本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用自动化预置和更新账户
注意
单个账户的配置、更新和自定义必须针对 AWSControlTowerBaseline 已启用的组织单位 (OU)。如果 OU 未 AWSControlTowerBaseline 启用,则可以激活账户自动注册功能,也可以使用该 OU ResetEnabledControl APIs 上的 an ResetEnabledBaseline d on an EnabledBaselines d EnabledControls and and 来注册账户。有关详细信息 AWSControlTowerBaseline,请参阅:适用于 OU 级别的基准类型。
您可以通过多种方法在 AWS Control Tower 中预置或更新个人账户:
-
您可以使用 AWS Control Tower Account Factory for Terraform(AFT)预置和自定义账户。有关更多信息,请参阅 AWS Control Tower Account Factory for Terraform(AFT)概述。
-
您可以使用 Customizations for AWS Control Tower(CfCT)来更新账户。有关更多信息,请参阅 Customizations for AWS Control Tower(CfCT)概述。
-
脚本自动化:如果您更喜欢使用 API 方法,则可以使用 Service Catalog 的 API 框架更新账户,或者使用 AWS CLI 在批处理流程中更新账户。您可以为每个账户调用 Service Catalog 的
UpdateProvisionedProductAPI。您可以使用此 API 编写脚本以逐个更新账户。在添加区域进行治理时,有关此方法的更多信息,请参阅博客文章《在新 AWS 区域中启用护栏》。 您一次最多可以更新五(5)个账户。您必须等待至少一个账户更新成功,然后才能开始更新下一个账户。因此,如果您有很多账户,这个过程可能需要很长时间,但并不复杂。有关此方法的更多信息,请参阅 通过 Service Catalog 在 AWS Control Tower 中自动配置账户 APIs。
视频演练
视频演练专为使用脚本自动预置账户而设计,但这些步骤也适用于账户更新。使用 UpdateProvisionedProduct API 而不是 ProvisionProduct API。
通过脚本实现自动化的另一个步骤是检查 AWS Control Tower UpdateLandingZone 生命周期事件是否处于成功状态。将其用作触发器,开始更新单个账户,如视频中所述。生命周期事件标志着一系列活动的完成,因此,该事件的发生意味着登录区更新已完成。登录区更新必须在账户更新开始之前完成。有关处理生命周期事件的更多信息,请参阅 Lifecycle Events。
