계정 사용자 지정 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

계정 사용자 지정

AFT는 프로비저닝된 계정에 표준 또는 맞춤형 구성을 배포할 수 있습니다. AFT 관리 계정에서 AFT는 각 계정마다 하나의 파이프라인을 제공합니다. 이 파이프라인을 사용하면 모든 계정, 계정 집합 또는 개별 계정에서 사용자 지정을 구현할 수 있습니다. Python 스크립트, bash 스크립트 및 Terraform 구성을 실행하거나 계정 사용자 지정 단계의 일부로 AWS CLI와 상호 작용할 수 있습니다.

개요

선택한 사용자 지정에 사용자 지정이 지정된 후git리포지토리는 전역 사용자 지정을 저장하거나 계정 사용자 지정을 저장하는 저장소인 계정 사용자 지정 단계는 AFT 파이프라인에 의해 자동으로 완료됩니다. 계정을 소급하여 사용자 정의하려면 을 참조하십시오.사용자 지정 재호출.

글로벌 사용자 지정 (선택 사항)

AFT에서 프로비저닝한 모든 계정에 특정 사용자 지정을 적용하도록 선택할 수 있습니다. 예를 들어 특정 IAM 역할을 생성하거나 모든 계정에 사용자 지정 가드레일을 배포해야 하는 경우 AFT 파이프라인의 글로벌 사용자 지정 단계에서 자동으로 수행할 수 있습니다.

계정 사용자 지정 (선택 사항)

개별 계정 또는 계정 집합을 다른 AFT 프로비저닝된 계정과 다르게 사용자 정의하려면 AFT 파이프라인의 계정 사용자 지정 부분을 활용하여 계정별 구성을 구현할 수 있습니다. 예를 들어 특정 계정만 인터넷 게이트웨이에 액세스해야 할 수 있습니다.

사용자 지정 사전 조건

계정 사용자 지정을 시작하기 전에 이러한 사전 요구 사항이 설정되어 있는지 확인하십시오.

  • 완전히 배포된 AFT. 배포 방법에 대한 자세한 내용은 단원을 참조하십시오.테라폼용 AWS Control Tower Account Factory 구성 및 시작.

  • 미리 채워짐git사용자 환경의 글로벌 사용자 지정 및 계정 사용자 지정을 위한 리포지토리입니다. 단원을 참조하십시오.단계 3: 리포지토리 채우기에서배포 후 단계자세한 내용은 단원을 참조하십시오.

글로벌 사용자 지정 적용

전역 사용자 지정을 적용하려면 특정 폴더 구조를 선택한 저장소에 푸시해야 합니다.

  • 사용자 정의 구성이 Python 프로그램이나 스크립트의 형태인 경우 아래에 배치하십시오.api_헬퍼스/파이썬리포지토리에 있는 폴더.

  • 사용자 지정 구성이 Bash 스크립트 형식인 경우 아래에 배치하십시오.api_헬퍼리포지토리에 있는 폴더.

  • 사용자 지정 구성이 Terraform 형식인 경우, 사용자 지정 구성이 Terraform 형식으로 되어 있는 경우테라폼리포지토리에 있는 폴더.

  • 사용자 지정 구성을 만드는 방법에 대한 자세한 내용은 전역 사용자 지정 README 파일을 참조하십시오.

참고

글로벌 사용자 지정은 AFT 파이프라인의 AFT 계정 프로비저닝 프레임워크 단계 이후에 자동으로 적용됩니다.

계정 사용자 지정 적용

계정 사용자 지정을 적용하려면 특정 폴더 구조를 선택한 저장소에 푸시해야 합니다.

참고

계정 사용자 지정은 AFT 파이프라인의 글로벌 사용자 지정 단계 이후에 자동으로 적용됩니다.

단계 1: 특정 계정 사용자 지정을 위한 폴더 만들기

먼저 샘플을 찾습니다.ACCOUNT_TEMPLATE선택한 저장소에 있는 폴더 (AFT에서 제공) 조직의 요구 사항에 따라 특정 계정 사용자 지정 이름이 있는 새 폴더에 해당 샘플을 복사할 수 있습니다. 예,prod-customization또는금융 커스터마이징.

단계 2: 특정 계정 사용자 지정 폴더에 대한 구성 추가

  • 사용자 정의 구성이 Python 프로그램이나 스크립트의 형태인 경우 아래에 배치하십시오.[계정_사용자 지정_이름]/api_도우미/파이썬리포지토리에 있는 폴더.

  • 사용자 지정 구성이 Bash 스크립트 형식인 경우 아래에 배치하십시오.[계정_사용자 지정_이름]/api_헬퍼리포지토리에 있는 폴더.

  • 사용자 지정 구성이 Terraform 형식인 경우 아래에 배치하십시오.[계정_사용자 지정_이름]/테라폼리포지토리에 있는 폴더.

  • 사용자 지정 구성을 만드는 방법에 대한 자세한 내용은 계정 사용자 지정 README 파일을 참조하십시오.

단계 3: 특정 항목을 참조하십시오.계정_사용자 지정_이름계정 요청 입력 파일의 매개 변수

AFT 계정 요청 파일은 AFT 파이프라인을 통해 각 계정을 프로비저닝한 후 적용할 계정 사용자 지정을 지정할 수 있는 입력 매개 변수를 제공합니다. 특정 계정 사용자 지정 폴더의 이름을계정_사용자 지정_이름다음과 같이 계정 요청 입력 파일에 있는 매개 변수배포 후 단계.

사용자 환경의 여러 계정에 유사한 계정 사용자 지정을 적용하려면계정_사용자 지정_이름여러 계정 요청에서 입력 매개 변수입니다.

Multiple customization

계정 사용자 지정 저장소에 여러 폴더를 만들 수 있습니다. 이 폴더는 다양한 특정 계정 사용자 지정을 설정할 수 있습니다. 필요한 각 특정 계정 사용자 지정 구현에 대해 제공된 단계를 따르십시오.

사용자 지정 재호출

AFT는 AFT 파이프라인에서 사용자 지정을 다시 호출하는 방법을 제공합니다. 이 방법은 새 사용자 지정 단계를 추가했거나 기존 사용자 지정을 변경할 때 유용합니다. 다시 호출하면 AFT는 사용자 지정 파이프라인을 시작하여 AFT 프로비저닝된 계정을 변경합니다. 원래 요청 ping에 대한event-source-basedreinvoke를 사용하면 개별 계정, 모든 계정, OU에 따라 계정 또는 태그에 따라 선택한 계정에 사용자 지정을 적용할 수 있습니다.

다음 세 단계에 따라 AFT 프로비저닝된 계정에 대한 사용자 지정을 다시 호출합니다.

단계 1: 글로벌 또는 계정 사용자 지정에 대한 변경 사항 푸시git저장소

필요에 따라 글로벌 및 계정 사용자 지정을 업데이트하고 변경 사항을 다시 푸시할 수 있습니다.git리포지토리. 이 시점에서 아무 일도 일어나지 않습니다. 사용자 지정 파이프라인은 다음 두 단계에서 설명한 대로 이벤트 소스에 의해 호출되어야 합니다.

단계 2: 사용자 지정 재호출을 위해 AWS Step 함수 실행 시작

AFT는 다음과 같은 AWS 단계 함수를 제공합니다.aft-invoke-customizationsAFT 관리 계정에 있습니다. 이 함수의 목적은 AFT 프로비저닝된 계정에 대한 사용자 지정 파이프라인을 다시 호출하는 것입니다.

다음은 입력을 전달하기 위해 만들 수 있는 이벤트 스키마 (JSON 형식) 의 예입니다.aft-invoke-customizationsAWS 단계 함수.

{ "include": [ { "type": "all" }, { "type": "ous", "target_value": [ "ou1","ou2"] }, { "type": "tags", "target_value": [ {"key1": "value1"}, {"key2": "value2"}] }, { "type": "accounts", "target_value": [ "acc1_ID","acc2_ID"] } ], "exclude": [ { "type": "ous", "target_value": [ "ou1","ou2"] }, { "type": "tags", "target_value": [ {"key1": "value1"}, {"key2": "value2"}] }, { "type": "accounts", "target_value": [ "acc1","acc2"] } ] }

이 예제 이벤트 스키마에서 볼 수 있듯이 재호출 프로세스에서 포함하거나 제외할 계정을 선택할 수 있습니다. 계정 ID, OU (조직 단위) 및 계정 태그별로 필터링할 수 있습니다. 필터를 적용하지 않고 문을 포함하는 경우"type":"all"를 선택하면 AFT 프로비저닝된 모든 계정에 대한 사용자 지정이 다시 호출됩니다.

이벤트 파라미터가 입력되면 AWS Step 함수가 실행됩니다. 해당 사용자 지정을 호출합니다.

참고

AFT는 한 번에 최대 5개의 사용자 지정을 호출할 수 있습니다. step 함수는 이벤트 기준과 일치하는 모든 계정이 완료될 때까지 대기하고 반복합니다.

단계 3: AWS 단계 함수 출력 모니터링 및 AWS 시청CodePipeline실행 중입니다

  • 결과 Step 함수 출력에는 Step 함수 입력 이벤트 소스와 일치하는 계정 ID가 포함됩니다.

  • AWS로 이동합니다.CodePipeline아래에개발자 도구계정 ID에 해당하는 사용자 지정 파이프라인을 확인합니다.