrissage de votre AWS Control Tower.

• Une région d'origine pour votre zone de landing AWS Control Tower. Pour plus d'informations, consultez Comment Régions AWS travailler avec AWS Control Tower.

• Une version et une distribution de Terraform. Pour plus d'informations, consultez les versions Terraform et AFT.

• Un fournisseur VCS pour le suivi et la gestion des modifications apportées au code et à d'autres fichiers. Par défaut, AFT utilise AWS CodeCommit. Pour plus d'informations, voir Qu'est-ce que c'est AWS CodeCommit ? dans le guide de AWS CodeCommit l'utilisateur. Si vous souhaitez choisir un autre fournisseur VCS, consultez la section Alternatives pour le contrôle de version du code source dans AFT.

• Un environnement d'exécution dans lequel vous pouvez exécuter le module Terraform qui installe AFT.

• Options de fonctionnalités AFT. Pour plus d'informations, voir Activer les options des fonctionnalités.

Configurez et lancez votre AWS Control Tower Account Factory pour Terraform

Les étapes suivantes supposent que vous connaissez le flux de travail Terraform. Vous pouvez également en savoir plus sur le déploiement de l'AFT en suivant le laboratoire d'introduction à l'AFT sur le site Web de AWS Workshop Studio.

Étape 1 : Lancez votre zone de landing zone AWS Control Tower

Suivez les étapes décrites dans Getting Started with AWS Control Tower. C'est ici que vous créez le compte de gestion AWS Control Tower et que vous configurez votre zone de landing zone AWS Control Tower.

Note

Assurez-vous de créer un rôle pour le compte de gestion AWS Control Tower doté d'AdministratorAccessinformations d'identification. Pour plus d’informations, consultez les ressources suivantes :

• Identités IAM (utilisateurs, groupes d'utilisateurs et rôles) dans le guide de l'AWS Identity and Access Management utilisateur

• AdministratorAccessdans le Guide de référence des politiques AWS gérées

Étape 2 : Création d'une nouvelle unité organisationnelle pour l'AFT (recommandé)

Nous vous recommandons de créer une unité d'organisation distincte dans votre AWS organisation. C'est ici que vous déployez le compte de gestion AFT. Créez la nouvelle unité d'organisation avec votre compte de gestion AWS Control Tower. Pour plus d'informations, voir Créer une nouvelle unité d'organisation.

Étape 3 : provisionner le compte de gestion AFT

L'AFT exige que vous créiez un AWS compte dédié aux opérations de gestion de l'AFT. Le compte de gestion AWS Control Tower, associé à votre zone d'atterrissage AWS Control Tower, vend le compte de gestion AFT. Pour plus d'informations, consultez Provisionner des comptes avec AWS Service Catalog Account Factory.

Note

Si vous avez créé une unité d'organisation distincte pour AFT, assurez-vous de sélectionner cette unité d'organisation lorsque vous créez le compte de gestion AFT.

Le provisionnement complet du compte de gestion AFT peut prendre jusqu'à 30 minutes.

Étape 4 : Vérifiez que l'environnement Terraform est disponible pour le déploiement

Cette étape suppose que vous avez de l'expérience avec Terraform et que vous avez mis en place des procédures pour exécuter Terraform. Pour plus d'informations, consultez Command : init sur le site Web du HashiCorp développeur.

Note

AFT prend en charge la version Terraform 1.2.0 ou ultérieure.

Étape 5 : Appelez le module Account Factory for Terraform pour déployer AFT

Appelez le module AFT avec le rôle que vous avez créé pour le compte de gestion AWS Control Tower doté d'AdministratorAccessinformations d'identification. AWS Control Tower fournit un module Terraform via le compte de gestion AWS Control Tower, qui établit toute l'infrastructure requise pour orchestrer les demandes AWS Control Tower Account Factory.

Vous pouvez consulter le module AFT dans le référentiel AFT sur GitHub. L'ensemble du GitHub référentiel est considéré comme le module AFT. Reportez-vous au fichier README pour obtenir des informations sur les entrées requises pour exécuter le module AFT et déployer AFT. Vous pouvez également consulter le module AFT dans le registre Terraform.

Le module AFT inclut un aft_enable_vpc paramètre qui indique si AWS Control Tower fournit les ressources du compte au sein d'un cloud privé virtuel (VPC) dans le compte de gestion AFT central. Par défaut, le paramètre est défini surtrue. Si vous définissez ce paramètre surfalse, AWS Control Tower déploie AFT sans utiliser de VPC ni de ressources réseau privées, telles que des passerelles NAT ou des points de terminaison VPC. La désactivation aft_enable_vpc peut contribuer à réduire les coûts d'exploitation de l'AFT pour certains modèles d'utilisation.

Note

La réactivation du aft_enable_vpc paramètre (passage de la valeur de false àtrue) peut nécessiter que vous exécutiez la terraform apply commande deux fois de suite.

Si votre environnement possède des pipelines établis pour gérer Terraform, vous pouvez intégrer le module AFT dans votre flux de travail existant. Sinon, exécutez le module AFT depuis n'importe quel environnement authentifié avec les informations d'identification requises.

Le délai d'expiration entraîne l'échec du déploiement. Nous vous recommandons d'utiliser les informations d'identification AWS Security Token Service (STS) pour vous assurer que vous disposez d'un délai d'attente suffisant pour un déploiement complet. Le délai minimum pour les AWS STS informations d'identification est de 60 minutes. Pour plus d'informations, consultez la section Informations d'identification de sécurité temporaires dans IAM dans le Guide de l'AWS Identity and Access Management utilisateur.

Note

Vous pouvez attendre jusqu'à 30 minutes pour qu'AFT termine son déploiement via le module Terraform.

Étape 6 : Gérer le fichier d'état Terraform

Un fichier d'état Terraform est généré lorsque vous déployez AFT. Cet artefact décrit l'état des ressources créées par Terraform. Si vous prévoyez de mettre à jour la version AFT, assurez-vous de conserver le fichier d'état Terraform ou de configurer un backend Terraform à l'aide d'Amazon S3 et DynamoDB. Le module AFT ne gère pas l'état Terraform d'un backend.

Note

Vous êtes responsable de la protection du fichier d'état Terraform. Certaines variables d'entrée peuvent contenir des valeurs sensibles, telles qu'une ssh clé privée ou un jeton Terraform. Selon votre méthode de déploiement, ces valeurs peuvent être visualisées sous forme de texte brut dans le fichier d'état Terraform. Pour plus d'informations, consultez la section Données sensibles en état sur le HashiCorp site Web.