Implante AWS o Control Tower Account Factory para Terraform () AFT

Esta seção é para administradores de ambientes AWS Control Tower que desejam configurar o Account Factory for Terraform (AFT) em seu ambiente existente. Ele descreve como configurar um ambiente Account Factory for Terraform (AFT) com uma nova conta AFT de gerenciamento dedicada.

nota

Um módulo Terraform é AFT implantado. Esse módulo está disponível no AFTrepositório em GitHub, e todo o AFT repositório é considerado o módulo.

Recomendamos que você consulte os AFT módulos em GitHub vez de clonar o AFT repositório. Dessa forma, você pode controlar e consumir atualizações dos módulos à medida que estiverem disponíveis.

Para obter detalhes sobre as versões mais recentes da funcionalidade AWS Control Tower Account Factory for Terraform (AFT), consulte o arquivo de lançamentos desse GitHub repositório.

Pré-requisitos de implantação

Antes de configurar e iniciar seu AFT ambiente, você deve ter o seguinte:

• Uma zona de pouso da AWS Control Tower. Para obter mais informações, consulte Planejar sua zona de pouso da AWS Control Tower.

• Uma região de origem para sua landing zone da AWS Control Tower. Para obter mais informações, consulte Como Regiões da AWS trabalhar com a AWS Control Tower.

• Uma versão e distribuição do Terraform. Para obter mais informações, consulte Terraform e AFT versões.

• Um VCS provedor para rastrear e gerenciar alterações no código e em outros arquivos. Por padrão, AFT usa AWS CodeCommit. Para obter mais informações, consulte O que é AWS CodeCommit? no Guia do AWS CodeCommit usuário.

  Se você estiver implantando AFT pela primeira vez e não tiver um CodeCommit repositório existente, deverá escolher um VCS provedor externo, como GitHub ou. BitBucket Para obter mais informações, consulte Alternativas para controle de versão do código-fonte em AFT.

• Um ambiente de execução em que você pode executar o módulo Terraform que é instaladoAFT.

• AFTopções de recursos. Para obter mais informações, consulte Habilitar opções de recursos.

Configure e inicie sua AWS Control Tower Account Factory para Terraform

As etapas a seguir pressupõem que você esteja familiarizado com o fluxo de trabalho do Terraform. Você também pode aprender mais sobre a implantação AFT seguindo a Introdução ao AFT laboratório no site do AWS Workshop Studio.

Etapa 1: Inicie sua zona de pouso da AWS Control Tower

Conclua as etapas em Introdução ao AWS Control Tower. É aqui que você cria a conta de gerenciamento da AWS Control Tower e configura sua zona de pouso da AWS Control Tower.

nota

Certifique-se de criar uma função para a conta de gerenciamento da AWS Control Tower que tenha AdministratorAccesscredenciais. Para obter mais informações, consulte as informações a seguir.

• IAMIdentidades (usuários, grupos de usuários e funções) no Guia do AWS Identity and Access Management usuário

• AdministratorAccessno Guia de referência de políticas AWS gerenciadas

Etapa 2: criar uma nova unidade organizacional para AFT (recomendado)

Recomendamos que você crie uma OU separada em sua AWS organização. É aqui que você implanta a conta AFT de gerenciamento. Crie a nova OU com sua conta de gerenciamento da AWS Control Tower. Para obter mais informações, consulte Criar uma nova OU.

Etapa 3: provisionar a conta AFT de gerenciamento

AFTexige que você provisione uma AWS conta dedicada às operações AFT de gerenciamento. A conta de gerenciamento da AWS Control Tower, associada à sua landing zone da AWS Control Tower, vende a conta AFT de gerenciamento. Para obter mais informações, consulte Provisionar contas com o AWS Service Catalog Account Factory.

nota

Se você criou uma OU separada paraAFT, certifique-se de selecionar essa OU ao criar a conta AFT de gerenciamento.

Pode levar até 30 minutos para provisionar totalmente a conta AFT de gerenciamento.

Etapa 4: Verificar se o ambiente Terraform está disponível para implantação

Esta etapa pressupõe que você tenha experiência com o Terraform e tenha procedimentos implementados para executar o Terraform. Para obter mais informações, consulte Command: init no site do HashiCorp desenvolvedor.

nota

AFTsuporta a versão Terraform 1.6.0 ou posterior.

Etapa 5: chame o módulo Account Factory for Terraform para implantar AFT

Chame o AFT módulo com a função que você criou para a conta de gerenciamento da AWS Control Tower que tem AdministratorAccesscredenciais. AWSO Control Tower provisiona um módulo Terraform por meio da conta de gerenciamento da AWS Control Tower, que estabelece toda a infraestrutura necessária para orquestrar as solicitações do Control AWS Tower Account Factory.

Você pode visualizar o AFT módulo no AFTrepositório em. GitHub O GitHub repositório inteiro é considerado o AFT módulo. Consulte o READMEarquivo para obter informações sobre as entradas necessárias para executar o AFT módulo e implantarAFT. Como alternativa, você pode visualizar o AFT módulo no Registro do Terraform.

O AFT módulo inclui um aft_enable_vpc parâmetro que especifica se o AWS Control Tower provisiona recursos da conta em uma nuvem privada virtual (VPC) na conta AFT de gerenciamento central. Por padrão, o parâmetro é definido comotrue. Se você definir esse parâmetro comofalse, o AWS Control Tower será implantado AFT sem o uso de VPC recursos de rede privados, como NAT gateways ou VPC endpoints. A desativação aft_enable_vpc pode ajudar a reduzir o custo operacional AFT de alguns padrões de uso.

nota

A reativação do aft_enable_vpc parâmetro (alternando o valor de false paratrue) pode exigir que você execute o terraform apply comando duas vezes consecutivas.

Se você tiver pipelines em seu ambiente que estão estabelecidos para gerenciar o Terraform, você pode integrar o AFT módulo ao seu fluxo de trabalho existente. Caso contrário, execute o AFT módulo em qualquer ambiente autenticado com as credenciais necessárias.

O tempo limite faz com que a implantação falhe. Recomendamos usar as credenciais AWS Security Token Service (STS) para garantir que você tenha um tempo limite suficiente para uma implantação completa. O tempo limite mínimo para AWS STS credenciais é de 60 minutos. Para obter mais informações, consulte Credenciais de segurança temporárias IAM no Guia do AWS Identity and Access Management usuário.

nota

Você pode esperar até 30 minutos para concluir AFT a implantação por meio do módulo Terraform.

Etapa 6: gerenciar o arquivo de estado do Terraform

Um arquivo de estado do Terraform é gerado quando você implantaAFT. Esse artefato descreve o estado dos recursos que o Terraform criou. Se você planeja atualizar a AFT versão, certifique-se de preservar o arquivo de estado do Terraform ou configurar um back-end do Terraform usando o Amazon S3 e o DynamoDB. O AFT módulo não gerencia um estado de back-end do Terraform.

nota

Você é responsável por proteger o arquivo de estado do Terraform. Algumas variáveis de entrada podem conter valores confidenciais, como uma ssh chave privada ou um token do Terraform. Dependendo do seu método de implantação, esses valores podem ser visualizados como texto simples no arquivo de estado do Terraform. Para obter mais informações, consulte Dados confidenciais no estado no HashiCorp site.