Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verbindungen zu Umgebungskonten
Übersicht
Erfahren Sie, wie Sie eine AWS Proton Umgebung in einem Konto erstellen und verwalten und deren Infrastrukturressourcen in einem anderen Konto bereitstellen. Dies kann dazu beitragen, die Transparenz und Effizienz im großen Maßstab zu verbessern. Verbindungen mit Umgebungskonten unterstützen nur die Standardbereitstellung mit AWS CloudFormation
Infrastruktur als Code.
Die Informationen in diesem Thema sind für Umgebungen relevant, die mit AWS verwalteter Bereitstellung konfiguriert sind. Bei Umgebungen, die mit selbstverwalteter Bereitstellung konfiguriert sind, wird AWS Proton Ihre Infrastruktur nicht direkt bereitgestellt. Stattdessen werden Pull-Requests (PRs) zur Bereitstellung an Ihr Repository gesendet. Es liegt in Ihrer Verantwortung, sicherzustellen, dass Ihr Automatisierungscode die richtige Identität und Rolle annimmt.
Weitere Informationen zu Bereitstellungsmethoden finden Sie unterWie stellt die AWS Proton Infrastruktur bereit.
Terminologie
Mit Verbindungen zu AWS Proton Umgebungskonten können Sie aus einem Konto eine AWS Proton
Umgebung erstellen und deren Infrastruktur in einem anderen Konto bereitstellen.
- Verwaltungskonto
-
Das einzige Konto, mit dem Sie als Administrator eine AWS Proton Umgebung erstellen, die Infrastrukturressourcen in einem anderen Umgebungskonto bereitstellt.
- Umgebungskonto
-
Ein Konto, in dem die Umgebungsinfrastruktur bereitgestellt wird, wenn Sie eine AWS Proton Umgebung in einem anderen Konto erstellen.
- Verbindung zum Umgebungskonto
-
Eine sichere bidirektionale Verbindung zwischen einem Verwaltungskonto und einem Umgebungskonto. Es behält die Autorisierung und die Berechtigungen bei, wie in den folgenden Abschnitten näher beschrieben.
Wenn Sie eine Umgebungskontoverbindung in einem Umgebungskonto in einer bestimmten Region erstellen, können nur die Verwaltungskonten in derselben Region die Umgebungskontoverbindung sehen und verwenden. Das bedeutet, dass sich die im Verwaltungskonto erstellte AWS Proton Umgebung und die im Umgebungskonto bereitgestellte Umgebungsinfrastruktur in derselben Region befinden müssen.
Überlegungen zur Verbindung mit dem Umgebungskonto
-
Sie benötigen für jede Umgebung, die Sie in einem Umgebungskonto bereitstellen möchten, eine Verbindung mit einem Umgebungskonto.
-
Informationen zu Verbindungskontingenten für Umgebungskonten finden Sie unterAWS Proton Kontingente.
Tagging
Verwenden Sie im Umgebungskonto die Konsole oder die vom Kunden verwalteten Tags AWS CLI , um die Verbindung mit dem Umgebungskonto anzuzeigen und zu verwalten. AWS verwaltete Tags werden nicht für Verbindungen mit Umgebungskonten generiert. Weitere Informationen finden Sie unter AWS Proton Ressourcen und Tagging.
Erstellen Sie eine Umgebung in einem Konto und stellen Sie deren Infrastruktur in einem anderen Konto bereit
Um eine Umgebung von einem einzigen Verwaltungskonto aus zu erstellen und bereitzustellen, richten Sie ein Umgebungskonto für eine Umgebung ein, die Sie erstellen möchten.
Starten Sie mit dem Umgebungskonto und stellen Sie eine Verbindung her.
Erstellen Sie im Umgebungskonto eine AWS Proton Servicerolle, die nur auf die Berechtigungen beschränkt ist, die für die Bereitstellung der Infrastrukturressourcen Ihrer Umgebung erforderlich sind. Weitere Informationen finden Sie unter AWS Proton Servicerolle für die Bereitstellung mit AWS CloudFormation.
Erstellen Sie anschließend eine Verbindungsanfrage für das Umgebungskonto und senden Sie sie an Ihr Verwaltungskonto. Wenn die Anfrage akzeptiert wurde, AWS Proton kann die zugehörige IAM-Rolle verwendet werden, die die Bereitstellung von Umgebungsressourcen im zugehörigen Umgebungskonto ermöglicht.
Nehmen Sie im Verwaltungskonto die Verbindung mit dem Umgebungskonto an oder lehnen Sie sie ab.
Nehmen Sie im Verwaltungskonto die Verbindungsanfrage für das Umgebungskonto an oder lehnen Sie sie ab. Sie können eine Verbindung mit einem Umgebungskonto nicht aus Ihrem Verwaltungskonto löschen.
Wenn Sie die Anfrage akzeptieren, AWS Proton können sie die zugehörige IAM-Rolle verwenden, die die Bereitstellung von Ressourcen im zugehörigen Umgebungskonto ermöglicht.
Die Ressourcen der Umgebungsinfrastruktur werden im zugehörigen Umgebungskonto bereitgestellt. Sie können AWS Proton APIs nur von Ihrem Verwaltungskonto aus auf Ihre Umgebung und deren Infrastrukturressourcen zugreifen und diese verwalten. Weitere Informationen erhalten Sie unter Erstellen Sie eine Umgebung in einem Konto und stellen Sie sie in einem anderen Konto bereit und Aktualisieren Sie eine Umgebung.
Nachdem Sie eine Anfrage abgelehnt haben, können Sie die abgelehnte Verbindung mit dem Umgebungskonto weder annehmen noch verwenden.
Sie können eine Verbindung mit einem Umgebungskonto, die mit einer Umgebung verbunden ist, nicht ablehnen. Um die Verbindung mit dem Umgebungskonto abzulehnen, müssen Sie zuerst die zugehörige Umgebung löschen.
Greifen Sie im Umgebungskonto auf die bereitgestellten Infrastrukturressourcen zu.
Im Umgebungskonto können Sie die bereitgestellten Infrastrukturressourcen anzeigen und darauf zugreifen. Sie können beispielsweise CloudFormation API-Aktionen verwenden, um Stacks zu überwachen und bei Bedarf zu bereinigen. Sie können die AWS Proton API-Aktionen nicht verwenden, um auf die AWS Proton Umgebung zuzugreifen oder diese zu verwalten, die für die Bereitstellung der Infrastrukturressourcen verwendet wurde.
Im Umgebungskonto können Sie Verbindungen mit Umgebungskonten löschen, die Sie im Umgebungskonto erstellt haben. Sie können sie nicht akzeptieren oder ablehnen. Wenn Sie eine Umgebungskontoverbindung löschen, die von einer AWS Proton Umgebung verwendet AWS Proton
wird, können die Ressourcen der Umgebungsinfrastruktur erst verwaltet werden, wenn eine neue Umgebungsverbindung für das Umgebungskonto und die benannte Umgebung akzeptiert wurde. Sie sind dafür verantwortlich, bereitgestellte Ressourcen zu bereinigen, die noch keine Verbindung zur Umgebung haben.
Verwenden Sie die Konsole oder CLI, um die Verbindungen zu Umgebungskonten zu verwalten
Sie können die Konsole oder CLI verwenden, um Verbindungen zu Umgebungskonten zu erstellen und zu verwalten.
- AWS Management Console
-
Verwenden Sie die Konsole, um eine Verbindung mit einem Umgebungskonto herzustellen und eine Anfrage an das Verwaltungskonto zu senden, wie in den nächsten Schritten gezeigt.
-
Entscheiden Sie sich für einen Namen für die Umgebung, die Sie in Ihrem Verwaltungskonto erstellen möchten, oder wählen Sie den Namen einer vorhandenen Umgebung, für die eine Verbindung mit einem Umgebungskonto erforderlich ist.
-
Wählen Sie in einem Umgebungskonto in der AWS Proton
Konsole im Navigationsbereich die Option Environment account connections aus.
-
Wählen Sie auf der Seite Verbindungen zu Umgebungskonten die Option Verbindungsanfrage aus.
Überprüfen Sie die Konto-ID, die in der Überschrift der Seite „Verbindung mit Umweltkonten“ aufgeführt ist. Stellen Sie sicher, dass sie mit der Konto-ID des Umgebungskontos übereinstimmt, in dem Ihre benannte Umgebung bereitgestellt werden soll.
-
Gehen Sie auf der Seite Verbindungsanfrage wie folgt vor:
-
Geben Sie im Abschnitt Mit Verwaltungskonto verbinden die Verwaltungskonto-ID und den Umgebungsnamen ein, die Sie in Schritt 1 eingegeben haben.
-
Wählen Sie im Abschnitt Umgebungsrolle die Option Neue Servicerolle aus. AWS Proton Daraufhin wird automatisch eine neue Rolle für Sie erstellt. Oder wählen Sie Bestehende Servicerolle und den Namen der Servicerolle aus, die Sie zuvor erstellt haben.
Die Rolle, die AWS Proton automatisch für Sie erstellt wird, verfügt über umfassende Berechtigungen. Es wird empfohlen, die Rolle auf die Berechtigungen zu beschränken, die für die Bereitstellung der Infrastrukturressourcen Ihrer Umgebung erforderlich sind. Weitere Informationen finden Sie unter AWS Proton Servicerolle für die Bereitstellung mit AWS CloudFormation.
-
(Optional) Wählen Sie im Abschnitt Tags die Option Neues Tag hinzufügen aus, um ein vom Kunden verwaltetes Tag für Ihre Umgebungskontoverbindung zu erstellen.
-
Wählen Sie Verbindungsanfrage aus.
-
Ihre Anfrage wird in der Umgebung als ausstehend angezeigt. Verbindungen, die an eine Verwaltungskontotabelle gesendet wurden, und in einem Modalfenster erfahren Sie, wie Sie die Anfrage vom Verwaltungskonto annehmen können.
Nehmen Sie eine Verbindungsanfrage für ein Umgebungskonto an oder lehnen Sie sie ab.
-
Wählen Sie in einem Verwaltungskonto in der AWS Proton
Konsole im Navigationsbereich die Option Environment account connections aus.
-
Wählen Sie auf der Seite Verbindungen zu Umgebungskonten in der Tabelle Verbindungsanfragen für Umgebungskonten die Verbindungsanfrage für die Umgebung aus, die Sie annehmen oder ablehnen möchten.
Überprüfen Sie die Konto-ID, die in der Überschrift der Seite „Verbindung mit Umweltkonten“ aufgeführt ist. Stellen Sie sicher, dass sie mit der Konto-ID des Verwaltungskontos übereinstimmt, das mit der Verbindung zum Umgebungskonto verknüpft ist, die abgelehnt werden soll. Nachdem Sie diese Verbindung mit dem Umgebungskonto abgelehnt haben, können Sie die abgelehnte Verbindung mit dem Umgebungskonto weder akzeptieren noch verwenden.
-
Wählen Sie Ablehnen oder Akzeptieren.
-
Wenn Sie Ablehnen ausgewählt haben, ändert sich der Status von „Ausstehend“ in „Abgelehnt“.
-
Wenn Sie „Annehmen“ ausgewählt haben, ändert sich der Status von „Ausstehend“ in „Verbunden“.
Löscht eine Verbindung mit einem Umgebungskonto.
-
Wählen Sie in einem Umgebungskonto in der AWS Proton
Konsole im Navigationsbereich die Option Environment account connections aus.
Überprüfen Sie die Konto-ID, die in der Überschrift der Seite „Verbindung mit Umweltkonten“ aufgeführt ist. Stellen Sie sicher, dass sie mit der Konto-ID des Verwaltungskontos übereinstimmt, das mit der Verbindung zum Umgebungskonto verknüpft ist, die abgelehnt werden soll. Nachdem Sie diese Verbindung mit dem Umgebungskonto gelöscht haben, AWS Proton können die Ressourcen der Umgebungsinfrastruktur im Umgebungskonto nicht verwaltet werden. Es kann erst verwaltet werden, nachdem eine neue Verbindung mit einem Umgebungskonto für das Umgebungskonto und die benannte Umgebung vom Verwaltungskonto akzeptiert wurde.
-
Wählen Sie auf der Seite Verbindungen mit Umgebungskonten im Abschnitt Gesendete Anfragen zur Verbindung mit dem Verwaltungskonto die Option Löschen aus.
-
In einem Fenster werden Sie aufgefordert, zu bestätigen, dass Sie den Vorgang löschen möchten. Wählen Sie Löschen aus.
- AWS CLI
-
Entscheiden Sie sich für einen Namen für die Umgebung, die Sie in Ihrem Verwaltungskonto erstellen möchten, oder wählen Sie den Namen einer vorhandenen Umgebung, für die eine Verbindung mit einem Umgebungskonto erforderlich ist.
Erstellen Sie eine Verbindung mit einem Umgebungskonto in einem Umgebungskonto.
Führen Sie den folgenden Befehl aus:
$ aws proton create-environment-account-connection \
--environment-name "simple-env-connected" \
--role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \
--management-account-id "111111111111"
Antwort:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "PENDING"
}
}
Akzeptieren oder lehnen Sie eine Verbindung mit einem Umgebungskonto in einem Verwaltungskonto ab, wie im folgenden Befehl und der folgenden Antwort gezeigt.
Wenn Sie diese Verbindung mit dem Umgebungskonto ablehnen, können Sie die abgelehnte Verbindung mit dem Umgebungskonto nicht akzeptieren oder verwenden.
Wenn Sie Ablehnen angeben, ändert sich der Status von „Ausstehend“ in „Abgelehnt“.
Wenn Sie Akzeptieren angeben, ändert sich der Status von „Ausstehend“ in „Verbunden“.
Führen Sie den folgenden Befehl aus, um die Verbindung mit dem Umgebungskonto zu akzeptieren:
$ aws proton accept-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Antwort:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
Führen Sie den folgenden Befehl aus, um die Verbindung mit dem Umgebungskonto abzulehnen:
$ aws proton reject-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Antwort:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"status": "REJECTED",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-reject",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role"
}
}
Sehen Sie sich die Verbindungen eines Umgebungskontos an. Sie können Verbindungen zu Umgebungskonten abrufen oder auflisten.
Führen Sie den folgenden Befehl get aus:
$ aws proton get-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Antwort:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
Löschen Sie eine Umgebungskontoverbindung in einem Umgebungskonto.
Wenn Sie diese Umgebungskontoverbindung löschen, AWS Proton können Sie die Umgebungsinfrastrukturressourcen im Umgebungskonto erst verwalten, wenn eine neue Umgebungsverbindung für das Umgebungskonto und die benannte Umgebung akzeptiert wurde. Sie sind dafür verantwortlich, bereitgestellte Ressourcen zu bereinigen, die noch keine Verbindung zur Umgebung haben.
Führen Sie den folgenden Befehl aus:
$ aws proton delete-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Antwort:
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
