Koneksi akun lingkungan

Ikhtisar

Pelajari cara membuat dan mengelolaAWS Protonlingkungan dalam satu akun dan menyediakan sumber daya infrastrukturnya di akun lain. Ini dapat membantu meningkatkan visibilitas dan efisiensi dalam skala besar. Koneksi akun lingkungan hanya mendukung penyediaan standarAWS CloudFormationinfrastruktur sebagai kode.

catatan

Informasi dalam topik ini relevan dengan lingkungan yang dikonfigurasiAWSpenyediaan terkelola. Dengan lingkungan yang dikonfigurasi denganpenyediaan yang dikelola sendiri,AWS Protontidak secara langsung menyediakan infrastruktur Anda. Sebaliknya, ia mengirimkan pull request (PR) ke repositori Anda untuk penyediaan. Anda bertanggung jawab untuk memastikan bahwa kode otomatisasi Anda memiliki identitas dan peran yang tepat.

Untuk informasi selengkapnya tentang metode penyediaan, lihatBagaimana AWS Proton ketentuan infrastruktur.

Terminologi

DenganAWS Proton koneksi akun lingkungan, Anda dapat membuatAWS Protonlingkungan dari satu akun dan menyediakan infrastrukturnya di akun lain.

Akun manajemen

Akun tunggal tempat Anda, sebagai administrator, membuatAWS Protonlingkungan yang menyediakan sumber daya infrastruktur di lingkungan lainakun lingkungan.

Akun lingkungan

Akun yang menyediakan infrastruktur lingkungan, saat Anda membuatAWS Protonlingkungan di akun lain.

Koneksi akun lingkungan

Koneksi dua arah yang aman antara aakun manajemendanakun lingkungan. Ia memelihara otorisasi dan izin seperti yang dijelaskan lebih lanjut di bagian berikut.

Bila Anda membuat sambungan akun lingkungan di akun lingkungan di Wilayah tertentu, hanya akun manajemen di Wilayah yang sama yang dapat melihat dan menggunakan sambungan akun lingkungan. Ini berarti bahwaAWS Protonlingkungan yang dibuat dalam akun manajemen dan infrastruktur lingkungan yang disediakan dalam akun lingkungan harus berada di Wilayah yang sama.

Pertimbangan koneksi akun lingkungan

• Anda memerlukan koneksi akun lingkungan untuk setiap lingkungan yang ingin Anda sediakan di akun lingkungan.

• Untuk informasi tentang kuota koneksi akun lingkungan, lihatAWS Proton kuota.

Penandaan

Di akun lingkungan, gunakan konsol atauAWS CLIuntuk melihat dan mengelola lingkungan koneksi akun pelanggan dikelola tag.AWStag terkelolatidakdihasilkan untuk koneksi akun lingkungan. Untuk informasi selengkapnya, lihat AWS Protonsumber daya daya daya daya daya daya.

Buat lingkungan dalam satu akun dan sediakan infrastrukturnya di akun lain

Untuk membuat dan menyediakan lingkungan dari satu akun manajemen, siapkan akun lingkungan untuk lingkungan yang akan Anda buat.

Mulai di akun lingkungan dan buat koneksi.

Di akun lingkungan, buatAWS Protonperan layanan yang hanya mencakup izin yang diperlukan untuk menyediakan sumber daya infrastruktur lingkungan Anda. Untuk informasi selengkapnya, lihat AWS Proton peran layanan untuk penyediaan menggunakan AWS CloudFormation.

Kemudian, buat dan kirim permintaan koneksi akun lingkungan ke akun manajemen Anda. Ketika permintaan diterima,AWS Protondapat menggunakan peran IAM terkait yang mengizinkan penyediaan sumber daya lingkungan di akun lingkungan terkait.

Di akun manajemen, terima atau tolak koneksi akun lingkungan.

Di akun manajemen, terima atau tolak permintaan koneksi akun lingkungan. Andatidak bisamenghapus koneksi akun lingkungan dari akun manajemen Anda.

Jika Anda menerima permintaan,AWS Protondapat menggunakan peran IAM terkait yang mengizinkan penyediaan sumber daya di akun lingkungan terkait.

Sumber daya infrastruktur lingkungan disediakan dalam akun lingkungan terkait. Anda hanya dapat menggunakanAWS ProtonAPI untuk mengakses dan mengelola lingkungan Anda dan sumber daya infrastrukturnya, dari akun manajemen Anda. Untuk informasi selengkapnya, lihat Buat lingkungan dalam satu akun dan ketentuan di akun lain dan Memperbarui lingkungan.

Setelah Anda menolak permintaan, Andatidak bisamenerima atau menggunakan koneksi akun lingkungan yang ditolak.

catatan

Andatidak bisamenolak koneksi akun lingkungan yang terhubung ke lingkungan. Untuk menolak koneksi akun lingkungan, Anda harus terlebih dahulu menghapus lingkungan terkait.

Di akun lingkungan, akses sumber daya infrastruktur yang disediakan.

Di akun lingkungan, Anda dapat melihat dan mengakses sumber daya infrastruktur yang disediakan. Misalnya, Anda dapat menggunakanCloudFormationTindakan API untuk memantau dan membersihkan tumpukan jika diperlukan. Anda tidak dapat menggunakanAWS ProtonTindakan API untuk mengakses atau mengelolaAWS Protonlingkungan yang digunakan untuk penyediaan sumber daya infrastruktur.

Di akun lingkungan, Anda dapat menghapus koneksi akun lingkungan yang telah Anda buat di akun lingkungan. Andatidak bisamenerima atau menolak mereka. Jika Anda menghapus sambungan akun lingkungan yang digunakan olehAWS Protonlingkungan,AWS Protontidak akan dapat mengelola sumber daya infrastruktur lingkungan sampai koneksi lingkungan baru diterima untuk akun lingkungan dan lingkungan bernama. Anda bertanggung jawab untuk membersihkan sumber daya yang disediakan yang tetap tanpa koneksi lingkungan.

Menggunakan konsol atau CLI untuk mengelola koneksi akun lingkungan

Anda dapat menggunakan konsol atau CLI untuk membuat dan mengelola koneksi akun lingkungan.

AWS Management Console

Gunakan konsol untuk membuat koneksi akun lingkungan dan mengirim permintaan ke akun manajemen seperti yang ditunjukkan pada langkah berikutnya.

1. Tentukan nama untuk lingkungan yang Anda rencanakan untuk dibuat di akun manajemen Anda atau pilih nama lingkungan yang ada yang memerlukan koneksi akun lingkungan.

2. Dalam akun lingkungan, diAWS Protonkonsol, pilihKoneksi akun lingkungandi panel navigasi.

3. DalamKoneksi akun lingkunganhalaman, pilihPermintaan untuk terhubung.

   catatan

   Verifikasi ID akun yang tercantum diKoneksi akun lingkunganjudul halaman. Pastikan bahwa itu cocok dengan ID akun lingkungan yang Anda inginkan untuk menyediakan lingkungan bernama Anda.

4. DalamPermintaan untuk terhubunghalaman:

   1. DalamTerhubung ke akun manajemenbagian, masukkanID akun manajemendanNama lingkunganyang Anda masukkan pada langkah 1.

   2. DalamPeran lingkunganbagian, pilihPeran layanan barudanAWS Protonsecara otomatis menciptakan peran baru untuk Anda. Atau, pilihPeran layanan yang adadan nama peran layanan yang Anda buat sebelumnya.

      catatan

      Peran ituAWS Protonsecara otomatis membuat untuk Anda memiliki izin yang luas. Kami menyarankan Anda untuk mengurangi peran izin yang diperlukan untuk menyediakan sumber daya infrastruktur lingkungan Anda. Untuk informasi selengkapnya, lihat AWS Proton peran layanan untuk penyediaan menggunakan AWS CloudFormation.

   3. (Opsional) DalamTagbagian, pilihTambahkan tag baruuntuk membuat tag yang dikelola pelanggan untuk koneksi akun lingkungan Anda.

   4. PilihPermintaan untuk terhubung.

5. Permintaan Anda ditampilkan sebagai tertunda diKoneksi lingkungan dikirim ke akun manajementabel dan modal memungkinkan Anda tahu bagaimana untuk menerima permintaan dari akun manajemen.

Menerima atau menolak permintaan koneksi akun lingkungan.

1. Dalam akun manajemen, diAWS Protonkonsol, pilihKoneksi akun lingkungandi panel navigasi.

2. DalamKoneksi akun lingkunganhalaman, diPermintaan koneksi akun lingkungantabel, pilih permintaan koneksi lingkungan untuk menerima atau menolak.

   catatan

   Verifikasi ID akun yang tercantum diKoneksi akun lingkunganjudul halaman. Pastikan bahwa itu cocok dengan ID akun manajemen akun yang terkait dengan koneksi akun lingkungan untuk ditolak. Setelah Anda menolak koneksi akun lingkungan ini, Andatidak bisamenerima atau menggunakan koneksi akun lingkungan yang ditolak.

3. PilihTolakatauMenerima.

   • Jika Anda memilihTolak, status berubah daritertundakepadamenolak.

   • Jika Anda memilihMenerima, status berubah daritertundakepadaterhubung.

Hapus koneksi akun lingkungan.

1. Dalam akun lingkungan, diAWS Protonkonsol, pilihKoneksi akun lingkungandi panel navigasi.

   catatan

   Verifikasi ID akun yang tercantum diKoneksi akun lingkunganjudul halaman. Pastikan bahwa itu cocok dengan ID akun manajemen akun yang terkait dengan koneksi akun lingkungan untuk ditolak. Setelah Anda menghapus koneksi akun lingkungan ini,AWS Proton tidak bisamengelola sumber daya infrastruktur lingkungan di akun lingkungan. Itu hanya dapat mengelolanya setelah koneksi akun lingkungan baru untuk akun lingkungan dan lingkungan bernama diterima oleh akun manajemen.

2. DalamKoneksi akun lingkunganhalaman, diPermintaan terkirim untuk terhubung ke akun manajemenbagian, pilihHapus.

3. Modal meminta Anda untuk mengonfirmasi bahwa Anda ingin menghapus. Pilih Delete (Hapus).

AWS CLI

Tentukan nama untuk lingkungan yang Anda rencanakan untuk dibuat di akun manajemen Anda atau pilih nama lingkungan yang ada yang memerlukan koneksi akun lingkungan.

Buat koneksi akun lingkungan di akun lingkungan.

Jalankan perintah berikut:

$ aws proton create-environment-account-connection \
    --environment-name "simple-env-connected" \
    --role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \
    --management-account-id "111111111111"

Jawaban:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "PENDING"
    }
}

Terima atau tolak koneksi akun lingkungan di akun manajemen seperti yang ditunjukkan pada perintah dan respons berikut.

catatan

Jika Anda menolak sambungan akun lingkungan ini, Anda tidak akan dapat menerima atau menggunakan sambungan akun lingkungan yang ditolak.

Jika Anda menentukanTolak, status berubah daritertundakepadamenolak.

Jika Anda menentukanMenerima, status berubah daritertundakepadaterhubung.

Jalankan perintah berikut untuk menerima koneksi akun lingkungan:

$ aws proton accept-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Jawaban:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}

Jalankan perintah berikut untuk menolak koneksi akun lingkungan:

$ aws proton reject-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Jawaban:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "status": "REJECTED",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-reject",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role"
    }
}

Melihat koneksi akun lingkungan. Anda bisamemperolehataudaftarkoneksi akun lingkungan.

Jalankan perintah get berikut:

$ aws proton get-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Jawaban:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}

Hapus koneksi akun lingkungan di akun lingkungan.

catatan

Jika Anda menghapus koneksi akun lingkungan ini,AWS Protontidak akan dapat mengelola sumber daya infrastruktur lingkungan di akun lingkungan sampai koneksi lingkungan baru telah diterima untuk akun lingkungan dan lingkungan bernama. Anda bertanggung jawab untuk membersihkan sumber daya yang disediakan yang tetap tanpa koneksi lingkungan.

Jalankan perintah berikut:

$ aws proton delete-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Jawaban:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}