Validez le code Account Factory pour Terraform (AFT) localement

Créé par Alexandru Pop (AWS) et Michal Gorniak () AWS

Environnement : Production	Technologies : infrastructure DevOps ; modernisation ; DevelopmentAndTesting	Charge de travail : Open source
AWSservices : AWS Control Tower

Récapitulatif

Ce modèle montre comment tester localement le code HashiCorp Terraform géré par AWS Control Tower Account Factory pour Terraform (). AFT Terraform est un outil open source d'infrastructure sous forme de code (IaC) qui vous aide à utiliser le code pour provisionner et gérer l'infrastructure et les ressources cloud. AFTmet en place un pipeline Terraform qui vous aide à approvisionner et à personnaliser plusieurs AWS comptes dans AWS Control Tower.

Lors du développement du code, il peut être utile de tester votre infrastructure Terraform en tant que code (IaC) localement, en dehors du AFT pipeline. Ce modèle montre comment effectuer les opérations suivantes :

• Récupérez une copie locale du code Terraform stocké dans les AWS CodeCommit référentiels de votre AFT compte de gestion.

• Simulez le AFT pipeline localement en utilisant le code récupéré.

Cette procédure peut également être utilisée pour exécuter des commandes Terraform qui ne font pas partie du pipeline normalAFT. Par exemple, vous pouvez utiliser cette méthode pour exécuter des commandes telles que terraform validateterraform plan,terraform destroy, etterraform import.

Conditions préalables et limitations

Prérequis

• Un environnement AWS multi-comptes actif qui utilise AWSControl Tower

• Un AFTenvironnement entièrement déployé

• AWSInterface de ligne de commande (AWSCLI), installée et configurée

• AWSCLIassistant d'identification pour Code Commit, installé et configuré

• Python 3.x

• Git, installé et configuré sur votre machine locale

• git-remote-commit utilitaire, installé et configuré

• Terraform, installé et configuré (la version du package Terraform local doit correspondre à la version utilisée lors du déploiement) AFT

Limites

• Ce modèle ne couvre pas les étapes de déploiement requises pour AWS Control TowerAFT, ni pour aucun module Terraform spécifique.

• La sortie générée localement au cours de cette procédure n'est pas enregistrée dans les journaux d'exécution du AFT pipeline.

Architecture

Pile technologique cible

• AFTinfrastructure déployée dans le cadre d'un déploiement AWS de Control Tower

• Terraform

• Git

• AWSCLIversion 2

Automatisation et évolutivité

Ce modèle montre comment invoquer localement le code Terraform pour la personnalisation AFT globale des comptes dans un seul AFT compte géré. AWS Une fois votre code Terraform validé, vous pouvez l'appliquer aux comptes restants de votre environnement multi-comptes. Pour plus d'informations, consultez la section Personnalisations Re-invoke dans la documentation de AWS Control Tower.

Vous pouvez également utiliser un processus similaire pour exécuter des personnalisations de AFT compte dans un terminal local. Pour invoquer localement le code Terraform à partir des personnalisations de AFT compte, clonez le aft-account-customizations référentiel plutôt que le aft-global-account-customizationsréférentiel depuis votre AFT compte de CodeCommit gestion.

Outils

AWSservices

• AWSControl Tower vous aide à configurer et à gérer un environnement AWS multi-comptes, conformément aux meilleures pratiques prescriptives.

• AWSL'interface de ligne de commande (AWSCLI) est un outil open source qui vous permet d'interagir avec les AWS services par le biais de commandes dans votre interface de ligne de commande.

Autres services

• HashiCorp Terraform est un outil open source d'infrastructure sous forme de code (IaC) qui vous aide à utiliser le code pour provisionner et gérer l'infrastructure et les ressources cloud.

• Git est un système de contrôle de version distribué et open source.

Code

Voici un exemple de script bash qui peut être utilisé pour exécuter localement du code Terraform géré par. AFT Pour utiliser le script, suivez les instructions de la section Epics de ce modèle.

#! /bin/bash
# Version: 1.1 2022-06-24 Unsetting AWS_PROFILE since, when set, it interferes with script operation
#          1.0 2022-02-02 Initial Version
#
# Purpose: For use with AFT: This script runs the local copy of TF code as if it were running within AFT pipeline.
#        * Facilitates testing of what the AFT pipline will do 
#           * Provides the ability to run terraform with custom arguments (like 'plan' or 'move') which are currently not supported within the pipeline.
#
# © 2021 Amazon Web Services, Inc. or its affiliates. All Rights Reserved.
# This AWS Content is provided subject to the terms of the AWS Customer Agreement
# available at http://aws.amazon.com/agreement or other written agreement between
# Customer and either Amazon Web Services, Inc. or Amazon Web Services EMEA SARL or both.
#
# Note: Arguments to this script are passed directly to 'terraform' without parsing nor validation by this script.
#
# Prerequisites:
#    1. local copy of ct GIT repositories
#    2. local backend.tf and aft-providers.tf filled with data for the target account on which terraform is to be run
#       Hint: The contents of above files can be obtain from the logs of a previous execution of the AFT pipeline for the target account.
#    3. 'terraform' binary is available in local PATH
#    4. Recommended: .gitignore file containing 'backend.tf', 'aft_providers.tf' so the local copy of these files are not pushed back to git

readonly credentials=$(aws sts assume-role \
    --role-arn arn:aws:iam::$(aws sts get-caller-identity --query "Account" --output text ):role/AWSAFTAdmin \
    --role-session-name AWSAFT-Session \
    --query Credentials )

unset AWS_PROFILE
export AWS_ACCESS_KEY_ID=$(echo $credentials | jq -r '.AccessKeyId')
export AWS_SECRET_ACCESS_KEY=$(echo $credentials | jq -r '.SecretAccessKey')
export AWS_SESSION_TOKEN=$(echo $credentials | jq -r '.SessionToken')
terraform "$@"

Épopées

Enregistrez l'exemple de code dans un fichier local

Tâche	Description	Compétences requises
Enregistrez l'exemple de code dans un fichier local.	Copiez l'exemple de script bash qui se trouve dans la section Code de ce modèle et collez-le dans un éditeur de code. Nommez le fichier ct_terraform.sh. Enregistrez ensuite le fichier localement dans un dossier dédié, tel que ~/scripts ou~/bin.	AWSadministrateur
Rendez l'exemple de code exécutable.	Ouvrez une fenêtre de terminal et authentifiez-vous dans votre compte AWS AFT de gestion en effectuant l'une des opérations suivantes : Utilisez un AWSCLIprofil existant configuré avec les autorisations requises pour accéder au compte AFT de gestion. Pour utiliser le profil, vous pouvez exécuter la commande suivante : export AWS_PROFILE=<aft account profile name> Si votre organisation a l'habitude SSO d'y accéderAWS, entrez les informations d'identification de votre compte AFT de gestion sur la SSO page de votre organisation. Remarque : Votre organisation dispose peut-être également d'un outil personnalisé pour fournir des informations d'authentification à votre AWS environnement.	AWSadministrateur
Vérifiez l'accès au compte AFT de gestion dans la bonne AWS région.	Important : Assurez-vous d'utiliser la même session de terminal que celle avec laquelle vous vous êtes authentifié dans votre compte AFT de gestion. Accédez à la AWS région de votre AFT déploiement en exécutant la commande suivante : export AWS_REGION=<aft_region> Vérifiez que vous êtes dans le bon compte en procédant comme suit : Exécutez la commande suivante : aws code-commit list-repositories Vérifiez ensuite que les référentiels répertoriés dans la sortie correspondent aux noms des référentiels figurant dans votre compte de AFT gestion.	AWSadministrateur
Créez un nouveau répertoire local pour stocker le code du AFT référentiel.	Au cours de la même session de terminal, exécutez les commandes suivantes : mkdir my_aft cd my_aft	AWSadministrateur
Clonez le code AFT du référentiel distant.	Dans votre terminal local, exécutez la commande suivante : git clone codecommit::$AWS_REGION://aft-global-customizations Remarque : Pour des raisons de simplicité, AFT utilisez uniquement une branche de code principale. Pour utiliser le branchement de code, vous pouvez également saisir des commandes de branchement de code ici. Cependant, toute modification appliquée depuis la branche non principale sera annulée lorsque l'AFTautomatisation appliquera le code de la branche principale. Naviguez ensuite dans le répertoire cloné en exécutant la commande suivante : cd aft-global-customizations/terraform	AWSadministrateur

Créez les fichiers de configuration Terraform requis pour que le AFT pipeline s'exécute localement

Tâche	Description	Compétences requises
Ouvrez un AFT pipeline déjà exécuté et copiez les fichiers de configuration Terraform dans un dossier local.	Remarque : Les fichiers de configuration backend.tf et aft-providers.tf créés dans cette épopée sont nécessaires au fonctionnement local du pipeline. AFT Ces fichiers sont créés automatiquement dans le AFT pipeline basé sur le cloud, mais doivent être créés manuellement pour que le pipeline s'exécute localement. L'exécution locale du AFT pipeline nécessite un ensemble de fichiers représentant l'exécution du pipeline au sein d'un seul AWS compte. À l'aide des informations d'identification de votre compte de gestion AWS Control Tower, connectez-vous à la console AWS de gestion. Ouvrez ensuite la AWS CodePipeline console. Assurez-vous que vous vous trouvez dans la même AWS région que celle où vous avez été déployéAFT. Dans le volet de navigation de gauche, choisissez Pipelines. Choisissez ##########-customizations-pipeline. (Le ########### est l'ID de AWS compte que vous utilisez pour exécuter le code Terraform localement). Assurez-vous que l'exécution la plus récente marquée indique une valeur réussie. Si la valeur est différente, vous devez réinvoquer vos personnalisations dans le AFT pipeline. Pour plus d'informations, consultez la section Personnalisations Re-invoke dans la documentation de AWS Control Tower. Choisissez le moteur d'exécution le plus récent pour en afficher les détails. Dans la section Apply- AFT -Global-Customizations, trouvez le stage Apply-Terraform. Sélectionnez la section Détails du stage Apply-Terraform. Trouvez le journal d'exécution du stage Apply-Terraform. Dans le journal d'exécution, recherchez la section qui commence et se termine par les lignes suivantes : «\n\naft-providers.tf... «\n\nbackend.tf »  Copiez la sortie entre ces deux étiquettes et enregistrez-la sous forme de fichier local nommé aft-providers.tf dans le dossier Terraform local (le répertoire de travail actuel de votre session de terminal). Exemple de déclaration providers.tf générée automatiquement ## Autogenerated providers.tf ## ## Updated on: 2022-05-31 16:27:45 ## provider "aws" { region = "us-east-2" assume_role { role_arn = "arn:aws:iam::############:role/AWSAFTExecution" } default_tags { tags = { managed_by = "AFT" } } } Dans le journal d'exécution, recherchez la section qui commence et se termine par les lignes suivantes : «\n\ntf... «\n\nbackup.tf »  Copiez la sortie entre ces deux étiquettes et enregistrez-la sous forme de fichier local nommé tf dans le dossier Terraform local (le répertoire de travail actuel de votre session de terminal). Exemple d'instruction backend.tf générée automatiquement ## Autogenerated backend.tf ## ## Updated on: 2022-05-31 16:27:45 ## terraform { required_version = ">= 0.15.0" backend "s3" { region = "us-east-2" bucket = "aft-backend-############-primary-region" key = "############-aft-global-customizations/terraform.tfstate" dynamodb_table = "aft-backend-############" encrypt = "true" kms_key_id = "cbdc21d6-e04d-4c37-854f-51e199cfcb7c" kms_key_id = "########-####-####-####-############" role_arn = "arn:aws:iam::#############:role/AWSAFTExecution" } } Remarque : Les aft-providers.tf fichiers backend.tf et sont liés à un AWS compte, à un AFT déploiement et à un dossier spécifiques. Ces fichiers sont également différents selon qu'ils se trouvent dans le aft-global-customizationsréférentiel et dans le aft-account-customizationsréférentiel du même AFT déploiement. Assurez-vous de générer les deux fichiers à partir de la même liste d'environnements d'exécution.	AWSadministrateur

Exécutez le AFT pipeline localement en utilisant l'exemple de script bash

Tâche	Description	Compétences requises
Implémentez les modifications de configuration Terraform que vous souhaitez valider.	Accédez au aft-global-customizationsréférentiel cloné en exécutant la commande suivante : cd aft-global-customizations/terraform Remarque : Les fichiers backend.tf et les fichiers aft-providers.tf se trouvent dans ce répertoire. Le répertoire contient également les fichiers Terraform du aft-global-customizations référentiel. Incorporez les modifications de code Terraform que vous souhaitez tester localement dans les fichiers de configuration.	AWSadministrateur
Exécutez le script ct_terraform.sh et examinez le résultat.	Accédez au dossier local qui contient le script sh. Pour valider votre code Terraform modifié, exécutez le ct_terraform.sh script en exécutant la commande suivante : ~/scripts/ct_terraform.sh apply Remarque : vous pouvez exécuter n'importe quelle commande Terraform au cours de cette étape. Pour voir la liste complète des commandes Terraform, exécutez la commande suivante : terraform --help Vérifiez le résultat de la commande. Déboguez ensuite les modifications de code localement avant de les valider et de les renvoyer dans le AFT référentiel. Important : Toutes les modifications apportées localement et non renvoyées au référentiel distant sont temporaires et peuvent être annulées à tout moment par une automatisation du AFT pipeline en cours d'exécution. AFTl'automatisation peut être exécutée à tout moment, car elle peut être invoquée par d'autres utilisateurs et déclencheurs AFT d'automatisation. AFTappliquera toujours le code de la branche principale du référentiel, annulant ainsi toute modification non validée.	AWSadministrateur

Validez et retransmettez vos modifications de code local dans le AFT référentiel

Tâche	Description	Compétences requises
Ajoutez des références aux fichiers backend.tf et aft-providers.tf à un fichier .gitignore.	Ajoutez les aft-providers.tf fichiers backend.tf et que vous avez créés à un .gitignore fichier en exécutant les commandes suivantes : echo backend.tf >> .gitignore echo aft-providers.tf >>.gitignore Remarque : le déplacement des fichiers vers le .gitignore fichier garantit qu'ils ne seront pas validés et renvoyés vers le AFT référentiel distant.	AWSadministrateur
Validez et transférez vos modifications de code vers le AFT référentiel distant.	Pour ajouter de nouveaux fichiers de configuration Terraform au référentiel, exécutez la commande suivante : git add <filename> Pour valider vos modifications et les transférer vers le AFT référentiel distant AWS CodeCommit, exécutez les commandes suivantes : git commit -a git push Important : les modifications de code que vous introduisez en suivant cette procédure jusqu'à présent ne sont appliquées qu'à un seul AWS compte.	AWSadministrateur

Déployez les modifications sur plusieurs comptes gérés par AFT

Tâche	Description	Compétences requises
Appliquez les modifications à tous vos comptes gérés parAFT.	Pour appliquer les modifications à plusieurs AWS comptes gérés parAFT, suivez les instructions de la section Personnalisations Réinvoquée dans la documentation de AWS Control Tower.	AWSadministrateur