Terraform (AFT) 的 AWS Control Tower 帳戶工廠概觀

Account Factory for Terraform (AFT) 會設定 Terraform 管道，協助您在 AWS Control Tower 中佈建和自訂帳戶。AFT 為您提供 Terraform 型帳戶佈建的優勢，同時可讓您使用 AWS Control Tower 管理帳戶。

使用 AFT，您可以建立帳戶請求 Terraform 檔案，以取得觸發帳戶佈建之 AFT 工作流程的輸入。帳戶佈建階段完成後，AFT 會自動在帳戶自訂階段開始之前執行一系列步驟。如需詳細資訊，請參閱 AFT 帳戶佈建管道。

AFT 支援 Terraform Cloud、Terraform Enterprise 和 Terraform Community Edition。使用 AFT，您可以使用輸入檔案和簡單的git push命令來啟動帳戶建立，並自訂新的或現有的帳戶。帳戶建立包括所有 AWS Control Tower 控管優勢和帳戶自訂，可協助您符合組織的標準安全程序和合規準則。

AFT 支援帳戶自訂請求追蹤。每次您提交帳戶自訂請求時，AFT 都會產生唯一的追蹤字符，該字符會透過 AFT 自訂 AWS Step Functions 狀態機器傳遞，該機器會將字符記錄為執行的一部分。然後，您可以使用 Amazon CloudWatch Logs 洞見查詢來搜尋時間戳記範圍並擷取請求權杖。因此，您可以看到權杖隨附的承載，因此您可以在整個 AFT 工作流程中追蹤您的帳戶自訂請求。如需有關 CloudWatch Logs 和 Step Functions 的資訊，請參閱下列內容：

• 《Amazon CloudWatch Logs 使用者指南》中的什麼是 Amazon CloudWatch Logs？

• 《AWS Step Functions 開發人員指南》中的什麼是 AWS Step Functions？

AFT 結合了其他 AWS 服務的功能，以元件服務建置架構，以及將 Terraform Infrastructure 部署為 Code (IaC) 的管道。AFT 可讓您：

• 在 GitOps 模型中提交帳戶佈建和更新請求

• 存放帳戶中繼資料和稽核歷史記錄

• 套用帳戶層級標籤

• 將自訂新增至所有帳戶、一組帳戶或個別帳戶

• 啟用功能選項

AFT 會建立稱為 AFT 管理帳戶的獨立帳戶，以部署 AFT 功能。您必須先有現有的 AWS Control Tower 登陸區域，才能設定 AFT。AFT 管理帳戶與 AWS Control Tower 管理帳戶不同。

AFT 提供彈性

• 平台的彈性：AFT 支援任何 Terraform Distribution 進行初始部署和持續操作：Community Edition、Cloud 和 Enterprise。

• 版本控制系統的彈性：AFT 支援 AWS CodeCommit，以及透過 的替代版本控制來源 AWS CodeConnections。

AFT 提供功能選項

您可以根據最佳實務啟用數個功能選項：

• 建立用於記錄資料事件的組織層級 CloudTrail

• 刪除帳戶 AWS 的預設 VPC

• 將佈建的帳戶註冊至 AWS 企業支援計劃

注意

AFT 管道不適用於部署您的 帳戶執行應用程式所需的資源，例如 Amazon EC2 執行個體。它僅用於自動佈建和自訂 AWS Control Tower 帳戶。

影片演練

此影片 (7：33) 說明如何使用 AWS Control Tower Account Factory for Terraform 部署帳戶。若要獲得更佳的觀賞效果，請選取影片右下角的圖示，將影片放大至全螢幕。並提供字幕。