Terapkan AWS Control Tower Account Factory untuk Terraform (AFT) - AWS Control Tower
Konfigurasikan dan luncurkan AWS Control Tower Account Factory untuk Terraform

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terapkan AWS Control Tower Account Factory untuk Terraform (AFT)

Bagian ini ditujukan untuk administrator lingkungan AWS Control Tower yang ingin menyiapkan Account Factory for Terraform (AFT) di lingkungan mereka yang ada. Ini menjelaskan cara menyiapkan Account Factory untuk lingkungan Terraform (AFT) dengan akun manajemen AFT khusus yang baru.

catatan

Modul Terraform menyebarkan AFT. Modul ini tersedia di repositori AFT aktif GitHub, dan seluruh repositori AFT dianggap sebagai modul.

Kami menyarankan Anda merujuk ke modul AFT GitHub alih-alih mengkloning repositori AFT. Dengan cara ini Anda dapat mengontrol dan menggunakan pembaruan modul saat tersedia.

Untuk detail tentang rilis terbaru fungsi AWS Control Tower Account Factory for Terraform (AFT), lihat file Rilis untuk repositori ini GitHub .

Prasyarat penyebaran

Sebelum Anda mengkonfigurasi dan meluncurkan lingkungan AFT Anda, Anda harus memiliki yang berikut:

Konfigurasikan dan luncurkan AWS Control Tower Account Factory untuk Terraform

Langkah-langkah berikut mengasumsikan bahwa Anda terbiasa dengan alur kerja Terraform. Anda juga dapat mempelajari lebih lanjut tentang penerapan AFT dengan mengikuti lab Pengantar AFT di situs web AWS Workshop Studio.

Langkah 1: Luncurkan landing zone AWS Control Tower Anda

Selesaikan langkah-langkah dalam Memulai AWS Control Tower. Di sinilah Anda membuat akun manajemen AWS Control Tower dan menyiapkan landing zone AWS Control Tower Anda.

catatan

Pastikan untuk membuat peran untuk akun manajemen AWS Control Tower yang memiliki AdministratorAccesskredensi. Untuk informasi selengkapnya, lihat berikut ini:

Langkah 2: Buat unit organisasi baru untuk AFT (disarankan)

Kami menyarankan Anda membuat OU terpisah di AWS organisasi Anda. Di sinilah Anda menyebarkan akun manajemen AFT. Buat OU baru dengan akun manajemen AWS Control Tower Anda. Untuk informasi selengkapnya, lihat Membuat OU baru.

Langkah 3: Menyediakan akun manajemen AFT

AFT mengharuskan Anda menyediakan AWS akun yang didedikasikan untuk operasi manajemen AFT. Akun manajemen AWS Control Tower, yang terkait dengan landing zone AWS Control Tower Anda, menjual akun manajemen AFT. Untuk informasi selengkapnya, lihat Menyediakan akun dengan AWS Service Catalog Account Factory.

catatan

Jika Anda membuat OU terpisah untuk AFT, pastikan untuk memilih OU ini saat Anda membuat akun manajemen AFT.

Diperlukan waktu hingga 30 menit untuk sepenuhnya menyediakan akun manajemen AFT.

Langkah 4: Verifikasi lingkungan Terraform tersedia untuk penerapan

Langkah ini mengasumsikan bahwa Anda memiliki pengalaman dengan Terraform dan memiliki prosedur untuk menjalankan Terraform. Untuk informasi selengkapnya, lihat Command: init di situs web HashiCorp Developer.

catatan

AFT mendukung Versi Terraform 1.2.0 atau yang lebih baru.

Langkah 5: Hubungi Account Factory untuk modul Terraform untuk menyebarkan AFT

Panggil modul AFT dengan peran yang Anda buat untuk akun manajemen AWS Control Tower yang memiliki AdministratorAccesskredensi. AWS Control Tower menyediakan modul Terraform melalui akun manajemen AWS Control Tower, yang menetapkan semua infrastruktur yang diperlukan untuk mengatur permintaan AWS Control Tower Account Factory.

Anda dapat melihat modul AFT di repositori AFT pada. GitHub Seluruh GitHub repositori dianggap sebagai modul AFT. Lihat file README untuk informasi tentang input yang diperlukan untuk menjalankan modul AFT dan menerapkan AFT. Atau, Anda dapat melihat modul AFT di Terraform Registry.

Modul AFT menyertakan aft_enable_vpc parameter yang menentukan apakah AWS Control Tower menyediakan sumber daya akun dalam virtual private cloud (VPC) di akun manajemen AFT pusat. Secara default, parameter diatur ketrue. Jika Anda menyetel parameter inifalse, AWS Control Tower menerapkan AFT tanpa menggunakan VPC dan sumber daya jaringan pribadi, seperti NAT Gateways atau titik akhir VPC. Menonaktifkan aft_enable_vpc dapat membantu mengurangi biaya operasi AFT untuk beberapa pola penggunaan.

catatan

Mengaktifkan kembali aft_enable_vpc parameter (mengalihkan nilai dari false ketrue) mungkin mengharuskan Anda menjalankan terraform apply perintah dua kali berturut-turut.

Jika Anda memiliki saluran pipa di lingkungan Anda yang dibuat untuk mengelola Terraform, Anda dapat mengintegrasikan modul AFT ke dalam alur kerja yang ada. Jika tidak, jalankan modul AFT dari lingkungan apa pun yang diautentikasi dengan kredensi yang diperlukan.

Timeout menyebabkan penerapan gagal. Sebaiknya gunakan kredensi AWS Security Token Service (STS) untuk memastikan Anda memiliki batas waktu yang cukup untuk penerapan penuh. Batas waktu minimum untuk AWS STS kredensional adalah 60 menit. Untuk informasi selengkapnya, lihat Kredensi keamanan sementara di IAM di Panduan Pengguna.AWS Identity and Access Management

catatan

Anda mungkin menunggu hingga 30 menit hingga AFT menyelesaikan penerapan melalui modul Terraform.

Langkah 6: Kelola file status Terraform

File status Terraform dibuat saat Anda menerapkan AFT. Artefak ini menggambarkan keadaan sumber daya yang dibuat Terraform. Jika Anda berencana untuk memperbarui versi AFT, pastikan untuk memilih file status Terraform, atau siapkan backend Terraform menggunakan Amazon S3 dan DynamoDB. Modul AFT tidak mengelola status Terraform backend.

catatan

Anda bertanggung jawab untuk melindungi file status Terraform. Beberapa variabel input mungkin berisi nilai sensitif, seperti ssh kunci pribadi atau token Terraform. Bergantung pada metode penerapan Anda, nilai-nilai ini dapat dilihat sebagai teks biasa di file status Terraform. Untuk informasi selengkapnya, lihat Data sensitif di Negara di HashiCorp situs web.