本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用自动化配置和更新账户
您可以通过多种方法在 AWS Control Tower 中配置或更新个人账户:
-
您可以使用适用于 Terraform 的 AWS Control Tower Account Factory (AFT) 配置和自定义账户。有关更多信息,请参阅适用于 Terraform 的 AWS Control Tower Account Factory (AFT) 概述。
-
您可以使用 AWS Control Tower (cfcT) 的自定义项来更新账户。有关更多信息,请参阅 AWS Control Tower (cfcT) 的自定义项概述 。
-
脚本自动化:如果您更喜欢使用 API 方法,则可以使用 Service Catalog 的 API 框架更新账户,并在批处理过程中更新账户。 AWS CLI 你可以为每个账户调用 Service Catalog 的
UpdateProvisionedProduct
API。您可以使用此 API 编写脚本以逐个更新账户。在添加区域进行治理时,有关此方法的更多信息,请参阅博客文章《在新 AWS 区域中启用护栏》。 您一次最多可以更新五 (5) 个帐户。您必须等待至少一个账户更新成功后才能开始下一次账户更新。因此,如果您有很多账户,这个过程可能需要很长时间,但并不复杂。有关此方法的更多信息,请参阅演练:通过 Service Catalog API 在 AWS Control Tower 中自动配置账户。
视频演练
专视频演练为使用脚本自动配置账户而设计,但这些步骤也适用于账户更新。使用 UpdateProvisionedProduct
API 代替 ProvisionProduct
API。
通过脚本实现自动化的另一个步骤是检查 AWS Control Tower UpdateLandingZone
生命周期事件的成功状态。将其用作触发器,开始更新个人账户,如视频中所述。生命周期事件标志着一系列活动的完成,因此该事件的发生意味着着陆区域更新已完成。登录区更新必须在账户更新开始之前完成。有关处理生命周期事件的更多信息,请参阅生命周期事件。