Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Personalizza gli account con Account Factory Customization (AFC)
AWS Control Tower ti consente di personalizzare nuove ed esistenti Account AWS quando effettui il provisioning delle relative risorse dalla console AWS Control Tower. Dopo aver configurato la personalizzazione di Account Factory, AWS Control Tower automatizza questo processo per il provisioning futuro, in modo da non dover mantenere alcuna pipeline. Gli account personalizzati sono disponibili per l'uso subito dopo il provisioning delle risorse.
Fornisci nuovi account con progetti
I tuoi account personalizzati vengono forniti in AWS Control Tower Account Factory, tramite AWS CloudFormation modelli o con Terraform. Definirai un modello che funga da modello di account personalizzato. Il blueprint descrive le risorse e le configurazioni specifiche necessarie per il provisioning di un account. Sono disponibili anche blueprint predefiniti, creati e gestiti dai AWS partner. Per ulteriori informazioni sui blueprint gestiti dai partner, consulta la Getting Started Library.AWS Service Catalog
Applica i blueprint agli account esistenti
Puoi applicare progetti personalizzati agli account esistenti, inoltre, seguendo la procedura di aggiornamento dell'account nella console AWS Control Tower. Per informazioni dettagliate, consultare Aggiorna l'account nella console.
Definizione: il tuo account hub
I progetti dell'account sono archiviati in un account Account AWS, che per i nostri scopi viene denominato account hub. I blueprint vengono archiviati sotto forma di un prodotto Service Catalog. Chiamiamo questo prodotto un modello, per distinguerlo da qualsiasi altro prodotto Service Catalog. Per ulteriori informazioni su come creare prodotti Service Catalog, vedere Creating products nella AWS Service Catalog Administrator Guide.
Nota
AWS Control Tower contiene controlli proattivi che monitorano AWS CloudFormation le risorse in AWS Control Tower. Facoltativamente, puoi attivare questi controlli nella tua landing zone. Quando applichi controlli proattivi, questi controllano che le risorse che stai per distribuire ai tuoi account siano conformi alle politiche e alle procedure dell'organizzazione. Per ulteriori informazioni sui controlli proattivi, consulta Controlli proattivi.
Per ulteriori informazioni sull'utilizzo di AFC, consulta Automatizzare la personalizzazione dell'account utilizzando Account Factory Customization in AWS Control Tower
Prerequisiti
Prima di iniziare a creare account personalizzati con AWS Control Tower Account Factory, è necessario disporre di un ambiente di landing zone AWS Control Tower e disporre di un'unità organizzativa (OU) registrata presso AWS Control Tower, in cui verranno collocati i nuovi account creati.
Preparazione per la personalizzazione
-
Designare un account hub: è possibile creare un nuovo account che funga da account hub o utilizzarne uno esistente. Account AWS Ti consigliamo vivamente di non utilizzare l'account di gestione AWS Control Tower come account Blueprint Hub.
-
Aggiungi il ruolo necessario: se prevedi di iscriverti Account AWS ad AWS Control Tower e personalizzarli, devi prima aggiungere il
AWSControlTowerExecutionruolo a tali account, come faresti per qualsiasi altro account che stai registrando in AWS Control Tower. -
Configurazione dei blueprint dei partner (facoltativo): se prevedi di utilizzare i blueprint dei partner con requisiti di abbonamento al marketplace, devi configurarli dal tuo account di gestione AWS Control Tower prima di distribuire i blueprint dei partner come blueprint di personalizzazione dell'account di fabbrica.
Argomenti
Nota
È possibile distribuire un blueprint per account AWS Control Tower.
Considerazioni per le personalizzazioni di Account Factory (AFC)
-
AFC supporta la personalizzazione utilizzando un solo prodotto blueprint. AWS Service Catalog
-
I prodotti AWS Service Catalog blueprint devono essere creati nell'account dell'hub e nella stessa regione della home region della landing zone di AWS Control Tower.
-
Il ruolo
AWSControlTowerBlueprintAccessIAM deve essere creato con il nome, le autorizzazioni e la policy di fiducia corretti. -
AWS Control Tower supporta due opzioni di distribuzione per i blueprint: la distribuzione solo nella regione di origine o la distribuzione in tutte le regioni governate da AWS Control Tower. La selezione delle regioni non è disponibile.
-
Quando si aggiorna un blueprint in un account membro, l'ID dell'account Blueprint Hub e il prodotto AWS Service Catalog blueprint non possono essere modificati.
-
AWS Control Tower non supporta la rimozione di un blueprint esistente e l'aggiunta di un nuovo blueprint in un'unica operazione di aggiornamento del blueprint. Puoi rimuovere un blueprint e quindi aggiungere un nuovo blueprint in operazioni separate.
-
AWS Control Tower modifica il comportamento, a seconda che si stiano creando o registrando account personalizzati o account non personalizzati. Se non stai creando o registrando account personalizzati con blueprint, AWS Control Tower crea un prodotto fornito da Account Factory (tramite Service Catalog) nell'account di gestione AWS Control Tower. Se si specifica la personalizzazione durante la creazione o la registrazione di account con blueprint, AWS Control Tower non crea un prodotto fornito da Account Factory nell'account di gestione AWS Control Tower.
In caso di errore del blueprint
Errore durante l'applicazione di un blueprint
Se si verifica un errore durante il processo di applicazione di un blueprint a un account, nuovo account o account esistente che stai registrando in AWS Control Tower, la procedura di ripristino è la stessa. L'account esisterà, ma non è personalizzato e non è registrato in AWS Control Tower. Per continuare, segui i passaggi per registrare l'account in AWS Control Tower e aggiungi il blueprint al momento della registrazione.
Errore durante la creazione del ruolo e soluzioni AWSControlTowerBlueprintAccess alternative
Quando crei il AWSControlTowerBlueprintAccess ruolo da un account AWS Control Tower, devi accedere come principale utilizzando il AWSControlTowerExecution ruolo. Se hai effettuato l'accesso come qualsiasi altro utente, l'CreateRoleoperazione viene impedita da un SCP, come mostrato nell'artefatto che segue:
{ "Condition": { "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:role/AWSControlTowerExecution", "arn:aws:iam::*:role/stacksets-exec-*" ] } }, "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/aws-controltower-*", "arn:aws:iam::*:role/*AWSControlTower*", "arn:aws:iam::*:role/stacksets-exec-*" ], "Effect": "Deny", "Sid": "GRIAMROLEPOLICY" }
Sono disponibili le seguenti soluzioni alternative:
-
(La scelta più consigliata) Assumi il
AWSControlTowerExecutionruolo e crealo.AWSControlTowerBlueprintAccessSe scegli questa soluzione alternativa, assicurati di disconnetterti dalAWSControlTowerExecutionruolo subito dopo, per evitare modifiche involontarie alle risorse. -
Accedi a un account non registrato in AWS Control Tower e quindi non soggetto a questo SCP.
-
Modifica temporaneamente questo SCP per consentirne l'operazione.
-
(Assolutamente sconsigliato) Usa il tuo account di gestione AWS Control Tower come account hub, in modo che non sia soggetto all'SCP.
Personalizzazione del documento di policy per i blueprint AFC in base a CloudFormation
Quando abiliti un blueprint tramite account factory, AWS Control Tower ordina di AWS CloudFormation crearne uno per tuo StackSet conto. AWS CloudFormation richiede l'accesso al tuo account gestito per creare AWS CloudFormation
stack in. StackSet Sebbene disponga AWS CloudFormation già dei privilegi di amministratore nell'account gestito tramite il AWSControlTowerExecution ruolo, questo ruolo non può essere assunto da. AWS CloudFormation
Come parte dell'abilitazione di un blueprint, AWS Control Tower crea un ruolo nell'account del membro, che AWS CloudFormation può assumere il compito di completare le attività di StackSet gestione. Il modo più semplice per abilitare un blueprint personalizzato tramite account factory consiste nell'utilizzare una policy allow-all, poiché tali policy sono compatibili con qualsiasi modello di blueprint.
Tuttavia, le migliori pratiche suggeriscono di limitare le autorizzazioni per AWS CloudFormation l'account di destinazione. Puoi fornire una policy personalizzata, che AWS Control Tower applica al ruolo che crea AWS CloudFormation per essere utilizzato. Ad esempio, se il tuo blueprint crea un parametro SSM chiamato qualcosa di importante, puoi fornire la seguente politica:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCloudFormationActionsOnStacks", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "arn:aws:cloudformation:*:*:stack/*" }, { "Sid": "AllowSsmParameterActions", "Effect": "Allow", "Action": [ "ssm:PutParameter", "ssm:DeleteParameter", "ssm:GetParameter", "ssm:GetParameters" ], "Resource": "arn:*:ssm:*:*:parameter/something-important" } ] }
L'AllowCloudFormationActionsOnStacksistruzione è obbligatoria per tutte le politiche personalizzate AFC; AWS CloudFormation utilizza questo ruolo per creare istanze di stack, pertanto richiede l'autorizzazione per eseguire azioni sugli stack. AWS CloudFormation La AllowSsmParameterActions sezione è specifica del modello che viene abilitato.
Risolvi i problemi di autorizzazione
Quando si abilita un blueprint con una politica limitata, è possibile che le autorizzazioni per abilitare il blueprint siano insufficienti. Per risolvere questi problemi, rivedi il documento relativo alla policy e aggiorna le preferenze del blueprint dell'account membro per utilizzare la politica corretta. Per verificare che la policy sia sufficiente per abilitare il blueprint, assicurati che le AWS CloudFormation autorizzazioni siano concesse e che tu possa creare uno stack direttamente utilizzando quel ruolo.
Autorizzazioni aggiuntive necessarie per creare un prodotto Service Catalog basato su Terraform
Quando crei un prodotto AWS Service Catalog esterno con un file di configurazione Terraform per AFC, è AWS Service Catalog necessario aggiungere determinate autorizzazioni alla politica IAM personalizzata AFC, oltre alle autorizzazioni necessarie per creare le risorse definite nel modello. Se scegli la politica di amministrazione completa predefinita, non è necessario aggiungere queste autorizzazioni aggiuntive.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "resource-groups:CreateGroup", "resource-groups:ListGroupResources", "resource-groups:DeleteGroup", "resource-groups:Tag" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "tag:GetResources", "tag:GetTagKeys", "tag:GetTagValues", "tag:TagResources", "tag:UntagResources" ], "Resource": "*", "Effect": "Allow" }, { "Action": "s3:GetObject", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } } ] }
Per ulteriori informazioni sulla creazione di prodotti Terraform utilizzando il tipo di prodotto esterno in AWS Service Catalog, vedere Step 5: Creazione di ruoli di lancio nella Service Catalog Administrator Guide.
