Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengotomatiskan pembuatan akun dengan menggunakan Akselerator Zona Landing di AWS
<a name="automate-account-creation-lza"></a>

*Justin Kuskowski, Joe Behrens, dan Nathan Scott, Amazon Web Services*

## Ringkasan
<a name="automate-account-creation-lza-summary"></a>

Pola ini menjelaskan cara menggunakan [Landing Zone Accelerator pada AWS](https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/) solusi untuk secara otomatis menerapkan baru Akun AWS ketika pengguna yang berwenang mengirimkan permintaan. Ini digunakan AWS Step Functions untuk mengatur sejumlah fungsi. AWS Lambda Fungsi Lambda menambahkan informasi akun ke repositori Git, memulai AWS CodePipeline pipeline, dan memvalidasi bahwa sumber daya yang diperlukan disediakan. AWS Ketika proses selesai, pengguna menerima pemberitahuan bahwa akun telah dibuat.

Secara opsional, Anda dapat mengintegrasikan grup ID Microsoft Entra dan menetapkan set AWS IAM Identity Center izin selama proses pembuatan akun. Jika organisasi Anda menggunakan ID Microsoft Entra sebagai sumber identitas, fitur opsional ini membantu Anda mengelola dan mengonfigurasi akses ke akun baru secara otomatis.

## Prasyarat dan batasan
<a name="automate-account-creation-lza-prereqs"></a>

**Prasyarat**
+ Akses ke akun manajemen di AWS Organizations
+ AWS Cloud Development Kit (AWS CDK) [https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html#getting_started_install](https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html#getting_started_install)
+ [Python versi 3.9 atau yang lebih baru, diinstal](https://www.python.org/downloads/)
+ AWS Command Line Interface [(AWS CLI) versi 2.13.19 atau yang lebih baru, diinstal](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
+ [Docker versi 24.0.6 atau yang lebih baru, diinstal](https://docs.docker.com/get-started/get-docker/)
+ Akselerator Zona Pendaratan pada AWS solusi, [digunakan](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/deploy-the-solution.html) di akun manajemen
+ [(Opsional) Microsoft Entra ID dan IAM Identity Center, terintegrasi](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html)

**Batasan**

Alur kerja pembuatan akun mendukung eksekusi berurutan untuk menerapkan satu. Akun AWS Batasan ini memastikan bahwa alur kerja pembuatan akun telah berhasil diselesaikan tanpa harus bersaing untuk sumber daya selama proses paralel.

## Arsitektur
<a name="automate-account-creation-lza-architecture"></a>

**Arsitektur target**

Gambar berikut menunjukkan arsitektur tingkat tinggi untuk mengotomatisasi pembuatan baru Akun AWS dengan menggunakan Akselerator Zona Pendaratan aktif. AWS AWS Step Functions mengatur otomatisasi. Setiap tugas dalam alur kerja Step Functions dilakukan oleh satu atau beberapa AWS Lambda fungsi.

![Alur kerja untuk mengotomatiskan pembuatan akun baru dengan menggunakan Landing Zone Accelerator di AWS.](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/d31abfaa-6854-4923-b896-3b817de9f4d9/images/dfd6503d-a4ed-43df-82d4-082f8153d473.png)


Diagram menunjukkan alur kerja berikut:

1. Pengguna meminta akun dengan menjalankan skrip Python atau dengan menggunakan Amazon API Gateway.

1. Alur kerja Orkestrator Pembuatan Akun dimulai pada. AWS Step Functions

1. Alur kerja memperbarui `account-config.yaml` file di repositori kode sumber. Ini juga memulai Akselerator Zona Pendaratan pada AWS pipa dan memeriksa status pipa. Pipeline ini membuat dan menyiapkan akun baru. Untuk informasi selengkapnya tentang cara kerjanya, lihat [ikhtisar Arsitektur](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/architecture-overview.html) untuk Akselerator Zona Pendaratan. AWS

1. (Opsional) Saat pipeline selesai, alur kerja memeriksa apakah grup ada di Microsoft Entra ID. Jika grup tidak ada di Microsoft Entra ID, alur kerja akan menambahkan grup ke Microsoft Entra ID.

1. Alur kerja melakukan langkah-langkah tambahan yang tidak dapat dilakukan oleh Landing Zone Accelerator pada AWS solusi. Langkah-langkah default meliputi:
   + Membuat [alias akun](https://docs.aws.amazon.com/IAM/latest/UserGuide/console-account-alias.html) di AWS Identity and Access Management (IAM)
   + Melampirkan [tag](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tagging.html) ke akun di AWS Organizations
   + Membuat parameter di [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) berdasarkan tag yang ditetapkan ke akun

1. (Opsional) Alur kerja menetapkan satu atau beberapa [set izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) ke grup ID Microsoft Entra yang sebelumnya Anda tentukan. Set izin memungkinkan pengguna dalam grup untuk mengakses akun baru dan memungkinkan mereka untuk melakukan tindakan yang Anda konfigurasikan.

1. Sebuah AWS Lambda fungsi menjalankan tes QA dan validasi. Ini memvalidasi pembuatan sumber daya, memeriksa apakah tag telah dibuat, dan memvalidasi bahwa sumber daya keamanan telah digunakan.

1. Alur kerja merilis akun dan menggunakan Amazon Simple Email Service (Amazon SES) untuk memberi tahu pengguna bahwa proses telah berhasil diselesaikan.

Untuk informasi selengkapnya tentang alur kerja Step Functions, lihat *diagram alur kerja Step Functions* di bagian [Informasi tambahan](#automate-account-creation-lza-additional) dari pola ini.

**Aplikasi Microsoft Entra ID**

Jika Anda memilih untuk mengintegrasikan dengan Microsoft Entra ID, Anda membuat dua aplikasi berikut ketika Anda menerapkan pola ini:
+ Aplikasi yang ditautkan ke IAM Identity Center dan memastikan bahwa grup ID Microsoft Entra tersedia di IAM Identity Center. Dalam contoh ini, aplikasi Microsoft Entra ID ini diberi nama`LZA2`.
+ [Aplikasi yang memungkinkan fungsi Lambda untuk berkomunikasi dengan Microsoft Entra ID dan memanggil Microsoft Graph. APIs](https://learn.microsoft.com/en-us/graph/identity-network-access-overview) Dalam pola ini, aplikasi ini diberi nama`create_aws_account`.

Aplikasi ini mengumpulkan data yang digunakan untuk menyinkronkan grup ID Microsoft Entra dan menetapkan set izin.

## Alat
<a name="automate-account-creation-lza-tools"></a>

**Layanan AWS**
+ [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) membantu Anda membuat, menerbitkan, memelihara, memantau, dan mengamankan REST, HTTP, dan WebSocket APIs dalam skala apa pun. Dalam pola ini, Anda menggunakan API Gateway untuk memeriksa ketersediaan Akun AWS nama, memulai AWS Step Functions alur kerja, dan memeriksa status eksekusi Step Functions.
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/home.html)adalah kerangka pengembangan perangkat lunak yang membantu Anda menentukan dan menyediakan AWS Cloud infrastruktur dalam kode.
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)membantu Anda mengatur dan mengatur lingkungan AWS multi-akun, mengikuti praktik terbaik preskriptif.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) adalah layanan bus acara tanpa server yang membantu Anda menghubungkan aplikasi Anda dengan data waktu nyata dari berbagai sumber. Misalnya, AWS Lambda fungsi, titik akhir pemanggilan HTTP menggunakan tujuan API, atau bus acara di tempat lain. Akun AWS Solusi ini menggunakan [EventBridge aturan](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) yang memulai fungsi Lambda jika status alur kerja Step Functions berubah menjadi`Failed`,, `Timed-out` atau. `Aborted`
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)membantu Anda mengelola akses masuk tunggal (SSO) secara terpusat ke semua aplikasi Anda Akun AWS dan cloud.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) membantu Anda membuat dan mengontrol kunci kriptografi untuk membantu melindungi data Anda. Dalam pola ini, AWS KMS kunci digunakan untuk mengenkripsi data, seperti data yang disimpan di Amazon Simple Storage Service (Amazon S3), variabel lingkungan Lambda, dan data di Step Functions.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)adalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)adalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.
+ [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) membantu Anda mengirim dan menerima email dengan menggunakan alamat email dan domain Anda sendiri. Setelah akun baru berhasil dibuat, Anda menerima pemberitahuan melalui Amazon SES.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email. Jika terjadi kesalahan selama proses pembuatan akun, Amazon SNS mengirimkan pemberitahuan ke alamat email yang Anda konfigurasikan.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)adalah layanan orkestrasi tanpa server yang membantu Anda menggabungkan AWS Lambda fungsi dan lainnya Layanan AWS untuk membangun aplikasi bisnis yang penting.
+ [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) menyediakan penyimpanan hierarkis yang aman untuk manajemen data konfigurasi dan manajemen rahasia.

**Alat-alat lainnya**
+ [awscurl](https://pypi.org/project/awscurl/0.6/) mengotomatiskan proses penandatanganan permintaan AWS API dan membantu Anda membuat permintaan sebagai perintah curl standar.
+ [Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/fundamentals/whatis), sebelumnya dikenal sebagai *Azure Active Directory*, adalah layanan manajemen identitas dan akses berbasis cloud.
+ [Microsoft Graph APIs](https://learn.microsoft.com/en-us/graph/graph-explorer/graph-explorer-overview) membantu Anda mengakses data dan intelijen di layanan cloud Microsoft, seperti Microsoft Entra dan Microsoft 365.

**Repositori kode**

Kode untuk pola ini tersedia di GitHub [lza-account-creation-workflow](https://github.com/aws-samples/lza-account-creation-workflow)repositori.

Direktori [lambda\_layer](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_layer) berisi lapisan berikut, yang direferensikan dalam lebih dari satu fungsi Lambda:
+ [account\_creation\_helper](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_layer/account_creation_helper) - Lapisan ini mencakup modul untuk mengasumsikan peran dan memeriksa kemajuan dalam. AWS Service Catalog
+ [boto3](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_layer/boto3) - Lapisan ini mencakup [AWS SDK untuk Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/index.html)modul untuk memastikan bahwa AWS Lambda memiliki versi terbaru.
+ [identity\_center\_helper](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_layer/identity_center_helper) - Lapisan ini mendukung panggilan ke IAM Identity Center.

Direktori [lambda\_src berisi fungsi](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src) Lambda berikut:
+ [AccountTagToSsmParameter](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/event/AccountTagToSsmParameter)— Fungsi ini menggunakan tag yang dilampirkan ke akun untuk membuat parameter di Parameter Store. AWS Organizations Setiap parameter dimulai dengan `/account/tags/` awalan.
+ [AttachPermissionSet](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/AttachPermissionSet)— Fungsi ini menambahkan izin yang disetel ke grup Pusat Identitas IAM.
+ [Azure ADGroup Sync](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/AzureADGroupSync) - Fungsi ini menyinkronkan target grup Microsoft Entra ID ke IAM Identity Center.
+ [CheckForRunningProcesses](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/CheckForRunningProcesses)— Fungsi ini memeriksa apakah `AWSAccelerator-Pipeline` pipeline sedang berjalan. Jika pipeline sedang berjalan, fungsi menunda AWS Step Functions alur kerja.
+ [CreateAccount](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/CreateAccount)— Fungsi ini menggunakan AWS Service Catalog dan AWS Control Tower membuat yang baru Akun AWS.
+ [CreateAdditionalResources](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/CreateAdditionalResources)— Fungsi ini menciptakan AWS sumber daya yang tidak dikelola oleh Landing Zone Accelerator atau AWS CloudFormation, seperti alias akun dan AWS Service Catalog tag.
+ [GetAccountStatus](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/GetAccountStatus)Fungsi ini memindai produk yang disediakan AWS Service Catalog untuk menentukan apakah proses pembuatan akun telah selesai.
+ [GetExecutionStatus](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/api/GetExecutionStatus)— Fungsi ini mengambil status AWS Step Functions eksekusi yang sedang berjalan atau selesai.
+ [NameAvailability](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/api/NameAvailability)— Fungsi ini memeriksa apakah Akun AWS nama sudah ada di AWS Organizations.
+ [ReturnResponse](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/ReturnResponse)— Jika pembuatan akun berhasil, fungsi ini mengembalikan ID akun baru. Jika pembuatan akun tidak berhasil, ia mengembalikan pesan kesalahan.
+ [RunStepFunction](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/api/RunStepFunction)— Fungsi ini menjalankan AWS Step Functions alur kerja yang membuat akun.
+ [SendEmailWithSES](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/SendEmailWithSES) — Fungsi ini mengirimkan email ke pengguna yang menunggu pembuatan akun selesai.
+ [Validasi ADGroup SyncTo SSO](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/ValidateAdGroupSyncToSSO) - Fungsi ini memeriksa apakah grup ID Microsoft Entra yang ditentukan disinkronkan dengan IAM Identity Center.
+ [ValidateResources](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/ValidateResources)— Fungsi ini memvalidasi bahwa semua AWS Control Tower penyesuaian telah berjalan dengan sukses.

## Praktik terbaik
<a name="automate-account-creation-lza-best-practices"></a>

Kami merekomendasikan konvensi penamaan berikut untuk: AWS CDK 
+ Mulai semua parameter dengan `p` awalan.
+ Mulai semua kondisi dengan `c` awalan.
+ Mulai semua sumber daya dengan `r` awalan.
+ Mulai semua output dengan `o` awalan.

## Epik
<a name="automate-account-creation-lza-epics"></a>

### Menyebarkan peran IAM untuk validasi dan penandaan
<a name="deploy-the-iam-roles-for-validation-and-tagging"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Siapkan Akselerator Zona Pendaratan AWS untuk penyesuaian. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| Bersiaplah untuk menyebarkan `lza-account-creation-validation` peran. | Sekarang, Anda menyesuaikan solusi untuk menerapkan peran `lza-account-creation-validation` IAM di semua akun selain akun manajemen. Peran ini menyediakan fungsi `ValidateResources` Lambda dengan akses hanya-baca ke akun baru.[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| Bersiaplah untuk menyebarkan `account-tagging-to-ssm-parameter-role` peran. | Sekarang, Anda menyesuaikan solusi untuk menerapkan peran `account-tagging-to-ssm-parameter-role` IAM di semua akun selain akun manajemen. Peran ini digunakan untuk membuat parameter di AWS Systems Manager Parameter Store.[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| Bersiaplah untuk menyebarkan `config-log-validation-role` peran. | Sekarang, Anda menyesuaikan solusi untuk menerapkan peran `config-log-validation-role` IAM di akun arsip log. Peran ini memungkinkan fungsi `ValidateResources` Lambda mengakses bucket Amazon S3 untuk aturan logging dan akses. AWS Config [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 

### (Opsional) Dapatkan data dari Microsoft Entra ID
<a name="optional-get-data-from-microsoft-entra-id"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Buat aplikasi yang memungkinkan fungsi Lambda untuk berkomunikasi dengan Microsoft Entra ID. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | ID Microsoft Entra | 
| Ambil nilai untuk `create_aws_account` aplikasi. | Sekarang, Anda mengambil nilai-nilai yang Anda butuhkan untuk `create_aws_account` aplikasi.[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | ID Microsoft Entra | 
| Buat aplikasi yang mengintegrasikan Microsoft Entra ID dengan IAM Identity Center. | Di pusat admin Microsoft Entra ID, daftarkan `LZA2` aplikasi. Untuk petunjuk, lihat [Mendaftarkan aplikasi](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app) di dokumentasi Microsoft. | ID Microsoft Entra | 
| Ambil nilai untuk `LZA2` aplikasi. | Sekarang, Anda mengambil nilai-nilai yang Anda butuhkan untuk `LZA2` aplikasi.[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | ID Microsoft Entra | 
| Buat rahasia. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 

### Terapkan solusinya
<a name="deploy-the-solution"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Kloning kode sumber. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | DevOps insinyur | 
| Perbarui `deploy-config.yaml` file. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| Terapkan solusi di AWS lingkungan Anda. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html)Solusi ini menggunakan bucket Amazon S3 untuk menyimpan kode sumber untuk solusi ini. Anda dapat menggunakan skrip [upload\_to\_source\_bucket.py](https://github.com/aws-samples/gen-ai-trivia/blob/main/scripts/upload_to_source_bucket.py) untuk membuat arsip kode sumber dan mengunggah versi yang diperbarui. | AWS DevOps | 

### Opsi 1 - Buat akun menggunakan Python
<a name="option-1-create-an-account-using-python"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Identifikasi argumen mana yang akan digunakan. | Pilih argumen mana yang akan digunakan saat Anda menjalankan skrip Python yang memulai alur kerja Step Functions. Untuk daftar lengkap argumen, lihat bagian [Informasi tambahan](#automate-account-creation-lza-additional) dari pola ini. | AWS DevOps, Python | 
| Mulai skrip Python. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | DevOps insinyur, Python | 

### Opsi 2 - Buat akun menggunakan API Gateway dan awscurl
<a name="option-2-create-an-account-using-api-gateway-and-awscurl"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Siapkan variabel untuk awscurl. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| Periksa ketersediaan nama. | Masukkan perintah berikut untuk memverifikasi bahwa nama tersebut tersedia untuk Akun AWS. Ganti `<AWS_ACCOUNT_NAME>` dengan nama akun target:<pre>awscurl --service execute-api \<br />    --region ${AWS_REGION} \<br />    --access_key ${AWS_ACCESS_KEY_ID} \<br />    --secret_key ${AWS_SECRET_ACCESS_KEY} \<br />    --security_token ${AWS_SESSION_TOKEN} \<br />    -X POST ${API_GATEWAY_ENDPOINT}check_name?account_name=<AWS_ACCOUNT_NAME></pre> | AWS DevOps | 
| Jalankan alur kerja pembuatan akun. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 

### (Opsional) Bersihkan solusinya
<a name="optional-clean-up-the-solution"></a>


| Tugas | Deskripsi | Keterampilan yang dibutuhkan | 
| --- | --- | --- | 
| Hapus objek dari ember Amazon S3. | Hapus objek apa pun di bucket Amazon S3 berikut:[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| Hapus CloudFormation tumpukan. | Masukkan perintah berikut untuk menghapus CloudFormation tumpukan:<pre>aws cloudformation delete-stack \<br />  --stack-name lza-account-creation-workflow-application<br />aws cloudformation wait stack-delete-complete \<br />  --stack-name lza-account-creation-workflow-application</pre> | AWS DevOps | 
| Hapus pipa. | Masukkan perintah berikut untuk menghapus `lza-account-creation-workflow-pipeline` pipeline:<pre>cdk destroy lza-account-creation-workflow-pipeline --force</pre> | AWS DevOps | 

## Sumber daya terkait
<a name="automate-account-creation-lza-resources"></a>
+ [Akselerator Zona Pendaratan AWS](https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/) aktif (Perpustakaan AWS Solusi)
+ [Memecahkan AWS CDK masalah umum (dokumentasi](https://docs.aws.amazon.com/cdk/v2/guide/troubleshooting.html))AWS CDK 

## Informasi tambahan
<a name="automate-account-creation-lza-additional"></a>

**Diagram alur kerja Step Functions**

Gambar berikut menunjukkan status dalam alur kerja Step Functions.

![Status dalam alur kerja Step Functions.](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/d31abfaa-6854-4923-b896-3b817de9f4d9/images/d93aa7bf-1144-4f25-9488-aacc534a7813.png)


**Argumen**

Berikut ini adalah argumen yang dapat Anda gunakan ketika Anda menjalankan script Python yang memulai alur kerja Step Functions.

Argumen berikut diperlukan:
+ `account-name (-a)`(string) — Nama yang baru Akun AWS.
+ `support-dl (-s)`(string) — Alamat email yang menerima pemberitahuan saat proses pembuatan akun selesai.
+ `managed-org-unit (-m)`(string) — [Unit organisasi terkelola (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit) yang akan berisi akun baru.

Argumen berikut adalah opsional:
+ `ad-integration (-ad)`(kamus string) - Grup ID Microsoft Entra dan set izin yang ditetapkan. Berikut ini adalah contoh bagaimana menggunakan argumen ini:

  ```
  --ad-integration "{\"<PermissionSetName>\": \"<EntraIdGroupName>\"}"
  ```
+ `account-email (-e)`****(string) — Alamat email untuk pengguna root yang baru Akun AWS.
**catatan**  
Jika argumen ini tidak digunakan, alamat email akan dihasilkan dengan menggunakan nilai `rootEmailPrefix` dan `rootEmailDomain` dari `configs/deploy-config.yaml` file. Jika alamat email tidak diberikan, alamat email dibuat dengan menggunakan format berikut: `rootEmailPrefix+accountName@rootEmailDomain`
+ `region (-r)`(string) - AWS Region Tempat alur kerja Step Functions digunakan. Nilai default-nya adalah `us-east-1`.
+ `force-update (-f)`(string Boolean) - Masukkan `true` AWS Service Catalog untuk memaksa memperbarui produk yang disediakan.
+ `bypass-creation (-b)`(string Boolean) - Masukkan `true` untuk memotong menambahkan akun ke `accounts-config.yaml` file dan melewati menjalankan pipeline. `AWSAccelerator-Pipeline` Argumen ini biasanya digunakan untuk menguji proses alur kerja pembuatan akun atau untuk menjalankan langkah-langkah Step Functions lainnya jika terjadi kesalahan dalam `Landing Zone Accelerator` pipeline.
+ `tags (-t)`(string) — Tag tambahan yang ingin Anda tambahkan ke Akun AWS. Secara default, tag berikut ditambahkan:`account-name`,`support-dl`, dan`purpose`. Berikut ini adalah contoh bagaimana menggunakan argumen ini:

  ```
  --tags TEST1=VALUE1 TEST2=VALUE2
  ```