環境帳戶連線 - AWS Proton
建立具有環境帳戶連線的環境管理環境帳戶連線

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

環境帳戶連線

概觀

了解如何建立和管理AWS Proton環境在一個帳戶中,並在另一個帳戶中佈建其基礎結構資源。這有助於提高大規模的可見性和效率。環境帳戶連線僅支援標準佈建AWS CloudFormation基礎設施即程式碼。

注意

本主題中提供的資訊與以下項目設定的環境有關AWS-管理佈建。使用環境配置自我管理的佈建、AWS Proton不會直接佈建您的基礎結構。相反地,它會將提取要求 (PR) 傳送到您的儲存庫以供佈建。您有責任確保您的自動化程式碼具有正確的身分和角色。

如需的詳細資訊,請參閱操作說明AWS Proton規定基礎設施

術語

描述的圖表AWS Proton單一帳戶 (管理帳戶) 內的資源,位於單一帳戶中AWS 區域。並說明如何AWS Proton該帳戶中的環境可以使用環境帳戶連線部署至相同區域中的其他帳戶 (環境帳戶)。

搭配AWS Proton 環境帳戶連線,您可以建立AWS Proton來自一個帳戶的環境,並在另一個帳戶中佈建它的基礎架構。

管理帳戶

作為管理員,您可以在其中創建一個單一帳戶AWS Proton在另一個環境中佈建基礎結構資源環境帳戶

環境帳戶

當您建立環境基礎結構時,佈建環境基礎結構的帳戶AWS Proton另一個帳戶中的環境。

環境帳號連線

之間的安全雙向連接管理帳戶和一個環境帳戶。它維護許可和權限,如以下各節中的進一步描述。

當您在環境帳戶中建立環境帳戶連線時,在特定區域中,只有相同區域中的管理帳戶可以看到並使用環境帳戶連線。這表示AWS Proton在管理帳戶中建立的環境,以及在環境帳戶中佈建的環境基礎結構必須位於相同區域。

環境帳戶連線考量

  • 對於要在環境帳戶中佈建的每個環境,您需要一個環境帳戶連線。

  • 如需環境帳戶連線配額的詳細資訊,請參閱AWS Proton 配額

標記

在環境帳戶中,使用主控台或AWS CLI檢視和管理環境帳戶連線客戶管理的標籤。AWS受管理標籤不是為環境帳戶連接生成。如需詳細資訊,請參閱 AWS Proton資源和標記

在一個帳戶中建立環境,並在另一個帳戶中佈建其基礎結構

若要從單一管理帳戶建立及佈建環境,請為您打算建立的環境設定環境帳戶。

在環境帳戶中啟動並創建連接。

在環境帳戶中,創建一個AWS Proton服務角色的範圍僅限於佈建環境基礎結構資源所需的權限。如需詳細資訊,請參閱 AWS Proton 服務角色

然後建立環境帳戶連線請求並傳送到您的管理帳戶。當請求被接受時,AWS Proton可以使用關聯的 IAM 角色,該角色允許在關聯的環境帳戶中佈建環境資源。

在管理帳戶中,接受或拒絕環境帳戶連線。

在管理帳戶中,接受或拒絕環境帳戶連線要求。您不能從管理帳戶刪除環境帳戶連線。

如果您接受請求,AWS Proton可以使用允許在關聯環境帳戶中佈建資源的關聯 IAM 角色。

環境基礎結構資源會佈建在關聯的環境帳戶中。您只能使用AWS Proton從您的管理帳戶存取和管理您的環境及其基礎架構資源的 API。如需詳細資訊,請參閱在一個帳戶中建立環境並在另一個帳戶中佈建更新環境

在您拒絕要求之後,您不能接受或使用拒絕的環境帳戶連線。

注意

不能拒絕連接到環境的環境帳戶連線。若要拒絕環境帳戶連線,您必須先刪除關聯的環境。

在環境帳戶中,存取佈建的基礎結構資源。

在環境帳戶中,您可以檢視和存取佈建的基礎結構資源。例如,您可以使用 CloudFormation 如有需要,可監視和清理堆疊的 API 動作。您無法使用AWS Proton用於存取或管理AWS Proton用來佈建基礎結構資源的環境。

在環境帳戶中,您可以刪除已在環境帳戶中建立的環境帳戶連線。您不能接受或拒絕它們。如果您刪除正在使用的環境帳戶連線AWS Proton環境AWS Proton 不會能夠管理環境基礎結構資源,直到環境帳戶和具名環境接受新的環境連接為止。您有責任清理在沒有環境連線的情況下保留的已佈建資源。

使用主控台或 CLI 管理環境帳戶連線

您可以使用主控台或 CLI 來建立和管理環境帳戶連線。

AWS Management Console

使用主控台建立環境帳戶連線,並將要求傳送至管理帳戶,如下列步驟所示。

  1. 決定您計劃在管理帳戶中建立的環境名稱,或選擇需要環境帳戶連線的現有環境名稱。

  2. 在環境帳戶中,AWS Proton安慰,選擇環境帳戶連線在導覽窗格中。

  3. 在 中環境帳戶連線頁面上的範本請求連接

    注意

    驗證中列出的帳戶 ID環境帳號連線的標題底下的範本 請確定它符合您要在其中佈建具名環境之環境帳戶的帳戶 ID。

  4. 在 中請求連接頁面上的範本

    1. 在 中Connect 至管理帳戶」區段中,輸入管理帳戶 ID環境名稱您在步驟 1 中,輸入。

    2. 在 中環境角色區段中,選擇新服務角色和AWS Proton會自動為您建立一個新角色。或者,選取Existing 服務角色以及您先前建立之服務角色的名稱。

      注意

      角色AWS Proton自動為您創建具有廣泛的權限。我們建議您將角色範圍縮小為佈建環境基礎結構資源所需的權限。如需詳細資訊,請參閱 AWS Proton 服務角色

    3. (選擇性) 在標籤區段中,選擇新增標籤為您的環境帳戶連線建立客戶管理的標籤。

    4. 選擇請求連接

  5. 您的請求在中顯示為待處理傳送至管理帳戶的環境連線表格和模式可讓您知道如何接受來自管理帳戶的請求。

接受或拒絕環境帳戶連線請求。

  1. 在管理帳戶中,AWS Proton安慰,選擇環境帳戶連線在導覽窗格中。

  2. 在 中環境帳戶連線的頁面環境帳戶連線請求請求表格中,選擇要接受或拒絕的環境連線請求。

    注意

    驗證中列出的帳戶 ID環境帳號連線的標題底下的範本 請確定它符合要拒絕之環境帳戶連線關聯之管理帳戶的帳戶識別碼。拒絕此環境帳戶連線之後,您不能接受或使用拒絕的環境帳戶連線。

  3. 選擇拒絕或者接受

    • 如果您已選取拒絕,狀態會從待決拒絕

    • 如果您已選取接受,狀態會從待決連線

刪除環境帳戶連線。

  1. 在環境帳戶中,AWS Proton安慰,選擇環境帳戶連線在導覽窗格中。

    注意

    驗證中列出的帳戶 ID環境帳號連線的標題底下的範本 請確定它符合要拒絕之環境帳戶連線關聯之管理帳戶的帳戶識別碼。刪除此環境帳號連線之後,AWS Proton 不能管理環境帳戶中的環境基礎設施資源。只有在管理帳戶接受環境帳戶和具名環境的新環境帳戶連線之後,才能對其進行管理。

  2. 在 中環境帳戶連線的頁面傳送連線至管理帳戶的要求區段中,選擇刪除

  3. 強制回應會提示您確認刪除。選擇 Delete (刪除)。

AWS CLI

決定您計劃在管理帳戶中建立的環境名稱,或選擇需要環境帳戶連線的現有環境名稱。

在環境帳戶中建立環境帳戶連線。

執行以下命令:

$ aws proton create-environment-account-connection \
    --environment-name "simple-env-connected" \
    --role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \
    --management-account-id "111111111111"

回應:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "PENDING"
    }
}

接受或拒絕管理帳戶中的環境帳戶連接,如下面的命令和響應所示。

注意

如果您拒絕此環境帳戶連線,您不會能夠接受或使用被拒絕的環境帳戶連接。

如果您指定拒絕,狀態會從待決拒絕

如果您指定接受,狀態會從待決連線

執行以下命令接受環境帳戶連線:

$ aws proton accept-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

回應:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}

執行以下命令拒絕環境帳戶連線:

$ aws proton reject-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

回應:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "status": "REJECTED",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-reject",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role"
    }
}

檢視環境帳戶連線。您可以得到或者名單環境帳戶連線

執行下列 get 命令:

$ aws proton get-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

回應:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}

刪除環境帳戶中的環境帳戶連線。

注意

如果您刪除此環境帳戶連線,AWS Proton 不會能夠管理環境帳戶中的環境基礎結構資源,直到環境帳戶和具名環境接受新的環境連接為止。您有責任清理在沒有環境連線的情況下保留的已佈建資源。

執行以下命令:

$ aws proton delete-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

回應:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}