AWS Control Tower Account Factory for Terraform の概要 (AFT) - AWS Control Tower
動画チュートリアル

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower Account Factory for Terraform の概要 (AFT)

Account Factory for Terraform (AFT) は、Control Tower でのアカウントのプロビジョニングとカスタマイズに役立つ Terraform AWS パイプラインを設定します。AFT では、Terraform ベースのアカウントプロビジョニングの利点を得ながら、AWSControl Tower でアカウントを管理できます。

AFT アカウントリクエスト Terraform ファイルを作成して、アカウントプロビジョニングのAFTワークフローをトリガーする入力を取得します。アカウントプロビジョニングステージが完了すると、 はアカウントカスタマイズステージを開始する前に一連のステップAFTを自動的に実行します。詳細については、AFT「アカウントプロビジョニングパイプライン」を参照してください。

AFT は、Terraform Cloud、Terraform Enterprise、Terraform Community Edition をサポートしています。を使用すると、入力ファイルと簡単なgit pushコマンドを使用してアカウントの作成を開始し、新規または既存のアカウントをカスタマイズAFTできます。アカウント作成には、組織の標準セキュリティ手順とコンプライアンスガイドラインを満たすのに役立つ AWS Control Tower ガバナンスのすべての利点とアカウントカスタマイズが含まれます。

AFT は、アカウントカスタマイズリクエストのトレースをサポートします。アカウントカスタマイズリクエストを送信するたびに、 はAFTカスタマイズ AWS Step Functions ステートマシンを通過する一意のトレーストークンAFTを生成します。これは、トークンを実行の一部としてログに記録します。その後、Amazon CloudWatch Logs Insights クエリを使用してタイムスタンプ範囲を検索し、リクエストトークンを取得できます。その結果、トークンに付随するペイロードが表示されるため、AFTワークフロー全体でアカウントのカスタマイズリクエストを追跡できます。 CloudWatch ログと Step Functions の詳細については、以下を参照してください。

AFT はコンポーネントサービス、他の AWS サービスの機能を として組み合わせ、Terraform Infrastructure as Code (IaC) をデプロイするパイプラインを使用してフレームワークを構築します。AFT により以下ができます。

  • GitOps モデルでアカウントのプロビジョニングと更新リクエストを送信する

  • アカウントのメタデータと監査履歴を保存する

  • アカウントレベルのタグを適用する

  • すべてのアカウント、一連のアカウント、または個々のアカウントにカスタマイズを追加する

  • 機能オプションの有効化

AFT は、AFT管理アカウント と呼ばれる別のアカウントを作成し、AFT機能をデプロイします。を設定する前にAFT、既存の AWS Control Tower ランディングゾーンが必要です。AFT 管理アカウントは、AWSControl Tower 管理アカウントとは異なります。

AFT 柔軟性を提供

  • プラットフォームの柔軟性: は、Community Edition、Cloud、Enterprise の初期デプロイと継続的な運用のために Terraform ディストリビューションAFTをサポートします。

  • バージョン管理システムの柔軟性: は AWS CodeCommit、、および を介した代替バージョン管理ソースAFTをサポートします AWS CodeConnections。

AFT で機能オプションを提供

ベストプラクティスに基づいて、いくつかの機能オプションを有効にできます。

  • データイベントをログ記録 CloudTrail するための組織レベルの作成

  • VPC アカウントの AWS デフォルトを削除する

  • プロビジョニングされたアカウントを AWS エンタープライズサポートプランに登録する

注記

AFT パイプラインは、アカウントがアプリケーションを実行するために必要な Amazon EC2インスタンスなどのリソースのデプロイでの使用を目的としていません。これは、AWSControl Tower アカウントの自動プロビジョニングとカスタマイズのみを目的としています。

動画チュートリアル

このビデオ (7:33) では、AWSControl Tower Account Factory for Terraform を使用してアカウントをデプロイする方法について説明します。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。