環境帳戶連線 - AWS Proton
建立具有環境帳戶連線的環境管理環境帳戶連線

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

環境帳戶連線

概觀

瞭解如何建立和管理AWS Proton環境在一個帳戶中,並在另一個帳戶中佈建其基礎結構資源。這有助於提高大規模的可見性和效率。環境帳戶連線僅支援標準佈建AWS CloudFormation基礎設施即程式碼。

注意

本主題中的資訊與以下項目設定的環境有關AWS管理佈建。使用環境配置自我管理佈建,AWS Proton不會直接佈建您的基礎結構。相反地,它會將提取要求 (PR) 傳送到您的儲存庫以供佈建。您有責任確保您的自動化程式碼具有正確的身分和角色。

如需佈建方法的詳細資訊,請參閱如何AWS Proton佈建基礎設

術語

描述的圖表AWS Proton單一帳戶 (管理帳戶) 內的資源,位於單一帳戶AWS 區域。它還顯示了如何AWS Proton該帳戶中的環境可以使用環境帳戶連線部署至相同區域中的其他帳戶 (環境帳戶)。

同AWS Proton 環境帳戶連線,您可以建立AWS Proton從一個帳戶環境,並在另一個帳戶中佈建其基礎設施。

管理帳戶

作為管理員,您可以在其中創建一個單一帳戶AWS Proton在另一個環境中佈建基礎結構資源環境帳戶

環境帳戶

當您建立環境基礎結構時,佈建環境基礎結構的帳戶AWS Proton另一個帳戶中的環境。

環境帳號連線

之間的安全雙向連接管理帳戶和一個環境帳戶。它維護授權和權限,如以下各節進一步所述。

當您在特定區域的環境帳戶中建立環境帳戶連線時,只有相同區域中的管理帳戶可以看到並使用環境帳戶連線。這意味著AWS Proton在管理帳戶中建立的環境,以及在環境帳戶中佈建的環境基礎結構必須位於相同區域。

環境帳戶連線考量

  • 對於要在環境帳戶中佈建的每個環境,您需要一個環境帳戶連線。

  • 如需環境帳戶連線配額的相關資訊,請參閱AWS Proton 配額

標記

在環境帳戶中,使用主控台或AWS CLI檢視和管理環境帳戶連線客戶管理的標籤。AWS受管理標籤不是為環境帳戶連接生成。如需詳細資訊,請參閱AWS Proton資源和標記

在一個帳戶中建立環境,並在另一個帳戶中佈建其基礎結構

若要從單一管理帳戶建立及佈建環境,請為您打算建立的環境設定環境帳戶。

在環境帳戶中啟動並創建連接。

在環境帳戶中,建立AWS Proton服務角色的範圍僅限於佈建環境基礎結構資源所需的權限。如需詳細資訊,請參閱AWS Proton 佈建使用的服務角色 AWS CloudFormation

然後,建立環境帳戶連線要求並傳送至您的管理帳戶。當請求被接受時,AWS Proton可以使用關聯的 IAM 角色,該角色允許在關聯的環境帳戶中佈建環境資源。

在管理帳戶中,接受或拒絕環境帳戶連線。

在管理帳戶中,接受或拒絕環境帳戶連線要求。你不能從管理帳戶刪除環境帳戶連線。

如果您接受請求,AWS Proton可以使用允許在關聯環境帳戶中佈建資源的關聯 IAM 角色。

環境基礎結構資源會佈建在關聯的環境帳戶中。您只能使用AWS Proton從您的管理帳戶存取和管理您的環境及其基礎架構資源的 API。如需詳細資訊,請參閱 在一個帳戶中建立環境,並在另一個帳戶中佈建更新環境

在您拒絕要求之後,您不能接受或使用拒絕的環境帳戶連線。

注意

不能拒絕連線至環境的環境帳戶連線。若要拒絕環境帳戶連線,您必須先刪除關聯的環境。

在環境帳戶中,存取佈建的基礎結構資源。

在環境帳戶中,您可以檢視和存取佈建的基礎結構資源。例如,您可以使用CloudFormation如有需要,可監視和清理堆疊的 API 動作。你不能使用AWS Proton用於存取或管理AWS Proton用來佈建基礎結構資源的環境。

在環境帳戶中,您可以刪除已在環境帳戶中建立的環境帳戶連線。你不能接受或拒絕它們。如果您刪除正在使用的環境帳戶連線AWS Proton環境,AWS Proton在接受環境帳戶和具名環境的新環境連接之前,將無法管理環境基礎結構資源。您負責清理沒有環境連線的已佈建資源。

使用主控台或 CLI 管理環境帳戶連線

您可以使用主控台或 CLI 來建立和管理環境帳戶連線。

AWS Management Console
使用主控台建立環境帳戶連線,並將要求傳送至管理帳戶,如下列步驟所示。

  1. 決定您計劃在管理帳戶中建立的環境名稱,或選擇需要環境帳戶連線的現有環境名稱。

  2. 在環境帳戶中,AWS Proton安慰,選擇環境帳戶連線在導航窗格中。

  3. 環境帳戶連線頁面上,選擇請求連接

    注意

    驗證中列出的帳戶 ID環境帳號連線頁面標題。請確定它符合您要在其中佈建具名環境之環境帳戶的帳戶 ID。

  4. 請求連接頁面:

    1. 連線至管理帳戶」區段中,輸入管理帳戶識別碼環境名稱您在步驟 1 中輸入的。

    2. 環境角色區段中,選擇新服務角色和AWS Proton會自動為您建立新角色。或者,選擇現有服務角色以及您先前建立的服務角色名稱。

      注意

      角色AWS Proton自動為您創建具有廣泛的權限。建議您將角色範圍縮小為佈建環境基礎結構資源所需的權限。如需詳細資訊,請參閱AWS Proton 佈建使用的服務角色 AWS CloudFormation

    3. (選擇性) 在标签區段中,選擇新增標籤為您的環境帳戶連線建立客戶管理的標籤。

    4. 選擇請求連接

  5. 您的請求在中顯示為待處理傳送至管理帳戶的環境連線表格和模式可讓您知道如何接受來自管理帳戶的請求。

接受或拒絕環境帳戶連線要求。

  1. 在管理帳戶中,AWS Proton安慰,選擇環境帳戶連線在導航窗格中。

  2. 環境帳戶連線頁面,在環境帳戶連線要求表格中,選擇要接受或拒絕的環境連線要求。

    注意

    驗證中列出的帳戶 ID環境帳號連線頁面標題。請確定它符合要拒絕之環境帳戶連線關聯之管理帳戶的帳戶識別碼。拒絕此環境帳戶連線之後,您不能接受或使用拒絕的環境帳戶連線。

  3. 選擇拒絕或者接受

    • 如果您已選取拒絕,狀態變更為待決拒絕

    • 如果您已選取接受,狀態變更為待決連線

刪除環境帳戶連線。

  1. 在環境帳戶中,AWS Proton安慰,選擇環境帳戶連線在導航窗格中。

    注意

    驗證中列出的帳戶 ID環境帳號連線頁面標題。請確定它符合要拒絕之環境帳戶連線關聯之管理帳戶的帳戶識別碼。刪除此環境帳號連線之後,AWS Proton 不能管理環境帳戶中的環境基礎設施資源。只有在管理帳戶接受環境帳戶和具名環境的新環境帳戶連線之後,才能對其進行管理。

  2. 環境帳戶連線頁面,在傳送連線至管理帳戶的要求區段中,選擇刪除

  3. 強制回應會提示您確認要刪除。選擇 刪除

AWS CLI

決定您計劃在管理帳戶中建立的環境名稱,或選擇需要環境帳戶連線的現有環境名稱。

在環境帳戶中建立環境帳戶連線。

執行以下命令:

$ aws proton create-environment-account-connection \
    --environment-name "simple-env-connected" \
    --role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \
    --management-account-id "111111111111"

回應:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "PENDING"
    }
}

接受或拒絕管理帳戶中的環境帳戶連接,如下面的命令和響應所示。

注意

如果您拒絕此環境帳戶連線,您將無法接受或使用已拒絕的環境帳戶連線。

如果您指定拒絕,狀態變更為待決拒絕

如果您指定接受,狀態變更為待決連線

執行下列命令以接受環境帳戶連線:

$ aws proton accept-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

回應:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}

執行下列命令以拒絕環境帳戶連線:

$ aws proton reject-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

回應:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "status": "REJECTED",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-reject",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role"
    }
}

檢視環境帳戶的連線。你可以得到或者名單環境帳戶連線

執行下列 get 命令:

$ aws proton get-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

回應:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}

刪除環境帳戶中的環境帳戶連線。

注意

如果您刪除此環境帳戶連線,AWS Proton在環境帳戶和具名環境接受新的環境連接之前,將無法管理環境帳戶中的環境基礎結構資源。您負責清理沒有環境連線的已佈建資源。

執行以下命令:

$ aws proton delete-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

回應:

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}