适用于 Terraform 的 AWS Control Tower Account Factory (AFT) 概述

Account Factory for Terraform (AFT) 设置了 Terraform 管道，以帮助你在 AWS Control Tower 中配置和自定义账户。AFT 为您提供基于 Terraform 的账户配置的优势，同时允许您使用 AWS Control Tower 管理您的账户。

使用 AFT，您可以创建一个账户请求 Terraform 文件以获取触发 AFT 账户配置工作流程的输入。账户配置阶段完成后，AFT 会在账户自定义阶段开始之前自动运行一系列步骤。有关更多信息，请参阅 AFT 账户配置管道。

AFT 支持 Terraform Cloud、Terraform Enterprise 和 Terraform 社区版。使用 AFT，您可以使用输入文件和简单git push命令启动账户创建，并自定义新账户或现有账户。账户创建包括 AWS Control Tower 的所有 AWS Control Tower 管理权益和账户自定义，可帮助您满足组织的标准安全程序和合规准则。

AFT 支持账户自定义请求跟踪。每次您提交账户自定义请求时，AFT 都会生成一个唯一的跟踪令牌，该令牌通过 AFT 自定义 AWS Step Functions 状态机传递，该状态机将令牌作为其执行的一部分进行记录。然后，您可以使用 Amazon CloudWatch Logs 见解查询来搜索时间戳范围并检索请求令牌。因此，您可以看到令牌附带的有效负载，因此您可以在整个 AFT 工作流程中跟踪您的账户自定义请求。有关 CloudWatch 日志和 Step Functions 的信息，请参阅以下内容：

• 什么是 Amazon CloudWatch 日志？ 在 Amazon CloudWatch 日志用户指南中

• 什么是 AWS Step Functions？ 在《AWS Step Functions 开发者指南》中

AFT 将构建框架等其他 AWS 服务的功能与部署 Terraform 基础设施即代码 (IaC) 的管道相结合。组件服务AFT 使您能够：

• 在 GitOps 模型中提交账户配置和更新请求

• 存储账户元数据和审计历史记录

• 应用账户级标签

• 为所有账户、一组账户或个人账户添加自定义设置

• 启用功能选项

AFT 创建了一个名为 AFT 管理账户的单独账户来部署 AFT 功能。在设置 AFT 之前，您必须拥有现有的 AWS Control Tower 着陆区。AFT 管理账户与 AWS Control Tower 管理账户不同。

AFT 提供了灵活性

• 平台的灵活性：AFT 支持任何 Terraform 发行版，用于初始部署和持续运行：社区版、云端和企业版。

• 版本控制系统的灵活性：AFT 本机依赖于 AWS CodeCommit，但它支持其他来源。 CodeConnections

AFT 提供功能选项

您可以根据最佳实践启用多个功能选项：

• 创建 CloudTrail 用于记录数据事件的组织级别

• 删除账户的 AWS 默认 VPC

• 将已配置的账户注册到 Enterprise Su AWS pport 计划中

注意

AFT 管道不适用于部署您的账户运行应用程序所需的资源，例如 Amazon EC2 实例。它仅用于自动配置和自定义 AWS Control Tower 账户。

视频演练

这段视频 (7:33) 描述了如何使用适用于 Terraform 的 AWS Control Tower Account Factory 部署账户。为了更好地观看，请选择视频右下角的图标以将其放大为全屏。可以使用字幕。