在 AFT 开设一个新账户

要使用 AFT 配置新账户，请创建一个账户请求 Terraform 文件。此文件包含aft-account-request存储库中参数的输入。创建账户请求 Terraform 文件后，通过运行开始处理您的账户请求。git push此命令调用中的ct-aft-account-request操作 AWS CodePipeline，该操作是在账户配置完成后在 AFT 管理账户中创建的。有关更多信息，请参阅 AFT 账户配置管道。

账户请求 Terraform 文件参数

您必须在账户请求 Terraform 文件中包含以下参数。你可以在上查看 Terraform 账户请求文件示例。 GitHub

• 的值module name必须是每个 AWS 账户 请求的唯一值。

• 的值module source是 AFT 提供的账户请求 Terraform 模块的路径。

• 的值control_tower_parameters捕获创建 AWS Control Tower 账户所需的输入。该值包括以下输入字段：

  • AccountEmail

  • AccountName

  • ManagedOrganizationalUnit

  • SSOUserEmail

  • SSOUserFirstName

  • SSOUserLastName

注意

在账户配置期间，control_tower_parameters无法更改您提供的输入。

支持在aft-account-request存储库ManagedOrganizationalUnit中指定的格式包括OUName和OUName (OU-ID)。

• account_tags捕获用户定义的密钥和值，这些密钥和值可以 AWS 账户 根据业务标准进行标记。有关更多信息，请参阅《AWS Organizations 用户指南》中的为AWS Organizations 资源添加标签。

• 的值会change_management_parameters捕获其他信息，例如创建账户请求的原因以及谁发起了账户请求。该值包括以下输入字段：

  • change_reason

  • change_requested_by

• custom_fields使用密钥和值捕获其他元数据，这些密钥和值作为 SSM 参数部署在 /aft/account-request-request/custom-fields/ 下的销售账户中。您可以在账户自定义期间引用此元数据以部署适当的控件。例如，受监管合规约约束的账户可能会额外部署 AWS Config 规则。在账户配置和更新期间，您收集的元数据custom_fields可能会调用其他处理。如果从账户请求中删除了自定义字段，则该自定义字段将从销售账户的 SSM Parameter Store 中删除。

• （可选）account_customizations_name捕获aft-account-customizations存储库中的账户模板文件夹。有关更多信息，请参阅账户自定义。