AFT による新しいアカウントのプロビジョニング - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AFT による新しいアカウントのプロビジョニング

AFT で新しいアカウントをプロビジョニングするには、アカウントリクエストの Terraform ファイルを作成します。このファイルには、aft-account-requestリポジトリ内のパラメータの入力が含まれます。アカウントリクエストの Terraform ファイルを作成したら、git push を実行してアカウントリクエストの処理を開始します。このコマンドは AWS CodePipeline、アカウントのプロビジョニングが完了した後に AFT ct-aft-account-request 管理アカウントで作成された操作を呼び出します。詳細については、「AFT アカウントプロビジョニングパイプライン」を参照してください。

アカウントリクエスト Terraform ファイルのパラメータ

アカウントリクエストの Terraform ファイルには、次のパラメータを含める必要があります。アカウントリクエストの Terraform ファイルの例はで確認できます。 GitHub

  • module name の値は、 AWS アカウント リクエストごとに一意である必要があります。

  • module source の値は、AFT が提供するアカウントリクエスト Terraform モジュールへのパスです。

  • control_tower_parameters の値は、AWS Control Tower アカウントの作成に必要な入力をキャプチャします。値には次の入力フィールドが含まれます。

    • AccountEmail

    • AccountName

    • ManagedOrganizationalUnit

    • SSOUserEmail

    • SSOUserFirstName

    • SSOUserLastName

注記

control_tower_parameters に対して入力した内容は、アカウントのプロビジョニング中に変更することはできません。

ManagedOrganizationalUnitaft-account-requestリポジトリでの指定がサポートされている形式には、とが含まれますOUNameOUName (OU-ID)

  • account_tagsユーザー定義のキーと値をキャプチャし、 AWS アカウント ビジネス基準に従ってタグ付けできます。詳細については、 AWS Organizations ユーザーガイドAWS Organizations リソースへのタグ付けを参照してください。

  • change_management_parameters の値には、アカウントリクエストが作成された理由やアカウントリクエストを開始したユーザーなどの追加情報が含まれます。値には次の入力フィールドが含まれます。

    • change_reason

    • change_requested_by

  • custom_fields は、/aft/account-request/custom-fields/ で発行されたアカウントに SSM パラメータとしてデプロイするキーと値を持つ追加メタデータをキャプチャします。アカウントのカスタマイズ中にこのメタデータを参照すると、適切なコントロールをデプロイできます。たとえば、規制遵守の対象となるアカウントには、さらにデプロイする場合があります。 AWS Config ルールcustom_fields で収集したメタデータは、アカウントのプロビジョニングおよび更新中に追加の処理を引き起こす可能性があります。アカウントリクエストからカスタムフィールドを削除すると、そのカスタムフィールドは発行されたアカウントの SSM パラメータストアから削除されます。

  • (オプション) account_customizations_name aft-account-customizationsアカウントテンプレートフォルダーをリポジトリに取り込みます。詳細については、「アカウントのカスタマイズ」を参照してください。