Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Connessioni con account di ambiente
Panoramica
Scopri come creare e gestire unAWS Protonambiente in un account e fornitura delle risorse dell'infrastruttura in un altro account. Questo può contribuire a migliorare la visibilità e l'efficienza su larga scala. Le connessioni agli account di ambiente supportano solo il provisioning standard conAWS CloudFormationinfrastruttura come codice.
Le informazioni contenute in questo argomento sono pertinenti agli ambienti configurati conAWSprovisioning gestito. Con ambienti configurati conprovisioning autogestito,AWS Protonnon fornisce direttamente la tua infrastruttura. Invia invece richieste di pull (PR) al tuo repository per il provisioning. È tua responsabilità assicurarti che il tuo codice di automazione assuma l'identità e il ruolo giusti.
Per ulteriori informazioni sui metodi di provisioning, vedereCome AWS Proton fornisce l'infrastruttura.
Terminologia
ConAWS Proton connessioni agli account di ambiente, puoi creare unAWS Protonambiente da un account e fornitura della propria infrastruttura in un altro account.
- Gestione dell'account
-
L'unico account in cui tu, in qualità di amministratore, crei unAWS Protonambiente che fornisce le risorse dell'infrastruttura in un altroaccount ambientale.
- Account ambientale
-
Un account in cui viene eseguito il provisioning dell'infrastruttura ambientale, quando si crea unAWS Protonambiente in un altro account.
- Connessione all'account di ambiente
-
Una connessione bidirezionale sicura traaccount di gestionee unaccount ambientale. Mantiene le autorizzazioni e le autorizzazioni come descritto ulteriormente nelle sezioni seguenti.
Quando si crea una connessione con un account di ambiente in una regione specifica, solo gli account di gestione della stessa regione possono visualizzare e utilizzare la connessione dell'account di ambiente. Ciò significa cheAWS Protonl'ambiente creato nell'account di gestione e l'infrastruttura ambientale fornita nell'account ambientale devono trovarsi nella stessa regione.
Considerazioni sulla connessione dell'account di ambiente
-
È necessaria una connessione all'account di ambiente per ogni ambiente di cui si desidera eseguire il provisioning in un account di ambiente.
-
Per informazioni sulle quote di connessione degli account di ambiente, vedereQuote AWS Proton.
Applicazione di tag
Nell'account dell'ambiente, usa la console o ilAWS CLIper visualizzare e gestire i tag gestiti dal cliente per la connessione all'account di ambiente.AWStag gestitinon sonogenerato per le connessioni degli account di ambiente. Per ulteriori informazioni, consulta AWS Protonrisorse e Tagging.
Crea un ambiente in un account ed esegui il provisioning della relativa infrastruttura in un altro account
Per creare e fornire un ambiente da un singolo account di gestione, configura un account di ambiente per l'ambiente che intendi creare.
Inizia nell'account dell'ambiente e crea una connessione.
Nell'account ambientale, crea unAWS Protonruolo di servizio limitato solo alle autorizzazioni necessarie per il provisioning delle risorse dell'infrastruttura dell'ambiente. Per ulteriori informazioni, consulta AWS Proton ruolo di servizio per il provisioning utilizzando AWS CloudFormation.
Quindi, crea e invia una richiesta di connessione dell'account di ambiente al tuo account di gestione. Quando la richiesta viene accettata,AWS Protonpuò utilizzare il ruolo IAM associato che consente la fornitura di risorse ambientali nell'account di ambiente associato.
Nell'account di gestione, accetta o rifiuta la connessione all'account di ambiente.
Nell'account di gestione, accetta o rifiuta la richiesta di connessione all'account di ambiente. Tunon possoelimina una connessione all'account di ambiente dal tuo account di gestione.
Se accetti la richiesta,AWS Protonpuò utilizzare il ruolo IAM associato che consente la fornitura di risorse nell'account di ambiente associato.
Le risorse dell'infrastruttura ambientale vengono fornite nell'account di ambiente associato. Puoi usare soloAWS ProtonAPI per accedere e gestire il tuo ambiente e le relative risorse infrastrutturali, dal tuo account di gestione. Per ulteriori informazioni, consultare Crea un ambiente in un account ed esegui il provisioning in un altro account e Aggiornare un ambiente.
Dopo aver rifiutato una richiesta,non possoaccetta o utilizza la connessione all'account di ambiente rifiutata.
Tunon possorifiuta la connessione di un account di ambiente connesso a un ambiente. Per rifiutare la connessione all'account di ambiente, è necessario innanzitutto eliminare l'ambiente associato.
Nell'account ambientale, accedi alle risorse dell'infrastruttura fornite.
Nell'account dell'ambiente, è possibile visualizzare e accedere alle risorse dell'infrastruttura fornite. Ad esempio, puoi usareCloudFormationAzioni API per monitorare e ripulire gli stack, se necessario. Non puoi usare ilAWS ProtonAzioni API per accedere o gestireAWS Protonambiente utilizzato per fornire le risorse dell'infrastruttura.
Nell'account di ambiente, puoi eliminare le connessioni degli account di ambiente che hai creato nell'account di ambiente. Tunon possoaccettarli o rifiutarli. Se si elimina una connessione all'account di ambiente utilizzata da unAWS Protonambiente,AWS Protonnon sarà in grado di gestire le risorse dell'infrastruttura dell'ambiente finché non verrà accettata una nuova connessione all'ambiente per l'account e l'ambiente denominato ambiente. Sei responsabile della pulizia delle risorse fornite che rimangono senza una connessione all'ambiente.
Usa la console o la CLI per gestire le connessioni degli account di ambiente
È possibile utilizzare la console o la CLI per creare e gestire le connessioni degli account di ambiente.
- AWS Management Console
-
Usa la console per creare una connessione all'account di ambiente e inviare una richiesta all'account di gestione come mostrato nei passaggi successivi.
-
Scegli un nome per l'ambiente che intendi creare nel tuo account di gestione o scegli il nome di un ambiente esistente che richiede una connessione con un account di ambiente.
-
In un account ambientale, inAWS Protonplancia, scegliConnessioni con account di ambientenel riquadro di navigazione.
-
NelConnessioni con account di ambientepagina, scegliRichiesta di connessione.
Verifica l'ID dell'account che è elencato nellaConnessione all'account di ambientetitolo della pagina. Assicurati che corrisponda all'ID dell'account di ambiente in cui desideri eseguire il provisioning dell'ambiente specificato.
-
NelRichiesta di connessionepagina:
-
NelConnettiti all'account di gestionesezione, inserisciID dell'account di gestionee ilNome dell'ambienteche hai inserito nel passaggio 1.
-
NelRuolo ambientalesezione, scegliNuovo ruolo di servizioeAWS Protoncrea automaticamente un nuovo ruolo per te. Oppure, selezionaRuolo di servizio esistentee il nome del ruolo di servizio che hai creato in precedenza.
-
(Facoltativo) NelEtichettesezione, scegliAggiungi un nuovo tagper creare un tag gestito dal cliente per la connessione all'account di ambiente.
-
ScegliRichiesta di connessione.
-
La tua richiesta appare come in sospeso nelConnessioni all'ambiente inviate a un account di gestioneuna tabella e una modalità consentono di sapere come accettare la richiesta dall'account di gestione.
Accetta o rifiuta una richiesta di connessione all'account di ambiente.
-
In un account di gestione, inAWS Protonplancia, scegliConnessioni con account di ambientenel riquadro di navigazione.
-
NelConnessioni con account di ambientepagina, nelRichieste di connessione all'account di ambientetabella, scegli la richiesta di connessione all'ambiente da accettare o rifiutare.
Verifica l'ID dell'account che è elencato nellaConnessione all'account di ambientetitolo della pagina. Assicurati che corrisponda all'ID dell'account di gestione associato alla connessione dell'account di ambiente da rifiutare. Dopo aver rifiutato la connessione a questo account di ambiente,non possoaccetta o utilizza la connessione all'account di ambiente rifiutata.
-
ScegliRifiutareoAccettare.
-
Se hai selezionatoRifiutare, lo stato cambia dain attesaarespinto.
-
Se hai selezionatoAccettare, lo stato cambia dain attesaaconnesso.
Eliminare la connessione di un account di ambiente.
-
In un account ambientale, inAWS Protonplancia, scegliConnessioni con account di ambientenel riquadro di navigazione.
Verifica l'ID dell'account che è elencato nellaConnessione all'account di ambientetitolo della pagina. Assicurati che corrisponda all'ID dell'account di gestione associato alla connessione dell'account di ambiente da rifiutare. Dopo aver eliminato questa connessione all'account di ambiente,AWS Proton non possogestire le risorse dell'infrastruttura ambientale nell'account ambientale. Può gestirlo solo dopo che una nuova connessione all'account di ambiente per l'account di ambiente e l'ambiente denominato sono accettati dall'account di gestione.
-
NelConnessioni con account di ambientepagina, nelRichieste inviate per connettersi all'account di gestionesezione, scegliEliminare.
-
Una finestra modale richiede di confermare l'eliminazione. Scegliere Elimina.
- AWS CLI
-
Scegli un nome per l'ambiente che intendi creare nel tuo account di gestione o scegli il nome di un ambiente esistente che richiede una connessione con un account di ambiente.
Crea una connessione all'account di ambiente in un account di ambiente.
Esegui il comando seguente:
$ aws proton create-environment-account-connection \
--environment-name "simple-env-connected" \
--role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \
--management-account-id "111111111111"
Risposta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "PENDING"
}
}
Accetta o rifiuta la connessione di un account di ambiente in un account di gestione, come illustrato nel comando e nella risposta seguenti.
Se rifiuti questa connessione con l'account di ambiente, non sarai in grado di accettare o utilizzare la connessione con l'account di ambiente rifiutata.
Se specifichiRifiutare, lo stato cambia dain attesaarespinto.
Se specifichiAccettare, lo stato cambia dain attesaaconnesso.
Esegui il seguente comando per accettare la connessione all'account di ambiente:
$ aws proton accept-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Risposta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
Esegui il seguente comando per rifiutare la connessione all'account di ambiente:
$ aws proton reject-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Risposta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"status": "REJECTED",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-reject",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role"
}
}
Visualizza le connessioni di un account di ambiente. Puoiottenereolistaconnessioni agli account di ambiente.
Esegui il seguente comando get:
$ aws proton get-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Risposta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
Eliminare la connessione di un account di ambiente in un account di ambiente.
Se elimini questa connessione all'account di ambiente,AWS Protonnon sarà in grado di gestire le risorse dell'infrastruttura ambientale nell'account di ambiente finché non sarà stata accettata una nuova connessione all'ambiente per l'account di ambiente e denominato ambiente. Sei responsabile della pulizia delle risorse fornite che rimangono senza una connessione all'ambiente.
Esegui il comando seguente:
$ aws proton delete-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Risposta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
