環境帳戶連線

概觀

了解如何在一個帳戶中建立和管理 AWS Proton 環境，以及如何在另一個帳戶中佈建其基礎結構資源。這有助於提高大規模的可見性和效率。環境帳戶連線僅支援使用 AWS CloudFormation 基礎結構即程式碼的標準佈建。

注意

本主題中的資訊與使用AWS 受管佈建設定所設定的環境有關。使用設定了自我管理佈建的環境， AWS Proton 不會直接佈建您的基礎結構。相反，它會將提取請求 (PRs) 發送到您的存儲庫進行佈建。您有責任確保您的自動化程式碼具有正確的身分和角色。

如需佈建方法的詳細資訊，請參閱如何AWS Proton佈建基礎設。

術語

透過 AWS Proton 環境帳戶連線，您可以從一個帳戶建立 AWS Proton 環境，並在另一個帳戶中佈建其基礎結構。

管理帳戶

身為管理員的單一帳戶，您可以在其中建立在另一個 AWS Proton 環境帳戶中佈建基礎結構資源的環境。

環境帳戶

當您在另一個帳戶中建立環境時，佈建 AWS Proton 環境基礎結構的帳戶。

環境帳號連線

管理帳戶與環境帳戶之間的安全雙向連線。它維護授權和權限，如以下各節中進一步所述。

當您在特定區域的環境帳戶中建立環境帳戶連線時，只有相同區域中的管理帳戶可以看到並使用環境帳戶連線。這表示在管理帳戶中建立的 AWS Proton 環境，以及在環境帳戶中佈建的環境基礎結構必須位於相同的區域。

環境帳戶連線考量

• 對於要在環境帳戶中佈建的每個環境，您需要一個環境帳戶連線。

• 如需有關環境帳戶連線配額的資訊，請參閱AWS Proton 配額。

標記

在環境帳戶中，使用主控台或 AWS CLI 來檢視和管理環境帳戶連線客戶管理的標籤。 AWS 不會針對環境帳戶連線產生受管理的標籤。如需詳細資訊，請參閱 AWS Proton資源和標記。

在一個帳戶中建立環境，並在另一個帳戶中佈建其基礎結構

若要從單一管理帳戶建立及佈建環境，請為您打算建立的環境設定環境帳戶。

在環境帳戶中啟動並創建連接。

在環境帳戶中，建立一個 AWS Proton 服務角色，其範圍僅限於佈建環境基礎結構資源所需的權限。如需詳細資訊，請參閱 AWS Proton 使用 佈建的服務角色 AWS CloudFormation。

然後，建立環境帳戶連線要求並傳送至您的管理帳戶。接受要求時， AWS Proton 可以使用允許在關聯環境帳號中佈建環境資源的關聯IAM角色。

在管理帳戶中，接受或拒絕環境帳戶連線。

在管理帳戶中，接受或拒絕環境帳戶連線要求。您無法從管理帳戶刪除環境帳戶連線。

如果您接受請求，則 AWS Proton 可以使用允許在關聯環境帳號中佈建資源的關聯IAM角色。

環境基礎結構資源會佈建在關聯的環境帳戶中。您只能使 AWS Proton APIs用管理帳戶存取和管理您的環境及其基礎結構資源。如需詳細資訊，請參閱 在一個帳戶中建立環境，並在另一個帳戶中佈建 及 更新環境。

拒絕要求之後，您將無法接受或使用已拒絕的環境帳戶連線。

注意

您無法拒絕連線至環境的環境帳戶連線。若要拒絕環境帳戶連線，您必須先刪除關聯的環境。

在環境帳戶中，存取佈建的基礎結構資源。

在環境帳戶中，您可以檢視和存取佈建的基礎結構資源。例如，如果需要，您可以使用 CloudFormation API動作來監視和清理堆疊。您無法使用這些 AWS Proton API動作來存取或管理用於佈建基礎結構資源的 AWS Proton 環境。

在環境帳戶中，您可以刪除已在環境帳戶中建立的環境帳戶連線。您不能接受或拒絕它們。如果您刪除環境正在使用的環 AWS Proton 境帳戶連線， AWS Proton 則在接受環境帳戶和具名環境的新環境連線之前，將無法管理環境基礎結構資源。您有責任清理在沒有環境連線的情況下保留的已佈建資源。

使用主控台或管CLI理環境帳戶連線

您可以使用主控台或CLI建立和管理環境帳戶連線。

AWS Management Console

使用主控台建立環境帳戶連線，並將要求傳送至管理帳戶，如下列步驟所示。

1. 決定您計劃在管理帳戶中建立的環境名稱，或選擇需要環境帳戶連線的現有環境名稱。

2. 在環境帳戶的AWS Proton 主控台中，選擇導覽窗格中的 [環境帳戶連線]。

3. 在 [環境帳戶連線] 頁面中，選擇 [要求連線]。

   注意

   驗證 [環境帳戶連線] 頁面標題中列出的帳戶 ID。請確定它符合您要在其中佈建具名環境之環境帳戶的帳戶 ID。

4. 在「要求連線」頁面中：

   1. 在 [Connect 至管理帳戶] 區段中，輸入您在步驟 1 中輸入的管理帳戶 ID 和環境名稱。

   2. 在 [環境角色] 區段中，選擇 [新增服務角色]，然後 AWS Proton 自動為您建立新角色。或者，選取現有的服務角色和您先前建立的服務角色名稱。

      注意

      AWS Proton 自動為您建立的角色具有廣泛的權限。建議您將角色範圍縮小為佈建環境基礎結構資源所需的權限。如需詳細資訊，請參閱 AWS Proton 使用 佈建的服務角色 AWS CloudFormation。

   3. (選擇性) 在「標籤」區段中，選擇「新增標籤」，為您的環境帳戶連線建立客戶管理的標籤。

   4. 選擇要求連線。

5. 您的要求會在傳送至管理帳戶資料表的環境連線中顯示為待處理，而強制回應可讓您知道如何接受來自管理帳戶的要求。

接受或拒絕環境帳戶連線要求。

1. 在管理帳戶的AWS Proton 主控台中，選擇導覽窗格中的 [環境帳戶連線]。

2. 在 [環境帳戶連線] 頁面的 [環境帳戶連線要求] 表格中，選擇要接受或拒絕的環境連線要求。

   注意

   驗證 [環境帳戶連線] 頁面標題中列出的帳戶 ID。請確定它符合要拒絕之環境帳戶連線關聯之管理帳戶的帳戶識別碼。拒絕此環境帳戶連線之後，您無法接受或使用已拒絕的環境帳戶連線。

3. 選擇拒絕或接受。

   • 如果您選取 [拒絕]，狀態會從擱置中變更為已拒絕。

   • 如果您選取「接受」，狀態會從擱置中變更為「已連線」。

刪除環境帳戶連線。

1. 在環境帳戶的AWS Proton 主控台中，選擇導覽窗格中的 [環境帳戶連線]。

   注意

   驗證 [環境帳戶連線] 頁面標題中列出的帳戶 ID。請確定它符合要拒絕之環境帳戶連線關聯之管理帳戶的帳戶識別碼。刪除此環境帳戶連線之後，就 AWS Proton 無法管理環境帳戶中的環境基礎結構資源。只有在管理帳戶接受環境帳戶和具名環境的新環境帳戶連線之後，才能對其進行管理。

2. 在 [環境帳戶連線] 頁面的 [傳送連線至管理帳戶的要求] 區段中，選擇 [刪除]。

3. 強制回應會提示您確認要刪除。選擇刪除。

AWS CLI

決定您計劃在管理帳戶中建立的環境名稱，或選擇需要環境帳戶連線的現有環境名稱。

在環境帳戶中建立環境帳戶連線。

執行以下命令：

$ aws proton create-environment-account-connection \
    --environment-name "simple-env-connected" \
    --role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \
    --management-account-id "111111111111"

回應：

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "PENDING"
    }
}

接受或拒絕管理帳戶中的環境帳戶連接，如下面的命令和響應所示。

注意

如果您拒絕此環境帳戶連線，您將無法接受或使用已拒絕的環境帳戶連線。

如果您指定「拒絕」，狀態會從「等待中」變更為「拒絕」。

如果您指定「接受」，狀態會從擱置中變更為「已連線」。

執行下列命令以接受環境帳戶連線：

$ aws proton accept-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

回應：

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}

執行下列命令以拒絕環境帳戶連線：

$ aws proton reject-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

回應：

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "status": "REJECTED",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-reject",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role"
    }
}

檢視環境帳戶的連線。您可以取得或列出環境帳戶連線。

執行下列 get 命令：

$ aws proton get-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

回應：

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}

刪除環境帳戶中的環境帳戶連線。

注意

如果您刪除此環境帳戶連線，將 AWS Proton 無法管理環境帳戶中的環境基礎結構資源，直到環境帳戶和具名環境接受新的環境連線為止。您有責任清理在沒有環境連線的情況下保留的已佈建資源。

執行以下命令：

$ aws proton delete-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

回應：

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}