Panoramica di AWS Control Tower Account Factory for Terraform (AFT) - AWS Control Tower
Procedura guidata: video

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica di AWS Control Tower Account Factory for Terraform (AFT)

Account Factory for Terraform (AFT) configura una pipeline Terraform per aiutarti a fornire e personalizzare gli account in AWS Control Tower. AFT ti offre il vantaggio del provisioning degli account basato su Terraform, consentendoti al contempo di governare i tuoi account con AWS Control Tower.

Con AFT crei un file Terraform di richiesta di account per ottenere l'input che attiva il flusso di lavoro AFT per il provisioning degli account. Una volta completata la fase di fornitura dell'account, AFT esegue automaticamente una serie di passaggi prima che inizi la fase di personalizzazione dell'account. Per ulteriori informazioni, consulta AFT Account Provisioning Pipeline.

AFT supporta Terraform Cloud, Terraform Enterprise e Terraform Community Edition. Con AFT è possibile avviare la creazione di account utilizzando un file di input e un semplice git push comando e personalizzare account nuovi o esistenti. La creazione di account include tutti i vantaggi di governance di AWS Control Tower e le personalizzazioni degli account che ti aiutano a soddisfare le procedure di sicurezza standard e le linee guida di conformità della tua organizzazione.

AFT supporta il tracciamento delle richieste di personalizzazione dell'account. Ogni volta che si invia una richiesta di personalizzazione dell'account, AFT genera un token di tracciamento univoco che passa attraverso una macchina a AWS Step Functions stati delle personalizzazioni AFT, che registra il token come parte della sua esecuzione. Puoi quindi utilizzare le query di Amazon CloudWatch Logs Insights per cercare intervalli di timestamp e recuperare il token di richiesta. Di conseguenza, puoi vedere i payload che accompagnano il token, in modo da poter tracciare la richiesta di personalizzazione dell'account durante l'intero flusso di lavoro AFT. Per informazioni su CloudWatch Logs and Step Functions, vedere quanto segue:

AFT combina le funzionalità di altri AWS servizi comeServizi per i componenti, per creare un framework, con pipeline che implementano Terraform Infrastructure as Code (IaC). AFT ti consente di:

  • Inviare richieste di fornitura e aggiornamento dell'account in un modello GitOps

  • Archivia i metadati dell'account e la cronologia delle verifiche

  • Applica tag a livello di account

  • Aggiungi personalizzazioni a tutti gli account, a un set di account o a singoli account

  • Abilita le opzioni delle funzionalità

AFT crea un account separato, chiamato account di gestione AFT, per implementare le funzionalità AFT. Prima di poter configurare AFT, devi disporre di una landing zone AWS Control Tower esistente. L'account di gestione AFT non è lo stesso dell'account di gestione AWS Control Tower.

AFT offre flessibilità

  • Flessibilità per la piattaforma: AFT supporta qualsiasi distribuzione Terraform per la distribuzione iniziale e il funzionamento continuo: Community Edition, Cloud ed Enterprise.

  • Flessibilità per il sistema di controllo delle versioni: AFT supporta AWS CodeCommit e utilizza fonti di controllo delle versioni alternative. AWS CodeConnections

AFT offre opzioni di funzionalità

È possibile abilitare diverse opzioni di funzionalità, in base alle migliori pratiche:

  • Creazione di un livello di organizzazione per la registrazione degli eventi relativi CloudTrail ai dati

  • Eliminazione del VPC AWS predefinito per gli account

  • Registrazione degli account assegnati al piano Enterprise AWS Support

Nota

La pipeline AFT non è destinata all'uso nella distribuzione di risorse, come le EC2 istanze Amazon, necessarie ai tuoi account per eseguire le tue applicazioni. È destinato esclusivamente al provisioning e alla personalizzazione automatizzati degli account AWS Control Tower.

Procedura guidata: video

Questo video (7:33) descrive come distribuire account con AWS Control Tower Account Factory for Terraform. Per una migliore visualizzazione, seleziona l'icona nell'angolo in basso a destra del video per ingrandirlo a schermo intero. È disponibile la didascalia.