Pipeline de provisionnement de comptes AFT - AWS Control Tower
Configuration des personnalisations de la structure de provisionnement des comptes à l'aide d'une machine d'étatCréez votre compte AFT (provisioning, personnalisations, state machine)Pour redémarrer le framework de provisionnement et les personnalisations du compte AFT

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pipeline de provisionnement de comptes AFT

Une fois la phase de provisionnement des comptes du pipeline terminée, le framework AFT se poursuit. Il exécute automatiquement une série d'étapes pour s'assurer que les détails des comptes nouvellement provisionnés sont en place, avant le début de l'Personnalisations du compteétape.

Voici les prochaines étapes du pipeline AFT.

  1. Valide la saisie de la demande de compte.

  2. Récupère les informations relatives au compte provisionné, par exemple l'identifiant du compte.

  3. Stocke les métadonnées du compte dans une table DynamoDB du compte de gestion AFT.

  4. Crée le rôle AWSAFTExecutionIAM dans le compte nouvellement provisionné. AFT assume ce rôle pour effectuer l'étape de personnalisation des comptes, car ce rôle donne accès au portefeuille de l'usine de comptes.

  5. Applique les balises de compte que vous avez fournies dans le cadre des paramètres de saisie de la demande de compte.

  6. Applique les options de fonctionnalité AFT que vous avez choisies au moment du déploiement de l'AFT.

  7. Applique les personnalisations de provisionnement du compte AFT que vous avez fournies. La section suivante explique comment configurer ces personnalisations avec une machine d'état AWS Step Functions, dans ungit référentiel. Cette étape est parfois appelée étape de la structure de provisionnement des comptes. Cela fait partie du processus de provisionnement de base, mais vous avez déjà mis en place une structure qui fournit des intégrations personnalisées dans le cadre du flux de travail de provisionnement de votre compte, avant que des personnalisations supplémentaires ne soient ajoutées aux comptes lors de l'étape suivante.

  8. Pour chaque compte provisionné, il crée un compte de gestionAWS CodePipeline dans l'AFT, qui sera exécuté pour effectuer l'Personnalisations du compteétape (globale suivante).

  9. Invoque le pipeline de personnalisation des comptes pour chaque compte provisionné (et ciblé).

  10. Envoie une notification de réussite ou d'échec à la rubrique SNS, à partir de laquelle vous pouvez récupérer les messages.

Configuration des personnalisations de la structure de provisionnement des comptes à l'aide d'une machine d'état

Si vous configurez des intégrations personnalisées autres que Terraform avant de provisionner vos comptes, ces personnalisations sont incluses dans le flux de travail de provisionnement de votre compte AFT. Par exemple, vous pouvez avoir besoin de certaines personnalisations pour vous assurer que tous les comptes créés par AFT sont conformes aux normes et politiques de votre organisation, telles que les normes de sécurité, et ces normes peuvent être ajoutées aux comptes avant toute personnalisation supplémentaire. Ces personnalisations de la structure de provisionnement des comptes sont mises en œuvre sur chaque compte provisionné, avant que ne commence la prochaine étape de personnalisation du compte global.

Note

La fonctionnalité AFT décrite dans cette section est destinée aux utilisateurs expérimentés qui comprennent le fonctionnement d'AWS Step Functions. Comme alternative, nous vous recommandons de travailler avec les assistants globaux lors de la phase de personnalisation des comptes.

Le framework de provisionnement des comptes AFT appelle une machine d'état AWS Step Functions, que vous définissez, pour implémenter vos personnalisations. Reportez-vous à la documentation AWS Step Functions pour en savoir plus sur les intégrations possibles avec State Machine.

Voici quelques intégrations courantes.

  • Fonctions AWS Lambda dans la langue de votre choix

  • Tâches AWS ECS ou AWS Fargate, à l'aide de conteneurs Docker

  • Activités AWS Step Functions utilisant des opérateurs personnalisés, hébergés sur AWS ou sur site

  • Intégrations Amazon SNS ou SQS

Si aucune machine d'état AWS Step Functions n'est définie, l'étape passe sans opération. Pour créer une machine d'état des personnalisations de comptes AFT, suivez les instructions données dansCréez votre compte AFT (provisioning, personnalisations, state machine). Avant d'ajouter des personnalisations, assurez-vous que les prérequis sont en place.

Ces types d'intégrations ne font pas partie d'AWS Control Tower et ne peuvent pas être ajoutés pendant la phase pré-API globale de personnalisation du compte AFT. Le pipeline AFT vous permet plutôt de configurer ces personnalisations dans le cadre du processus de provisionnement, et elles sont exécutées dans le flux de travail de provisionnement. Vous devez implémenter ces personnalisations en créant votre machine d'état à l'avance, avant de lancer la phase de provisionnement du compte AFT, comme décrit dans les sections suivantes.

Prérequis pour la création d'une machine d'état

Créez votre compte AFT (provisioning, personnalisations, state machine)

Étape 1 : Modifier la définition de la machine à états

Modifiez l'exemple de définition de machine àcustomizations.asl.json états. L'exemple est disponible dans legit référentiel que vous avez configuré pour stocker les personnalisations de provisionnement des comptes AFT, lors de vos étapes postérieures au déploiement. Reportez-vous au guide du développeur d'AWS Step Functions pour en savoir plus sur les définitions des machines à états.

Étape 2 : inclure la configuration Terraform correspondante

Incluez les fichiers Terraform portant l'.tfextension dans le mêmegit référentiel avec la définition de la machine d'état pour votre intégration personnalisée. Par exemple, si vous choisissez d'appeler une fonction Lambda dans la définition de tâche de votre machine à états, vous devez inclure lelambda.tf fichier dans le même répertoire. Assurez-vous d'inclure les rôles et autorisations IAM requis pour vos configurations personnalisées.

Lorsque vous fournissez les données appropriées, le pipeline AFT appelle automatiquement votre machine d'état et déploie vos personnalisations dans le cadre de l'étape de mise en service du compte AFT.

Pour redémarrer le framework de provisionnement et les personnalisations du compte AFT

AFT gère le cadre de provisionnement des comptes et les étapes de personnalisation pour chaque compte vendu via le pipeline AFT. Pour relancer les personnalisations de l'approvisionnement des comptes, vous pouvez utiliser l'une des deux méthodes suivantes :

  1. Apportez toute modification à un compte existant dans le dépôt des demandes de compte.

  2. Créez un nouveau compte auprès de l'AFT.