Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos

Valide o código do Account Factory for Terraform (AFT) localmente

Criado por Alexandru Pop (AWS) e Michal Gorniak () AWS

Ambiente: produção	Tecnologias: Infraestrutura DevOps; Modernização; DevelopmentAndTesting	Workload: código aberto
AWSserviços: AWS Control Tower

Resumo

Esse padrão mostra como testar localmente o código do HashiCorp Terraform gerenciado pela AWS Control Tower Account Factory for Terraform ()AFT. O Terraform é uma ferramenta de infraestrutura como código (IaC) de código aberto que ajuda você a usar o código para provisionar e gerenciar a infraestrutura e os recursos da nuvem. AFTconfigura um pipeline do Terraform que ajuda você a provisionar e personalizar várias AWS contas no AWS Control Tower.

Durante o desenvolvimento do código, pode ser útil testar sua infraestrutura do Terraform como código (IaC) localmente, fora do AFT pipeline. Este padrão mostra como fazer o seguinte:

Recupere uma cópia local do código do Terraform que está armazenado nos AWS CodeCommit repositórios da sua AFT conta de gerenciamento.
Simule o AFT pipeline localmente usando o código recuperado.

Esse procedimento também pode ser usado para executar comandos do Terraform que não fazem parte do AFT pipeline normal. Por exemplo, você pode usar esse método para executar comandos como terraform validate, terraform plan, terraform destroy e terraform import.

Pré-requisitos e limitações

Pré-requisitos

Um ambiente ativo de AWS várias contas que usa o AWSControl Tower
Um ambiente totalmente implantado AFT
AWSInterface de linha de comando (AWSCLI), instalada e configurada
AWSCLIauxiliar de credenciais para Code Commit, instalado e configurado
Python 3.x
Git, instalado e configurado em sua máquina local
git-remote-commit utilitário, instalado e configurado
Terraform, instalado e configurado (a versão local do pacote Terraform deve corresponder à versão usada na AFT implantação)

Limitações

Esse padrão não abrange as etapas de implantação necessárias para o AWS Control Tower ou qualquer módulo específico do Terraform. AFT
A saída gerada localmente durante esse procedimento não é salva nos registros de tempo de execução do AFT pipeline.

Arquitetura

Pilha de tecnologias de destino

AFTinfraestrutura implantada em uma implantação da AWS Control Tower
Terraforma
Git
AWSCLIversão 2

Automação e escala

Esse padrão mostra como invocar localmente o código do Terraform para personalizações de contas AFT globais em uma única conta gerenciada. AFT AWS Depois que seu código do Terraform for validado, você poderá aplicá-lo às contas restantes em seu ambiente de várias contas. Para obter mais informações, consulte Reinvocar personalizações na documentação da Control TowerAWS.

Você também pode usar um processo semelhante para executar personalizações de AFT conta em um terminal local. Para invocar localmente o código do Terraform a partir das personalizações da AFT conta, clone o aft-account-customizations repositório em vez do repositório na sua conta de gerenciamento aft-global-account-customizations. CodeCommit AFT

Ferramentas

AWSserviços

AWSO Control Tower ajuda você a configurar e administrar um ambiente AWS com várias contas, seguindo as melhores práticas prescritivas.
AWSA interface de linha de comando (AWSCLI) é uma ferramenta de código aberto que ajuda você a interagir com AWS serviços por meio de comandos em seu shell de linha de comando.

Outros serviços

HashiCorp O Terraform é uma ferramenta de infraestrutura como código (IaC) de código aberto que ajuda você a usar o código para provisionar e gerenciar a infraestrutura e os recursos da nuvem.
O Git é um sistema de controle de versão distribuído e de código aberto.

Código

A seguir está um exemplo de script bash que pode ser usado para executar localmente o código do Terraform que é gerenciado pelo. AFT Para usar o script, siga as instruções na seção Épicos desse padrão.


#! /bin/bash
# Version: 1.1 2022-06-24 Unsetting AWS_PROFILE since, when set, it interferes with script operation
#          1.0 2022-02-02 Initial Version
#
# Purpose: For use with AFT: This script runs the local copy of TF code as if it were running within AFT pipeline.
#        * Facilitates testing of what the AFT pipline will do 
#           * Provides the ability to run terraform with custom arguments (like 'plan' or 'move') which are currently not supported within the pipeline.
#
# © 2021 Amazon Web Services, Inc. or its affiliates. All Rights Reserved.
# This AWS Content is provided subject to the terms of the AWS Customer Agreement
# available at http://aws.amazon.com/agreement or other written agreement between
# Customer and either Amazon Web Services, Inc. or Amazon Web Services EMEA SARL or both.
#
# Note: Arguments to this script are passed directly to 'terraform' without parsing nor validation by this script.
#
# Prerequisites:
#    1. local copy of ct GIT repositories
#    2. local backend.tf and aft-providers.tf filled with data for the target account on which terraform is to be run
#       Hint: The contents of above files can be obtain from the logs of a previous execution of the AFT pipeline for the target account.
#    3. 'terraform' binary is available in local PATH
#    4. Recommended: .gitignore file containing 'backend.tf', 'aft_providers.tf' so the local copy of these files are not pushed back to git

readonly credentials=$(aws sts assume-role \
    --role-arn arn:aws:iam::$(aws sts get-caller-identity --query "Account" --output text ):role/AWSAFTAdmin \
    --role-session-name AWSAFT-Session \
    --query Credentials )

unset AWS_PROFILE
export AWS_ACCESS_KEY_ID=$(echo $credentials | jq -r '.AccessKeyId')
export AWS_SECRET_ACCESS_KEY=$(echo $credentials | jq -r '.SecretAccessKey')
export AWS_SESSION_TOKEN=$(echo $credentials | jq -r '.SessionToken')
terraform "$@"

Épicos

Tarefa	Descrição	Habilidades necessárias
Salve o código de exemplo como um arquivo local.	Copie o exemplo de script bash que está na seção Código desse padrão e cole-o em um editor de código. Nomeie o arquivo `ct_terraform.sh`. Em seguida, salve o arquivo localmente dentro de uma pasta dedicada, como `~/scripts` ou `~/bin`.	AWSadministrador
Torne o código de exemplo executável.	Abra uma janela de terminal e autentique-se em sua conta de AWS AFT gerenciamento fazendo o seguinte: Use um AWSCLIperfil existente configurado com as permissões necessárias para acessar a conta AFT de gerenciamento. Para usar o perfil, você pode executar o comando a seguir: `export AWS_PROFILE=<aft account profile name>` Se sua organização usa SSO para acessarAWS, insira as credenciais da sua conta AFT de gerenciamento na SSO página da sua organização. Observação: sua organização também pode ter uma ferramenta personalizada para fornecer credenciais de autenticação ao seu AWS ambiente.	AWSadministrador
Verifique o acesso à conta AFT de gerenciamento na AWS região correta.	Importante: certifique-se de usar a mesma sessão de terminal com a qual você se autenticou em sua conta AFT de gerenciamento. Navegue até a AWS região da sua AFT implantação executando o seguinte comando: `export AWS_REGION=<aft_region>` Verifique se a conta está correta fazendo o seguinte: Execute o seguinte comando : `aws code-commit list-repositories` Em seguida, verifique se os repositórios listados na saída correspondem aos nomes dos repositórios que estão na sua conta AFT de gerenciamento.	AWSadministrador
Crie um novo diretório local para armazenar o código do AFT repositório.	Na mesma sessão de terminal, execute os comandos a seguir: `mkdir my_aft cd my_aft`	AWSadministrador
Clone o código do AFT repositório remoto.	Em seu terminal local, execute o seguinte comando: `git clone codecommit::$AWS_REGION://aft-global-customizations` Nota: Para simplificar, AFT use este procedimento somente uma ramificação de código principal. Para usar a ramificação de código, você também pode inserir comandos de ramificação de código aqui. No entanto, todas as alterações aplicadas da ramificação não principal serão revertidas quando a AFT automação aplicar o código da ramificação principal. Em seguida, navegue até o diretório clonado executando o seguinte comando: `cd aft-global-customizations/terraform`	AWSadministrador

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Abra um AFT pipeline executado anteriormente e copie os arquivos de configuração do Terraform para uma pasta local.	Observação: os arquivos de configuração backend.tf e aft-providers.tf criados neste épico são necessários para que o pipeline seja executado localmente. AFT Esses arquivos são criados automaticamente no AFT pipeline baseado em nuvem, mas devem ser criados manualmente para que o pipeline seja executado localmente. Executar o AFT pipeline localmente requer um conjunto de arquivos que representa a execução do pipeline em uma única AWS conta. Usando as credenciais da conta de gerenciamento da AWS Control Tower, faça login no AWS Management Console. Em seguida, abra o AWS CodePipeline console. Verifique se você está na mesma AWS região em que fez a implantação. AFT No painel de navegação à esquerda, selecione Pipelines. Escolha ###########-customizations-pipeline. (O ############ é o ID da AWS conta que você está usando para executar o código do Terraform localmente). Certifique-se de que a opção Execução mais recente marcada mostre um valor Bem-sucedido. Se o valor for diferente, você deverá invocar novamente suas personalizações no pipeline. AFT Para obter mais informações, consulte Reinvocar personalizações na documentação da Control TowerAWS. Escolha o runtime mais recente para exibir seus detalhes. Na seção Apply- AFT -Global-Customizations, encontre o estágio Apply-Terraform. Selecione a seção Detalhes do estágio Apply-Terraform. Encontre o log de runtime para o estágio Apply-Terraform. No log de runtime, procure a seção que começa e termina com as seguintes linhas: “\n\n aft-providers.tf … “\n \n backend.tf” Copie a saída entre esses dois rótulos e salve-os como um arquivo local nomeado `aft-providers.tf` na pasta local do Terraform (o diretório de trabalho atual da sua sessão de terminal). Exemplo de declaração providers.tf gerada automaticamente `## Autogenerated providers.tf ## ## Updated on: 2022-05-31 16:27:45 ## provider "aws" { region = "us-east-2" assume_role { role_arn = "arn:aws:iam::############:role/AWSAFTExecution" } default_tags { tags = { managed_by = "AFT" } } }` No log de runtime, procure a seção que começa e termina com as seguintes linhas: “\n\n tf … “\n \n backup.tf” Copie a saída entre esses dois rótulos e salve-os como um arquivo local nomeado `tf` na pasta local do Terraform (o diretório de trabalho atual da sua sessão de terminal). Exemplo de instrução backend.tf gerada automaticamente `## Autogenerated backend.tf ## ## Updated on: 2022-05-31 16:27:45 ## terraform { required_version = ">= 0.15.0" backend "s3" { region = "us-east-2" bucket = "aft-backend-############-primary-region" key = "############-aft-global-customizations/terraform.tfstate" dynamodb_table = "aft-backend-############" encrypt = "true" kms_key_id = "cbdc21d6-e04d-4c37-854f-51e199cfcb7c" kms_key_id = "########-####-####-####-############" role_arn = "arn:aws:iam::#############:role/AWSAFTExecution" } }` Observação: os `aft-providers.tf` arquivos `backend.tf` e estão vinculados a uma AWS conta, AFT implantação e pasta específicas. Esses arquivos também são diferentes, dependendo se estão no repositório e no aft-global-customizationsaft-account-customizationsrepositório dentro da mesma AFT implantação. Certifique-se de gerar os dois arquivos a partir da mesma listagem de runtime.	AWSadministrador

Abra um AFT pipeline executado anteriormente e copie os arquivos de configuração do Terraform para uma pasta local.

Observação: os arquivos de configuração backend.tf e aft-providers.tf criados neste épico são necessários para que o pipeline seja executado localmente. AFT Esses arquivos são criados automaticamente no AFT pipeline baseado em nuvem, mas devem ser criados manualmente para que o pipeline seja executado localmente. Executar o AFT pipeline localmente requer um conjunto de arquivos que representa a execução do pipeline em uma única AWS conta.

Usando as credenciais da conta de gerenciamento da AWS Control Tower, faça login no AWS Management Console. Em seguida, abra o AWS CodePipeline console. Verifique se você está na mesma AWS região em que fez a implantação. AFT
No painel de navegação à esquerda, selecione Pipelines.
Escolha ###########-customizations-pipeline. (O ############ é o ID da AWS conta que você está usando para executar o código do Terraform localmente).
Certifique-se de que a opção Execução mais recente marcada mostre um valor Bem-sucedido. Se o valor for diferente, você deverá invocar novamente suas personalizações no pipeline. AFT Para obter mais informações, consulte Reinvocar personalizações na documentação da Control TowerAWS.
Escolha o runtime mais recente para exibir seus detalhes.
Na seção Apply- AFT -Global-Customizations, encontre o estágio Apply-Terraform.
Selecione a seção Detalhes do estágio Apply-Terraform.
Encontre o log de runtime para o estágio Apply-Terraform.
No log de runtime, procure a seção que começa e termina com as seguintes linhas: “\n\n aft-providers.tf … “\n \n backend.tf”

Copie a saída entre esses dois rótulos e salve-os como um arquivo local nomeado aft-providers.tf na pasta local do Terraform (o diretório de trabalho atual da sua sessão de terminal).

Exemplo de declaração providers.tf gerada automaticamente


## Autogenerated providers.tf ##
## Updated on: 2022-05-31 16:27:45 ##
provider "aws" {
  region = "us-east-2"
  assume_role {
    role_arn    = "arn:aws:iam::############:role/AWSAFTExecution"
  }
  default_tags {
    tags = {
      managed_by                  = "AFT"
    }
  }
}

No log de runtime, procure a seção que começa e termina com as seguintes linhas: “\n\n tf … “\n \n backup.tf”
Copie a saída entre esses dois rótulos e salve-os como um arquivo local nomeado tf na pasta local do Terraform (o diretório de trabalho atual da sua sessão de terminal).

Exemplo de instrução backend.tf gerada automaticamente


## Autogenerated backend.tf ##
## Updated on: 2022-05-31 16:27:45 ##
terraform {
  required_version = ">= 0.15.0"
  backend "s3" {
    region         = "us-east-2"
    bucket         = "aft-backend-############-primary-region"
    key            = "############-aft-global-customizations/terraform.tfstate"
    dynamodb_table = "aft-backend-############"
    encrypt        = "true"
    kms_key_id     = "cbdc21d6-e04d-4c37-854f-51e199cfcb7c"
    kms_key_id     = "########-####-####-####-############"
    role_arn       = "arn:aws:iam::#############:role/AWSAFTExecution"
  }
}

Observação: os aft-providers.tf arquivos backend.tf e estão vinculados a uma AWS conta, AFT implantação e pasta específicas. Esses arquivos também são diferentes, dependendo se estão no repositório e no aft-global-customizationsaft-account-customizationsrepositório dentro da mesma AFT implantação. Certifique-se de gerar os dois arquivos a partir da mesma listagem de runtime.

AWSadministrador

Tarefa	Descrição	Habilidades necessárias
Implemente as alterações de configuração do Terraform que você deseja validar.	Navegue até o aft-global-customizationsrepositório clonado executando o seguinte comando: `cd aft-global-customizations/terraform` Observação: os arquivos `backend.tf` e `aft-providers.tf` estão nesse diretório. O diretório também contém arquivos Terraform do aft-global-customizations repositório. Incorpore as alterações de código do Terraform que você deseja testar localmente nos arquivos de configuração.	AWSadministrador
Execute o script ct_terraform.sh e revise a saída.	Navegue até a pasta local que contém o script sh. Para validar seu código modificado do Terraform, execute o script `ct_terraform.sh` executando o seguinte comando: `~/scripts/ct_terraform.sh apply` Observação: você pode executar qualquer comando do Terraform durante esta etapa. Para ver uma lista completa dos comandos do Terraform, execute o seguinte comando: `terraform --help` Revise a saída do comando. Em seguida, depure as alterações no código localmente antes de confirmá-las e enviá-las de volta para o repositório. AFT Importante: Todas as alterações feitas localmente e não enviadas de volta ao repositório remoto são temporárias e podem ser desfeitas a qualquer momento por meio de uma automação de AFT pipeline em execução. AFTa automação pode ser executada a qualquer momento, pois pode ser invocada por outros usuários e acionadores de AFT automação. AFTsempre aplicará o código da ramificação principal do repositório, desfazendo quaisquer alterações não confirmadas.	AWSadministrador

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Adicione referências aos arquivos backend.tf e aft-providers.tf a um arquivo .gitignore.	Adicione os arquivos `backend.tf` e `aft-providers.tf` que você criou a um arquivo `.gitignore` executando os seguintes comandos: `echo backend.tf >> .gitignore echo aft-providers.tf >>.gitignore` Observação: mover os arquivos para o `.gitignore` arquivo garante que eles não sejam confirmados e enviados de volta para o AFT repositório remoto.	AWSadministrador
Confirme e envie suas alterações de código para o AFT repositório remoto.	Para adicionar novos arquivos de configuração do Terraform ao repositório, execute o seguinte comando: `git add <filename>` Para confirmar suas alterações e enviá-las para o AFT repositório remoto AWS CodeCommit, execute os seguintes comandos: `git commit -a git push` Importante: As alterações de código que você introduz seguindo esse procedimento até o momento são aplicadas somente a uma AWS conta.	AWSadministrador

Adicione referências aos arquivos backend.tf e aft-providers.tf a um arquivo .gitignore.

Adicione os arquivos backend.tf e aft-providers.tf que você criou a um arquivo .gitignore executando os seguintes comandos:


echo backend.tf >> .gitignore
echo aft-providers.tf >>.gitignore

Observação: mover os arquivos para o .gitignore arquivo garante que eles não sejam confirmados e enviados de volta para o AFT repositório remoto.

AWSadministrador

Confirme e envie suas alterações de código para o AFT repositório remoto.

Para adicionar novos arquivos de configuração do Terraform ao repositório, execute o seguinte comando:
```
git add <filename>
```
Para confirmar suas alterações e enviá-las para o AFT repositório remoto AWS CodeCommit, execute os seguintes comandos:
```
git commit -a
git push
```

Importante: As alterações de código que você introduz seguindo esse procedimento até o momento são aplicadas somente a uma AWS conta.

AWSadministrador

Tarefa	Descrição	Habilidades necessárias
Implemente as alterações em todas as suas contas gerenciadas peloAFT.	Para implementar as alterações em várias AWS contas gerenciadas pelaAFT, siga as instruções em Reinvoke personalizations na documentação da Control TowerAWS.	AWSadministrador

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Use zonas de disponibilidade consistentes VPCs em diferentes contas

Mais padrões