As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conexões de conta de ambiente
Visão geral
Saiba como criar e gerenciar um AWS Proton ambiente em uma conta e provisionar seus recursos de infraestrutura em outra conta. Isso pode ajudar a melhorar a visibilidade e a eficiência em grande escala. As conexões de conta do ambiente oferecem suporte apenas ao provisionamento padrão com infraestrutura do AWS CloudFormation
como código.
As informações neste tópico são relevantes para ambientes configurados com provisionamento gerenciado pelo AWS . Com ambientes configurados com provisionamento autogerenciado, AWS Proton não provisiona diretamente sua infraestrutura. Em vez disso, ele envia pull requests (PRs) ao seu repositório para provisionamento. É sua responsabilidade garantir que seu código de automação assuma a identidade e o perfil corretos.
Para obter mais informações sobre métodos de provisionamento, consulte Como o AWS Proton provisiona a infraestrutura.
Terminologia
Com conexões de conta de AWS Proton ambiente, você pode criar um AWS Proton
ambiente a partir de uma conta e provisionar sua infraestrutura em outra conta.
- Conta de gerenciamento
-
A conta única em que você, como administrador, cria um AWS Proton ambiente que provisiona recursos de infraestrutura em outra conta de ambiente.
- Conta do ambiente
-
Uma conta na qual a infraestrutura de ambiente é provisionada, quando você cria um ambiente de AWS Proton em outra conta.
- Conexão de conta de ambiente
-
Uma conexão bidirecional segura entre uma conta de gerenciamento e uma conta de ambiente. Mantém a autorização e as permissões conforme descritas mais adiante nas seções seguintes.
Quando você cria uma conexão de conta de ambiente em uma conta de ambiente em uma região específica, somente as contas de gerenciamento na mesma região podem ver e usar a conexão da conta de ambiente. Isso significa que o AWS Proton ambiente criado na conta de gerenciamento e a infraestrutura ambiental provisionada na conta de ambiente devem estar na mesma região.
Considerações sobre a conexão da conta de ambiente
-
Você precisa de uma conexão de conta de ambiente para cada ambiente que você deseja provisionar em uma conta de ambiente.
-
Para obter informações sobre as cotas de conexão da conta de ambiente, consulte AWS ProtonCotas do.
Tags
Na conta do ambiente, use o console ou o AWS CLI para visualizar e gerenciar as tags gerenciadas pelo cliente da conexão da conta do ambiente. AWS as tags gerenciadas não são geradas para conexões de contas de ambiente. Para ter mais informações, consulte Recursos do AWS Proton e marcação.
Criar um ambiente em uma conta e provisionar sua infraestrutura em outra conta
Para criar e provisionar um ambiente a partir de uma única conta de gerenciamento, configure uma conta de ambiente para um ambiente que você planeja criar.
Inicie na conta do ambiente e crie uma conexão.
Na conta do ambiente, crie uma função AWS Proton de serviço que tenha como escopo apenas as permissões necessárias para provisionar os recursos de infraestrutura do seu ambiente. Para ter mais informações, consulte AWS Proton função de serviço para provisionamento usando AWS CloudFormation.
Em seguida, crie e envie uma solicitação de conexão de conta de ambiente para sua conta de gerenciamento. Quando a solicitação for aceita, AWS Proton pode usar a IAM função associada que permite o provisionamento de recursos do ambiente na conta do ambiente associada.
Na conta de gerenciamento, aceite ou rejeite a conexão da conta do ambiente.
Na conta de gerenciamento, aceite ou rejeite a solicitação de conexão da conta do ambiente. Você não pode excluir uma conexão de conta de ambiente da sua conta de gerenciamento.
Se você aceitar a solicitação, eles AWS Proton poderão usar a IAM função associada que permite o provisionamento de recursos na conta do ambiente associada.
Os recursos da infraestrutura do ambiente são provisionados na conta do ambiente associada. Você só pode usar AWS Proton APIs para acessar e gerenciar seu ambiente e seus recursos de infraestrutura, a partir da sua conta de gerenciamento. Para obter mais informações, consulte Criar um ambiente em uma conta e provisionar em outra conta e Atualizar um ambiente.
Depois de rejeitar uma solicitação, você não poderá aceitar nem usar a conexão da conta de ambiente rejeitada.
Você não pode rejeitar uma conexão de conta de ambiente conectada a um ambiente. Para rejeitar a conexão da conta do ambiente, você deve primeiro excluir o ambiente associado.
Na conta do ambiente, acesse os recursos de infraestrutura provisionados.
Na conta do ambiente, você pode visualizar e acessar os recursos de infraestrutura provisionados. Por exemplo, você pode usar CloudFormation API ações para monitorar e limpar pilhas, se necessário. Você não pode usar as AWS Proton API ações para acessar ou gerenciar o AWS Proton ambiente usado para provisionar os recursos de infraestrutura.
Na conta do ambiente, você pode excluir as conexões da conta do ambiente que você criou na conta do ambiente. Você não pode aceitá-los ou rejeitá-los. Se você excluir uma conexão de conta de ambiente que está sendo usada por um AWS Proton ambiente, AWS Proton
não poderá gerenciar os recursos de infraestrutura do ambiente até que uma nova conexão de ambiente seja aceita para a conta do ambiente e o ambiente nomeado. Você é responsável por limpar os recursos provisionados que permanecem sem uma conexão com o ambiente.
Use o console ou CLI para gerenciar conexões de conta do ambiente
Você pode usar o console ou CLI criar e gerenciar conexões de conta do ambiente.
- AWS Management Console
-
Use o console para criar uma conexão de conta do ambiente e enviar uma solicitação à conta de gerenciamento, conforme mostrado nas próximas etapas.
-
Escolha um nome para o ambiente que você planeja criar em sua conta de gerenciamento ou escolha o nome de um ambiente existente que exija uma conexão de conta de ambiente.
-
Em uma conta de ambiente, no console do AWS Proton, escolha Conexões de conta de ambiente no painel de navegação.
-
Na página Conexões da conta de ambiente, escolha Solicitar conexão.
Verifique a ID da conta que está listada no título da página de Conexão da conta de ambiente. Verifique se ele corresponde ao ID da conta de ambiente na qual você deseja que seu ambiente nomeado seja provisionado.
-
Na página Solicitação de conexão:
-
Na seção Conectar à conta de gerenciamento, insira a ID da conta de gerenciamento e o Nome de ambiente que inseriu na etapa 1.
-
Na seção Função de ambiente, escolha Nova função de serviço e cria AWS Proton automaticamente uma nova função para você. Ou selecione Perfil de serviço existente e o nome do perfil de serviço que você criou anteriormente.
-
(Opcional) Na seção Tags, escolha Adicionar nova tag para criar uma tag gerenciada pelo cliente para sua conexão com a conta do ambiente.
-
Escolha Solicitar conexão.
-
Sua solicitação aparece como pendente na tabela de conexões de ambiente enviadas para contas de gerenciamento e um modal informa como aceitar a solicitação da conta de gerenciamento.
Aceite ou rejeite uma solicitação de conexão da conta do ambiente.
-
Em uma conta de gerenciamento, no console do AWS Proton, escolha Conexões de conta de ambiente no painel de navegação.
-
Na página Conexões de conta de ambiente, na tabela Solicitações de conexão de conta de ambiente, escolha a solicitação de conexão de ambiente a ser aceita ou rejeitada.
Verifique a ID da conta que está listada no título da página de Conexão da conta de ambiente. Verifique se ele corresponde à ID da conta de gerenciamento associada à conexão da conta de ambiente a ser rejeitada. Depois que você rejeitar essa conexão de conta de ambiente, não poderá aceitar ou usar a conexão de conta de ambiente rejeitada.
-
Escolha Rejeitar ou Aceitar.
-
Se você selecionou Rejeitar, o status mudará de pendente para rejeitado.
-
Se você selecionou Aceitar, o status mudará de pendente para conectado.
Excluir uma conexão de conta de ambiente
-
Em uma conta de ambiente, no console do AWS Proton, escolha Conexões de conta de ambiente no painel de navegação.
Verifique a ID da conta que está listada no título da página de Conexão da conta de ambiente. Verifique se ele corresponde à ID da conta de gerenciamento associada à conexão da conta de ambiente a ser rejeitada. Depois de excluir essa conexão de conta de ambiente, não é AWS Proton possível gerenciar os recursos de infraestrutura de ambiente na conta de ambiente. Ele só pode gerenciá-lo depois que uma nova conexão de conta de ambiente para a conta de ambiente e o ambiente nomeado forem aceitos pela conta de gerenciamento.
-
Na página Conexões da conta de ambiente, na seção Solicitações enviadas para se conectar à conta de gerenciamento, escolha Excluir.
-
Você será solicitado a confirmar que você deseja excluir esses objetos. Escolha Excluir.
- AWS CLI
-
Escolha um nome para o ambiente que você planeja criar em sua conta de gerenciamento ou escolha o nome de um ambiente existente que exija uma conexão de conta de ambiente.
Crie uma conexão de conta de ambiente em uma conta de ambiente.
Execute o seguinte comando:
$ aws proton create-environment-account-connection \
--environment-name "simple-env-connected" \
--role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \
--management-account-id "111111111111"
Resposta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "PENDING"
}
}
Aceite ou rejeite uma conexão de conta de ambiente em uma conta de gerenciamento, conforme mostrado no comando e na resposta a seguir.
Se você rejeitar essa conexão de conta de ambiente, não poderá aceitar ou usar a conexão de conta de ambiente rejeitada.
Se você especificar Rejeitar, o status mudará de pendente para rejeitado.
Se você especificar Aceitar, o status mudará de pendente para conectado.
Execute o comando a seguir para aceitar a conexão da conta do ambiente:
$ aws proton accept-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Resposta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
Execute o comando a seguir para rejeitar a conexão da conta do ambiente:
$ aws proton reject-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Resposta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"status": "REJECTED",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-reject",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role"
}
}
Visualizar as conexões de conta de um ambiente. Você pode obter ou listar conexões de contas do ambiente.
Execute o seguinte comando get:
$ aws proton get-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Resposta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
Exclua uma conexão de conta de ambiente em uma conta de ambiente.
Se você excluir essa conexão de conta de ambiente, AWS Proton não poderá gerenciar os recursos de infraestrutura de ambiente na conta de ambiente até que uma nova conexão de ambiente tenha sido aceita para a conta de ambiente e o ambiente nomeado. Você é responsável por limpar os recursos provisionados que permanecem sem uma conexão com o ambiente.
Execute o seguinte comando:
$ aws proton delete-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Resposta:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
