As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Account Factory for Terraform (AFT) do AWS Control Tower
Esta seção é para administradores de ambientes do AWS Control Tower que desejam configurar o Account Factory for Terraform (AFT) em seu ambiente atual. Ela descreve como configurar um ambiente do Account Factory for Terraform (AFT) com uma nova conta de gerenciamento dedicada do AFT.
nota
Um módulo Terraform implanta o AFT. Este módulo está disponível no repositório AFT
Recomendamos que você consulte os módulos AFT em GitHub vez de clonar o repositório AFT. Dessa forma, você pode controlar e consumir atualizações dos módulos à medida que estiverem disponíveis.
Para obter detalhes sobre os últimos lançamentos da funcionalidade AWS Control Tower Account Factory for Terraform (AFT), consulte o arquivo de lançamentos
Pré-requisitos de implantação
Antes de configurar e iniciar seu ambiente AFT, você deve ter os seguintes recursos disponíveis:
-
Uma região de origem para a zona de pouso do AWS Control Tower. Consulte mais informações em How Regiões da AWS work with AWS Control Tower.
-
Uma zona de pouso do AWS Control Tower. Consulte mais informações em Plan your AWS Control Tower landing zone.
Uma conta de gerenciamento do AFT, que você pode provisionar na AWS Control Tower ou provisionar por outros meios e se inscrever na AWS Control Tower.
-
Uma versão e distribuição do Terraform. Consulte mais informações em Terraform and AFT versions.
-
Um provedor de VCS para rastrear e gerenciar alterações no código e em outros arquivos. Por padrão, o AFT usa AWS CodeCommit. Para obter mais informações, consulte O que é AWS CodeCommit? no Guia do AWS CodeCommit usuário.
Se você estiver implantando o AFT pela primeira vez e não tiver um CodeCommit repositório existente, deverá escolher um provedor externo de VCS, como ou. GitHub BitBucket Consulte mais informações em Alternatives for version control of source code in AFT.
-
Um ambiente de runtime em que você pode executar o módulo do Terraform que instala o AFT.
-
Opções de recursos do AFT. Consulte mais informações em Enable feature options.
Configurar e iniciar o Account Factory for Terraform do AWS Control Tower
Essas etapas a seguir presumem que você está familiarizado com o fluxo de trabalho do Terraform. Você também pode aprender mais sobre a implantação do AFT seguindo o laboratório de Introdução ao AFT
Etapa 1: inicie a zona de pouso do AWS Control Tower
Conclua as etapas em Getting started with AWS Control Tower
nota
Certifique-se de criar uma função para a conta de gerenciamento do AWS Control Tower que tenha AdministratorAccesscredenciais. Consulte mais informações em:
-
Consulte Identidades do IAM (usuários, grupos e perfis) no Guia do usuário do AWS Identity and Access Management
-
AdministratorAccessno Guia de referência de políticas AWS gerenciadas
Etapa 2: criar uma nova unidade organizacional para o AFT (altamente recomendado)
Recomendamos que você crie uma OU separada na sua zona de pouso do AWS Control Tower. Essa OU é onde você provisiona a conta de gerenciamento do AFT. Crie a nova OU e a conta de gerenciamento AFT a partir da sua conta de gerenciamento do AWS Control Tower. Consulte mais informações em Create a new OU.
Etapa 3: provisione a conta de gerenciamento do AFT
O AFT exige que você provisione uma AWS conta dedicada às operações de gerenciamento do AFT. Crie a conta de gerenciamento do AFT quando estiver conectado à conta de gerenciamento da AWS Control Tower que está associada à sua zona de pouso da AWS Control Tower. Você pode provisionar a conta de gerenciamento do AFT a partir do console do AWS Control Tower selecionando Criar conta na página da organização ou por outros meios. Para obter mais informações, consulte Provisionar contas com o AWS Service Catalog Account Factory.
nota
Se você criou uma UO separada para o AFT, selecione essa UO ao criar a conta de gerenciamento do AFT.
Pode levar até 30 minutos para provisionar totalmente a conta de gerenciamento do AFT.
Etapa 4: Verificar se o ambiente Terraform está disponível para implantação
Essa etapa pressupõe que você tenha experiência com o Terraform e tenha procedimentos implementados para executar o Terraform. Para obter mais informações, consulte Command: init
nota
O AFT é compatível com o Terraform versão 1.6.0 ou posterior.
Etapa 5: configurações opcionais
-
Opcionalmente, defina a configuração da nuvem privada virtual (VPC)
O módulo AFT inclui um
aft_enable_vpcparâmetro que especifica se o AWS Control Tower provisiona recursos da conta dentro de uma VPC na conta de gerenciamento central do AFT. Por padrão, o parâmetro é definido comotrue. Se você definir esse parâmetro comofalse, o AWS Control Tower implanta o AFT sem o uso de uma VPC e recursos de rede privada, como gateways NAT ou endpoints da VPC. Desabilitaraft_enable_vpcpode ajudar a reduzir o custo operacional do AFT para alguns padrões de uso. Adicionar qualquer configuração de VPC substitui o parâmetro que está sendo definido como.aft_enable_vpcfalsenota
Reabilitar o parâmetro
aft_enable_vpc(mudando o valor defalseparatrue) pode exigir que você execute o comandoterraform applyduas vezes consecutivas.Em vez de provisionar uma nova VPC, você pode configurar a AFT para usar uma VPC existente em sua conta. Para usar sua própria VPC, forneça os seguintes parâmetros de configuração da VPC:
-
aft_customer_vpc_id- O ID da sua VPC existente -
aft_customer_private_subnets- Uma lista de sub-redes privadas IDs em sua VPC
Exemplo de configuração:
module "aft" { source = "github.com/aws-ia/terraform-aws-control_tower_account_factory" # VPC configuration aft_customer_vpc_id = "vpc-0123456789abcdef0" aft_customer_private_subnets = ["subnet-0123456789abcdef0", "subnet-0123456789abcdef1"] # Other AFT parameters... }Importante
Não recomendamos que você use a opção VPC personalizada se tiver uma implantação de AFT existente. Você pode ter dependências nas funções do Lambda CodePipeline ou que dependam de recursos dentro da VPC existente subjacente.
-
-
Opcionalmente, configure o nome do projeto Terraform
Você pode personalizar o nome do projeto Terraform usado pelo AFT definindo o
terraform_project_nameparâmetro. Por padrão, o AFT coloca a implantação no projeto “padrão” no Terraform Cloud ou no Terraform Enterprise.Exemplo de configuração:
module "aft" { source = "github.com/aws-ia/terraform-aws-control_tower_account_factory" # Project name configuration terraform_project_name = "my-organization-aft" # Other AFT parameters... }nota
Esse parâmetro é aplicável somente às implantações do Terraform Enterprise ou do Terraform Cloud.
-
Opcionalmente, aplique etiquetas personalizadas aos recursos do AFT
Você pode aplicar tags personalizadas a todos os recursos do AFT usando o
tagsparâmetro. Essas tags ajudam na organização de recursos, na alocação de custos e no controle de acesso.Exemplo de configuração:
module "aft" { source = "github.com/aws-ia/terraform-aws-control_tower_account_factory" # Custom tags configuration tags = { Environment = "Production" CostCenter = "IT-12345" Project = "AFT-Deployment" Owner = "platform-team@example.com" } # Other AFT parameters... }Essas tags são aplicadas a todos os recursos criados pelo módulo AFT. O AFT adiciona automaticamente uma
managed_by = "AFT"tag a todos os recursos, que não pode ser substituída por tags personalizadas.nota
As tags personalizadas podem ser adicionadas a qualquer momento, não apenas durante a implantação inicial.
Etapa 6: chame o módulo Account Factory for Terraform para implantar o AFT
Chame o módulo AFT com a função que você criou para a conta de gerenciamento do AWS Control Tower que tem AdministratorAccesscredenciais. O AWS Control Tower provisiona um módulo do Terraform por meio da conta de gerenciamento do AWS Control Tower, que estabelece toda a infraestrutura necessária para orquestrar solicitações do Account Factory do AWS Control Tower.
Você pode visualizar o módulo AFT no repositório AFT
Se tiver pipelines em seu ambiente que estão estabelecidos para gerenciar o Terraform, você poderá integrar o módulo do AFT ao fluxo de trabalho existente. Caso contrário, execute o módulo do AFT em qualquer ambiente autenticado com as credenciais necessárias.
O tempo limite faz com que a implantação falhe. Recomendamos o uso de credenciais AWS Security Token Service (STS) para garantir que você tenha um tempo limite suficiente para uma implantação completa. O tempo limite mínimo para AWS STS credenciais é de 60 minutos. Consulte mais informações em Credenciais de segurança temporárias no IAM no Guia do usuário do AWS Identity and Access Management .
nota
Você pode esperar até 30 minutos para que o AFT termine a implantação por meio do módulo do Terraform.
Etapa 7: gerenciar o arquivo de estado do Terraform
Um arquivo de estado do Terraform é gerado quando você implanta o AFT. Esse artefato descreve o estado dos recursos que o Terraform criou. Se você planeja atualizar a versão do AFT, preserve o arquivo de estado do Terraform ou configure um backend do Terraform usando o Amazon S3 e o DynamoDB. O módulo do AFT não gerencia um estado de backend do Terraform.
nota
Você é responsável por proteger o arquivo de estado do Terraform. Algumas variáveis de entrada podem conter valores confidenciais, como uma chave ssh privada ou um token do Terraform. Dependendo do método de implantação, esses valores podem ser visualizados como texto simples no arquivo de estado do Terraform. Para obter mais informações, consulte Dados confidenciais no estado
