Implementa AWS Control Tower Account Factory per Terraform (AFT)

Questa sezione è dedicata agli amministratori di ambienti AWS Control Tower che desiderano configurare Account Factory for Terraform (AFT) nel loro ambiente esistente. Descrive come configurare un ambiente Account Factory for Terraform (AFT) con un nuovo account di gestione AFT dedicato.

Nota

Un modulo Terraform implementa AFT. Questo modulo è disponibile nel repository AFT su GitHub e l'intero repository AFT è considerato il modulo.

Si consiglia di fare riferimento ai moduli AFT su GitHub invece di clonare il repository AFT. In questo modo è possibile controllare e utilizzare gli aggiornamenti dei moduli non appena sono disponibili.

Per informazioni dettagliate sulle versioni più recenti della funzionalità AWS Control Tower Account Factory for Terraform (AFT), consulta il file Releases per questo GitHub repository.

Prerequisiti di distribuzione

Prima di configurare e avviare l'ambiente AFT, è necessario disporre di quanto segue:

• Una landing zone di AWS Control Tower. Per ulteriori informazioni, consulta Pianifica la tua landing zone di AWS Control Tower.

• Una regione d'origine per la tua landing zone di AWS Control Tower. Per ulteriori informazioni, consulta How Regioni AWS work with AWS Control Tower.

• Una versione e una distribuzione di Terraform. Per ulteriori informazioni, consulta le versioni Terraform e AFT.

• Un provider VCS per tracciare e gestire le modifiche al codice e ad altri file. Per impostazione predefinita, AFT utilizza AWS CodeCommit. Per ulteriori informazioni, vedete Cos'è AWS CodeCommit? nella Guida AWS CodeCommit per l'utente. Se desideri scegliere un provider VCS diverso, consulta Alternative per il controllo della versione del codice sorgente in AFT.

• Un ambiente di runtime in cui è possibile eseguire il modulo Terraform che installa AFT.

• Opzioni delle funzionalità AFT. Per ulteriori informazioni, vedete Abilitare le opzioni delle funzionalità.

Configura e avvia il tuo AWS Control Tower Account Factory per Terraform

I passaggi seguenti presuppongono che tu abbia familiarità con il flusso di lavoro Terraform. Puoi anche saperne di più sulla distribuzione di AFT seguendo il laboratorio Introduzione a AFT sul sito Web di AWS Workshop Studio.

Fase 1: avvia la landing zone di AWS Control Tower

Completa i passaggi descritti in Guida introduttiva a AWS Control Tower. Qui puoi creare l'account di gestione AWS Control Tower e configurare la tua landing zone AWS Control Tower.

Nota

Assicurati di creare un ruolo per l'account di gestione AWS Control Tower con AdministratorAccesscredenziali. Per ulteriori informazioni, consulta gli argomenti seguenti:

• Identità IAM (utenti, gruppi di utenti e ruoli) nella Guida per l'AWS Identity and Access Management utente

• AdministratorAccessnella AWS Managed Policy Reference Guide

Fase 2: Creare una nuova unità organizzativa per AFT (consigliato)

Ti consigliamo di creare un'unità organizzativa separata nella tua AWS organizzazione. Qui è dove si distribuisce l'account di gestione AFT. Crea la nuova unità organizzativa con il tuo account di gestione AWS Control Tower. Per ulteriori informazioni, consulta Creare una nuova unità organizzativa.

Fase 3: Eseguire il provisioning dell'account di gestione AFT

AFT richiede il provisioning di un AWS account dedicato alle operazioni di gestione AFT. L'account di gestione AWS Control Tower, associato alla tua landing zone AWS Control Tower, vende l'account di gestione AFT. Per ulteriori informazioni, consulta Fornire account con AWS Service Catalog Account Factory.

Nota

Se hai creato un'unità organizzativa separata per AFT, assicurati di selezionarla quando crei l'account di gestione AFT.

Il provisioning completo dell'account di gestione AFT può richiedere fino a 30 minuti.

Fase 4: Verificare che l'ambiente Terraform sia disponibile per l'implementazione

Questo passaggio presuppone che tu abbia esperienza con Terraform e disponga di procedure per l'esecuzione di Terraform. Per ulteriori informazioni, consulta Command: init sul sito Web per sviluppatori. HashiCorp

Nota

AFT supporta la versione Terraform 1.6.0 o successiva.

Passaggio 5: chiamare il modulo Account Factory for Terraform per distribuire AFT

Chiama il modulo AFT con il ruolo che hai creato per l'account di gestione AWS Control Tower con AdministratorAccesscredenziali. AWS Control Tower fornisce un modulo Terraform tramite l'account di gestione AWS Control Tower, che stabilisce tutta l'infrastruttura necessaria per orchestrare le richieste di AWS Control Tower Account Factory.

Puoi visualizzare il modulo AFT nel repository AFT su. GitHub L'intero GitHub repository è considerato il modulo AFT. Fate riferimento al file README per informazioni sugli input necessari per eseguire il modulo AFT e distribuire AFT. In alternativa, puoi visualizzare il modulo AFT nel registro Terraform.

Il modulo AFT include un aft_enable_vpc parametro che specifica se AWS Control Tower effettua il provisioning delle risorse dell'account all'interno di un cloud privato virtuale (VPC) nell'account di gestione AFT centrale. Per impostazione predefinita, il parametro è impostato su. true Se imposti questo parametro sufalse, AWS Control Tower distribuisce AFT senza l'uso di un VPC e di risorse di rete private, come gateway NAT o endpoint VPC. La disabilitazione aft_enable_vpc può aiutare a ridurre i costi operativi di AFT per alcuni modelli di utilizzo.

Nota

La riattivazione del aft_enable_vpc parametro (modifica del valore da false atrue) può richiedere l'esecuzione del terraform apply comando due volte di seguito.

Se nel tuo ambiente disponi di pipeline stabilite per la gestione di Terraform, puoi integrare il modulo AFT nel tuo flusso di lavoro esistente. Altrimenti, esegui il modulo AFT da qualsiasi ambiente autenticato con le credenziali richieste.

Il timeout causa il fallimento della distribuzione. Ti consigliamo di utilizzare le credenziali AWS Security Token Service (STS) per assicurarti di avere un timeout sufficiente per una distribuzione completa. Il timeout minimo per le AWS STS credenziali è di 60 minuti. Per ulteriori informazioni, consulta Credenziali di sicurezza temporanee in IAM nella Guida per l'AWS Identity and Access Management utente.

Nota

Potresti attendere fino a 30 minuti prima che AFT completi la distribuzione tramite il modulo Terraform.

Passaggio 6: gestire il file di stato Terraform

Un file di stato Terraform viene generato quando si distribuisce AFT. Questo artefatto descrive lo stato delle risorse create da Terraform. Se prevedi di aggiornare la versione AFT, assicurati di conservare il file di stato Terraform o di configurare un backend Terraform utilizzando Amazon S3 e DynamoDB. Il modulo AFT non gestisce uno stato Terraform di backend.

Nota

Sei responsabile della protezione del file di stato di Terraform. Alcune variabili di input potrebbero contenere valori sensibili, come una ssh chiave privata o un token Terraform. A seconda del metodo di distribuzione, questi valori possono essere visualizzati come testo semplice nel file di stato Terraform. Per ulteriori informazioni, consulta Dati sensibili nello stato sul HashiCorp sito Web.