適用於地形的 AWS Control Tower Account Factory (AFT) 概觀

地形 Account Factory (AFT) 會設定 Terraform 管道，以協助您在 AWS Control Tower 中佈建和自訂帳戶。AFT 為您提供基於地形的帳戶佈建的優勢，同時允許您使用 AWS Control Tower 管理帳戶。

透過 AFT，您可以建立帳戶要求 Terraform 檔案，以取得觸發帳戶佈建之 AFT 工作流程的輸入。帳戶佈建階段完成後，AFT 會在帳戶自訂階段開始之前自動執行一系列步驟。如需詳細資訊，請參閱 AFT 帳戶佈建管線。

AFT 支持地形雲，地形企業和地形社區版。使用 AFT，您可以使用輸入文件和簡單的git push命令啟動帳戶創建，並自定義新帳戶或現有帳戶。帳戶建立包括所有 AWS Control Tower 管理權益和帳戶自訂項目，可協助您符合組織的標準安全程序和合規準則。

AFT 支援帳戶自訂要求追蹤。每次您提交帳戶自訂要求時，AFT 都會產生一個唯一的追蹤權杖，該 Token 會通過 AFT 自訂 AWS Step Functions 狀態機器進行記錄，並將權杖記錄為其執行的一部分。然後，您可以使用 Amazon CloudWatch Logs 深入解析查詢來搜尋時間戳記範圍並擷取請求權杖。因此，您可以看到令牌隨附的有效載荷，因此您可以在整個 AFT 工作流程中跟踪帳戶自定義請求。如需 CloudWatch 記錄檔和 Step Functions 的相關資訊，請參閱下列內容：

• 什麼是 Amazon CloudWatch 日誌？ 在 Amazon CloudWatch 日誌用戶指南

• 什麼是 AWS Step Functions？ 在AWS Step Functions 開發人員指南中

AFT 結合了其他 AWS 服務的功能組件服務，以構建框架，以及部署 Terraform 基礎結構即代碼（IaC）的管道。AFT 讓您能夠：

• 在 GitOps 模型中提交帳戶佈建和更新請求

• 儲存帳戶中繼資料和稽核記錄

• 套用帳戶層級標記

• 將自訂新增至所有帳戶、一組帳戶或個別帳戶

• 啟用功能選項

AFT 會建立另一個帳戶 (稱為 AFT 管理帳戶) 來部署 AFT 功能。在設定 AFT 之前，您必須先擁有現有的 AWS Control Tower landing zone。AFT 管理帳戶與 AWS Control Tower 管理帳戶不同。

AFT 提供靈活性

• 為您的平台提供靈活性：AFT 支持任何 Terraform 分發以進行初始部署和正在進行的操作：社區版，雲和企業版。

• 版本控制系統的靈活性：AFT 本身依賴 AWS CodeCommit，但它支持. CodeConnections

AFT 提供功能選項

您可以根據最佳做法啟用數個功能選項：

• 建立 CloudTrail 用於記錄資料事件的組織層級

• 刪除帳戶的 AWS 預設 VPC

• 將佈建帳戶註冊至 AWS 企業 Support 方案

注意

AFT 管道不適用於部署帳戶執行應用程式所需的資源 (例如 Amazon EC2 執行個體)。它僅用於 AWS Control Tower 帳戶的自動佈建和自訂。

影片演練

本影片 (7:33) 說明如何使用適用於地形的 AWS Control Tower Account Factory 部署帳戶。若要獲得更佳的觀賞效果，請選取影片右下角的圖示，將影片放大至全螢幕。並提供字幕。