

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Automatisieren Sie die Kontoerstellung mit dem Landing Zone Accelerator auf AWS
<a name="automate-account-creation-lza"></a>

*Justin Kuskowski, Joe Behrens und Nathan Scott, Amazon Web Services*

## Zusammenfassung
<a name="automate-account-creation-lza-summary"></a>

Dieses Muster erklärt, wie Sie mit der [Landing Zone AWS Accelerator-Lösung](https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/) automatisch eine neue Lösung bereitstellen, AWS-Konto wenn ein autorisierter Benutzer eine Anfrage einreicht. Es dient AWS Step Functions zur Orchestrierung einer Reihe von AWS Lambda Funktionen. Die Lambda-Funktionen fügen die Kontoinformationen einem Git-Repository hinzu, initiieren eine AWS CodePipeline Pipeline und überprüfen, ob die erforderlichen AWS Ressourcen bereitgestellt wurden. Wenn der Vorgang abgeschlossen ist, erhält der Benutzer eine Benachrichtigung, dass das Konto erstellt wurde.

Optional können Sie Microsoft Entra ID-Gruppen integrieren und während der Kontoerstellung AWS IAM Identity Center Berechtigungssätze zuweisen. Wenn Ihre Organisation Microsoft Entra ID als Identitätsquelle verwendet, hilft Ihnen diese optionale Funktion dabei, den Zugriff auf das neue Konto automatisch zu verwalten und zu konfigurieren.

## Voraussetzungen und Einschränkungen
<a name="automate-account-creation-lza-prereqs"></a>

**Voraussetzungen**
+ Zugriff auf das Verwaltungskonto in AWS Organizations
+ AWS Cloud Development Kit (AWS CDK) [https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html#getting_started_install](https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html#getting_started_install)
+ Python Version 3.9 oder höher, [installiert](https://www.python.org/downloads/)
+ AWS Command Line Interface [(AWS CLI) Version 2.13.19 oder höher, installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
+ [Docker Version 24.0.6 oder höher, installiert](https://docs.docker.com/get-started/get-docker/)
+ Landing Zone Accelerator auf AWS Lösung, [bereitgestellt](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/deploy-the-solution.html) im Verwaltungskonto
+ [(Optional) Microsoft Entra ID und IAM Identity Center, integriert](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html)

**Einschränkungen**

Der Workflow zur Kontoerstellung unterstützt sequentielle Ausführungen zur Bereitstellung eines einzelnen Kontos. AWS-Konto Diese Einschränkung stellt sicher, dass der Workflow zur Kontoerstellung erfolgreich abgeschlossen wurde, ohne dass während eines parallel Laufs um Ressourcen konkurriert werden muss.

## Architektur
<a name="automate-account-creation-lza-architecture"></a>

**Zielarchitektur**

Die folgende Abbildung zeigt die allgemeine Architektur der Automatisierung der Erstellung einer neuen Datei AWS-Konto mithilfe des Landing Zone Accelerators. AWS AWS Step Functions orchestriert die Automatisierung. Jede Aufgabe im Step Functions Functions-Workflow wird von einer oder mehreren AWS Lambda Funktionen ausgeführt.

![Workflow zur Automatisierung der Erstellung eines neuen Kontos mithilfe des Landing Zone Accelerators auf AWS.](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/d31abfaa-6854-4923-b896-3b817de9f4d9/images/dfd6503d-a4ed-43df-82d4-082f8153d473.png)


Das Diagramm zeigt den folgenden Workflow:

1. Der Benutzer fordert ein Konto an, indem er entweder ein Python-Skript ausführt oder Amazon API Gateway verwendet.

1. Der Orchestrator-Workflow zur Kontoerstellung beginnt in AWS Step Functions.

1. Der Workflow aktualisiert die `account-config.yaml` Datei im Quellcode-Repository. Außerdem wird der Landing Zone Accelerator in der AWS Pipeline gestartet und der Status der Pipeline überprüft. Diese Pipeline erstellt und richtet das neue Konto ein. Weitere Informationen dazu, wie das funktioniert, finden Sie in der [Architekturübersicht](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/architecture-overview.html) für den Landing Zone Accelerator unter AWS.

1. (Optional) Wenn die Pipeline abgeschlossen ist, überprüft der Workflow, ob die Gruppe in Microsoft Entra ID vorhanden ist. Wenn die Gruppe nicht in Microsoft Entra ID vorhanden ist, fügt der Workflow die Gruppe zu Microsoft Entra ID hinzu.

1. Der Workflow führt zusätzliche Schritte durch, die der Landing Zone Accelerator auf der AWS Lösung nicht ausführen kann. Zu den Standardschritten gehören:
   + Erstellen eines [Kontoalias](https://docs.aws.amazon.com/IAM/latest/UserGuide/console-account-alias.html) in AWS Identity and Access Management (IAM)
   + Hinzufügen von [Tags](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tagging.html) an das Konto in AWS Organizations
   + Erstellen von Parametern im [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) auf der Grundlage der dem Konto zugewiesenen Tags

1. (Optional) Der Workflow weist der Microsoft Entra ID-Gruppe, die Sie zuvor angegeben haben, einen oder mehrere [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) zu. Die Berechtigungssätze ermöglichen es Benutzern in der Gruppe, auf das neue Konto zuzugreifen und die von Ihnen konfigurierten Aktionen auszuführen.

1. Eine AWS Lambda Funktion führt QA- und Validierungstests durch. Sie validiert die Erstellung von Ressourcen, prüft, ob Tags erstellt wurden, und überprüft, ob Sicherheitsressourcen bereitgestellt wurden.

1. Der Workflow gibt das Konto frei und verwendet Amazon Simple Email Service (Amazon SES), um den Benutzer darüber zu informieren, dass der Vorgang erfolgreich abgeschlossen wurde.

Weitere Informationen zum Step Functions-Workflow finden Sie unter *Step Functions Functions-Workflow-Diagramm* im Abschnitt [Zusätzliche Informationen](#automate-account-creation-lza-additional) dieses Musters.

**Microsoft Entra ID-Anwendungen**

Wenn Sie sich für die Integration mit Microsoft Entra ID entscheiden, erstellen Sie bei der Bereitstellung dieses Musters die folgenden beiden Anwendungen:
+ Eine Anwendung, die mit IAM Identity Center verknüpft ist und sicherstellt, dass Microsoft Entra ID-Gruppen in IAM Identity Center verfügbar sind. In diesem Beispiel wird diese Microsoft Entra ID-Anwendung benannt`LZA2`.
+ Eine Anwendung, die es einer Lambda-Funktion ermöglicht, mit Microsoft Entra ID zu kommunizieren und [Microsoft](https://learn.microsoft.com/en-us/graph/identity-network-access-overview) Graph aufzurufen. APIs In diesem Muster wird diese Anwendung benannt. `create_aws_account`

Diese Anwendungen sammeln Daten, die zum Synchronisieren der Microsoft Entra ID-Gruppe und zum Zuweisen von Berechtigungssätzen verwendet werden.

## Tools
<a name="automate-account-creation-lza-tools"></a>

**AWS-Services**
+ [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) unterstützt Sie bei der Erstellung, Veröffentlichung, Wartung, Überwachung und Sicherung von REST, HTTP und WebSocket APIs in jeder Größenordnung. In diesem Muster verwenden Sie API Gateway, um die Verfügbarkeit von AWS-Konto Namen zu überprüfen, den AWS Step Functions Workflow zu initiieren und den Status der Ausführung von Step Functions zu überprüfen.
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/home.html)ist ein Softwareentwicklungs-Framework, das Ihnen hilft, AWS Cloud Infrastruktur im Code zu definieren und bereitzustellen.
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)hilft Ihnen bei der Einrichtung und Verwaltung einer Umgebung AWS mit mehreren Konten und folgt dabei den vorgeschriebenen Best Practices.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel AWS Lambda Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen. AWS-Konten Diese Lösung verwendet eine [EventBridge Regel](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html), die eine Lambda-Funktion startet, wenn sich der Status des Step Functions Functions-Workflows auf `Failed``Timed-out`, oder `Aborted` ändert.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)hilft Ihnen dabei, den Single Sign-On (SSO) -Zugriff auf all Ihre Anwendungen AWS-Konten und Cloud-Anwendungen zentral zu verwalten.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) hilft Ihnen dabei, kryptografische Schlüssel zu erstellen und zu kontrollieren, um Ihre Daten zu schützen. In diesem Muster werden AWS KMS Schlüssel verwendet, um Daten zu verschlüsseln, z. B. Daten, die in Amazon Simple Storage Service (Amazon S3) gespeichert sind, Lambda-Umgebungsvariablen und Daten in Step Functions.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
+ [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) unterstützt Sie beim Senden und Empfangen von E-Mails mithilfe Ihrer eigenen E-Mail-Adressen und Domains. Nachdem ein neues Konto erfolgreich erstellt wurde, erhalten Sie eine Benachrichtigung über Amazon SES.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen. Wenn bei der Kontoerstellung ein Fehler auftritt, sendet Amazon SNS eine Benachrichtigung an die von Ihnen konfigurierten E-Mail-Adressen.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)ist ein serverloser Orchestrierungsservice, mit dem Sie AWS Lambda Funktionen und andere Funktionen kombinieren können, um geschäftskritische Anwendungen AWS-Services zu erstellen.
+ [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) bietet sicheren, hierarchischen Speicher für die Verwaltung von Konfigurationsdaten und Geheimnissen.

**Andere Tools**
+ [awscurl](https://pypi.org/project/awscurl/0.6/) automatisiert den Prozess des Signierens von AWS API-Anfragen und hilft Ihnen, Anfragen als Standard-Curl-Befehl zu stellen.
+ [Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/fundamentals/whatis), früher bekannt als *Azure Active Directory*, ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst.
+ [Microsoft Graph APIs](https://learn.microsoft.com/en-us/graph/graph-explorer/graph-explorer-overview) hilft Ihnen beim Zugriff auf Daten und Informationen in Microsoft-Cloud-Diensten wie Microsoft Entra und Microsoft 365.

**Code-Repository**

Der Code für dieses Muster ist im GitHub [lza-account-creation-workflow](https://github.com/aws-samples/lza-account-creation-workflow)Repository verfügbar.

Das Verzeichnis [lambda\_layer](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_layer) enthält die folgenden Ebenen, auf die in mehr als einer Lambda-Funktion verwiesen wird:
+ [account\_creation\_helper](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_layer/account_creation_helper) — Diese Ebene enthält die Module zur Übernahme von Rollen und zur Überprüfung des Fortschritts. AWS Service Catalog
+ [boto3](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_layer/boto3) — Diese Ebene enthält das [AWS SDK für Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/index.html)Modul, um sicherzustellen, dass die neueste Version installiert ist. AWS Lambda 
+ [identity\_center\_helper](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_layer/identity_center_helper) — Diese Ebene unterstützt Aufrufe von IAM Identity Center.

Das Verzeichnis [lambda\_src](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src) enthält die folgenden Lambda-Funktionen:
+ [AccountTagToSsmParameter](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/event/AccountTagToSsmParameter)— Diese Funktion verwendet die an das Konto angehängten Tags, um Parameter AWS Organizations im Parameter Store zu erstellen. Jeder Parameter beginnt mit einem `/account/tags/` Präfix.
+ [AttachPermissionSet](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/AttachPermissionSet)— Diese Funktion fügt einer IAM Identity Center-Gruppe einen Berechtigungssatz hinzu.
+ [Azure ADGroup Sync](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/AzureADGroupSync) — Diese Funktion synchronisiert die Microsoft Entra ID-Zielgruppe mit dem IAM Identity Center.
+ [CheckForRunningProcesses](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/CheckForRunningProcesses)— Diese Funktion prüft, ob die `AWSAccelerator-Pipeline` Pipeline derzeit läuft. Wenn die Pipeline läuft, verzögert die Funktion den AWS Step Functions Workflow.
+ [CreateAccount](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/CreateAccount)— Diese Funktion verwendet AWS Service Catalog und AWS Control Tower , um das Neue zu erstellen AWS-Konto.
+ [CreateAdditionalResources](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/CreateAdditionalResources)— Diese Funktion erstellt die AWS Ressourcen, die nicht von Landing Zone Accelerator oder verwaltet werden AWS CloudFormation, wie z. B. der Alias und die AWS Service Catalog Tags des Kontos.
+ [GetAccountStatus](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/GetAccountStatus)— Diese Funktion sucht nach dem bereitgestellten Produkt, AWS Service Catalog um festzustellen, ob der Kontoerstellungsprozess abgeschlossen ist.
+ [GetExecutionStatus](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/api/GetExecutionStatus)— Diese Funktion ruft den Status einer laufenden oder abgeschlossenen AWS Step Functions Ausführung ab.
+ [NameAvailability](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/api/NameAvailability)— Diese Funktion prüft, ob ein AWS-Konto Name bereits in AWS Organizations existiert.
+ [ReturnResponse](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/ReturnResponse)— Wenn die Kontoerstellung erfolgreich war, gibt diese Funktion die ID des neuen Kontos zurück. Wenn die Kontoerstellung nicht erfolgreich war, wird eine Fehlermeldung zurückgegeben.
+ [RunStepFunction](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/api/RunStepFunction)— Diese Funktion führt den AWS Step Functions Workflow aus, der das Konto erstellt.
+ [SendEmailWithSES](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/SendEmailWithSES) — Diese Funktion sendet E-Mails an die Benutzer, die darauf warten, dass die Kontoerstellung abgeschlossen ist.
+ [ADGroupSyncToSSO validieren](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/ValidateAdGroupSyncToSSO) — Diese Funktion überprüft, ob die angegebenen Microsoft Entra ID-Gruppen mit IAM Identity Center synchronisiert sind.
+ [ValidateResources](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/ValidateResources)— Diese Funktion überprüft, ob alle AWS Control Tower Anpassungen erfolgreich ausgeführt wurden.

## Best Practices
<a name="automate-account-creation-lza-best-practices"></a>

Wir empfehlen die folgenden Benennungskonventionen für: AWS CDK 
+ Starten Sie alle Parameter mit einem `p` Präfix.
+ Starten Sie alle Bedingungen mit einem `c` Präfix.
+ Starten Sie alle Ressourcen mit einem `r` Präfix.
+ Startet alle Ausgaben mit einem `o` Präfix.

## Epen
<a name="automate-account-creation-lza-epics"></a>

### Stellen Sie die IAM-Rollen für Validierung und Tagging bereit
<a name="deploy-the-iam-roles-for-validation-and-tagging"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Bereite den Landing Zone Accelerator auf AWS die Anpassung vor. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| Bereiten Sie sich auf die Bereitstellung der `lza-account-creation-validation` Rolle vor. | Jetzt passen Sie die Lösung so an, dass die `lza-account-creation-validation` IAM-Rolle in allen Konten außer dem Verwaltungskonto bereitgestellt wird. Diese Rolle bietet der `ValidateResources` Lambda-Funktion schreibgeschützten Zugriff auf die neuen Konten.[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| Bereiten Sie sich auf die Bereitstellung der `account-tagging-to-ssm-parameter-role` Rolle vor. | Jetzt passen Sie die Lösung so an, dass die `account-tagging-to-ssm-parameter-role` IAM-Rolle in allen Konten außer dem Verwaltungskonto bereitgestellt wird. Diese Rolle wird verwendet, um die Parameter im AWS Systems Manager Parameter Store zu erstellen.[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| Bereiten Sie sich auf die Bereitstellung der `config-log-validation-role` Rolle vor. | Jetzt passen Sie die Lösung an, um die `config-log-validation-role` IAM-Rolle im Protokollarchivkonto bereitzustellen. Diese Rolle ermöglicht der `ValidateResources` Lambda-Funktion den Zugriff auf den Amazon S3 S3-Bucket für Protokollierung und AWS Config Zugriffsregeln.[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 

### (Optional) Daten von Microsoft Entra ID abrufen
<a name="optional-get-data-from-microsoft-entra-id"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Erstellen Sie die Anwendung, die es einer Lambda-Funktion ermöglicht, mit Microsoft Entra ID zu kommunizieren. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | Microsoft Entra ID | 
| Ruft Werte für die `create_aws_account` Anwendung ab. | Jetzt rufen Sie die Werte ab, die Sie für die `create_aws_account` Anwendung benötigen.[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | Microsoft Entra ID | 
| Erstellen Sie die Anwendung, die Microsoft Entra ID mit IAM Identity Center integriert. | Registrieren Sie die `LZA2` Anwendung im Microsoft Entra ID Admin Center. Anweisungen finden Sie in der Microsoft-Dokumentation unter [Registrieren einer Anwendung](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app). | Microsoft Entra ID | 
| Ruft Werte für die `LZA2` Anwendung ab. | Jetzt rufen Sie die Werte ab, die Sie für die `LZA2` Anwendung benötigen.[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | Microsoft Entra ID | 
| Erstellen Sie ein Geheimnis. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 

### Bereitstellen der Lösung
<a name="deploy-the-solution"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Klonen Sie den Quellcode. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | DevOps Ingenieur | 
| Aktualisieren Sie die `deploy-config.yaml` Datei. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| Stellen Sie die Lösung in Ihrer AWS Umgebung bereit. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html)Diese Lösung verwendet einen Amazon S3 S3-Bucket, um den Quellcode für diese Lösung zu speichern. Sie können das Skript [upload\_to\_source\_bucket.py](https://github.com/aws-samples/gen-ai-trivia/blob/main/scripts/upload_to_source_bucket.py) verwenden, um ein Archiv des Quellcodes zu erstellen und eine aktualisierte Version hochzuladen. | AWS DevOps | 

### Option 1 — Erstellen Sie ein Konto mit Python
<a name="option-1-create-an-account-using-python"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Identifizieren Sie, welche Argumente verwendet werden sollen. | Wählen Sie aus, welche Argumente verwendet werden sollen, wenn Sie das Python-Skript ausführen, das den Step Functions-Workflow initiiert. Eine vollständige Liste der Argumente finden Sie im Abschnitt [Zusätzliche Informationen](#automate-account-creation-lza-additional) dieses Musters. | AWS DevOps, Python | 
| Starten Sie das Python-Skript. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | DevOps Ingenieur, Python | 

### Option 2 — Erstellen Sie ein Konto mit API Gateway und awscurl
<a name="option-2-create-an-account-using-api-gateway-and-awscurl"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Richten Sie die Variablen für awscurl ein. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| Überprüfen Sie die Verfügbarkeit von Namen. | Geben Sie den folgenden Befehl ein, um zu überprüfen, ob der Name für verfügbar ist AWS-Konto. Durch `<AWS_ACCOUNT_NAME>` den Namen des Zielkontos ersetzen:<pre>awscurl --service execute-api \<br />    --region ${AWS_REGION} \<br />    --access_key ${AWS_ACCESS_KEY_ID} \<br />    --secret_key ${AWS_SECRET_ACCESS_KEY} \<br />    --security_token ${AWS_SESSION_TOKEN} \<br />    -X POST ${API_GATEWAY_ENDPOINT}check_name?account_name=<AWS_ACCOUNT_NAME></pre> | AWS DevOps | 
| Führen Sie den Workflow zur Kontoerstellung aus. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 

### (Optional) Bereinigen Sie die Lösung
<a name="optional-clean-up-the-solution"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Objekte aus den Amazon S3 S3-Buckets entfernen. | Entfernen Sie alle Objekte in den folgenden Amazon S3 S3-Buckets:[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| Löschen Sie den CloudFormation Stack. | Geben Sie den folgenden Befehl ein, um den CloudFormation Stack zu löschen:<pre>aws cloudformation delete-stack \<br />  --stack-name lza-account-creation-workflow-application<br />aws cloudformation wait stack-delete-complete \<br />  --stack-name lza-account-creation-workflow-application</pre> | AWS DevOps | 
| Löschen der Pipeline. | Geben Sie den folgenden Befehl ein, um die `lza-account-creation-workflow-pipeline` Pipeline zu löschen:<pre>cdk destroy lza-account-creation-workflow-pipeline --force</pre> | AWS DevOps | 

## Zugehörige Ressourcen
<a name="automate-account-creation-lza-resources"></a>
+ [Landing Zone Accelerator aktiviert AWS](https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/) (AWS Lösungsbibliothek)
+ [Behebung häufig AWS CDK auftretender Probleme](https://docs.aws.amazon.com/cdk/v2/guide/troubleshooting.html) (AWS CDK Dokumentation)

## Zusätzliche Informationen
<a name="automate-account-creation-lza-additional"></a>

**Workflow-Diagramm von Step Functions**

Die folgende Abbildung zeigt die Status im Step Functions Functions-Workflow.

![Staaten im Step Functions Functions-Workflow.](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/d31abfaa-6854-4923-b896-3b817de9f4d9/images/d93aa7bf-1144-4f25-9488-aacc534a7813.png)


**Argumente**

Die folgenden Argumente können Sie verwenden, wenn Sie das Python-Skript ausführen, das den Step Functions Functions-Workflow initiiert.

Die folgenden Argumente sind erforderlich:
+ `account-name (-a)`(string) — Der Name des neuen AWS-Konto.
+ `support-dl (-s)`(string) — Die E-Mail-Adresse, die benachrichtigt wird, wenn der Kontoerstellungsprozess abgeschlossen ist.
+ `managed-org-unit (-m)`(string) — Die verwaltete [Organisationseinheit (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit), die das neue Konto enthalten wird.

Die folgenden Argumente sind optional:
+ `ad-integration (-ad)`(Zeichenkettenwörterbuch) — Die Microsoft Entra ID-Gruppe und der zugewiesene Berechtigungssatz. Im Folgenden finden Sie ein Beispiel für die Verwendung dieses Arguments:

  ```
  --ad-integration "{\"<PermissionSetName>\": \"<EntraIdGroupName>\"}"
  ```
+ `account-email (-e)`****(string) — Die E-Mail-Adresse für den Root-Benutzer des neuen AWS-Konto.
**Anmerkung**  
Wenn dieses Argument nicht verwendet wird, wird anhand der Werte `rootEmailPrefix` und `rootEmailDomain` aus der `configs/deploy-config.yaml` Datei eine E-Mail-Adresse generiert. Wenn keine E-Mail-Adresse angegeben wird, wird eine E-Mail-Adresse im folgenden Format generiert:`rootEmailPrefix+accountName@rootEmailDomain`.
+ `region (-r)`(string) — Der AWS-Region Ort, an dem der Step Functions Functions-Workflow bereitgestellt wurde. Der Standardwert ist `us-east-1`.
+ `force-update (-f)`(string Boolean) — Geben Sie die Eingabetaste ein`true`, um die Aktualisierung des bereitgestellten Produkts AWS Service Catalog zu erzwingen.
+ `bypass-creation (-b)`(string Boolean) — Geben Sie `true` diese Option ein, um das Hinzufügen des Kontos zur `accounts-config.yaml` Datei und die Ausführung der Pipeline zu umgehen. `AWSAccelerator-Pipeline` Dieses Argument wird normalerweise verwendet, um den Workflow-Prozess zur Kontoerstellung zu testen oder um die restlichen Step Functions-Schritte auszuführen, falls in der `Landing Zone Accelerator` Pipeline ein Fehler auftritt.
+ `tags (-t)`(string) — Zusätzliche Tags, die Sie dem hinzufügen möchten AWS-Konto. Standardmäßig werden die folgenden Tags hinzugefügt: `account-name``support-dl`, und`purpose`. Im Folgenden finden Sie ein Beispiel für die Verwendung dieses Arguments:

  ```
  --tags TEST1=VALUE1 TEST2=VALUE2
  ```