Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Automatice el aprovisionamiento de cuentas en AWS Control Tower mediante Service Catalog APIs
AWS Control Tower está integrada con varios otros AWS servicios, como AWS Service Catalog. Puede utilizarlos APIs para crear y aprovisionar sus cuentas de miembro en AWS Control Tower o para inscribir cuentas de miembros existentes.
nota
Si has excluido el IAM Identity Center en la configuración de tu landing zone, no se utilizarán los valores que proporciones durante el aprovisionamiento de la cuenta con la consola AWS Service Catalog APIs o.
En el vídeo se muestra cómo aprovisionar cuentas de forma automática y por lotes; para ello, puede llamar al. AWS Service Catalog APIs Para el aprovisionamiento, llamará a la ProvisionProductAPI desde la interfaz de línea de AWS comandos (CLI) y especificará un archivo JSON que contenga los parámetros de cada cuenta que desee configurar. El vídeo ilustra la instalación y el uso del entorno de desarrollo de AWS Cloud9 para realizar este trabajo. Los comandos CLI serían los mismos si usas AWS Cloudshell en lugar de AWS Cloud9.
nota
También puedes adaptar este enfoque para automatizar las actualizaciones de las cuentas, llamando a la UpdateProvisionedProductAPI de AWS Service Catalog cada cuenta. Puede escribir un script para actualizar las cuentas, una por una.
Como método de automatización completamente distinto, si conoce Terraform, puede aprovisionar cuentas con el generador de cuentas para Terraform (AFT) de AWS Control Tower.
Ejemplo de rol de administración de automatización
Esta es una plantilla de ejemplo que puede usar para configurar su rol de administración de automatización en la cuenta de administración. Debe configurar este rol en su cuenta de administración para poder realizar la automatización con acceso de administrador en las cuentas de destino.
AWSTemplateFormatVersion: 2010-09-09 Description: Configure the SampleAutoAdminRole Resources: AdministrationRole: Type: AWS::IAM::Role Properties: RoleName: SampleAutoAdminRole AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: Service: cloudformation.amazonaws.com Action: - sts:AssumeRole Path: / Policies: - PolicyName: AssumeSampleAutoAdminRole PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Action: - sts:AssumeRole Resource: - "arn:aws:iam::*:role/SampleAutomationExecutionRole"
Ejemplo de rol de ejecución de automatización
Esta es una plantilla de ejemplo que puede usar para configurar su rol de ejecución de automatización. Debe configurar este rol en las cuentas de destino.
AWSTemplateFormatVersion: "2010-09-09" Description: "Create automation execution role for creating Sample Additional Role." Parameters: AdminAccountId: Type: "String" Description: "Account ID for the administrator account (typically management, security or shared services)." AdminRoleName: Type: "String" Description: "Role name for automation administrator access." Default: "SampleAutomationAdministrationRole" ExecutionRoleName: Type: "String" Description: "Role name for automation execution." Default: "SampleAutomationExecutionRole" SessionDurationInSecs: Type: "Number" Description: "Maximum session duration in seconds." Default: 14400 Resources: # This needs to run after AdminRoleName exists. ExecutionRole: Type: "AWS::IAM::Role" Properties: RoleName: !Ref ExecutionRoleName MaxSessionDuration: !Ref SessionDurationInSecs AssumeRolePolicyDocument: Version: "2012-10-17" Statement: - Effect: "Allow" Principal: AWS: - !Sub "arn:aws:iam::${AdminAccountId}:role/${AdminRoleName}" Action: - "sts:AssumeRole" Path: "/" ManagedPolicyArns: - "arn:aws:iam::aws:policy/AdministratorAccess"
Después de configurar estas funciones, debe llamar AWS Service Catalog APIs a las para que realicen las tareas automatizadas. Los comandos de la CLI se muestran en el vídeo.
Ejemplo de entrada de aprovisionamiento para la API de Service Catalog
Esta es una muestra de la información que puede proporcionar a la ProvisionProduct API de Service Catalog si la utiliza para aprovisionar nuevas cuentas de AWS Control Tower o para inscribir cuentas de miembros existentes:
nota
Para inscribir una cuenta de miembro existente mediante la ProvisionProduct API, la función de AWSControlTowerExecution IAM debe existir en la cuenta de destino antes de utilizar la API. Puedes usar los mismos parámetros de entrada que se muestran en el siguiente ejemplo tanto para el aprovisionamiento de cuentas nuevas como para la inscripción de cuentas existentes.
{ pathId: "lpv2-7n2o3nudljh4e", productId: "prod-y422ydgjge2rs", provisionedProductName: "Example product 1", provisioningArtifactId: "pa-2mmz36cfpj2p4", provisioningParameters: [ { key: "AccountEmail", value: "abc@amazon.com" }, { key: "AccountName", value: "ABC" }, { key: "ManagedOrganizationalUnit", value: "Custom (ou-xfe5-a8hb8ml8)" }, { key: "SSOUserEmail", value: "abc@amazon.com" }, { key: "SSOUserFirstName", value: "John" }, { key: "SSOUserLastName", value: "Smith" } ], provisionToken: "c3c795a1-9824-4fb2-a4c2-4b1841be4068" }
Para obtener más información, consulte la API reference for Service Catalog.
nota
Observe que el formato de la cadena de entrada para el valor de ManagedOrganizationalUnit ha cambiado de OU_NAME a OU_NAME (OU_ID). En el siguiente vídeo no se menciona este cambio.
Tutorial en vídeo
Este vídeo (6:58) describe cómo automatizar las implementaciones de cuentas en AWS Control Tower. Para una mejor visualización, seleccione el icono situado en la esquina inferior derecha del vídeo para agrandarlo a pantalla completa. Hay subtítulos disponibles.
