自動化によるアカウントのプロビジョニングと更新 - AWS Control Tower

自動化によるアカウントのプロビジョニングと更新

AWS Control Tower の各アカウントは、いくつかの方法でプロビジョニングまたは更新できます。

  • アカウントは、AWS Control Tower Account Factory for Terraform (AFT) により、プロビジョニングおよび更新できます。詳細については、「AWS Control Tower Account Factory for Terraform の概要」を参照してください。

  • アカウントは、Customizations for AWS Control Tower (CfCT) を使用して更新できます。詳細については、「AWS Control Tower のカスタマイズ (CfCT) の概要」を参照してください。

  • スクリプト自動化: API アプローチを使用してアカウントを更新する場合は、Service Catalog の API フレームワークと AWS CLI を使用して一括処理でアカウントを更新できます。アカウントごとに Service Catalog の UpdateProvisionedProduct API を呼び出します。この API を使用して、アカウントを 1 つずつ更新するスクリプトを書くことができます。ガバナンスのリージョンを追加する場合、このアプローチの詳細については、ブログ記事「Enabling guardrails in new AWS Regions」(新しい AWS リージョンでのガードレールの有効化) を参照してください。

    各アカウントの更新を無事に完了してから、次のアカウントの更新を開始してください。したがって、アカウントが多くある場合は、処理に時間がかかることはありますが、複雑ではありません。この方法の詳細については、「チュートリアル: Service Catalog API による AWS Control Tower のアカウントプロビジョニングの自動化」を参照してください。

動画チュートリアル

動画チュートリアル は、スクリプトによるアカウントの自動プロビジョニング用に設計されていますが、この手順はアカウントの更新にも適用されます。ProvisionProduct API の代わりに UpdateProvisionedProduct API を使用します。

スクリプトによるオートメーションの追加のステップとして、AWS Control Tower UpdateLandingZone ライフサイクルイベントの [Succeed] (成功) ステータスを確認します。これは、動画で説明されているように個々のアカウントの更新を開始するためのトリガーとして使用します。ライフサイクルイベントは一連のアクティビティの完了を示すため、このイベントが発生するとランディングゾーンの更新が完了したことを意味します。アカウントの更新を開始する前に、ランディングゾーンの更新が完了している必要があります。ライフサイクルイベントの操作の詳細については、「ライフサイクルイベント」を参照してください。