Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Personalizar contas com Account Factory Customization (AFC)

PDF
RSS
Modo de foco
Personalizar contas com Account Factory Customization (AFC) - AWS Control Tower
Considerações sobre o Account Factory Customizations (AFC)Em caso de erro de esquemaPersonalizando seu documento de política para esquemas do AFC com base em CloudFormationPermissões adicionais necessárias para criar um produto do Service Catalog baseado no Terraform

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O AWS Control Tower permite que você personalize os novos e os existentes Contas da AWS ao provisionar seus recursos a partir do console do AWS Control Tower. Depois de configurar a personalização do Account Factory, o AWS Control Tower automatiza esse processo para provisionamento futuro, para que você não precise manter nenhum pipeline. Contas personalizadas estão disponíveis para uso imediatamente após o provisionamento dos recursos.

Provisione novas contas com plantas

Suas contas personalizadas são provisionadas na AWS Control Tower Account Factory, por meio de AWS CloudFormation modelos ou com o Terraform. Você definirá um modelo que serve como esquema de conta personalizado. O esquema descreve os recursos e as configurações específicos que são necessários quando uma conta é provisionada. Planos predefinidos, criados e gerenciados por AWS parceiros, também estão disponíveis. Consulte mais informações sobre esquemas gerenciados por parceiros em AWS Service Catalog Getting Started Library.

Aplicar esquemas às contas existentes

Você também pode aplicar esquemas personalizados às contas existentes seguindo as etapas de Atualizar conta no console do AWS Control Tower. Para obter detalhes, consulte Atualizar a conta no console.

Definição: Sua conta central

Os planos da sua conta são armazenados em uma Conta da AWS, que, para nossos propósitos, é chamada de conta hub. Os esquemas são armazenados na forma de um produto do Service Catalog. Chamamos esse produto de esquema, para diferenciá-lo de qualquer outro produto do Service Catalog. Consulte mais sobre como criar produtos do Service Catalog em Creating products no Guia do administrador do AWS Service Catalog .

nota

O AWS Control Tower contém controles proativos, que monitoram recursos do AWS CloudFormation no AWS Control Tower. Opcionalmente, você pode ativar esses controles na zona de pouso. Quando você aplica controles proativos, eles verificam se os recursos que você está prestes a implantar em suas contas estão em conformidade com as políticas e procedimentos da organização. Consulte mais informações sobre controles proativos em Proactive controls.

Consulte mais informações sobre como trabalhar com o AFC em Automate account customization using Account Factory Customization in AWS Control Tower.

Pré-requisitos

Antes de começar a criar contas personalizadas com o Account Factory do AWS Control Tower, você deve ter um ambiente de zona de pouso do AWS Control Tower implantado e uma unidade organizacional (UO) registrada no AWS Control Tower, onde suas contas recém-criadas serão colocadas.

Preparação para personalização

  • Designe uma conta hub: você pode criar uma nova conta para servir como conta hub ou usar uma existente Conta da AWS. É altamente recomendável não usar a conta de gerenciamento do AWS Control Tower como conta central do esquema.

  • Adicione a função necessária: se você planeja se inscrever Contas da AWS na AWS Control Tower e personalizá-la, primeiro você deve adicionar a AWSControlTowerExecution função a essas contas, como faria com qualquer outra conta que você esteja inscrevendo na AWS Control Tower.

  • Configurar planos de parceiros (opcional): Se você planeja usar planos de parceiros que tenham requisitos de assinatura do Marketplace, você deve configurá-los na sua conta de gerenciamento do AWS Control Tower antes de implantar os planos de parceiros como planos de personalização de fábrica de contas.

Tópicos
nota

Um esquema pode ser implantado por conta do AWS Control Tower.

Considerações sobre o Account Factory Customizations (AFC)

  • O AFC oferece suporte à personalização usando apenas um único produto de AWS Service Catalog modelo.

  • Os produtos do AWS Service Catalog blueprint devem ser criados na conta do hub e na mesma região da região de origem da zona de pouso do AWS Control Tower.

  • A o perfil do IAM AWSControlTowerBlueprintAccess deve ser criado com o nome, as permissões e a política de confiança adequados.

  • O AWS Control Tower oferece duas opções de implantação para esquemas: implantar somente na região de origem ou implantar em todas as regiões administradas pelo AWS Control Tower. A seleção de regiões não está disponível.

  • Quando você atualiza um blueprint em uma conta de membro, a ID da conta do blueprint hub e o produto AWS Service Catalog blueprint não podem ser alterados.

  • O AWS Control Tower não permite remover um esquema existente e adicionar um novo em uma única operação de atualização do esquema. Você pode remover um esquema e depois adicionar um novo em operações separadas.

  • O AWS Control Tower muda o comportamento, com base no fato de você estar criando ou inscrevendo contas personalizadas ou contas não personalizadas. Se você não estiver criando ou inscrevendo contas personalizadas com esquemas, o AWS Control Tower cria um produto provisionado pelo Account Factory (por meio do Service Catalog) na conta de gerenciamento do AWS Control Tower. Se você estiver especificando a personalização ao criar ou inscrever contas com esquemas, o AWS Control Tower não criará um produto provisionado pelo Account Factory na conta de gerenciamento do AWS Control Tower.

Em caso de erro de esquema

Erro ao aplicar um esquema

Se ocorrer um erro durante o processo de aplicação de um esquema em uma conta: seja uma conta nova ou existente que você esteja inscrevendo no AWS Control Tower: o procedimento de recuperação será o mesmo. A conta existirá, mas não será personalizada nem estará inscrita no AWS Control Tower. Para continuar, siga as etapas para inscrever a conta no AWS Control Tower e adicionar o esquema no momento da inscrição.

Erro ao criar o perfil AWSControlTowerBlueprintAccess e soluções alternativas

Ao criar o perfil AWSControlTowerBlueprintAccess por uma conta do AWS Control Tower, você deve ter feito login como entidade principal usando o perfil AWSControlTowerExecution. Se você tiver feito login de qualquer outra forma, a operação CreateRole será impedida por uma SCP, conforme mostrado no artefato a seguir:

{
            "Condition": {
                "ArnNotLike": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::*:role/AWSControlTowerExecution",
                        "arn:aws:iam::*:role/stacksets-exec-*"
                    ]
                }
            },
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:DeleteRolePermissionsBoundary",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy",
                "iam:UpdateAssumeRolePolicy",
                "iam:UpdateRole",
                "iam:UpdateRoleDescription"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-controltower-*",
                "arn:aws:iam::*:role/*AWSControlTower*",
                "arn:aws:iam::*:role/stacksets-exec-*"
            ],
            "Effect": "Deny",
            "Sid": "GRIAMROLEPOLICY"
        }

Estas soluções alternativas estão disponíveis:

  • (Mais recomendada) Assuma o perfil AWSControlTowerExecution e crie o perfil AWSControlTowerBlueprintAccess. Se você escolher essa solução alternativa saia do perfil AWSControlTowerExecution imediatamente depois, para evitar alterações não intencionais nos recursos.

  • Faça login em uma conta que não está inscrita no AWS Control Tower e, portanto, não está sujeita a essa SCP.

  • Edite temporariamente essa SCP para permitir a operação.

  • (Altamente não recomendada) Use sua conta de gerenciamento do AWS Control Tower como sua conta central, para que ela não esteja sujeita à SCP.

Personalizando seu documento de política para esquemas do AFC com base em CloudFormation

Quando você habilita um plano por meio da fábrica de contas, o AWS Control Tower orienta AWS CloudFormation a criação de um StackSet em seu nome. AWS CloudFormation requer acesso à sua conta gerenciada para criar AWS CloudFormation pilhas no StackSet. Embora AWS CloudFormation já tenha privilégios de administrador na conta gerenciada por meio da AWSControlTowerExecution função, essa função não pode ser assumida por. AWS CloudFormation

Como parte da habilitação de um plano, o AWS Control Tower cria uma função na conta do membro, que AWS CloudFormation pode assumir a conclusão das tarefas StackSet de gerenciamento. A maneira mais simples de habilitar seu esquema personalizado por meio do Account Factory é usar uma política de permissão total, pois essas políticas são compatíveis com qualquer modelo de esquema.

No entanto, as melhores práticas sugerem que você deve restringir as permissões AWS CloudFormation na conta de destino. Você pode fornecer uma política personalizada, que o AWS Control Tower aplica à função criada AWS CloudFormation para uso. Por exemplo, se o esquema criar um parâmetro do SSM chamado something-important, você poderá fornecer a seguinte política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCloudFormationActionsOnStacks",
            "Effect": "Allow",
            "Action": "cloudformation:*",
            "Resource": "arn:aws:cloudformation:*:*:stack/*"
        },
        {
            "Sid": "AllowSsmParameterActions",
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter",
                 "ssm:DeleteParameter",
                 "ssm:GetParameter",
                 "ssm:GetParameters"
            ],
            "Resource": "arn:*:ssm:*:*:parameter/something-important"
        }
    ]
}

A AllowCloudFormationActionsOnStacks declaração é obrigatória para todas as políticas personalizadas do AFC; AWS CloudFormation usa essa função para criar instâncias de pilha, portanto, requer permissão para realizar AWS CloudFormation ações em pilhas. A seção AllowSsmParameterActions é específica para o modelo que está sendo habilitado.

Resolver problemas de permissão

Ao habilitar um esquema com uma política restrita, você pode descobrir que não há permissões suficientes para habilitar o esquema. Para resolver esses problemas, revise seu documento de política e atualize as preferências do esquema da conta-membro para usar a política corrigida. Para verificar se a política é suficiente para habilitar o blueprint, certifique-se de que as AWS CloudFormation permissões sejam concedidas e que você possa criar uma pilha diretamente usando essa função.

Permissões adicionais necessárias para criar um produto do Service Catalog baseado no Terraform

Ao criar um produto AWS Service Catalog externo com um arquivo de configuração do Terraform para AFC, é AWS Service Catalog necessário adicionar certas permissões à sua política de IAM personalizada do AFC, além das permissões necessárias para criar os recursos definidos em seu modelo. Se escolher a política de administração completa padrão, você não precisará adicionar essas permissões extras.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "resource-groups:CreateGroup",
                "resource-groups:ListGroupResources",
                "resource-groups:DeleteGroup",
                "resource-groups:Tag"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "tag:GetResources",
                "tag:GetTagKeys",
                "tag:GetTagValues",
                "tag:TagResources",
                "tag:UntagResources"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "s3:GetObject",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
                }
            }
        }
    ]
}

Para obter mais informações sobre a criação de produtos Terraform usando o tipo de produto externo em AWS Service Catalog, consulte Etapa 5: Criar funções de lançamento no Service Catalog Administrator Guide.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.