Automatisieren Sie Amazon VPC IPAM IPv4 CIDR-Zuweisungen für neue mithilfe von AFT AWS-Konten - AWS Prescriptive Guidance
ZusammenfassungVoraussetzungen und EinschränkungenArchitekturToolsBest PracticesEpenFehlerbehebungZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisieren Sie Amazon VPC IPAM IPv4 CIDR-Zuweisungen für neue mithilfe von AFT AWS-Konten

Kien Pham und Alex Pazik, Amazon Web Services

Zusammenfassung

Dieses Muster zeigt, wie Amazon VPC IP Address Manager (IPAM) IPv4 CIDR-Zuweisungen für neue Benutzer mithilfe AWS-Konten von AWS Control Tower Account Factory for Terraform (AFT) automatisiert werden. Dies erfolgt mithilfe einer Anpassung auf Kontoebene, bei der mithilfe des Moduls ein IPv4 CIDR-Block von IPAM einer neuen Virtual Private Cloud (VPC) zugewiesen wird. aft-account-customizations

Mit IPAM können Sie IP-Adressen in großem Umfang organisieren, zuweisen, überwachen und prüfen, sodass Sie IP-Adressen für Ihre Workloads einfach planen, verfolgen und überwachen können. AWS Sie können einen IPAM- und einen IPAM-Pool erstellen, um während des Kontoverkaufs einer neuen VPC einen IPv4 CIDR-Block zuzuweisen.

Voraussetzungen und Einschränkungen

Voraussetzungen

Einschränkungen

  • Einige AWS-Services sind nicht in allen verfügbar AWS-Regionen. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie unter AWS Dienste nach Regionen. Informationen zu bestimmten Endpunkten finden Sie unter Dienstendpunkte und Kontingente. Wählen Sie dort den Link für den Dienst aus.

Produktversionen

Architektur

Das folgende Diagramm zeigt den Arbeitsablauf und die Komponenten dieses Musters.

Workflow zur Erstellung der Amazon VPC IPv4 IPAM-CIDR-Zuweisung.

Der Workflow besteht aus den folgenden Hauptaufgaben:

  1. Änderungen auslösen — Die Änderungen an der Terraform- und IPAM-Anpassung werden in das GitHub Repository übernommen und per Push übertragen. Diese Aufgabe löst die Pipeline automatisch aus. AWS CodeBuild

  2. Automatisieren Sie den Build — Innerhalb CodeBuild werden mehrere Build-Projekte ausgelöst AWS Step Functions.

  3. Anpassung anwenden — Step Functions koordiniert CodeBuild die Planung und Anwendung von Terraform-Änderungen. Bei dieser Aufgabe wird das AFT-Terraform-Modul verwendet, um die IP-Zuweisung des IPAM-Pools zum verkauften Konto zu koordinieren. AWS

Tools

AWS-Services

  • AWS CodeBuildist ein vollständig verwalteter Build-Service, der Sie beim Kompilieren von Quellcode, beim Ausführen von Komponententests und beim Erstellen von Artefakten unterstützt, die sofort einsatzbereit sind.

  • AWS CodePipelinehilft Ihnen dabei, die verschiedenen Phasen einer Softwareversion schnell zu modellieren und zu konfigurieren und die Schritte zu automatisieren, die für die kontinuierliche Veröffentlichung von Softwareänderungen erforderlich sind.

  • AWS Control Towerorchestriert die Funktionen mehrerer anderer Funktionen AWS-Services, darunter AWS Organizations AWS Service Catalog, und AWS IAM Identity Center. Es kann Ihnen helfen, eine Umgebung mit AWS mehreren Konten einzurichten und zu verwalten und dabei die vorgeschriebenen Best Practices zu befolgen.

  • Amazon DynamoDB ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt.

  • AWS Lambda ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.

  • AWS SDK für Python (Boto3)ist ein Softwareentwicklungskit, mit dem Sie Ihre Python-Anwendung, -Bibliothek oder Ihr Skript integrieren können AWS-Services.

  • AWS Service Cataloghilft Ihnen dabei, Kataloge von IT-Services, für AWS die eine Genehmigung erteilt wurde, zentral zu verwalten. Endbenutzer können schnell nur die jeweils benötigten genehmigten IT-Services bereitstellen, wobei die Einschränkungen Ihrer Organisation berücksichtigt werden.

  • AWS Step Functionsist ein serverloser Orchestrierungsservice, mit dem Sie AWS Lambda Funktionen und andere Funktionen kombinieren können, um geschäftskritische Anwendungen AWS-Services zu erstellen.

  • Amazon Virtual Private Cloud (Amazon VPC) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS. Amazon VPC IP Address Manager (IPAM) ist eine VPC-Funktion, die es Ihnen erleichtert, IP-Adressen für Ihre Workloads zu planen, nachzuverfolgen und zu überwachen. AWS

Andere Tools

  • GitHubist eine Entwicklerplattform, mit der Entwickler ihren Code erstellen, speichern, verwalten und teilen können.

  • HashiCorp Terraform ist ein IaC-Tool (Infrastructure as Code), mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können. Dazu gehören Komponenten auf niedriger Ebene wie Recheninstanzen, Speicher und Netzwerke sowie Komponenten auf hoher Ebene wie DNS-Einträge und Software-as-a-Service (SaaS) -Funktionen.

  • Python ist eine Allzweck-Computerprogrammiersprache. Sie können es verwenden, um Anwendungen zu erstellen, Aufgaben zu automatisieren und Dienste auf der zu entwickeln. AWS Cloud

Code-Repository

Best Practices

Wir empfehlen Ihnen, bei der Bereitstellung von AFT bewährte Methoden zu befolgen, um eine sichere, effiziente und erfolgreiche Implementierung zu gewährleisten. Zu den wichtigsten Richtlinien und Empfehlungen für die Implementierung und den Betrieb von AFT gehören:

  • Gründliche Überprüfung der Eingaben — Prüfen und verstehen Sie jede Eingabe sorgfältig. Die korrekte Eingangskonfiguration ist entscheidend für die Einrichtung und den Betrieb von AFT.

  • Regelmäßige Vorlagenaktualisierungen — Halten Sie die Vorlagen mit den neuesten AWS Funktionen und Terraform-Versionen auf dem neuesten Stand. Regelmäßige Updates helfen Ihnen dabei, neue Funktionen zu nutzen und die Sicherheit zu gewährleisten.

  • Versionierung — Geben Sie die Version Ihres AFT-Moduls an und verwenden Sie, wenn möglich, eine separate AFT-Bereitstellung zum Testen.

  • Umfang — Verwenden Sie AFT nur, um Infrastruktur-Leitplanken und Anpassungen bereitzustellen. Verwenden Sie es nicht, um Ihre Anwendung bereitzustellen.

  • Linting und Validierung — Die AFT-Pipeline erfordert eine verknüpfte und validierte Terraform-Konfiguration. Führen Sie Lint, Validation und Test aus, bevor Sie die Konfiguration in die AFT-Repositorys übertragen.

  • Terraform-Module — Erstellen Sie wiederverwendbaren Terraform-Code als Module und geben Sie immer die Terraform- und AWS Provider-Versionen an, die den Anforderungen Ihres Unternehmens entsprechen.

Epen

AufgabeDescriptionErforderliche Fähigkeiten

Bereitstellen AWS Control Tower.

Richten Sie es AWS Control Tower in Ihrer AWS Umgebung ein und konfigurieren Sie es, um eine zentrale Verwaltung und Steuerung Ihrer zu gewährleisten AWS-Konten. Weitere Informationen finden Sie AWS Control Tower in der AWS Control Tower Dokumentation unter Erste Schritte mit.

Cloud-Administrator

Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit.

Richten Sie AFT in einem neuen, dedizierten AFT-Verwaltungskonto ein. Weitere Informationen finden Sie in der Dokumentation unter Konfiguration und Start Ihrer AWS Control Tower Account Factory für Terraform. AWS Control Tower

Cloud-Administrator

Schließen Sie AFT nach der Bereitstellung ab.

Wenn die Bereitstellung der AFT-Infrastruktur abgeschlossen ist, führen Sie die Schritte unter Schritte nach der Bereitstellung in der AWS Control Tower Dokumentation aus.

Cloud-Administrator
AufgabeDescriptionErforderliche Fähigkeiten

Delegieren Sie einen IPAM-Administrator.

Gehen Sie wie folgt vor, um ein IPAM-Administratorkonto in Ihrer AWS Organisation zu delegieren:

  1. Öffnen Sie mithilfe des AWS Organizations Verwaltungskontos die IPAM-Konsole unter. https://console.aws.amazon.com/ipam/

  2. Wählen Sie im die aus AWS-Managementkonsole, AWS-Region in der Sie mit IPAM arbeiten möchten.

  3. Klicken Sie im Navigationsbereich auf Organization settings (Organisationseinstellungen).

  4. Wählen Sie Delegieren. Die Option Delegieren ist nur verfügbar, wenn Sie sich als Verwaltungskonto bei der Konsole angemeldet haben. AWS Organizations

  5. Geben Sie die AWS-Konto ID für ein IPAM-Konto ein. Der IPAM-Administrator muss in einem AWS Organizations Mitgliedskonto sein.

  6. Wählen Sie Änderungen speichern aus.

Alternativ können Sie den folgenden Befehl verwenden AWS CLI und ausführen:

aws ec2 enable-ipam-organization-admin-account \
    --delegated-admin-account-id 012345678901

Weitere Informationen finden Sie unter Integrieren von IPAM mit Konten in einer AWS Organisation in der Amazon VPC-Dokumentation und enable-ipam-organization-adminunter -account in der AWS CLI Befehlsreferenz.

Wichtig

Um IPAM weiterhin verwenden zu können, müssen Sie sich mit dem delegierten Administratorkonto anmelden. Das im nächsten Schritt angegebene SSO-Profil oder die AWS Umgebungsvariablen müssen es Ihnen ermöglichen, sich bei diesem Konto anzumelden und Berechtigungen zum Erstellen eines IPAM-Pool der obersten Ebene und eines regionalen IPAM-Pool zu erteilen.

AWS-Administrator

Erstellen Sie einen IPAM-Pool der obersten Ebene und einen regionalen IPAM-Pool.

Das GitHub Repository dieses Musters enthält eine Terraform-Vorlage, mit der Sie Ihren IPAM-Pool auf oberster Ebene und Ihren regionalen Pool erstellen können. Anschließend können Sie die Pools mithilfe von () für eine Organisation, eine Organisationseinheit (OU) oder eine andere Ressource freigeben. AWS-Konto AWS Resource Access Manager AWS RAM

Gehen Sie dazu wie folgt vor:

  1. Führen Sie die folgenden Befehle aus:

    # Navigate to the IPAM module
cd ipam/terraform

# Initiate the IPAM module
terraform init

  2. Öffnen Sie die main.tf Datei, ändern Sie den Code wie in den folgenden Kommentaren beschrieben, und speichern Sie die Datei.

    terraform {
  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = ">= 5.11.0, < 6.0.0"
    }
  }
}

provider "aws" {
  region = "us-east-1" # Replace with the region to create your top-level pool
}

module "ipam" {
  source  = "aws-ia/ipam/aws"
  version = ">= 2.1.0"

  top_name = "my-top-level-pool" # Replace with your desired top-level pool name
  top_description = "top-level pool" # Replace with your desired top-level level pool description
  top_cidr = ["10.0.0.0/16"] # Replace with your desired top-level pool CIDR

  pool_configurations = {
    my-regional-pool = { # (Optional) Replace with a different resource name
      name             = "my-regional-pool" # Replace with your desired pool name
      description      = "regional pool" # Replace with your desired pool description
      cidr             = ["10.0.0.0/23"] # Replace with your desired pool CIDR
      locale           = "us-east-1" # Replace with your desired pool locale
      ram_share_principals = ["arn:aws:organizations::012345678901:ou/ou-ab1c2de345/ou-ab1c2de345"] # Replace with your desired principal ARN to share with via Resource Access Manager (RAM)
    }
  }
}

output "my_regional_pool_id" {
  description = "The ID of the regional pool"
  value       = module.ipam.pools_level_1["my-regional-pool"].id # Replace with your desired resource name if changed above
}

# Create the IPAM top-level and resource pool
terraform apply

Notieren Sie sich die Ressourcenpool-ID, die nach der Erstellung ausgegeben wird. Sie benötigen die ID, wenn Sie die Kontoanfrage einreichen. Wenn Sie die Ressourcenpool-ID vergessen haben, können Sie sie später von der abrufen AWS-Managementkonsole.

Wichtig

Stellen Sie sicher, dass sich die erstellten Pools CIDRs nicht mit anderen Pools in Ihrer Arbeitsregion überschneiden. Sie können einen Pool ohne CIDR erstellen, aber Sie können den Pool erst für Zuweisungen verwenden, wenn Sie ein CIDR dafür bereitgestellt haben. Sie können einem Pool jederzeit etwas hinzufügen CIDRs , indem Sie den Pool bearbeiten.

AWS-Administrator
AufgabeDescriptionErforderliche Fähigkeiten

Beginnen Sie mit der Erstellung der Kontoanpassung.

Führen Sie die folgenden Befehle von Ihrem Terminal aus aus, um mit der Anpassung eines neuen Kontos zu beginnen:

# Default name for customization repo
cd aft-account-customizations # Replace with your actual repo name if different than the default
mkdir -p APG-AFT-IPAM/terraform # Replace APG-AFT-IPAM with your desired customization name
cd APG-AFT-IPAM/terraform
DevOps Ingenieur

aft-providers.jinjaDatei erstellen.

Fügen Sie der aft-providers.jinja Datei dynamischen Code hinzu, der das zu verwendende Terraform-Backend und den zu verwendenden Terraform-Anbieter angibt.

Gehen Sie dazu wie folgt vor:

  1. Erstellen Sie eine neue aft-providers.jinja Datei im Verzeichnis. terraform

  2. Öffnen Sie die Datei, fügen Sie den folgenden Code hinzu und speichern Sie die Datei.

    provider "aws" {
  region = "{{ provider_region }}"
  assume_role {
    role_arn    = "{{ target_admin_role_arn }}"
  }
  default_tags {
    tags = {
      managed_by                  = "AFT"
    }
  }
}
DevOps Ingenieur

backend.jinjaDatei erstellen.

Fügen Sie der backend.jinja Datei dynamischen Code hinzu, der das zu verwendende Terraform-Backend und den zu verwendenden Terraform-Anbieter angibt.

Gehen Sie dazu wie folgt vor:

  1. Erstellen Sie eine neue backend.jinja Datei im Verzeichnis. terraform

  2. Öffnen Sie die Datei, fügen Sie den folgenden Code hinzu und speichern Sie die Datei.

    ## Auto generated backend.tf ##
## Updated on: {{ timestamp }} ##

{% if tf_distribution_type == "oss" -%}
terraform {
  required_version = ">= {{ tf_version }}"
  backend "s3" {
    region         = "{{ region }}"
    bucket         = "{{ bucket }}"
    key            = "{{ key }}"
    dynamodb_table = "{{ dynamodb_table }}"
    encrypt        = "true"
    kms_key_id     = "{{ kms_key_id }}"
    role_arn       = "{{ aft_admin_role_arn }}"
  }
}
{% else -%}
terraform {
    backend "remote" {
        organization = "{{ terraform_org_name }}"
        workspaces {
        name = "{{ terraform_workspace_name }}"
        }
    }
}
{% endif %}
DevOps Ingenieur

main.tfDatei erstellen.

Erstellen Sie eine neue main.tf Datei und fügen Sie Code hinzu, der zwei Datenquellen definiert, die zwei Werte von AWS Systems Manager (aws_ssm) abrufen und die VPC erstellen.

Gehen Sie dazu wie folgt vor:

  1. Erstellen Sie eine neue main.tf Datei im terraform Verzeichnis.

  2. Öffnen Sie die Datei, fügen Sie den folgenden Code hinzu und speichern Sie die Datei.

    # Define data sources
data "aws_ssm_parameter" "vpc_ipam_id" {
  name = "/aft/account-request/custom-fields/vpc-ipam-id" # Value is defined in the account-request.tf file
}

data "aws_ssm_parameter" "vpc_netmask" {
  name = "/aft/account-request/custom-fields/vpc-ipam-netmask" # Value is defined in the account-request.tf file
}

# Create new VPC
resource "aws_vpc" "vpc1" {

  ipv4_ipam_pool_id   = data.aws_ssm_parameter.vpc_ipam_id.value # Retrieved from SSM - this is how we integrate with IPAM
  ipv4_netmask_length = data.aws_ssm_parameter.vpc_netmask.value # Retrieved from SSM

  assign_generated_ipv6_cidr_block     = var.enable_ipv6 ? true : null
  ipv6_cidr_block                      = var.ipv6_cidr
  ipv6_ipam_pool_id                    = var.ipv6_ipam_pool_id
  ipv6_netmask_length                  = var.ipv6_netmask_length
  ipv6_cidr_block_network_border_group = var.ipv6_cidr_block_network_border_group

  instance_tenancy                     = var.instance_tenancy
  enable_dns_hostnames                 = var.enable_dns_hostnames
  enable_dns_support                   = var.enable_dns_support
  enable_network_address_usage_metrics = var.enable_network_address_usage_metrics

  tags = var.tags

  lifecycle {
    ignore_changes = [
      tags, # Any changes made to VPC tags after creation will not be overwritten - remove to revert these changes during future 'terraform apply' operations
    ]
  }
}
DevOps Ingenieur

variables.tfDatei erstellen.

Erstellen Sie eine variables.tf Datei, die die vom Terraform-Modul verwendeten Variablen deklariert.

Gehen Sie dazu wie folgt vor:

  1. Erstellen Sie eine neue variables.tf Datei im Verzeichnis. terraform

  2. Öffnen Sie die Datei, fügen Sie den folgenden Code hinzu und speichern Sie die Datei.

    # Copied from AWS VPC module
# https://github.com/terraform-aws-modules/terraform-aws-vpc/blob/master/variables.tf

variable "name" {
  description = "Name to be used on all the resources as identifier"
  type        = string
  default     = ""
}

variable "enable_ipv6" {
  description = "Requests an Amazon-provided IPv6 CIDR block with a /56 prefix length for the VPC. You cannot specify the range of IP addresses, or the size of the CIDR block"
  type        = bool
  default     = false
}

variable "ipv6_cidr" {
  description = "(Optional) IPv6 CIDR block to request from an IPAM Pool. Can be set explicitly or derived from IPAM using `ipv6_netmask_length`"
  type        = string
  default     = null
}

variable "ipv6_ipam_pool_id" {
  description = "(Optional) IPAM Pool ID for a IPv6 pool. Conflicts with `assign_generated_ipv6_cidr_block`"
  type        = string
  default     = null
}

variable "ipv6_netmask_length" {
  description = "(Optional) Netmask length to request from IPAM Pool. Conflicts with `ipv6_cidr_block`. This can be omitted if IPAM pool as a `allocation_default_netmask_length` set. Valid values: `56`"
  type        = number
  default     = null
}

variable "ipv6_cidr_block_network_border_group" {
  description = "By default when an IPv6 CIDR is assigned to a VPC a default ipv6_cidr_block_network_border_group will be set to the region of the VPC. This can be changed to restrict advertisement of public addresses to specific Network Border Groups such as LocalZones"
  type        = string
  default     = null
}

variable "instance_tenancy" {
  description = "A tenancy option for instances launched into the VPC"
  type        = string
  default     = "default"
}

variable "enable_dns_hostnames" {
  description = "Should be true to enable DNS hostnames in the VPC"
  type        = bool
  default     = true
}

variable "enable_dns_support" {
  description = "Should be true to enable DNS support in the VPC"
  type        = bool
  default     = true
}

variable "enable_network_address_usage_metrics" {
  description = "Determines whether network address usage metrics are enabled for the VPC"
  type        = bool
  default     = null
}

variable "tags" {
  description = "A map of tags to add to all resources"
  type        = map(string)
  default     = {}
}
DevOps Ingenieur

terraform.tfvarsDatei erstellen.

Erstellen Sie eine terraform.tfvars Datei, die die Werte der Variablen definiert, die an die main.tf Datei übergeben werden.

Gehen Sie dazu wie folgt vor:

  1. Erstellen Sie eine neue terraform.tfvars Datei im terraform Verzeichnis.

  2. Öffnen Sie die Datei, fügen Sie den folgenden Code hinzu und speichern Sie die Datei.

    name = "demo-ipam"
enable_ipv6 = false
enable_dns_hostnames = true
enable_dns_support = true
DevOps Ingenieur

outputs.tfDatei erstellen.

Erstellen Sie eine neue outputs.tf Datei, die einige Werte in CodeBuild verfügbar macht.

Gehen Sie dazu wie folgt vor:

  1. Erstellen Sie eine neue outputs.tf Datei im terraform Verzeichnis.

  2. Öffnen Sie die Datei, fügen Sie den folgenden Code hinzu und speichern Sie die Datei.

    # Output VPC ID and ARN in CodeBuild
output "vpc1" {
  description = "VPC 1 information"
  value = {
    id  = try(aws_vpc.vpc1.id, null)
    arn = try(aws_vpc.vpc1.arn, null)
  }
}
DevOps Ingenieur

Bestätigen Sie die Anpassung.

Führen Sie die folgenden Befehle aus, um die neue Anpassung in das Repository für Kontoanpassungen zu übernehmen:

# Assumes you are still in the /terraform directory
cd .. # Skip if you are in the account customization root directory (APG-AFT-IPAM)
git add .
git commit -m "APG customization"
git push origin
DevOps Ingenieur

Wenden Sie die Anpassung an.

Fügen Sie der account-requests.tf Datei, die ein neues Konto mit der neu erstellten Kontoanpassung anfordert, Code hinzu. Die benutzerdefinierten Felder erstellen Systems Manager Manager-Parameter im Verkäuferkonto, die erforderlich sind, um die VPC mit dem richtigen IPAM-zugewiesenen CIDR zu erstellen. IPv4

Gehen Sie dazu wie folgt vor:

  1. Navigieren Sie von Ihrem Terminal aus zum Verzeichnis. aft-account-request/terraform

  2. Öffnen Sie die account-requests.tf Datei, fügen Sie den folgenden Code hinzu, ändern Sie ihn mit Ihren Werten und speichern Sie die Datei.

    module "sandbox_account_01" {
  source = "./modules/aft-account-request"

  control_tower_parameters = {
    AccountEmail = "john.doe@example.com"
    AccountName  = "sandbox-account-01"
    # Syntax for top-level OU
    ManagedOrganizationalUnit = "Sandbox"
    # Syntax for nested OU
    # ManagedOrganizationalUnit = "Sandbox (ou-xfe5-a8hb8ml8)"
    SSOUserEmail     = "john.doe@example.com"
    SSOUserFirstName = "John"
    SSOUserLastName  = "Doe"
  }

  account_tags = {
    "ABC:Owner"       = "john.doe@example.com"
    "ABC:Division"    = "ENT"
    "ABC:Environment" = "Dev"
    "ABC:CostCenter"  = "123456"
    "ABC:Vended"      = "true"
    "ABC:DivCode"     = "102"
    "ABC:BUCode"      = "ABC003"
    "ABC:Project"     = "123456"
  }

  change_management_parameters = {
    change_requested_by = "John Doe"
    change_reason       = "testing the account vending process"
  }

  custom_fields = {
    vpc-ipam-id = "ipam-pool-123456ab789041cd2"
    vpc-ipam-netmask = "24"
 
  }

  account_customizations_name = "APG-AFT-IPAM" # Do not change this value
}
    Wichtig

    Stellen Sie sicher, dass der vpc-ipam-netmask Wert kleiner oder gleich der IPAM-Poolzuweisung ist und dass im IPAM-Pool genug IPs verfügbar istnetmask, um ihn der VPC zuzuweisen.

  3. Verwenden Sie die folgenden Befehle, um das neue Konto in das Repository für Kontoanfragen zu übernehmen:

    git add .
git commit -m 'requested APG account'
git push origin
AWS DevOps

Validieren Sie die Anpassung.

Melden Sie sich bei dem neu verkauften Konto an und vergewissern Sie sich, dass die Anpassung erfolgreich angewendet wurde.

Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie Ihre AWS IAM Identity Center Anmeldeseite und authentifizieren Sie sich als der Benutzer, den Sie in der Datei angegeben haben. account-requests.tf

  2. Wählen Sie aus der IAM Identity Center-Kontoliste das Konto aus, das Sie zuvor verkauft haben, und melden Sie sich mit der Rolle an. AWS AdministratorAccess

  3. Navigieren Sie zur VPC-Konsole und wählen Sie Ihr VPCs aus.

  4. Wählen Sie die VPC-ID der VPC aus, die Sie gerade erstellt haben.

  5. Wählen Sie die Registerkarte CIDRs aus. Sie sollten ein IPv4 IPAM-zugewiesenes CIDR sehen.

  6. (Optional) Melden Sie sich bei Ihrem delegierten IPAM-Administratorkonto an und vergewissern Sie sich, dass die Zuweisung in der IPAM-Konsole angezeigt wird.

DevOps Ingenieur

Fehlerbehebung

ProblemLösung

Sie stoßen auf Fehler bei der Erstellung oder Verwaltung von Ressourcen, die auf unzureichende Berechtigungen zurückzuführen sind.

Überprüfen Sie die AWS Identity and Access Management (IAM-) Rollen und Richtlinien, die Step Functions und anderen an der Bereitstellung beteiligten Diensten zugeordnet sind. CodeBuild Vergewissern Sie sich, dass sie über die erforderlichen Berechtigungen verfügen. Wenn es Probleme mit den Berechtigungen gibt, passen Sie die IAM-Richtlinien an, um den erforderlichen Zugriff zu gewähren.

Während der Bereitstellung erreichen Sie die AWS-Service Kontingente.

Bevor Sie die Pipeline bereitstellen, überprüfen Sie die AWS-Service Kontingente für Ressourcen wie Amazon Simple Storage Service (Amazon S3) -Buckets, IAM-Rollen und AWS Lambda Funktionen. Beantragen Sie bei Bedarf eine Erhöhung der Kontingente. Weitere Informationen finden Sie unter AWS-Service Quotas in der Allgemeinen AWS -Referenz.

Zugehörige Ressourcen

AWS-Service Dokumentation

Sonstige Ressourcen