Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konten in AWS Control Tower bereitstellen und verwalten
Dieses Kapitel beinhaltet:
+ eine Übersicht und Verfahren für die Bereitstellung und Verwaltung neuer Mitgliedskonten in AWS Control Tower.
+ eine Übersicht und Verfahren für die Registrierung eines bestehenden AWS Kontos bei AWS Control Tower.
Allgemeine Informationen zu Konten in AWS Control Tower finden Sie unter[Über uns AWS-Konten in AWS Control Tower](accounts.md). Informationen zur Registrierung mehrerer Konten bei AWS Control Tower finden Sie unter. [Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower](importing-existing.md)
**Anmerkung**
Die Bereitstellung, Aktualisierung und Anpassung eines einzelnen Kontos muss auf eine Organisationseinheit (OU) abzielen, für die diese Option aktiviert ist. AWSControl TowerBaseline Wenn in einer Organisationseinheit das nicht AWSControl TowerBaseline aktiviert ist, können Sie die automatische Kontoregistrierung aktivieren oder Konten mit ResetEnabledBaseline und ResetEnabledControl APIs auf EnabledBaselines und EnabledControls auf dieser Organisationseinheit registrieren. Einzelheiten zu finden Sie unter:. AWSControl TowerBaseline [Basistypen, die auf OU-Ebene gelten](types-of-baselines.md#ou-baseline-types)
**Anmerkung**
Sie können bis zu fünf (5) kontobezogene Vorgänge gleichzeitig ausführen, einschließlich Bereitstellung, Aktualisierung und Registrierung.
## Für die Bereitstellung von Konten sind Berechtigungen erforderlich
Mit den entsprechenden Benutzergruppenberechtigungen können Anbieter standardisierte Baselines und Netzwerkkonfigurationen für alle Konten in ihrer Organisation festlegen.
Wenn Sie Konten über die AWS Control Tower Tower-Konsole mit Account Factory erstellen, müssen Sie bei einem Konto mit einem IAM-Benutzer angemeldet sein, für den die `AWSServiceCatalogEndUserFullAccess` Richtlinie aktiviert ist, sowie über Berechtigungen zur Verwendung der AWS Control Tower Tower-Konsole verfügen. Sie können nicht als **Root-Benutzer** angemeldet sein.
**Anmerkung**
Bei der Bereitstellung eines Kontos muss der Kontoanforderer immer über die `CreateAccount` und die entsprechenden Berechtigungen verfügen. `DescribeCreateAccountStatus` **Dieser Berechtigungssatz ist Teil der **Administratorrolle** und wird automatisch vergeben, wenn ein Anforderer die Administratorrolle übernimmt.** Wenn Sie die Erlaubnis zur Bereitstellung von Konten delegieren, müssen Sie diese Berechtigungen möglicherweise direkt für die Kontoanforderer hinzufügen.
Allgemeine Informationen zu den in AWS Control Tower erforderlichen Berechtigungen finden Sie unter[Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Control Tower](access-control-managing-permissions.md). Informationen zu Rollen und Konten in AWS Control Tower finden Sie unter [Rollen und Konten](https://docs.aws.amazon.com//controltower/latest/userguide/roles.html).
# Konten innerhalb von AWS Control Tower bereitstellen
AWS Control Tower bietet verschiedene Methoden zum Erstellen und Aktualisieren von Mitgliedskonten. Einige Methoden basieren hauptsächlich auf Konsolen, und einige Methoden sind hauptsächlich automatisiert.
**Übersicht**
Eine Standardmethode zur Erstellung von Mitgliedskonten in AWS Control Tower ist Account Factory, ein konsolenbasiertes Produkt, das Teil des Service Catalog ist. Außerdem können Sie von der AWS Control Tower-Konsole aus **Create Account** als Methode zur Bereitstellung neuer Konten sowie **Enroll account** verwenden, um bestehende AWS Konten bei AWS Control Tower zu registrieren, falls sich Ihre landing zone nicht im Drift-Zustand befindet.
Mit Account Factory können Sie Basiskonten bereitstellen und sich dabei auf die Standardeinstellungen von AWS Control Tower verlassen. Sie können auch *benutzerdefinierte* Konten bereitstellen, die die Anforderungen für spezielle Anwendungsfälle erfüllen.
[Account Factory Customization (AFC)](https://docs.aws.amazon.com//controltower/latest/userguide/af-customization-page.html) ist eine Möglichkeit, benutzerdefinierte Konten über die AWS Control Tower Tower-Konsole bereitzustellen und die Anpassung und Bereitstellung Ihrer Konten zu automatisieren. Es ermöglicht eine konsolenbasierte, automatisierte Bereitstellung nach einigen einmaligen Einrichtungsschritten, wodurch das Schreiben von Skripten oder das Einrichten von Pipelines entfällt. Weitere Informationen finden Sie unter [Passen Sie Konten mit Account Factory Customization (AFC) an](af-customization-page.md).
**Automatische Registrierung**
**Sie können auch AWS-Konten *außerhalb* von AWS Control Tower erstellen und sie in eine Organisationseinheit verschieben, die bei AWS Control Tower registriert ist, ohne dass es zu einer Vererbungsabweichung kommt, wenn Sie sich für die **automatische Kontoregistrierung** in Ihren landing zone Zone-Einstellungen entscheiden.** Weitere Informationen finden Sie unter [Konten mit automatischer Registrierung verschieben und registrieren](account-auto-enrollment.md).
**Konsolenbasierte Methoden:**
+ Über die Account Factory Factory-Konsole, die Teil von ist AWS Service Catalog, für einfache oder benutzerdefinierte Konten. [Konten mit Account Factory bereitstellen und verwalten](account-factory.md)Einzelheiten und Anweisungen finden Sie hier.
+ Durch automatische Registrierung, indem ein Konto von der Konsole in eine Organisationseinheit verschoben wird. Siehe [Konten mit automatischer Registrierung verschieben und registrieren](account-auto-enrollment.md)
+ Über die Funktion **Konto registrieren** in AWS Control Tower, falls sich Ihre landing zone nicht im Drift-Zustand befindet. Siehe [Registrieren Sie ein vorhandenes Konto über die AWS Control Tower Tower-Konsole](quick-account-provisioning.md).
+ In der AWS Control Tower Tower-Konsole können Sie Account Factory verwenden, um bis zu fünf Konten gleichzeitig zu erstellen, zu aktualisieren oder zu registrieren.
**Automatisierte Methoden:**
+ **Lambda-Code:** Über das Verwaltungskonto Ihrer AWS Control Tower Tower-Landing Zone unter Verwendung von Lambda-Code und entsprechenden IAM-Rollen. Weitere Informationen finden Sie unter [Automatisierte Kontobereitstellung](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#stacksets-and-roles) mit IAM-Rollen.
+ **Terraform:** Von der AWS Control Tower Account Factory for Terraform (AFT), die auf Account Factory und einem GitOps Modell zur Automatisierung der Kontobereitstellung und -aktualisierung basiert. Siehe [Bereitstellen von Konten mit AWS Control Tower Account Factory for Terraform (AFT)](taf-account-provisioning.md).
+ Durch automatisierte Registrierung, indem ein vorhandenes Konto in eine Organisationseinheit verschoben wird. APIs Siehe [Konten mit automatischer Registrierung verschieben und registrieren](account-auto-enrollment.md)
+ **Account Factory Factory-Anpassung in der AWS Control Tower Tower-Konsole:** Nach den Einrichtungsschritten ist für die future Bereitstellung benutzerdefinierter Konten keine zusätzliche Konfiguration oder Pipeline-Wartung erforderlich. *Konten werden mithilfe eines AWS Service Catalog Produkts bereitgestellt, das als Blueprint bezeichnet wird.* Ein Blueprint kann Vorlagen oder CloudFormation Terraform-Vorlagen verwenden.
**Anmerkung**
CloudFormation Blueprints können Ressourcen für mehrere Regionen bereitstellen. Terraform-Blueprints können Ressourcen nur für eine einzelne Region bereitstellen. Standardmäßig ist dies die Heimatregion.
# Konten in der AWS Control Tower Tower-Konsole bereitstellen
Das folgende Verfahren beschreibt, wie Sie Konten als Benutzer im IAM Identity Center über die AWS Control Tower Tower-Konsole erstellen und bereitstellen. Dieses Verfahren wird auch als *manuelle Kontobereitstellung* bezeichnet. Optional können Sie AWS Control Tower-Konten programmgesteuert, mit der AWS CLI, mit Service Catalog APIs oder mit AWS Control Tower Account Factory for Terraform (AFT) bereitstellen oder ein vorhandenes Konto automatisch bei einer registrierten OU registrieren. Möglicherweise können Sie benutzerdefinierte Konten in der Konsole bereitstellen, wenn Sie zuvor benutzerdefinierte Blueprints eingerichtet haben. Weitere Informationen zur Anpassung finden Sie unter[Passen Sie Konten mit Account Factory Customization (AFC) an](af-customization-page.md).
**Um Konten als Benutzer einzeln in der AWS Control Tower Tower-Konsole bereitzustellen**
1. Melden Sie sich an AWS und navigieren Sie zur AWS Control Tower Tower-Konsole.
1. Wählen Sie in der linken Navigationsleiste **Organizations aus**, um die Seite **Organisation** aufzurufen.
1. Wählen Sie oben rechts **Ressourcen erstellen** aus.
1. Wählen Sie im Drop-down-Menü die Option **Konto erstellen**.
1. Geben Sie die Informationen auf der Seite ein und beachten Sie dabei Folgendes:
+ Die **Konto-E-Mail-Adresse** muss eine E-Mail-Adresse sein, die noch nicht mit einer verknüpft ist AWS-Konto.
+ Der Anzeigename ist der Name, den Sie für dieses Konto sehen möchten.
1. Füllen Sie die Felder aus, um Ihre **Access-Konfiguration** mit einer IAM Identity Center-E-Mail-Adresse und einem Benutzernamen zu definieren.
1. Wählen Sie eine registrierte OU aus der Drop-down-Liste aus, um die OU anzugeben, in der Sie das Konto bereitstellen möchten.
1. Verwenden Sie optional einen vordefinierten Blueprint, um Ihrem Konto maßgeschneiderte Ressourcen zur Verfügung zu stellen. Sie können diese Aufgabe später erledigen.
1. Überprüfen Sie Ihre Kontoauswahl und wählen Sie dann unten rechts **Konto erstellen** aus.
1. Das Konto wird jetzt bereitgestellt. Dieser Vorgang kann einige Minuten in Anspruch nehmen. Sie können die Seite aktualisieren, um den angezeigten Status zu aktualisieren.
**Anmerkung**
Es können bis zu fünf Konten gleichzeitig bereitgestellt werden.
# Sehen Sie sich Ihre Konten an
Auf der Seite **Organisation** werden alle OUs Konten in Ihrer Organisation aufgeführt, unabhängig von der Organisationseinheit oder dem Registrierungsstatus in AWS Control Tower. Sie können Mitgliedskonten — einzeln oder nach OU-Gruppen — in AWS Control Tower anzeigen und registrieren, sofern jedes Konto die Voraussetzungen für die Registrierung erfüllt.
**Um ein bestimmtes Konto einzusehen**
+ Navigieren Sie zur Seite **Organisation**.
+ Sie können im Drop-down-Menü oben rechts die Option **Nur Konten** auswählen.
+ Wählen Sie dann den Namen Ihres Kontos aus der Tabelle aus.
+ Alternativ können Sie den Namen der übergeordneten Organisationseinheit aus der Tabelle auswählen und auf der **Detailseite** für diese Organisationseinheit eine Liste aller Konten innerhalb dieser Organisationseinheit anzeigen.
Auf der Seite **Organisation** und auf der Seite mit den **Kontodetails** können Sie den **Status** des Kontos sehen. Dabei handelt es sich um einen der folgenden:
+ **Nicht registriert** — Das Konto ist Mitglied der übergeordneten Organisationseinheit, wird aber nicht vollständig von AWS Control Tower verwaltet. Wenn die übergeordnete Organisationseinheit registriert ist, unterliegt das Konto den präventiven Kontrollen, die für die registrierte übergeordnete Organisationseinheit konfiguriert wurden. Die detektiven Kontrollen der Organisationseinheit gelten jedoch nicht für dieses Konto. Wenn die übergeordnete Organisationseinheit nicht registriert ist, gelten für dieses Konto keine Kontrollen.
+ **Registrierung —** Das Konto wird von AWS Control Tower verwaltet. Wir stimmen das Konto mit der Kontrollkonfiguration für die übergeordnete Organisationseinheit ab. Dieser Vorgang kann mehrere Minuten pro Kontoressource in Anspruch nehmen.
+ **Registriert —** Das Konto wird durch die für die übergeordnete Organisationseinheit konfigurierten Steuerungen gesteuert. Es wird vollständig von AWS Control Tower verwaltet.
+ **Registrierung fehlgeschlagen** — Das Konto konnte nicht in AWS Control Tower registriert werden. Weitere Informationen finden Sie unter [Häufige Ursachen für eine fehlgeschlagene Registrierung](quick-account-provisioning.md#common-causes-for-enrollment-failure).
+ **Update verfügbar** — Für das Konto ist ein Update verfügbar. Konten in diesem Status sind immer noch **registriert**, aber das Konto muss aktualisiert werden, um die jüngsten Änderungen an Ihrer Umgebung widerzuspiegeln. Um ein einzelnes Konto zu aktualisieren, navigieren Sie zur Kontodetailseite und wählen Sie **Konto aktualisieren** aus.
Wenn Sie mehrere Konten mit diesem Status unter einer einzigen OU haben, können Sie die OU **erneut registrieren** und diese Konten zusammen aktualisieren.
# Über die Registrierung vorhandener Konten
Sie können AWS Control Tower Governance auf eine bestehende Einzelperson ausdehnen, AWS-Konto wenn Sie sie in einer Organisationseinheit (OU) *registrieren*, die bereits von AWS Control Tower verwaltet wird. In Frage kommende Konten existieren in *unregistrierten Konten OUs , die Teil derselben AWS Organizations Organisation wie die AWS Control Tower Tower-Organisationseinheit sind*.
Für die Registrierung von Konten bei AWS Control Tower gibt es mehrere Methoden. **Die Informationen auf dieser Seite gelten für alle Registrierungsmethoden.**
**Anmerkung**
Sie können ein vorhandenes AWS Konto nur bei der ersten Einrichtung der landing zone als Audit- oder Protokollarchivkonto registrieren.
## Was passiert bei der Kontoregistrierung
Während des Registrierungsprozesses führt AWS Control Tower die folgenden Aktionen aus:
+ Grundlegende Erstellung des Kontos, darunter die Bereitstellung dieser Stack-Sets:
+ `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
+ `AWSControlTowerBP-BASELINE-CLOUDWATCH`
+ `AWSControlTowerBP-BASELINE-CONFIG`
+ `AWSControlTowerBP-BASELINE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
+ `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`
Es empfiehlt sich, die Vorlagen dieser Stack-Sets zu überprüfen und sicherzustellen, dass sie nicht mit Ihren bestehenden Richtlinien in Konflikt stehen.
+ Identifiziert das Konto über AWS IAM Identity Center oder. AWS Organizations
+ Platziert des Kontos in der von Ihnen angegebenen OU. Achten Sie darauf SCPs , dass Sie alle in der aktuellen Organisationseinheit verwendeten Elemente anwenden, damit Ihr Sicherheitsstatus konsistent bleibt.
+ Wendet verbindliche Kontrollen auf das Konto an, und zwar anhand der SCPs , die für die gesamte ausgewählte Organisationseinheit gelten.
+ Aktiviert AWS Config und konfiguriert es so, dass alle Ressourcen im Konto aufgezeichnet werden.
+ Fügt dem Konto die AWS Config Regeln hinzu, die die AWS Control Tower Detective Controls anwenden.
**Konten und Trails auf Organisationsebene CloudTrail**
Für Landezone-Versionen 3.1 und höher, wenn Sie die optionale AWS CloudTrail Integration in den Landezoneneinstellungen ausgewählt haben:
Alle Mitgliedskonten in einer Organisationseinheit unterliegen dem AWS CloudTrail Pfad für die Organisationseinheit, unabhängig davon, ob sie registriert sind oder nicht.
Wenn Sie ein Konto bei AWS Control Tower registrieren, unterliegt Ihr Konto dem AWS CloudTrail Pfad für die neue Organisation. Wenn Sie bereits einen CloudTrail Trail bereitgestellt haben, werden möglicherweise doppelte Gebühren angezeigt, es sei denn, Sie löschen den vorhandenen Trail für das Konto, bevor Sie ihn bei AWS Control Tower registrieren.
Wenn Sie ein Konto in eine registrierte Organisationseinheit verschieben — zum Beispiel über die AWS Organizations Konsole oder APIs — möchten Sie möglicherweise alle verbleibenden Trails auf Kontoebene für das Konto entfernen. Wenn Sie bereits einen CloudTrail Trail eingerichtet haben, fallen für Sie doppelte Gebühren an. CloudTrail
Wenn du deine landing zone aktualisierst und dich dafür entscheidest, Trails auf Organisationsebene zu deaktivieren, oder wenn deine landing zone älter als Version 3.0 ist, gelten CloudTrail Trails auf Organisationsebene nicht für deine Konten.
## Registriere bestehende Konten bei VPCs
AWS Control Tower geht VPCs anders vor, wenn Sie ein neues Konto in Account Factory einrichten, als wenn Sie ein bestehendes Konto registrieren.
+ Wenn Sie ein neues Konto erstellen, entfernt AWS Control Tower automatisch die AWS Standard-VPC und erstellt eine neue VPC für dieses Konto.
+ Wenn Sie ein vorhandenes Konto registrieren, erstellt AWS Control Tower keine neue VPC für dieses Konto.
+ Wenn Sie ein vorhandenes Konto registrieren, entfernt AWS Control Tower keine bestehende VPC oder AWS Standard-VPC, die mit dem Konto verknüpft sind.
**Tipp**
Sie können das Standardverhalten für neue Konten ändern, indem Sie Account Factory so konfigurieren, dass standardmäßig keine VPC für Konten in Ihrer Organisation unter AWS Control Tower eingerichtet wird. Weitere Informationen finden Sie unter [Erstellen Sie ein Konto in AWS Control Tower ohne VPC](configure-without-vpc.md#create-without-vpc).
## Registrieren Sie Konten mit Ressourcen AWS Config
Das Konto, das registriert werden soll, darf nicht über vorhandene AWS Config Ressourcen verfügen. Weitere Informationen finden Sie unter [Konten registrieren, für die bereits Ressourcen vorhanden AWS Config sind](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html).
Im Folgenden finden Sie einige AWS Config CLI-Beispielbefehle, mit denen Sie den Status der AWS Config Ressourcen Ihres vorhandenen Kontos ermitteln können, z. B. des Konfigurationsrekorders und des Lieferkanals.
**Befehle anzeigen:**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`
Die normale Antwort ist ungefähr so `"name": "default"`
**Befehle löschen:**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
# Voraussetzungen für die Einschreibung
*In diesem Abschnitt wird beschrieben, wie Sie ein vorhandenes AWS Konto bei AWS Control Tower registrieren, wenn Sie die optionale automatische Registrierungsfunktion auf der Seite mit den **Landingzone-Einstellungen** nicht ausgewählt haben oder wenn Sie mit einer Landingzone-Version vor 3.1 arbeiten.*
Diese Voraussetzungen sind erforderlich, bevor Sie ein vorhandenes AWS-Konto bei AWS Control Tower registrieren können:
**Anmerkung**
Die Voraussetzung für das Hinzufügen der `AWSControlTowerExecution` Rolle ist nicht erforderlich, wenn Sie die automatische Registrierung von AWS Control Tower auf der Seite mit den **Einstellungen** der landing zone aktiviert haben oder wenn Sie das Konto im Rahmen eines Prozesses zur Registrierung von Organisationseinheiten **registrieren**. In allen Fällen verfügt das zu registrierende Konto jedoch möglicherweise nicht über vorhandene Ressourcen. AWS Config Weitere Informationen finden Sie unter [Konten registrieren, für die bereits Ressourcen vorhanden sind AWS Config](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)
1. Um ein vorhandenes Konto zu registrieren AWS-Konto, muss die `AWSControlTowerExecution` Rolle in dem Konto vorhanden sein, das Sie registrieren. Einzelheiten und Anweisungen finden Sie [unter Konto registrieren](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html).
1. Zusätzlich zu der `AWSControlTowerExecution` Rolle muss das bestehende Mitglied, das AWS-Konto Sie registrieren möchten, über die folgenden Berechtigungen verfügen und über die folgenden Vertrauensbeziehungen verfügen. Andernfalls schlägt die Anmeldung fehl.
Rollenberechtigung: `AdministratorAccess` (AWS verwaltete Richtlinie)
**Rolle: Vertrauensverhältnis:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Wir empfehlen, dass das Konto weder über einen AWS Config Konfigurationsrekorder noch über einen Übertragungskanal verfügt. Diese können gelöscht oder geändert werden, AWS CLI bevor Sie ein Konto registrieren können. Andernfalls finden Sie unter [Konten registrieren mit vorhandenen AWS Config Ressourcen Anweisungen,](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html) wie Sie Ihre vorhandenen Ressourcen ändern können.
1. Das Konto, das Sie registrieren möchten, muss in derselben AWS Organizations Organisation wie das AWS Control Tower Tower-Verwaltungskonto existieren. Das bestehende Konto kann *nur* in derselben Organisation wie das AWS Control Tower-Verwaltungskonto registriert werden, und zwar in einer Organisationseinheit, die bereits bei AWS Control Tower registriert ist.
Weitere Voraussetzungen für die Registrierung finden Sie unter [Erste Schritte mit AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-with-control-tower.html).
**Anmerkung**
Wenn Sie ein Konto bei AWS Control Tower registrieren, unterliegt Ihr Konto dem AWS CloudTrail Pfad für die AWS Control Tower Tower-Organisation. Wenn Sie bereits einen CloudTrail Trail bereitgestellt haben, werden möglicherweise doppelte Gebühren angezeigt, es sei denn, Sie löschen den vorhandenen Trail für das Konto, bevor Sie ihn bei AWS Control Tower registrieren.
**Informationen zum vertrauenswürdigen Zugriff mit der Rolle `AWSControTowerExecution`**
Bevor Sie ein vorhandenes AWS-Konto Konto bei AWS Control Tower registrieren können, müssen Sie AWS Control Tower die Erlaubnis erteilen, das Konto zu verwalten *oder* zu verwalten. Insbesondere benötigt AWS Control Tower die Erlaubnis, einen vertrauenswürdigen Zugriff zwischen AWS CloudFormation und in AWS Organizations Ihrem Namen einzurichten, damit Ihr Stack automatisch für die Konten in Ihrer ausgewählten Organisation bereitgestellt werden CloudFormation kann. Mit diesem vertrauenswürdigen Zugriff führt die `AWSControlTowerExecution` Rolle die Aktivitäten durch, die für die Verwaltung der einzelnen Konten erforderlich sind. Aus diesem Grund müssen Sie diese Rolle jedem Konto hinzufügen, bevor Sie es registrieren.
Wenn der vertrauenswürdige Zugriff aktiviert ist, CloudFormation können Stacks für mehrere Konten und AWS-Regionen mit einem einzigen Vorgang erstellt, aktualisiert oder gelöscht werden. AWS Control Tower stützt sich auf diese Vertrauensfunktion, sodass es Rollen und Berechtigungen auf bestehende Konten anwenden kann, bevor es sie in eine registrierte Organisationseinheit verschiebt, wodurch sie unter Kontrolle gebracht werden.
Weitere Informationen über vertrauenswürdigen Zugriff und AWS CloudFormation StackSets finden Sie unter [AWS CloudFormationStackSetsund AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html).
# Konten mit automatischer Registrierung verschieben und registrieren
Die Funktion zur automatischen Kontoregistrierung ist für Landezonen der Version 3.1 und höher verfügbar.
Wenn Sie diese Funktion optional aktivieren, können Sie die AND-Konsole verwenden, um Konten in den AWS Organizations APIs AWS Control Tower zu verschieben, ohne dass es zu einer [https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html). Das Konto erhält automatisch Basisressourcen und Kontrollkonfigurationen von der Zielorganisationseinheit (OU) in AWS Control Tower. Mit dieser optionalen Funktion können Sie auch Konten OUs innerhalb von AWS Control Tower verschieben, ohne dass es zu Vererbungsabweichungen kommt, sofern für beide OUs dieselbe Basiskonfiguration und dieselben Kontrollen aktiviert sind.
**Um die automatische Registrierung zu aktivieren:** **Sie können die automatische Registrierung von Konten auf der Seite mit den **Landingzone-Einstellungen** in der AWS Control Tower-Konsole auswählen oder indem Sie den AWS Control Tower aufrufen `CreateLandingZone` oder `UpdateLandingZone` APIs, wobei der Wert des Parameters auf Inheritance Drift gesetzt ist. `RemediationType`**
**So wenden Sie die automatische Registrierung an:** Nachdem Sie diese Option auf Ihrer **Einstellungsseite** ausgewählt haben, können Sie ein Konto über die AWS Organizations Konsole, die AWS Organizations `MoveAccount` API oder die AWS Control Tower Tower-Konsole verschieben.
**So heben Sie die Registrierung eines Kontos mit automatischer Registrierung auf:** Wenn Sie ein Konto außerhalb einer registrierten Organisationseinheit verschieben, entfernt AWS Control Tower automatisch alle bereitgestellten Basisressourcen und Kontrollen.
**Anmerkung**
Wenn Quelle und Ziel OUs in AWS Control Tower unterschiedliche Konfigurationen haben, weist das Konto möglicherweise [Mitgliedskonto wurde verschoben](governance-drift.md#drift-account-moved) Abweichungen auf.
## Voraussetzungen: Für automatische Registrierung konfigurieren
+ Sie müssen AWS Control Tower landing zone Version 3.1 oder höher ausführen.
+ Entscheiden Sie sich für die automatische Registrierung von AWS Control Tower über die **Landingzone-Einstellungsseite** in der Konsole oder über die AWS Control Tower Tower-Landingzone APIs, indem Sie den Wert des `RemediationTypes` Parameters auf setzen. `Inheritance Drift` Wenn Sie sich angemeldet haben, reagiert AWS Control Tower in Ihrem Namen auf `move account` Ereignisse für AWS Organizations und behebt die Vererbungsabweichung für die verschobenen Konten sofort.
## Erforderliche Berechtigungen
Für die Verwendung der API und der AWS Organizations `CreateAccount` API sind bestimmte Rollen und `MoveAccount` Berechtigungen erforderlich. Weitere Informationen zur Verwendung AWS Organizations mit AWS Control Tower finden Sie unter [AWS Control Tower und AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/services-that-can-integrate-CTower.html).
## Beispiele für die API-Nutzung
Weitere Informationen und Beispiele zu diesen APIs finden Sie unter [https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html)und [https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html)in der *AWS Organizations API-Referenz*.
## Überlegungen
+ **Zeitplan für die Registrierung:** Ein Konto, das in eine Organisationseinheit verschoben wurde, die bei AWS Control Tower registriert ist, wird mit einem *eventuellen* Konsistenzmodell registriert. Dieser Vorgang dauert in der Regel einige Minuten bis zu mehreren Stunden, abhängig von der Anzahl der Konten, die verschoben werden.
+ **Abmeldevorgang:** Sie können denselben Vorgang verwenden, um Ihre Konten bei AWS Control Tower abzumelden, indem Sie sie in eine Organisationseinheit außerhalb von AWS Control Tower verschieben. Dieser Prozess entfernt alle Rollen und Ressourcen, die von AWS Control Tower bereitgestellt werden, sowie alle in AWS Control Tower aktivierten Kontrollen.
# Registrieren Sie ein vorhandenes Konto über die AWS Control Tower Tower-Konsole
Es gibt zwei gängige Methoden, um eine Person bei AWS Control Tower AWS-Konto zu registrieren.
1. Nachdem Sie auf der Seite **Einstellungen** die Funktion *zur automatischen Registrierung* ausgewählt haben, können Sie eine AWS-Konto externe Version von AWS Control Tower erstellen und diese direkt in eine registrierte Organisationseinheit verschieben. Weitere Informationen finden Sie unter Automatisches [Verschieben und Registrieren](https://docs.aws.amazon.com//controltower/latest/userguide/account-auto-enroll.html) von Konten. Diese Option ist für landing zone Zone-Versionen 3.1 und höher verfügbar.
1. Sie können ein vorhandenes Konto manuell über die AWS Control Tower Tower-Konsole registrieren.
**In den folgenden Abschnitten wird die zweite Option beschrieben,** für die keine vorherige Konfiguration Ihrer AWS Control Tower Tower-Umgebung erforderlich ist. Sie AWS-Konto müssen die erforderlichen [Voraussetzungen](https://docs.aws.amazon.com//controltower/latest/userguide/enrollment-prerequisites.html) erfüllen.
**Sehen Sie sich Ihre berechtigten Konten in der Konsole an:**
1. Navigieren Sie zur Seite **Organisation** in AWS Control Tower.
1. Suchen Sie den Namen des Kontos, das Sie registrieren möchten. Um ihn zu finden, wählen Sie im Dropdownmenü oben rechts die Option **Nur Konten** aus und suchen Sie dann in der gefilterten Tabelle nach dem Kontonamen.
Folgen Sie als Nächstes den Schritten zur Registrierung eines einzelnen Kontos, wie im [Schritte zur manuellen Registrierung eines Kontos](#enrollment-steps) Abschnitt gezeigt.
## Überlegungen zur Registrierung über die Konsole
+ Die in der AWS Control Tower-Konsole verfügbare Funktion zur **Kontoregistrierung** dient der Registrierung vorhandener Konten, AWS-Konten sodass diese von AWS Control Tower verwaltet werden. Weitere Informationen finden Sie unter Ein vorhandenes [Konto registrieren](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html). AWS-Konto
+ [Die **konsolenbasierte Kontoregistrierungsfunktion** ist verfügbar, wenn sich Ihre landing zone nicht im Drift-Zustand befindet.](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html) Wenn sich Ihre Landing Zone in einem Abweichungsstatus befindet, können Sie die Funktion **Enroll account (Konto anmelden)** möglicherweise nicht erfolgreich verwenden. Sie müssen neue Konten über Account Factory oder eine andere Methode einrichten, bis Ihr Problem in der landing zone behoben ist.
+ Wenn Sie Konten über die AWS Control Tower Tower-Konsole registrieren, müssen Sie bei einem Konto mit einem Benutzer angemeldet sein, für den die `AWSServiceCatalogEndUserFullAccess` Richtlinie aktiviert ist, sowie über **Administratorzugriffsberechtigungen** für die Nutzung der AWS Control Tower Tower-Konsole verfügen. Sie können nicht als Root-Benutzer angemeldet sein.
+ Konten, die Sie registrieren, können über die AWS Control Tower Account Factory aktualisiert werden, so wie Sie jedes andere Konto aktualisieren würden. Aktualisierungsverfahren werden im Abschnitt [Konten mit AWS Control Tower aktualisieren und verschieben](updating-account-factory-accounts.md) genannt.
**Anmerkung**
Wenn Sie ein vorhandenes Konto registrieren, stellen Sie sicher AWS-Konto, dass Sie die bestehende E-Mail-Adresse überprüfen. Andernfalls kann ein neues Konto erstellt werden.
## Schritte zur manuellen Registrierung eines Kontos
Gehen Sie wie folgt vor, um das Konto zu registrieren, nachdem die **AdministratorAccess**Zugriffsberechtigung (Richtlinie) für Ihr bestehendes AWS-Konto Konto eingerichtet wurde:
**Um ein einzelnes Konto über die Konsole bei AWS Control Tower zu registrieren**
+ Navigieren Sie zur Seite AWS Control Tower **Organization**.
+ Auf der Seite **Organisation** können Sie bei Konten, die für eine Registrierung in Frage kommen, oben im Abschnitt im Drop-down-Menü „**Aktionen**“ die Option „**Registrieren**“ auswählen. **Bei diesen Konten wird außerdem die Schaltfläche „**Konto registrieren**“ angezeigt, wenn Sie sie auf der Seite mit den Kontodetails aufrufen.**
+ Wenn Sie „**Konto registrieren**“ wählen, wird die Seite „**Konto registrieren**“ angezeigt, auf der Sie aufgefordert werden, die `AWSControlTowerExecution` Rolle dem Konto hinzuzufügen. Einige Anweisungen finden Sie unter. [Fügen Sie die erforderliche IAM-Rolle manuell zu einer vorhandenen hinzu AWS-Konto und registrieren Sie sie](enroll-manually.md)
+ Wählen Sie als Nächstes eine registrierte Organisationseinheit aus der Dropdownliste aus. Wenn sich das Konto bereits in einer registrierten OU befindet, wird die OU in dieser Liste angezeigt.
+ Wählen Sie **Enroll account (Konto anmelden)**.
+ Es wird eine modale Erinnerung angezeigt, in der Sie aufgefordert werden, die `AWSControlTowerExecution` Rolle hinzuzufügen und die Aktion zu bestätigen.
+ Wählen Sie „**Anmelden“.**
+ AWS Control Tower beginnt mit der Registrierung und Sie werden zurück zur Seite mit den **Kontodetails** geleitet.
## Häufige Ursachen für eine fehlgeschlagene Registrierung
+ Um ein bestehendes Konto zu registrieren, muss die `AWSControlTowerExecution` Rolle in dem Konto vorhanden sein, das Sie registrieren.
+ Ihrem IAM-Prinzipal fehlen die erforderlichen Berechtigungen zum Bereitstellen eines Kontos.
+ AWS -Security-Token-Service (AWS STS) ist AWS-Konto in Ihrer Heimatregion oder in einer anderen von AWS Control Tower unterstützten Region deaktiviert.
+ Möglicherweise sind Sie bei einem Konto angemeldet, das dem Account Factory Portfolio hinzugefügt werden muss AWS Service Catalog. Das Konto muss hinzugefügt werden, bevor Sie Zugriff auf Account Factory haben, damit Sie ein Konto bei AWS Control Tower erstellen oder registrieren können. Wenn der entsprechende Benutzer oder die entsprechende Rolle nicht zum Account Factory Factory-Portfolio hinzugefügt wird, erhalten Sie eine Fehlermeldung, wenn Sie versuchen, ein Konto hinzuzufügen. Anweisungen, wie Sie Zugriff auf AWS Service Catalog Portfolios gewähren, finden Sie unter [Benutzern Zugriff gewähren](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html).
+ Möglicherweise sind Sie als Stammbenutzer angemeldet.
+ Das Konto, das Sie registrieren möchten, hat möglicherweise AWS Config Resteinstellungen. Insbesondere kann das Konto über einen Konfigurationsrekorder oder einen Zustellungskanal verfügen. Diese müssen über gelöscht oder geändert werden, AWS CLI bevor Sie ein Konto registrieren können. Weitere Informationen erhalten Sie unter [Konten registrieren, die über vorhandene AWS Config Ressourcen verfügen](existing-config-resources.md) und [Interagiere mit AWS Control Tower durch AWS CloudShell](cshell-examples.md).
+ Wenn das Konto zu einer anderen Organisationseinheit mit einem Verwaltungskonto gehört, einschließlich einer anderen AWS Control Tower Tower-Organisationseinheit, müssen Sie das Konto in der aktuellen Organisationseinheit kündigen, bevor es einer anderen Organisationseinheit beitreten kann. Bestehende Ressourcen müssen in der ursprünglichen Organisationseinheit entfernt werden. Andernfalls schlägt die Anmeldung fehl.
+ Die Kontobereitstellung und Registrierung schlägt fehl, wenn Ihre Ziel-Organisationseinheiten es Ihnen SCPs nicht ermöglichen, alle für dieses Konto erforderlichen Ressourcen zu erstellen. Beispielsweise kann ein SCP in Ihrer Ziel-OU die Ressourcenerstellung ohne bestimmte Tags blockieren. In diesem Fall schlägt die Kontobereitstellung oder Registrierung fehl, da AWS Control Tower das Taggen von Ressourcen nicht unterstützt. Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren Kundenbetreuer, oder. Support
Weitere Informationen darüber, wie AWS Control Tower mit Rollen arbeitet, wenn Sie neue Konten erstellen oder bestehende Konten registrieren, finden Sie unter [Rollen und Konten](https://docs.aws.amazon.com//controltower/latest/userguide/roles.html).
**Tipp**
Wenn Sie nicht bestätigen können, dass eine bestehende Organisationseinheit die Registrierungsvoraussetzungen AWS-Konto erfüllt, können Sie eine **Registrierungs-OU einrichten und das Konto in dieser OU** registrieren. Nach erfolgreicher Registrierung können Sie das Konto in die gewünschte Organisationseinheit verschieben. Schlägt die Registrierung fehl, OUs sind keine anderen Konten von dem Fehler betroffen.
Wenn Sie Zweifel haben, ob Ihre bestehenden Konten und deren Konfigurationen mit AWS Control Tower kompatibel sind, können Sie die im folgenden Abschnitt empfohlenen Best Practices befolgen.
**Empfohlen: Sie können ein zweistufiges Konzept für die Kontoregistrierung einrichten**
+ Verwenden Sie zunächst ein AWS Config *Konformitätspaket*, um zu bewerten, wie Ihre Konten von einigen AWS Control Tower Tower-Kontrollen betroffen sein könnten. Informationen darüber, wie sich die Registrierung bei AWS Control Tower auf Ihre Konten auswirken kann, finden Sie unter [Erweitern der AWS Control Tower Tower-Governance mithilfe von AWS Config Konformitätspaketen](https://aws.amazon.com//blogs/mt/extend-aws-control-tower-governance-using-aws-config-conformance-packs/).
+ Anschließend können Sie das Konto anmelden. Wenn die Compliance-Ergebnisse zufriedenstellend sind, ist der Migrationspfad einfacher, da Sie das Konto ohne unerwartete Folgen anmelden können.
+ Wenn Sie sich nach Abschluss Ihrer Evaluierung für die Einrichtung einer AWS Control Tower Tower-Landezone entscheiden, müssen Sie möglicherweise den AWS Config Lieferkanal und den Konfigurationsrekorder entfernen, die für Ihre Evaluierung erstellt wurden. Dann können Sie AWS Control Tower erfolgreich einrichten.
**Anmerkung**
Das Conformance Pack funktioniert auch in Situationen, in denen sich die Konten im vom AWS Control Tower OUs registrierten Bereich befinden, die Workloads jedoch in AWS Regionen ausgeführt werden, die keinen AWS Control Tower Tower-Support bieten. Sie können das Conformance Pack verwenden, um Ressourcen in Konten zu verwalten, die in Regionen existieren, in denen AWS Control Tower nicht bereitgestellt wird.
# Wenn das Konto die Voraussetzungen nicht erfüllt
Denken Sie daran, dass Konten, die für die Registrierung bei AWS Control Tower Governance in Frage kommen, als Voraussetzung Teil derselben Gesamtorganisation sein müssen. Um diese Voraussetzung für die Kontoregistrierung zu erfüllen, können Sie diese vorbereitenden Schritte befolgen, um ein Konto in dieselbe Organisation wie AWS Control Tower zu verschieben.
**Vorbereitende Schritte, um ein Konto derselben Organisation wie AWS Control Tower zuzuordnen**
1. Löschen Sie das Konto aus der bestehenden Organisation. Wenn Sie diesen Ansatz verwenden, müssen Sie eine separate Zahlungsmethode angeben.
1. Laden Sie das Konto ein, der AWS Control Tower Tower-Organisation beizutreten. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Ein AWS Konto zum Beitritt zu Ihrer Organisation einladen](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_invites.html).
1. Nehmen Sie die Einladung an. Das Konto wird im Stammverzeichnis der Organisation angezeigt. In diesem Schritt wird das Konto in dieselbe Organisation wie AWS Control Tower verschoben SCPs und eine konsolidierte Abrechnung eingerichtet.
**Tipp**
Sie können die Einladung für die neue Organisation versenden, bevor das Konto aus der alten Organisation gelöscht wird. Die Einladung wartet, wenn das Konto offiziell aus der bestehenden Organisation austritt.
**Schritte zur Erfüllung der verbleibenden Voraussetzungen:**
1. Erstellen Sie die erforderliche `AWSControlTowerExecution` Rolle.
1. Löschen Sie die Standard-VPC. (Dieser Teil ist optional. AWS Control Tower ändert Ihre bestehende Standard-VPC nicht.)
1. Löschen oder ändern Sie jeden vorhandenen AWS Config Konfigurationsrekorder oder Bereitstellungskanal über das AWS CLI oder AWS CloudShell. Weitere Informationen finden Sie unter [Registrieren Sie Konten mit Ressourcen AWS Config](enroll-account.md#example-config-cli-commands) und [Konten registrieren, die über vorhandene AWS Config Ressourcen verfügen](existing-config-resources.md)
Nachdem Sie diese vorbereitenden Schritte abgeschlossen haben, können Sie das Konto bei AWS Control Tower registrieren. Weitere Informationen finden Sie unter [Schritte zur manuellen Registrierung eines Kontos](quick-account-provisioning.md#enrollment-steps). Mit diesem Schritt wird das Konto vollständig von AWS Control Tower verwaltet.
**Optionale Schritte zum Aufheben der Bereitstellung eines Kontos, sodass es registriert werden kann und sein Stack beibehalten werden kann**
1. Um den angewendeten CloudFormation Stack beizubehalten, löschen Sie die Stack-Instance aus den Stack-Sets und wählen Sie **Stacks beibehalten** für die Instance aus.
1. Kündigen Sie das vom Konto bereitgestellte Produkt in AWS Service Catalog Account Factory. (Dieser Schritt entfernt nur das bereitgestellte Produkt aus AWS Control Tower. Das Konto wird dadurch nicht gelöscht.)
1. Richten Sie das Konto mit den erforderlichen Rechnungsdetails ein, wie sie für jedes Konto erforderlich sind, das keiner Organisation gehört. Entfernen Sie dann das Konto aus der Organisation. (Sie tun dies, damit das Konto nicht auf die Gesamtsumme Ihres AWS Organizations Kontingents angerechnet wird.)
1. Bereinigen Sie das Konto, falls noch Ressourcen übrig sind, und schließen Sie es dann, nachdem Sie die Schritte zur Kontoschließung unter beschrieben haben[Melden Sie ein Konto ab](unmanage-account.md).
1. Wenn Sie eine **gesperrte** Organisationseinheit mit definierten Kontrollen haben, können Sie das Konto dorthin verschieben, anstatt Schritt 1 auszuführen.
# Fügen Sie die erforderliche IAM-Rolle manuell zu einer vorhandenen hinzu AWS-Konto und registrieren Sie sie
Wenn Sie Ihre AWS Control Tower-Landing landing zone bereits eingerichtet haben, können Sie damit beginnen, die Konten Ihrer Organisation in einer OU zu registrieren, die bei AWS Control Tower registriert ist. Wenn Sie Ihre landing zone noch nicht eingerichtet haben, folgen Sie den Schritten, die im *AWS Control Tower Tower-Benutzerhandbuch* unter [Erste Schritte, Schritt 2](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two) beschrieben sind. Wenn die landing zone fertig ist, führen Sie die folgenden Schritte aus, um bestehende Konten manuell unter die Verwaltung durch AWS Control Tower zu bringen.
**Lesen Sie sich unbedingt die zuvor [Voraussetzungen für die Einschreibung](enrollment-prerequisites.md) in diesem Kapitel genannten Punkte durch.**
Bevor Sie ein Konto bei AWS Control Tower registrieren, müssen Sie AWS Control Tower die Erlaubnis zur Verwaltung dieses Kontos erteilen. Dazu fügen Sie eine Rolle hinzu, die vollen Zugriff auf das Konto hat, wie in den folgenden Schritten gezeigt. Diese Schritte müssen für jedes Konto ausgeführt werden, das Sie registrieren.
**Für jedes Konto:**
**Schritt 1: Melden Sie sich mit Administratorzugriff auf das Verwaltungskonto der Organisation an, die derzeit das Konto enthält, das Sie registrieren möchten.**
Wenn Sie dieses Konto beispielsweise erstellt haben AWS Organizations und sich mit einer kontoübergreifenden IAM-Rolle anmelden, können Sie die folgenden Schritte ausführen:
1. Melden Sie sich beim Verwaltungskonto Ihrer Organisation an.
1. Wechseln Sie zu **AWS Organizations**.
1. Wählen Sie unter **Konten** das Konto aus, das Sie registrieren möchten, und kopieren Sie die zugehörige Konto-ID.
1. Öffnen Sie das Dropdownmenü für das Konto in der oberen Navigationsleiste und wählen Sie „Rolle **wechseln**“.
1. Füllen **Sie im Formular „Rolle wechseln**“ die folgenden Felder aus:
+ Geben Sie unter **Konto** die Konto-ID ein, die Sie kopiert haben.
+ Geben Sie unter **Rolle** den Namen der IAM-Rolle ein, die den kontoübergreifenden Zugriff auf dieses Konto ermöglicht. Der Name dieser Rolle wurde bei der Erstellung des Kontos definiert. Wenn Sie bei der Erstellung des Kontos keinen Rollennamen angegeben haben, geben Sie den Standardrollennamen ein`OrganizationAccountAccessRole`.
1. Wählen Sie **Switch Role**.
1. Sie sollten jetzt AWS-Managementkonsole als Kind angemeldet sein.
1. Wenn Sie fertig sind, bleiben Sie für den nächsten Teil des Vorgangs im Kinderkonto.
1. Notieren Sie sich die Verwaltungskonto-ID, da Sie sie im nächsten Schritt eingeben müssen.
**Schritt 2: Erteilen Sie AWS Control Tower die Erlaubnis, das Konto zu verwalten.**
1. Gehen Sie zu **IAM**.
1. Gehen Sie zu **Rollen**.
1. Wählen Sie **Rolle erstellen** aus.
1. Wenn Sie gefragt werden, für welchen Dienst die Rolle bestimmt ist, wählen Sie **Benutzerdefinierte Vertrauensrichtlinie**.
1. Kopieren Sie das hier gezeigte Codebeispiel und fügen Sie es in das Richtliniendokument ein. Ersetzen Sie die Zeichenfolge *`Management Account ID`* durch die tatsächliche Verwaltungskonto-ID Ihres Verwaltungskontos. Hier ist die Richtlinie zum Einfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. Wenn Sie aufgefordert werden, Richtlinien anzuhängen, wählen Sie **AdministratorAccess**.
1. Wählen Sie **Weiter: Tags** aus.
1. Möglicherweise wird ein optionaler Bildschirm mit dem Titel **Tags hinzufügen** angezeigt. Überspringe diesen Bildschirm vorerst, indem du **Weiter:Rezension** auswählst
1. Geben Sie auf dem **Überprüfungsbildschirm** im Feld **Rollenname** den Text ein. `AWSControlTowerExecution`
1. Geben Sie in das Feld Beschreibung eine kurze **Beschreibung** ein, z. B. *Erlaubt vollen Kontozugriff für die Registrierung*.
1. Wählen Sie **Rolle erstellen** aus.
**Schritt 3: Registrieren Sie das Konto, indem Sie es in eine registrierte Organisationseinheit verschieben, und überprüfen Sie die Registrierung.**
Nachdem Sie die erforderlichen Berechtigungen eingerichtet haben, indem Sie die Rolle erstellt haben, gehen Sie wie folgt vor, um das Konto zu registrieren und die Registrierung zu überprüfen.
1. **Melden Sie sich erneut als Admin an und gehen Sie zu AWS Control Tower.**
1.
**Registrieren Sie das Konto.**
+ Wählen Sie auf der Seite **Organisation** in AWS Control Tower Ihr Konto aus und wählen Sie dann oben rechts im Dropdownmenü **Aktionen** die Option **Registrieren** aus.
+ Folgen Sie den Schritten zur Registrierung eines einzelnen Kontos, wie auf der Seite gezeigt. [Schritte zur manuellen Registrierung eines Kontos](quick-account-provisioning.md#enrollment-steps)
1.
**Überprüfen Sie die Registrierung.**
+ Wählen Sie in AWS Control Tower in der linken Navigationsleiste **Organisation** aus.
+ Suchen Sie nach dem Konto, das Sie kürzlich registriert haben. **Im Anfangsstatus wird der Status Registrierung angezeigt.**
+ Wenn sich der Status auf **Eingeschrieben** ändert, war die Verschiebung erfolgreich.
Um diesen Vorgang fortzusetzen, melden Sie sich bei jedem Konto in Ihrer Organisation an, das Sie bei AWS Control Tower registrieren möchten. Wiederholen Sie die erforderlichen Schritte und die Registrierungsschritte für jedes Konto.
**Beispiel für das Hinzufügen der Rolle `AWSControlTowerExecution`**
Die folgende YAML-Vorlage kann Ihnen dabei helfen, die erforderliche Rolle in einem Konto zu erstellen, sodass sie programmgesteuert registriert werden kann.
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
account as a target account in AWS CloudFormation StackSets.
Parameters:
AdministratorAccountId:
Type: String
Description: AWS Account Id of the administrator account (the account in which
StackSets will be created).
MaxLength: 12
MinLength: 12
Resources:
ExecutionRole:
Type: AWS::IAM::Role
Properties:
RoleName: AWSControlTowerExecution
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref AdministratorAccountId
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```
# Konten registrieren, die über vorhandene AWS Config Ressourcen verfügen
Dieses Thema bietet einen step-by-step Ansatz für die Registrierung von Konten, für die bereits Ressourcen vorhanden sind. AWS Config Beispiele dafür, wie Sie Ihre vorhandenen Ressourcen überprüfen können, finden Sie unter[Registrieren Sie Konten mit Ressourcen AWS Config](enroll-account.md#example-config-cli-commands).
**Beispiele für AWS Config Ressourcen**
Hier sind einige Arten von AWS Config Ressourcen, über die Ihr Konto möglicherweise bereits verfügt. Diese Ressourcen müssen möglicherweise geändert werden, damit Sie Ihr Konto bei AWS Control Tower registrieren können.
+ AWS Config Rekorder
+ AWS Config Lieferkanal
+ AWS Config Autorisierung der Aggregation
**Einschränkungen**
+ Das Registrierungskonto mit vorhandener AWS Config-Ressource wird für Verwaltungskonten oder Serviceintegrationskonten, die in der landing zone konfiguriert sind, nicht unterstützt.
+ Das Konto kann nur mithilfe des Workflows zur Registrierung oder erneuten Registrierung der Organisationseinheit registriert werden, der das aktiviert. `AWSControlTowerBaseline` Das Konto kann nicht registriert werden, indem das aktiviert oder zurückgesetzt wird. `ConfigBaseline`
+ Ein Konto mit vorhandener AWS Config-Ressource wird von nicht unterstützt[Konten mit automatischer Registrierung verschieben und registrieren](account-auto-enrollment.md).
+ Wenn die Ressourcen geändert werden und zu Abweichungen auf dem Konto führen, aktualisiert AWS Control Tower die Ressourcen nicht.
+ AWS Config Ressourcen in Regionen, die nicht von AWS Control Tower verwaltet werden, werden nicht geändert.
**Annahmen**
+ Sie haben eine AWS Control Tower Tower-Landezone bereitgestellt.
+ Ihr Konto ist noch nicht bei AWS Control Tower registriert.
+ Ihr Konto verfügt über mindestens eine bereits vorhandene AWS Config Ressource in mindestens einer der Regionen, die von AWS Control Tower verwaltet werden.
+ Ihr Konto unterliegt keiner abweichenden Unternehmensführung.
**Anmerkung**
Wenn Sie versuchen, ein Konto mit vorhandenen Config-Ressourcen zu registrieren, ohne dass das Konto der Zulassungsliste hinzugefügt wurde, schlägt die Registrierung fehl. Wenn Sie anschließend versuchen, dasselbe Konto zur Zulassungsliste hinzuzufügen, kann AWS Control Tower nicht überprüfen, ob das Konto korrekt bereitgestellt wurde. Sie müssen die Bereitstellung des Kontos von AWS Control Tower aufheben, bevor Sie die Zulassungsliste anfordern und dann registrieren können. Wenn Sie das Konto nur auf eine andere AWS Control Tower Tower-Organisationseinheit verschieben, führt dies zu einer Drift in der Unternehmensführung, wodurch auch verhindert wird, dass das Konto zur Zulassungsliste hinzugefügt wird.
Einen Blog, der einen automatisierten Ansatz zur Registrierung von Konten mit vorhandenen AWS Config Ressourcen beschreibt, finden [Sie unter Automatisieren der Registrierung von Konten mit vorhandenen AWS Config Ressourcen in AWS](https://aws.amazon.com//blogs/mt/automate-enrollment-of-accounts-with-existing-aws-config-resources-into-aws-control-tower/) Control Tower.
**Dieser Prozess besteht aus fünf Hauptschritten.**
1. Fügen Sie die Konten zur Zulassungsliste von AWS Control Tower hinzu.
1. Erstellen Sie eine neue IAM-Rolle im Konto.
1. Ändern Sie bereits vorhandene Ressourcen AWS Config .
1. Erstellen Sie AWS Config Ressourcen in AWS Regionen, in denen sie nicht existieren.
1. Registrieren Sie das Konto bei AWS Control Tower.
**Bevor Sie fortfahren, sollten Sie die folgenden Erwartungen in Bezug auf diesen Prozess berücksichtigen.**
+ AWS Control Tower erstellt keine AWS Config Ressourcen in diesem Konto.
+ Nach der Registrierung schützen AWS Control Tower Controls automatisch die von Ihnen erstellten AWS Config Ressourcen, einschließlich der neuen IAM-Rolle.
+ Wenn nach der Registrierung Änderungen an den AWS Config Ressourcen vorgenommen werden, müssen diese Ressourcen aktualisiert werden, damit sie mit den AWS Control Tower Tower-Einstellungen übereinstimmen, bevor Sie das Konto erneut registrieren können.
## Schritt 1: Wenden Sie sich an den Support, um Konten zur Zulassungsliste hinzuzufügen
**Fügen Sie diesen Satz in die Betreffzeile Ihres Tickets ein:**
*Konten mit vorhandenen AWS Config Ressourcen bei AWS Control Tower registrieren*
**Geben Sie die folgenden Details in den Hauptteil Ihres Tickets ein:**
+ Kontonummer der Verwaltung
+ Kontonummern von Mitgliedskonten, für die bereits AWS Config Ressourcen vorhanden sind. Sie können eine Support-Anfrage für alle Konten erstellen, die Sie registrieren möchten.
+ Ihre gewählte Heimatregion für die Einrichtung von AWS Control Tower
**Anmerkung**
Die erforderliche Zeit für das Hinzufügen Ihres Kontos zur Zulassungsliste beträgt 2 Werktage.
## Schritt 2: Erstellen Sie eine neue IAM-Rolle im Mitgliedskonto
1. Öffnen Sie die CloudFormation Konsole für das Mitgliedskonto.
1. Erstellen Sie einen neuen Stack mit der folgenden Vorlage
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
CustomerCreatedConfigRecorderRole:
Type: AWS::IAM::Role
Properties:
RoleName: aws-controltower-ConfigRecorderRole-customer-created
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service:
- config.amazonaws.com
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- arn:aws:iam::aws:policy/service-role/AWS_ConfigRole
- arn:aws:iam::aws:policy/ReadOnlyAccess
```
1. Geben Sie den Namen für den Stack an als **CustomerCreatedConfigRecorderRoleForControlTower**
1. Erstellen Sie den Stack.
**Anmerkung**
Alle SCPs , die Sie erstellen, sollten eine `aws-controltower-ConfigRecorderRole*` Rolle ausschließen. Ändern Sie nicht die Berechtigungen, die die Fähigkeit von AWS Config Regeln zur Durchführung von Bewertungen einschränken.
Folgen Sie diesen Richtlinien, damit Sie keine Meldung erhalten, `AccessDeniedException` wenn Sie SCPs diesen Block `aws-controltower-ConfigRecorderRole*` vom Aufrufen von Config haben.
## Schritt 3: Identifizieren Sie die AWS Regionen mit bereits vorhandenen Ressourcen
Identifizieren und notieren Sie für jede regulierte Region (von AWS Control Tower verwaltet) im Konto die Regionen, in denen mindestens einer der oben aufgeführten AWS Config Ressourcenbeispieltypen vorhanden ist.
## Schritt 4: Identifizieren Sie die AWS Regionen ohne AWS Config Ressourcen
Identifizieren und notieren Sie für jede regulierte Region (von AWS Control Tower verwaltet) im Konto die Regionen, in denen es keine AWS Config Ressourcen der zuvor gezeigten Beispieltypen gibt.
## Schritt 5: Ändern Sie die vorhandenen Ressourcen in jeder AWS Region
Für diesen Schritt werden die folgenden Informationen zu Ihrem AWS Control Tower Tower-Setup benötigt.
+ `AUDIT_ACCOUNT`— die ID des AWS Config-Serviceintegrationskontos (früher bekannt als Audit-Konto)
+ `CONFIG_BUCKET`— der AWS S3-Bucket, für den AWS Config Konfigurations-Snapshots und Konfigurationsverlaufsdateien bereitstellt. Suchen und bestätigen Sie, dass der AWS S3-Bucket vorhanden ist, bevor Sie mit den nächsten Schritten fortfahren.
+ Für landing zone Version 3.3 oder niedriger hat der AWS S3-Bucket einen Namen`aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION`, der sich im Logging-Konto befindet.
+ Bei landing zone Zone-Version 4.0 oder höher ist der AWS S3-Bucket benannt `aws-controltower-config-logs-AUDIT_ACCOUNT--` und befindet sich im AWS Config-Serviceintegrationskonto (früher bekannt als Audit-Konto).
+ `IAM_ROLE_ARN`— der in Schritt 2 erstellte ARN für die IAM-Rolle
+ `ORGANIZATION_ID`— die Organisations-ID für das Verwaltungskonto
+ `MEMBER_ACCOUNT_NUMBER`- das Mitgliedskonto, das geändert wird
+ `HOME_REGION`— die Heimatregion für die Einrichtung von AWS Control Tower.
Ändern Sie jede vorhandene Ressource, indem Sie die Anweisungen in den nachfolgenden Abschnitten 5a bis 5c befolgen.
## Schritt 5a. AWS Config Ressourcen für Rekorder
Pro AWS Region kann nur ein AWS Config Rekorder existieren. Falls einer vorhanden ist, ändern Sie die Einstellungen wie gezeigt. Ersetzen Sie den Artikel `GLOBAL_RESOURCE_RECORDING` in Ihrer Heimatregion durch **true**. Ersetzen Sie das Element in anderen Regionen, in denen ein AWS Config Rekorder vorhanden ist, durch „**falsch**“.
+ **Name:** NICHT ÄNDERN
+ **RoleARN:** ` IAM_ROLE_ARN`
+ **RecordingGroup:**
+ **AllSupported: wahr**
+ **IncludeGlobalResourceTypes:** `GLOBAL_RESOURCE_RECORDING`
+ **ResourceTypes:** Leer
Diese Änderung kann über die AWS CLI mit dem folgenden Befehl vorgenommen werden. Ersetzen Sie die Zeichenfolge `RECORDER_NAME` durch den vorhandenen AWS Config Rekordernamen.
```
aws configservice put-configuration-recorder --configuration-recorder name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING --region CURRENT_REGION
```
## Schritt 5b. Ändern Sie die Ressourcen des AWS Config Lieferkanals
Pro Region kann nur ein AWS Config Lieferkanal existieren. Falls ein anderer vorhanden ist, ändern Sie die Einstellungen wie gezeigt.
+ **Name:** NICHT ÄNDERN
+ **ConfigSnapshotDeliveryProperties:** TwentyFour \$1Stunden
+ **S3BucketName:** *CONFIG\$1BUCKET*
+ **S 3KeyPrefix:** *ORGANIZATION\$1ID*
+ **SnsTopicARN:** Der SNS-Themen-ARN aus dem Prüfkonto mit dem folgenden Format:
`arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications`
Diese Änderung kann über die AWS CLI mit dem folgenden Befehl vorgenommen werden. Ersetzen Sie die Zeichenfolge `DELIVERY_CHANNEL_NAME` durch den vorhandenen AWS Config Rekordernamen.
```
aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=CONFIG_BUCKET,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --region CURRENT_REGION
```
## Schritt 5c. Ändern Sie die Ressourcen für die AWS Config Aggregationsautorisierung
**Anmerkung**
Dieser Schritt ist für landing zone Version 4.0 oder höher nicht erforderlich.
Pro Region können mehrere Aggregationsautorisierungen existieren. AWS Control Tower erfordert eine Aggregationsautorisierung, die das Auditkonto als autorisiertes Konto angibt und die Heimatregion für AWS Control Tower als autorisierte Region hat. Falls es nicht existiert, erstellen Sie ein neues mit den folgenden Einstellungen:
+ **AuthorizedAccountId:** Die Audit-Konto-ID
+ **AuthorizedAwsRegion:** Die Heimatregion für das AWS Control Tower Tower-Setup
Diese Änderung kann über die AWS CLI mit dem folgenden Befehl vorgenommen werden:
`aws configservice put-aggregation-authorization --authorized-account-id AUDIT_ACCOUNT_ID --authorized-aws-region HOME_REGION --region CURRENT_REGION`
## Schritt 6: Ressourcen dort erstellen, wo sie nicht existieren, in Regionen, die von AWS Control Tower verwaltet werden
Überarbeiten Sie die CloudFormation Vorlage, sodass der **IncludeGlobalResourcesTypes**Parameter in Ihrer Heimatregion den Wert hat`GLOBAL_RESOURCE_RECORDING`, wie im folgenden Beispiel gezeigt. Aktualisieren Sie außerdem die erforderlichen Felder in der Vorlage, wie in diesem Abschnitt beschrieben.
Ersetzen Sie den Artikel `GLOBAL_RESOURCE_RECORDING` in Ihrer Heimatregion durch **true**. Ersetzen Sie den Eintrag durch **„Falsch“** für andere Regionen, in denen kein AWS Config Rekorder vorhanden ist.
1. Navigieren Sie zur CloudFormation Konsole des Verwaltungskontos.
1. Erstellen Sie ein neues StackSet mit dem Namen **CustomerCreatedConfigResourcesForControlTower**.
1. Kopieren und aktualisieren Sie die folgende Vorlage:
**Anmerkung**
Die `CustomerCreatedAggregationAuthorization` Ressource in der Vorlage ist für landing zone Version 4.0 oder höher nicht erforderlich.
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure AWS Config
Resources:
CustomerCreatedConfigRecorder:
Type: AWS::Config::ConfigurationRecorder
Properties:
Name: aws-controltower-BaselineConfigRecorder-customer-created
RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created
RecordingGroup:
AllSupported: true
IncludeGlobalResourceTypes: GLOBAL_RESOURCE_RECORDING
ResourceTypes: []
CustomerCreatedConfigDeliveryChannel:
Type: AWS::Config::DeliveryChannel
Properties:
Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created
ConfigSnapshotDeliveryProperties:
DeliveryFrequency: TwentyFour_Hours
S3BucketName: CONFIG_BUCKET
S3KeyPrefix: ORGANIZATION_ID
SnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
CustomerCreatedAggregationAuthorization:
Type: "AWS::Config::AggregationAuthorization"
Properties:
AuthorizedAccountId: AUDIT_ACCOUNT
AuthorizedAwsRegion: HOME_REGION
```
**Aktualisieren Sie die Vorlage mit den erforderlichen Feldern:**
1. Ersetzen Sie BucketName im Feld **S3** den *CONFIG\$1BUCKET*
1. Ersetzen Sie KeyPrefix im Feld **S3** den *ORGANIZATION\$1ID*
1. Ersetzen **SnsTopicSie im ARN-Feld** den *AUDIT\$1ACCOUNT*
1. Ersetzen Sie im **AuthorizedAccountId**Feld den *AUDIT\$1ACCOUNT*
1. Ersetzen Sie im **AuthorizedAwsRegion**Feld den *HOME\$1REGION*
1. Fügen Sie während der Bereitstellung auf der CloudFormation Konsole die Mitgliedskontonummer hinzu.
1. Fügen Sie die AWS Regionen hinzu, die in Schritt 4 identifiziert wurden.
1. Stellen Sie das Stack-Set bereit.
## Schritt 7: Registrieren Sie die Organisationseinheit bei AWS Control Tower
Registrieren Sie die Organisationseinheit im AWS Control Tower Tower-Dashboard.
**Anmerkung**
Der Workflow zur **Kontoregistrierung** wird für diese Aufgabe nicht erfolgreich sein. Sie müssen **OU registrieren oder OU** **erneut registrieren** wählen.
# Konten mit Account Factory bereitstellen und verwalten
**Anmerkung**
Die Bereitstellung, Aktualisierung und Anpassung eines einzelnen Kontos muss auf eine Organisationseinheit (OU) abzielen, für die AWSControl TowerBaseline diese Option aktiviert ist. Wenn in einer Organisationseinheit das nicht AWSControl TowerBaseline aktiviert ist, können Sie die automatische Kontoregistrierung aktivieren oder Konten mit ResetEnabledBaseline und ResetEnabledControl APIs auf EnabledBaselines und EnabledControls auf dieser Organisationseinheit registrieren. Einzelheiten zu finden Sie unter:. AWSControl TowerBaseline [Basistypen, die auf OU-Ebene gelten](types-of-baselines.md#ou-baseline-types)
Dieses Kapitel enthält einen Überblick und Verfahren für die Bereitstellung neuer Mitgliedskonten in einer AWS Control Tower Tower-Landezone mit Account Factory.
## Berechtigungen für die Konfiguration und Bereitstellung von Konten
Die AWS Control Tower Account Factory ermöglicht Cloud-Administratoren und Benutzern AWS IAM Identity Center die Bereitstellung von Konten in Ihrer landing zone. Standardmäßig müssen IAM Identity Center-Benutzer, die Konten bereitstellen, der `AWSAccountFactory` Gruppe oder der Verwaltungsgruppe angehören.
**Anmerkung**
Seien Sie vorsichtig, wenn Sie vom Verwaltungskonto aus arbeiten, so wie Sie es tun würden, wenn Sie ein Konto verwenden würden, das über Berechtigungen in Ihrer gesamten Organisation verfügt.
Das AWS Control Tower Tower-Verwaltungskonto hat eine Vertrauensbeziehung mit der `AWSControlTowerExecution` Rolle, was die Kontoeinrichtung vom Verwaltungskonto aus ermöglicht, einschließlich einiger automatisierter Kontoeinrichtungen. Weitere Informationen zur `AWSControlTowerExecution` Rolle finden Sie unter [Rollen und Konten](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html).
**Anmerkung**
Um ein AWS-Konto vorhandenes Konto bei AWS Control Tower zu registrieren, muss die `AWSControlTowerExecution` Rolle für dieses Konto aktiviert sein. Weitere Informationen zum Registrieren eines vorhandenen Kontos finden Sie unter [Über die Registrierung vorhandener Konten](enroll-account.md).
Weitere Informationen zu Berechtigungen finden Sie unter [Für die Bereitstellung von Konten sind Berechtigungen erforderlich](provision-and-manage-accounts.md#permissions).
## Überlegungen zur Verwaltung von Konten in Account Factory
Sie können Konten, die Sie über Account Factory erstellen und bereitstellen, aktualisieren, deregistrieren und schließen. Sie können Konten wiederverwenden, indem Sie die Benutzerparameter in den Konten aktualisieren, die Sie wiederverwenden möchten. Sie können auch die Organisationseinheit (OU) eines Kontos ändern.
**Anmerkung**
Wenn Sie ein bereitgestelltes Produkt aktualisieren, das mit einem Konto verknüpft ist, das Account Factory verkauft, erstellt AWS Control Tower einen neuen Benutzer im IAM Identity Center AWS IAM Identity Center, wenn Sie eine neue Benutzer-E-Mail-Adresse angeben. Das zuvor erstellte Konto wird nicht entfernt. Informationen zum Entfernen der E-Mail-Adresse des vorherigen IAM Identity Center-Benutzers aus IAM Identity Center finden Sie unter Benutzer [deaktivieren](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html).
# Konten mit AWS Control Tower aktualisieren und verschieben
Am einfachsten können Sie ein registriertes Konto über die AWS Control Tower Tower-Konsole aktualisieren. Individuelle Kontoaktualisierungen sind nützlich, um Abweichungen zu beheben, wie z. [Mitgliedskonto wurde verschoben](governance-drift.md#drift-account-moved) Im Rahmen eines vollständigen landing zone Zone-Updates sind auch Kontoaktualisierungen erforderlich.
## Aktualisieren Sie das Konto in der Konsole
**Um ein Konto in der AWS Control Tower Tower-Konsole zu aktualisieren**
1. Wenn Sie bei AWS Control Tower angemeldet sind, navigieren Sie zur **Organisationsseite**.
1. Wählen Sie in der Liste der OUs Konten den Namen des Kontos aus, das Sie aktualisieren möchten. Für Konten, die zur Aktualisierung verfügbar sind, wird der Status **Update verfügbar** angezeigt.
1. Als Nächstes sehen Sie die Seite mit den **Kontodetails** für Ihr ausgewähltes Konto.
1. Wählen Sie oben rechts **Konto aktualisieren** aus.
Wenn Sie ein Konto von einer Organisationseinheit (OU) in eine andere verschieben, denken Sie daran, dass sich die von der neuen Organisationseinheit angewandten Kontrollen möglicherweise von den Kontrollen in der vorherigen Organisationseinheit unterscheiden. Stellen Sie sicher, dass die Kontrollen in der neuen Organisationseinheit Ihren Richtlinienanforderungen für das Konto entsprechen.
AWS Control Tower Tower-Konten werden unterschiedlich geändert, je nachdem, ob Sie sich für die automatische Registrierung von Konten entschieden haben oder nicht. Weitere Informationen zur automatischen Registrierung finden Sie unter. [Konfigurieren Sie optional die automatische Registrierung für Konten](configure-auto-enroll.md)
**Steuern Sie das Verhalten beim Verschieben von Konten zwischen OUs, mit aktivierter automatischer Registrierung**
Wenn Sie ein Konto in eine neue OU verschieben, wendet AWS Control Tower die aktivierten Baselines und Kontrollen der OU auf das Konto an. Kontrollen und Baselines aus der vorherigen Organisationseinheit werden entfernt. Wenn Sie ein Konto außerhalb einer registrierten Organisationseinheit verschieben, entfernt AWS Control Tower alle bereitgestellten Baselines und Kontrollen.
**Steuern Sie das Verhalten, wenn Konten zwischen Konten verschoben werden OUs, ohne automatische Registrierung**
Wenn Sie ein Konto zwischen den anderen verschieben OUs, werden die Steuerelemente für die Ziel-OU auf die Konto. Die Kontrollen, die von der früheren Organisationseinheit für das Konto galten, sind jedoch nicht entfernt. Das genaue Verhalten der Steuerelemente ist spezifisch für die Implementierung von Steuerelemente, die auf der ehemaligen Organisationseinheit und der Zielorganisationseinheit aktiv sind.
+ *Für Steuerelemente, die mit AWS Config Regeln implementiert wurden:* Die Steuerelemente aus der vorherigen Organisationseinheit werden nicht entfernt. Diese Steuerelemente müssen manuell entfernt werden.
+ *Für Kontrollen, die implementiert wurden mit SCPs:* Die SCP-basierten Steuerungen aus der vorherigen Organisationseinheit sind entfernt. Die SCP-basierten Kontrollen für die Ziel-OU treten für dieses Konto in Kraft.
+ *Für Steuerungen, die mit CloudFormation Hooks implementiert wurden: Dieses Verhalten* hängt vom Status der Steuerelemente in der neuen Organisationseinheit ab.
+ *Wenn in der Ziel-Organisationseinheit keine Hook-basierten Steuerungen aktiv sind:* Die alte Die Steuerelemente bleiben für das verschobene Konto aktiv, sofern Sie sie nicht entfernen manuell.
+ *Wenn in der Ziel-OU Hook-Steuerelemente aktiv sind:* Die alten Steuerelemente sind entfernt und die Steuerelemente in der Ziel-OU werden auf die angewendet Konto.
# E-Mail-Adresse eines registrierten Kontos ändern
Gehen Sie wie in diesem Abschnitt beschrieben vor, um die E-Mail-Adresse eines registrierten Mitgliedskontos in AWS Control Tower zu ändern.
**Anmerkung**
Das folgende Verfahren erlaubt es Ihnen nicht, die E-Mail-Adresse eines **Verwaltungskontos, eines Protokollarchiv-Kontos** **oder eines **Audit-Kontos**** zu ändern. Weitere Informationen dazu finden Sie unter [Wie ändere ich die mit meinem AWS Konto verknüpfte E-Mail-Adresse?](https://aws.amazon.com//premiumsupport/knowledge-center/change-email-address/) oder wenden Sie sich an AWS den Support.
**Um die E-Mail-Adresse eines Kontos zu ändern, das AWS Control Tower erstellt**
1. Stellen Sie das Root-Benutzerpasswort für das Konto wieder her. Sie können den Schritten im Artikel [Wie kann ich ein verlorenes oder vergessenes AWS Passwort wiederherstellen?](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/) folgen
1. Melden Sie sich mit dem Root-Benutzerpasswort bei dem Konto an.
1. Ändern Sie die E-Mail-Adresse wie jede andere E-Mail-Adresse und warten Sie AWS-Konto, bis sich die Änderung bemerkbar macht AWS Organizations. Es kann zu Verzögerungen kommen, bis die Änderung der E-Mail-Adresse vollständig aktualisiert ist.
1. Aktualisieren Sie das bereitgestellte Produkt im Service Catalog mit der E-Mail-Adresse, die zuvor zu dem Konto gehörte. Der Prozess zur Aktualisierung des bereitgestellten Produkts umfasst die Verknüpfung der neuen E-Mail-Adresse mit dem bereitgestellten Produkt. Auf diese Weise wird die Änderung der E-Mail-Adresse in AWS Control Tower wirksam. Verwenden Sie die neue E-Mail-Adresse für Updates zu anschließend bereitgestellten Produkten.
Informationen zum Ändern des Kennworts oder der E-Mail-Adresse eines Mitgliedskontos, mit dem Sie es erstellt haben AWS Organizations, finden Sie im [Benutzerhandbuch unter Zugreifen auf ein Mitgliedskonto als *AWS Organizations Root-Benutzer*](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root).
Alternativ können Sie die E-Mail-Adresse für ein Account Factory- oder anderes Mitgliedskonto von der AWS Organizations Konsole aus aktualisieren, ohne sich als Root-Benutzer anzumelden. Weitere Informationen finden Sie unter [Aktualisieren der Root-Benutzer-E-Mail-Adresse für ein Mitgliedskonto mit AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html) im *AWS Organizations Benutzerhandbuch*.
# Ändern Sie den Namen eines registrierten Kontos
Gehen Sie wie in diesem Abschnitt beschrieben vor, um den Namen eines registrierten AWS Control Tower Tower-Kontos zu ändern.
**Anmerkung**
Um den Namen eines AWS *Administratorkontos* zu ändern, müssen Sie über Administratorrechte verfügen und als Root-Benutzer des Kontos angemeldet sein.
**Um den Namen eines von AWS Control Tower erstellten Kontos zu ändern, verwenden Sie die AWS Organizations Konsole oder APIs**
+ Folgen Sie den [Anweisungen im Referenzhandbuch zur AWS](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs) *Kontoverwaltung*.
**Alternative Methode zum Ändern des Namens eines von AWS Control Tower erstellten Kontos**
1. Stellen Sie das Root-Passwort für das Konto wieder her. Sie können die in diesem Artikel beschriebenen Schritte ausführen. [Wie stelle ich ein verlorenes oder vergessenes AWS Passwort wieder her?](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/)
1. Melden Sie sich mit dem Root-Passwort bei dem Konto an.
1. Navigieren Sie in der AWS Billing Konsole zur Seite mit den **Kontoeinstellungen**.
1. Ändern Sie den Namen in den **Kontoeinstellungen** wie bei jedem anderen Namen AWS-Konto.
1. AWS Control Tower aktualisiert sich automatisch, um die Namensänderung widerzuspiegeln. Dieses Update wird sich nicht auf das bereitgestellte Produkt auswirken. AWS Service Catalog
# Account Factory mit den Amazon Virtual Private Cloud Cloud-Einstellungen konfigurieren
Mit Account Factory können Sie vorab genehmigte Baselines und Konfigurationsoptionen für Konten in Ihrer Organisation erstellen. Sie können die Konfiguration und Bereitstellung neuer Konten in AWS Service Catalog vornehmen.
Auf der Account Factory Factory-Seite finden Sie eine Liste der Organisationseinheiten (OUs) und deren Status auf **der Zulassungsliste**. Standardmäßig OUs befinden sich alle auf der Zulassungsliste, was bedeutet, dass Konten unter ihnen eingerichtet werden können. Sie können die Kontobereitstellung OUs für bestimmte Konten über deaktivieren. AWS Service Catalog
Sie können die Amazon VPC-Konfigurationsoptionen einsehen, die Ihren Endbenutzern bei der Bereitstellung neuer Konten zur Verfügung stehen.
**So konfigurieren Sie die Amazon VPC-Einstellungen in Account Factory**
1. Melden Sie sich als zentraler Cloud-Administrator mit Administratorrechten im Verwaltungskonto bei der AWS Control Tower Tower-Konsole an.
1. Wählen Sie auf der linken Seite des Dashboards **Account Factory** aus, um zur Account Factory-Netzwerkkonfigurationsseite zu gelangen. Dort werden die Standardnetzwerkeinstellungen angezeigt. Wählen Sie zum Bearbeiten **Bearbeiten** und sehen Sie sich die bearbeitbare Version Ihrer Account Factory Factory-Netzwerkkonfigurationseinstellungen an.
1. Sie können jedes Feld der Standardeinstellungen nach Bedarf ändern. Wählen Sie die VPC-Konfigurationsoptionen aus, die Sie für alle neuen Account Factory Factory-Konten einrichten möchten, die Ihre Endbenutzer erstellen können, und geben Sie Ihre Einstellungen in die Felder ein.
+ Wählen Sie **deaktiviert** oder **aktiviert**, um ein öffentliches Subnetz in Amazon VPC zu erstellen. Standardmäßig ist das über das Internet zugängliche Subnetz nicht zulässig.
**Anmerkung**
Wenn Sie in der VPC-Konfiguration von Account Factory einstellen, dass öffentliche Subnetze bei der Bereitstellung eines neuen Kontos **aktiviert** sind, konfiguriert Account Factory Amazon VPC so, dass ein [NAT-Gateway](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-nat-gateway.html) erstellt wird. Seine Nutzung wird Ihnen von Amazon VPC in Rechnung gestellt. Weitere Informationen finden Sie unter [VPC Preise](https://aws.amazon.com//vpc/pricing/).
+ Wählen Sie die maximale Anzahl von privaten Subnetzen in Amazon VPC aus der Liste aus. Standardmäßig ist 1 ausgewählt. Die maximal zulässige Anzahl von privaten Subnetzen beträgt 2 pro Availability Zone.
+ Geben Sie den IP-Adressbereich für die Erstellung Ihres Kontos ein VPCs. Der Wert muss das Format eines Classless Inter-Domain Routing(CIDR)-Blocks (der Standard ist z. B. `172.31.0.0/16`) aufweisen. Dieser CIDR-Block stellt den Gesamtbereich der Subnetz-IP-Adressen für die VPC bereit, die Account Factory für Ihr Konto erstellt. Innerhalb Ihrer VPC werden Subnetze automatisch aus dem von Ihnen angegebenen Bereich zugewiesen und haben dieselbe Größe. Standardmäßig überschneiden sich Subnetze in Ihrer VPC nicht. Die Subnetz-IP-Adressbereiche in all Ihren bereitgestellten Konten VPCs können sich jedoch überschneiden.
+ Wählen Sie eine Region oder alle Regionen für das Erstellen einer VPC aus, wenn ein Konto bereitgestellt wird. Standardmäßig sind alle verfügbaren Regionen ausgewählt.
+ Wählen Sie in der Liste die Anzahl der Availability Zones aus, für die Subnetze in jeder VPC konfiguriert werden sollen. Die standardmäßige und empfohlene Anzahl ist 3.
+ Wählen Sie **Speichern**.
Sie können diese Konfigurationsoptionen für die Erstellung neuer Konten, die keine VPC enthalten, einrichten. Sehen Sie sich die [exemplarische Vorgehensweise](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html) an.
# Melden Sie ein Konto ab
Wenn Sie ein Konto in Account Factory erstellt oder eines registriert haben und Sie nicht mehr möchten AWS-Konto, dass das Konto von AWS Control Tower in einer landing zone verwaltet wird, können Sie das Konto über die AWS Control Tower Tower-Konsole *abmelden*.
Wenn Sie ein AWS Control Tower-Konto abmelden, werden alle von AWS Control Tower bereitgestellten Ressourcen entfernt, einschließlich aller Kontrollen und Blueprints. Das Konto wird aus einer beliebigen AWS Control Tower Tower-Organisationseinheit in den **Stammbereich** verschoben. Das Konto ist nicht mehr Teil einer registrierten Organisationseinheit und unterliegt nicht mehr AWS Control Tower SCPs. Sie können das Konto über schließen AWS Organizations.
**So heben Sie die Registrierung eines registrierten Kontos über die AWS Control Tower Tower-Konsole auf**
1. Öffnen Sie die AWS Control Tower Tower-Konsole in Ihrem Webbrowser unter [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower)
1. Wählen Sie im linken Navigationsbereich **Organisation** aus.
1. Erweitern Sie auf der Seite **Organisation** die Organisationseinheit, die das Konto enthält, indem Sie neben der Organisationseinheit auf die Schaltfläche **\$1** klicken.
1. Wählen Sie das Konto aus und klicken Sie dann auf **Nicht verwalten**.
**Anmerkung**
Warten Sie, bis der Status des Kontos **Nicht registriert angezeigt wird.**
Wenn Sie das Konto nicht mehr benötigen, schließen Sie es. Weitere Informationen zum Schließen von AWS Konten finden Sie im *AWS Billing Benutzerhandbuch* unter [Schließen eines Kontos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)
**Ein Konto abmelden, wenn die automatische Registrierung aktiv ist**
Wenn die Funktion zur automatischen Registrierung auf Ihrer **Einstellungsseite** aktiv ist, können Sie ein Konto auch deregistrieren, indem Sie es in eine Organisationseinheit verschieben, die nicht in AWS Control Tower registriert ist. Alle AWS Control Tower Tower-Ressourcen werden entfernt. Beachten Sie, dass Sie das Konto nicht versehentlich auf diese Weise abmelden. Sie können das Konto jedoch erneut registrieren, indem Sie es an die Organisationseinheit zurücksenden.
Wenn Sie ein benutzerdefiniertes Konto abmelden, entfernt AWS Control Tower die Ressourcen, die die landing zone bereitgestellt hat, sowie alle anderen Ressourcen, die AWS Control Tower innerhalb des Kontos erstellt hat. AWS Control Tower entfernt die **AWSControlTowerExecution**Rolle ebenfalls, auch wenn sie manuell hinzugefügt wurde. Das Entfernen dieser Rolle entspricht dem Prinzip der geringsten Rechte, da eine Dienstausführungsrolle nicht in einem nicht verwalteten Konto verbleiben sollte.
Nachdem Sie das Konto deregistriert haben, können Sie das Konto über schließen. AWS Organizations
**Anmerkung**
Ein nicht registriertes Konto wird nicht geschlossen oder gelöscht. Wenn das Konto deregistriert wurde, hat der IAM Identity Center-Benutzer, den Sie bei der Erstellung des Kontos in Account Factory ausgewählt haben, weiterhin Administratorzugriff auf das Konto. Wenn Sie nicht möchten, dass dieser Benutzer Administratorzugriff hat, müssen Sie diese Einstellung in IAM Identity Center ändern, indem Sie das Konto in Account Factory aktualisieren und die IAM Identity Center-Benutzer-E-Mail-Adresse für das Konto ändern. Weitere Informationen finden Sie unter [Konten mit AWS Control Tower aktualisieren und verschieben](updating-account-factory-accounts.md).
## Video-Anleitung
In diesem Video (3:25) wird beschrieben, wie Sie ein Konto aus dem AWS Control Tower entfernen, Root-Zugriff auf das Konto erhalten und schließlich das AWS-Konto schließen. Sie können ein Konto auch mit [einer AWS Organizations API](https://docs.aws.amazon.com//controltower/latest/userguide/delete-account.html) schließen. Wählen Sie zur besseren Ansicht das Symbol in der rechten unteren Ecke des Videos, um es in voller Bildschirmgröße anzuzeigen. Es stehen Untertitel zur Verfügung.
[](http://www.youtube.com/watch?v=n3eALEKZaHc)
Sie können sich eine Liste von AWS [YouTube Videos](https://www.youtube.com/playlist?list=PLhr1KZpdzukdS9skEXbY0z67F-wrcpbjm) ansehen, in denen allgemeine Aufgaben in AWS Control Tower erklärt werden.
# Schließen Sie ein in Account Factory erstelltes Konto
In Account Factory erstellte Konten sind AWS-Konten. Informationen zum [Schließen AWS-Konten finden Sie im [https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html ](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html ) Schließen eines](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) Kontos.
**Anmerkung**
Das Schließen eines AWS-Konto ist nicht dasselbe wie das Aufheben der Registrierung eines Kontos beim AWS Control Tower — dies sind separate Aktionen. Sie müssen das Konto abmelden, bevor Sie es schließen können.
## Schließen Sie ein AWS Control Tower Tower-Mitgliedskonto über AWS Organizations
Sie können Ihre AWS Control Tower Tower-Mitgliedskonten über das Verwaltungskonto Ihrer Organisation schließen, ohne dass Sie sich bei jedem Mitgliedskonto einzeln mit Root-Anmeldeinformationen anmelden müssen, und zwar mit Hilfe von AWS Organizations. Sie können Ihr Verwaltungskonto auf diese Weise jedoch nicht schließen.
Wenn Sie die AWS Organizations [CloseAccountAPI](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html) aufrufen oder ein Konto in der AWS Organizations Konsole schließen, ist das Mitgliedskonto wie jedes andere Konto 90 Tage AWS-Konto lang isoliert. **Das Konto zeigt in AWS Control Tower den Status Gesperrt und AWS Organizations.** Wenn Sie während dieser 90 Tage versuchen, mit dem Konto zu arbeiten, gibt AWS Control Tower eine Fehlermeldung aus.
**Anmerkung**
Wenn eine Organisationseinheit Konten gesperrt hat, schlägt der EnabledControl Betrieb der regionalen Kontrollen auf dem Ziel fehl.
Vor Ablauf der 90 Tage können Sie das Mitgliedskonto wie jedes andere Konto wiederherstellen AWS-Konto. Nach Ablauf dieser 90 Tage werden die Aufzeichnungen des Kontos entfernt.
Als bewährte Methode empfehlen wir, ein Mitgliedskonto zu deregistrieren, bevor Sie es schließen. Wenn Sie ein Mitgliedskonto schließen, ohne es zuvor zu deaktivieren, zeigt AWS Control Tower den Status des Kontos als Gesperrt, **aber** auch als **Registriert** an. Wenn Sie versuchen, die Organisationseinheit des Kontos während dieser 90 Tage **erneut zu registrieren**, gibt AWS Control Tower daher eine Fehlermeldung aus. Das gesperrte Konto blockiert im Wesentlichen die Aktionen zur erneuten Registrierung, da die Vorabprüfung fehlschlägt. Wenn Sie das Konto aus der OU entfernen, können Sie die OU **erneut registrieren**, es AWS kann jedoch zu einem Fehler bezüglich einer fehlenden Zahlungsmethode für das Konto kommen. Um diese Einschränkung zu umgehen, erstellen Sie eine weitere Organisationseinheit und verschieben Sie das Konto in diese Organisationseinheit, bevor Sie versuchen, sich erneut zu registrieren. Wir empfehlen, diese Organisationseinheit „**Gesperrte** Organisationseinheit“ zu nennen.
**Anmerkung**
Wenn Sie das Konto nicht abmelden, bevor Sie es schließen, müssen Sie das für das Konto bereitgestellte Produkt AWS Service Catalog nach Ablauf dieser 90 Tage löschen.
[Weitere Informationen finden Sie in der AWS Organizations Dokumentation zur CloseAccount API.](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html)
# Überlegungen zu Ressourcen für Account Factory
Wenn ein Konto mit Account Factory bereitgestellt wird, werden die folgenden AWS Ressourcen innerhalb des Kontos erstellt.
| AWS Dienst | Ressourcentyp | Ressourcenname |
| --- | --- | --- |
| AWS CloudFormation | Stacks | StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-\$1 StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 StackSet-AWSControlTowerBP-BASELINE-CONFIG-\$1 StackSet-AWSControlTowerBP-BASELINE-ROLES-\$1 StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-\$1 |
| AWS CloudTrail | Trail | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Regeln für Veranstaltungen | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Logs | aws-controltower/CloudTrailLogs /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | Rollen | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole AWSControlTowerExecution |
| AWS Identity and Access Management | Richtlinien | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | Topics | aws-controltower-SecurityNotifications |
| AWS Lambda | Anwendungen | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 |
| AWS Lambda | Funktionen | aws-controltower-NotificationForwarder |
| Amazon EventBridge | Regel | AWSControlTowerManagedRule |
| Amazon EventBridge | Regel | aws-controltower-ConfigComplianceChangeEventRule |
# Passen Sie Konten mit Account Factory Customization (AFC) an
**Anmerkung**
Die Bereitstellung, Aktualisierung und Anpassung eines einzelnen Kontos muss auf eine Organisationseinheit (OU) abzielen, für die AWSControl TowerBaseline diese Option aktiviert ist. Wenn in einer Organisationseinheit das nicht AWSControl TowerBaseline aktiviert ist, können Sie die automatische Kontoregistrierung aktivieren oder Konten mit ResetEnabledBaseline und ResetEnabledControl APIs auf EnabledBaselines und EnabledControls auf dieser Organisationseinheit registrieren. Einzelheiten zu finden Sie unter:. AWSControl TowerBaseline [Basistypen, die auf OU-Ebene gelten](types-of-baselines.md#ou-baseline-types)
Mit AWS Control Tower können Sie neue und bestehende Ressourcen anpassen, AWS-Konten wenn Sie deren Ressourcen über die AWS Control Tower Tower-Konsole bereitstellen. Nachdem Sie die Account Factory Factory-Anpassung eingerichtet haben, automatisiert AWS Control Tower diesen Prozess für die future Bereitstellung, sodass Sie keine Pipelines verwalten müssen. Maßgeschneiderte Konten können unmittelbar nach der Bereitstellung der Ressourcen verwendet werden.
**Stellen Sie neue Konten mit Blueprints bereit**
Ihre benutzerdefinierten Konten werden in der AWS Control Tower Account Factory, über CloudFormation Vorlagen oder mit Terraform bereitgestellt. *Sie definieren eine Vorlage, die als benutzerdefinierter Konto-Blueprint dient.* Ihr Blueprint beschreibt die spezifischen Ressourcen und Konfigurationen, die Sie für die Bereitstellung eines Kontos benötigen. Vordefinierte Blueprints, die von AWS Partnern erstellt und verwaltet werden, sind ebenfalls verfügbar. [Weitere Informationen zu von Partnern verwalteten Blueprints finden Sie in der Bibliothek „Erste Schritte“.AWS Service Catalog](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/getting-started-library.html)
**Wenden Sie Blueprints auf bestehende Konten an**
Sie können benutzerdefinierte Blueprints auch auf bestehende Konten anwenden, indem Sie die Schritte **Konto aktualisieren** in der AWS Control Tower Tower-Konsole befolgen. Details hierzu finden Sie unter [Aktualisieren Sie das Konto in der Konsole](updating-account-factory-accounts.md#update-account-in-console).
**Definition: Ihr Hub-Konto**
Ihre Konto-Blueprints werden in einem AWS-Konto, was für unsere Zwecke als *Hub-Konto* bezeichnet wird, gespeichert. Blueprints werden in Form eines Service Catalog-Produkts gespeichert. Wir nennen dieses Produkt eine Blaupause, um es von allen anderen Service Catalog-Produkten zu unterscheiden. Weitere Informationen zum Erstellen von Service Catalog-Produkten finden Sie unter [Produkte erstellen](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/productmgmt-cloudresource.html) im *AWS Service Catalog Administratorhandbuch*.
**Anmerkung**
AWS Control Tower enthält *proaktive Kontrollen*, die CloudFormation Ressourcen im AWS Control Tower überwachen. Optional können Sie diese Steuerungen in Ihrer landing zone aktivieren. Wenn Sie proaktive Kontrollen anwenden, wird überprüft, ob die Ressourcen, die Sie für Ihre Konten bereitstellen möchten, den Richtlinien und Verfahren Ihres Unternehmens entsprechen. Weitere Informationen zu proaktiven Kontrollen finden Sie unter [Proaktive Kontrollen](https://docs.aws.amazon.com//controltower/latest/userguide/proactive-controls.html).
Weitere Informationen zur Arbeit mit AFC finden Sie unter [Automatisieren der Kontoanpassung mithilfe von Account Factory Customization in AWS Control Tower](https://aws.amazon.com//blogs/mt/automate-account-customization-using-account-factory-customization-in-aws-control-tower/).
**Voraussetzungen**
Bevor Sie mit der Erstellung benutzerdefinierter Konten bei AWS Control Tower Account Factory beginnen, müssen Sie eine AWS Control Tower-Landing Zone-Umgebung bereitgestellt haben und Sie müssen eine Organisationseinheit (OU) bei AWS Control Tower registriert haben, in der Ihre neu erstellten Konten platziert werden.
**Vorbereitung für die Anpassung**
+ *Benennen Sie ein Hub-Konto:* Sie können ein neues Konto erstellen, das als Hub-Konto dient, oder Sie können ein AWS-Konto vorhandenes verwenden. Wir empfehlen dringend, das AWS Control Tower Tower-Managementkonto nicht als Ihr Blueprint-Hub-Konto zu verwenden.
+ *Fügen Sie die erforderliche Rolle hinzu:* Wenn Sie sich bei AWS Control Tower registrieren AWS-Konten und sie anpassen möchten, müssen Sie die `AWSControlTowerExecution` Rolle zunächst zu diesen Konten hinzufügen, wie Sie es für jedes andere Konto tun würden, das Sie bei AWS Control Tower registrieren.
+ *Partner-Blueprints konfigurieren (optional):* Wenn Sie Partner-Blueprints verwenden möchten, für die Marketplace-Abonnementanforderungen gelten, müssen Sie diese über Ihr AWS Control Tower Tower-Verwaltungskonto konfigurieren, bevor Sie die Partner-Blueprints als Blueprints für die werkseitige Anpassung von Konten bereitstellen.
**Topics**
+ [Für die Anpassung eingerichtet](afc-setup-steps.md)
+ [Erstellen Sie ein benutzerdefiniertes Konto anhand eines Blueprints](create-afc-customized-account.md)
+ [Passen Sie Konten bei AFC an, wenn Sie sie registrieren](enroll-and-customize.md)
+ [Einen Blueprint zu einem AWS Control Tower Tower-Konto hinzufügen](add-blueprint-to-account.md)
+ [Aktualisieren Sie einen Blueprint](update-a-blueprint.md)
+ [Entfernen Sie einen Blueprint aus einem Konto](remove-a-blueprint.md)
+ [Blueprints von Partnern](partner-blueprints.md)
+ [Überlegungen zu Account Factory Factory-Anpassungen (AFC)](#af-limitations)
+ [Im Falle eines Blueprint-Fehlers](#af-error)
+ [Anpassen Ihres Richtliniendokuments für AFC-Blueprints auf der Grundlage von CloudFormation](#custom-policy-document)
+ [Zusätzliche Berechtigungen sind für die Erstellung eines Terraform-basierten Service Catalog-Produkts erforderlich](#custom-policy-document-tf)
+ [Übergang zum AWS Service Catalog externen Produkttyp](#service-catalog-external-product-type)
# Für die Anpassung eingerichtet
In den nächsten Abschnitten werden Schritte zur Einrichtung von Account Factory für den Anpassungsprozess beschrieben. Wir empfehlen, dass Sie einen [delegierten Administrator](https://docs.aws.amazon.com//accounts/latest/reference/using-orgs-delegated-admin.html) für das Hub-Konto einrichten, bevor Sie mit diesen Schritten beginnen.
**Zusammenfassung**
+ **Schritt 1. Erstellen Sie die erforderliche Rolle.** Erstellen Sie eine IAM-Rolle, die AWS Control Tower die Erlaubnis erteilt, Zugriff auf das (Hub-) Konto zu erhalten, in dem die Service Catalog-Produkte, auch Blueprints genannt, gespeichert sind.
+ **Schritt 2. Erstellen Sie das Produkt AWS Service Catalog .** Erstellen Sie das AWS Service Catalog Produkt (auch „Blueprint-Produkt“ genannt), das Sie für das Baselining des benutzerdefinierten Kontos benötigen.
+ **Schritt 3. Überprüfen Sie Ihren benutzerdefinierten Blueprint.** Untersuchen Sie das AWS Service Catalog Produkt (Blueprint), das Sie erstellt haben.
+ **Schritt 4. Rufen Sie Ihren Blueprint auf, um ein individuelles Konto zu erstellen.** Geben Sie bei der Kontoerstellung die Blueprint-Produktinformationen und die Rolleninformationen in die entsprechenden Felder in Account Factory in der AWS Control Tower Tower-Konsole ein.
# Schritt 1. Erstellen Sie die erforderliche Rolle
Bevor Sie mit der Anpassung von Konten beginnen, müssen Sie eine Rolle einrichten, die eine Vertrauensbeziehung zwischen AWS Control Tower und Ihrem Hub-Konto beinhaltet. Wenn diese Rolle übernommen wird, gewährt sie AWS Control Tower Zugriff zur Verwaltung der Ressourcen im Hub-Konto. Die Rolle muss benannt **AWSControlTowerBlueprintAccess**werden.
AWS Control Tower übernimmt diese Rolle, um in Ihrem Namen eine Portfolio-Ressource zu erstellen AWS Service Catalog, anschließend Ihren Blueprint als Service Catalog-Produkt zu diesem Portfolio hinzuzufügen und dann dieses Portfolio und Ihren Blueprint während der Kontobereitstellung mit Ihrem Mitgliedskonto zu teilen.
Sie erstellen die `AWSControlTowerBlueprintAccess` Rolle, wie in den folgenden Abschnitten erläutert. Sie können die Rolle in einem registrierten oder einem nicht registrierten Konto einrichten.
**Navigieren Sie zur IAM-Konsole, um die erforderliche Rolle einzurichten.**
**So richten Sie die AWSControl TowerBlueprintAccess Rolle in einem registrierten AWS Control Tower Tower-Konto ein**
1. Verbinden Sie das AWS Control Tower Tower-Verwaltungskonto oder melden Sie sich als Principal an.
1. Nehmen Sie vom Verbundprinzipal im Verwaltungskonto die Rollen an oder wechseln Sie zu der `AWSControlTowerExecution` Rolle im registrierten AWS Control Tower Tower-Konto, das Sie als Blueprint-Hub-Konto auswählen.
1. Erstellen Sie aus der `AWSControlTowerExecution` Rolle im registrierten AWS Control Tower Tower-Konto die `AWSControlTowerBlueprintAccess` Rolle mit den richtigen Berechtigungen und Vertrauensbeziehungen.
**Wichtig**
Um den Richtlinien für AWS bewährte Verfahren zu entsprechen, ist es wichtig, dass Sie sich unmittelbar nach der Erstellung der `AWSControlTowerExecution` Rolle von der `AWSControlTowerBlueprintAccess` Rolle abmelden.
Um unbeabsichtigte Änderungen an Ressourcen zu verhindern, ist die `AWSControlTowerExecution` Rolle nur für die Verwendung durch AWS Control Tower vorgesehen.
Wenn Ihr Blueprint-Hub-Konto nicht bei AWS Control Tower registriert ist, ist die `AWSControlTowerExecution` Rolle im Konto nicht vorhanden, und Sie müssen sie nicht annehmen, bevor Sie mit der Einrichtung der `AWSControlTowerBlueprintAccess` Rolle fortfahren.
**Um die AWSControl TowerBlueprintAccess Rolle in einem nicht registrierten Mitgliedskonto einzurichten**
1. Verbinden Sie das Konto, das Sie als Hub-Konto festlegen möchten, oder melden Sie sich mit Ihrer bevorzugten Methode als Hauptbenutzer an.
1. Wenn Sie als Hauptbenutzer im Konto angemeldet sind, erstellen Sie die `AWSControlTowerBlueprintAccess` Rolle mit den entsprechenden Berechtigungen und Vertrauensbeziehungen.
Die **AWSControlTowerBlueprintAccess**Rolle muss so eingerichtet sein, dass sie zwei Prinzipalen Vertrauen gewährt:
+ Der Principal (Benutzer), der AWS Control Tower im AWS Control Tower Tower-Verwaltungskonto ausführt.
+ Die `AWSControlTowerAdmin` im AWS Control Tower Tower-Verwaltungskonto angegebene Rolle.
Hier ist ein Beispiel für eine Vertrauensrichtlinie, ähnlich einer, die Sie für Ihre Rolle angeben müssen. Diese Richtlinie veranschaulicht die bewährte Methode zur Gewährung des Zugriffs mit den geringsten Rechten. Wenn Sie Ihre eigene Richtlinie erstellen, ersetzen Sie den Begriff *YourManagementAccountId* durch die tatsächliche Konto-ID Ihres AWS Control Tower Tower-Verwaltungskontos und ersetzen Sie den Begriff *YourControlTowerUserRole* durch die ID der IAM-Rolle für Ihr Verwaltungskonto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
"arn:aws:iam::111122223333:role/YourControlTowerUserRole"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Richtlinie für erforderliche Berechtigungen**
AWS Control Tower erfordert, dass die angegebene verwaltete Richtlinie an die `AWSControlTowerBlueprintAccess` Rolle angehängt werden `AWSServiceCatalogAdminFullAccess` muss. Diese Richtlinie bietet Berechtigungen, mit AWS Service Catalog denen geprüft wird, wann AWS Control Tower Ihr Portfolio und Ihre AWS Service Catalog Produktressourcen verwalten darf. Sie können diese Richtlinie anhängen, wenn Sie die Rolle in der IAM-Konsole erstellen.
**Zusätzliche Berechtigungen können erforderlich sein**
Wenn Sie Ihre Blueprints in Amazon S3 speichern, benötigt AWS Control Tower auch die `AmazonS3ReadOnlyAccess` Berechtigungsrichtlinie für die `AWSControlTowerBlueprintAccess` Rolle.
**Für den Produkttyp AWS Service Catalog Terraform müssen Sie der benutzerdefinierten AFC-IAM-Richtlinie einige zusätzliche Berechtigungen hinzufügen, wenn Sie nicht die standardmäßige Admin-Richtlinie verwenden.** Diese sind zusätzlich zu den Berechtigungen erforderlich, die zum Erstellen der Ressourcen erforderlich sind, die Sie in Ihrer Terraform-Vorlage definieren.
# Schritt 2. Erstellen Sie das Produkt AWS Service Catalog
Um ein AWS Service Catalog Produkt zu erstellen, folgen Sie den Schritten unter [Produkte erstellen](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/productmgmt-cloudresource.html) im *AWS Service Catalog Administratorhandbuch*. Sie fügen Ihren Konto-Blueprint als Vorlage hinzu, wenn Sie das AWS Service Catalog Produkt erstellen.
**Wichtig**
*Als Ergebnis der HashiCorp aktualisierten Terraform-Lizenzierung wurde die Unterstützung für *Terraform Open Source-Produkte* und bereitgestellte Produkte auf einen neuen Produkttyp namens External AWS Service Catalog umgestellt.* [Weitere Informationen darüber, wie sich diese Änderung auf AFC auswirkt, einschließlich der Aktualisierung Ihrer bestehenden Konto-Blueprints auf den Produkttyp Extern, finden Sie unter Übergang zum externen Produkttyp.](af-customization-page.md#service-catalog-external-product-type)
**Zusammenfassung der Schritte zur Erstellung eines Blueprints**
+ Erstellen Sie eine CloudFormation Vorlage oder eine Terraform-Konfigurationsdatei tar.gz, die zu Ihrem Konto-Blueprint wird, oder laden Sie sie herunter. Einige Vorlagenbeispiele werden später in diesem Abschnitt aufgeführt.
+ Melden Sie sich bei dem AWS-Konto Ort an, an dem Sie Ihre Account Factory Factory-Blueprints speichern (manchmal auch Hub-Konto genannt).
+ Navigieren Sie zur AWS Service Catalog Konsole. Wählen Sie **Produktliste** und dann **Neues Produkt hochladen** aus.
+ Geben Sie im Bereich **Produktdetails Details** für Ihr Blueprint-Produkt ein, z. B. einen Namen und eine Beschreibung.
+ Wählen Sie **Eine Vorlagendatei verwenden** und dann **Datei auswählen** aus. Wählen Sie die Vorlage oder Konfigurationsdatei aus, die Sie entwickelt oder heruntergeladen haben, um sie als Blueprint zu verwenden, oder fügen Sie sie ein.
+ Wählen Sie unten auf der Konsolenseite die Option **Produkt erstellen** aus.
Sie können eine CloudFormation Vorlage aus dem AWS Service Catalog Referenzarchitektur-Repository herunterladen. [Ein Beispiel aus diesem Repository hilft bei der Einrichtung eines Backup-Plans für Ihre Ressourcen](https://github.com/aws-samples/aws-service-catalog-reference-architectures/blob/master/backup/backup-tagoptions.yml).
Hier ist eine Beispielvorlage für ein fiktives Unternehmen namens **Best** Pets. Es hilft dabei, eine Verbindung zu ihrer Haustier-Datenbank herzustellen.
```
Resources:
ConnectionStringGeneratorLambdaRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
Service:
- lambda.amazonaws.com
Action:
- "sts:AssumeRole"
ConnectionStringGeneratorLambda:
Type: AWS::Lambda::Function
Properties:
FunctionName: !Join ['-', ['ConnectionStringGenerator', !Select [4, !Split ['-', !Select [2, !Split ['/', !Ref AWS::StackId]]]]]]
Description: Retrieves the connection string for this account to access the Pet Database
Role: !GetAtt ConnectionStringGeneratorLambdaRole.Arn
Runtime: nodejs22.x
Handler: index.handler
Timeout: 5
Code:
ZipFile: >
export const handler = async (event, context) => {
const awsAccountId = context.invokedFunctionArn.split(“:”)[4]
const connectionString= “fake connection for account ” + awsAccountId;
const response = {
statusCode: 200,
body: connectionString
};
return response;
};
ConnectionString:
Type: Custom::ConnectionStringGenerator
Properties:
ServiceToken: !GetAtt ConnectionStringGeneratorLambda.Arn
PetDatabaseConnectionString:
DependsOn: ConnectionString
# For example purposes we're using SSM parameter store.
# In your template, use secure alternatives to store
# sensitive values such as connection strings.
Type: AWS::SSM::Parameter
Properties:
Name: pet-database-connection-string
Description: Connection information for the BestPets pet database
Type: String
Value: !GetAtt ConnectionString.Value
```
# Schritt 3. Überprüfen Sie Ihren benutzerdefinierten Entwurf
Sie können Ihren Blueprint in der AWS Service Catalog Konsole anzeigen. Weitere Informationen finden Sie unter [Produkte verwalten](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_products.html#productmgmt-menu) im *Service Catalog Administrator Guide*.
# Schritt 4. Rufen Sie Ihren Blueprint auf, um ein benutzerdefiniertes Konto zu erstellen
Wenn Sie dem Workflow **Konto erstellen** in der AWS Control Tower Tower-Konsole folgen, wird ein optionaler Abschnitt angezeigt, in dem Sie Informationen zu dem Blueprint eingeben können, den Sie für die Anpassung von Konten verwenden möchten.
**Voraussetzungen**
Sie müssen Ihr Customization Hub-Konto einrichten und mindestens einen Blueprint (Service Catalog-Produkt) hinzufügen, bevor Sie diese Informationen in die AWS Control Tower Tower-Konsole eingeben und mit der Bereitstellung benutzerdefinierter Konten beginnen können.
**Erstellen oder aktualisieren Sie ein benutzerdefiniertes Konto in der AWS Control Tower Tower-Konsole.**
1. Geben Sie die Konto-ID für das Konto ein, das Ihre Blueprints enthält.
1. Wählen Sie in diesem Konto ein vorhandenes Service Catalog-Produkt (vorhandener Blueprint) aus.
1. Wählen Sie die richtige Version des Blueprints (Service Catalog-Produkt) aus, wenn Sie mehr als eine Version haben.
1. (Optional) Sie können zu diesem Zeitpunkt des Vorgangs eine Blueprint-Bereitstellungsrichtlinie hinzufügen oder ändern. Die Blueprint-Bereitstellungsrichtlinie ist in JSON geschrieben und an eine IAM-Rolle angehängt, sodass sie die in der Blueprint-Vorlage angegebenen Ressourcen bereitstellen kann. AWS Control Tower erstellt diese Rolle im Mitgliedskonto, sodass Service Catalog Ressourcen mithilfe von CloudFormation Stack-Sets bereitstellen kann. Der Name der Rolle lautet `AWSControlTower-BlueprintExecution-bp-xxxx`. Die `AdministratorAccess` Richtlinie wird hier standardmäßig angewendet.
1. Wählen Sie auf der Grundlage dieses Blueprints die Regionen AWS-Region oder Regionen aus, in denen Sie Konten bereitstellen möchten.
1. Wenn Ihr Blueprint Parameter enthält, können Sie die Werte für die Parameter in zusätzliche Felder im AWS Control Tower Tower-Workflow eingeben. Zu den zusätzlichen Werten können gehören: ein GitHub Repository-Name, ein GitHub Branch, ein Amazon ECS-Clustername und eine GitHub Identität für den Repository-Besitzer.
1. Sie können Konten zu einem späteren Zeitpunkt anpassen, indem Sie dem Prozess zur **Kontoaktualisierung** folgen, falls Ihr Hub-Konto oder Ihre Blueprints noch nicht bereit sind.
Weitere Details finden Sie unter [Erstellen Sie ein benutzerdefiniertes Konto anhand eines Blueprints](create-afc-customized-account.md).
# Erstellen Sie ein benutzerdefiniertes Konto anhand eines Blueprints
Nachdem Sie benutzerdefinierte Blueprints erstellt haben, können Sie mit der Erstellung benutzerdefinierter Konten in der AWS Control Tower Account Factory beginnen.
**Gehen Sie wie folgt vor, um einen benutzerdefinierten Blueprint bereitzustellen, wenn Sie ein neues AWS Konto erstellen:**
1. Gehen Sie zu AWS Control Tower in der AWS-Managementkonsole.
1. Wählen Sie **Account Factory** und **Konto erstellen** aus.
1. Geben Sie Kontodetails wie Kontoname und E-Mail-Adresse ein.
1. Konfigurieren Sie die IAM Identity Center-Details mit E-Mail-Adresse und Benutzername.
1. Wählen Sie eine registrierte Organisationseinheit aus, der Ihr Konto hinzugefügt werden soll.
1. Erweitern Sie den Abschnitt „**Werkseitige Anpassung des Kontos**“.
1. Geben Sie die Konto-ID des Blueprint-Hub-Kontos ein, das Ihre Service Catalog-Produkte enthält, und wählen Sie **Validieren** aus. Weitere Informationen zu einem Blueprint Hub-Konto finden Sie unter. [Passen Sie Konten mit Account Factory Customization (AFC) an](af-customization-page.md)
1. Wählen Sie das Dropdownmenü aus, das alle Blueprints aus Ihrer Servicekatalog-Produktliste enthält (alle benutzerdefinierten Blueprints und Partner-Blueprints). Wählen Sie einen Blueprint und die entsprechende Version für die Bereitstellung aus.
1. Wenn Ihr Blueprint Parameter enthält, werden diese Felder angezeigt, sodass Sie sie ausfüllen können. Standardwerte sind vorausgefüllt.
1. Wählen Sie abschließend aus, wo Sie Ihren Blueprint bereitstellen möchten, entweder „**Heimatregion“** oder „**Alle verwalteten** Regionen“. Globale Ressourcen wie Route 53 oder IAM müssen möglicherweise nur in einer einzigen Region bereitgestellt werden. Regionale Ressourcen, wie Amazon EC2 EC2-Instances oder Amazon S3 S3-Buckets, könnten in allen kontrollierten Regionen bereitgestellt werden
1. Wenn alle Felder ausgefüllt sind, wählen Sie Konto **erstellen** aus.
**Anmerkung**
Mit Terraform erstellte Blueprints können nur in einer Region und nicht in mehreren Regionen bereitgestellt werden.
**Sie können den Fortschritt der Kontobereitstellung auf der Seite Organisation einsehen.** Wenn die Bereitstellung Ihres Kontos abgeschlossen ist, sind die in Ihrem Blueprint angegebenen Ressourcen bereits darin bereitgestellt. Um die Details des Kontos und des Blueprints einzusehen, gehen Sie zur Seite mit den **Kontodetails**.
# Passen Sie Konten bei AFC an, wenn Sie sie registrieren
Um Konten in der AWS Control Tower Tower-Konsole zu registrieren und anzupassen.
1. Navigieren Sie zur AWS Control Tower Tower-Konsole und wählen Sie in der linken Navigationsleiste **Organisation** aus.
1. Sie sehen eine Liste Ihrer verfügbaren Konten. Identifizieren Sie das Konto, das Sie registrieren möchten, anhand eines benutzerdefinierten Entwurfs. In der Spalte „**Bundesstaat**“ für dieses Konto sollte angezeigt werden, dass sich das Konto mit dem Status **Nicht registriert befindet.**
1. Wählen Sie das Optionsfeld links neben dem Konto und dann oben rechts auf dem Bildschirm das Drop-down-Menü **Aktionen** aus. Hier wählen Sie die Option „**Registrieren**“.
1. Füllen Sie den Abschnitt **Zugriffskonfiguration** mit den IAM Identity Center-Informationen des Kontos aus.
1. Wählen Sie die registrierte Organisationseinheit aus, in der Ihr Konto Mitglied werden soll.
1. Füllen Sie den Abschnitt „**Werkseitige Anpassung des Kontos**“ aus. Gehen Sie dabei genauso vor wie in den Abschnitten 7-12 des Verfahrens **Konto erstellen**. Weitere Informationen finden Sie unter [Bereitstellen von Account Factory Factory-Konten mit AWS Service Catalog](https://docs.aws.amazon.com/controltower/latest/userguide/provision-as-end-user.html).
Sie können den Status Ihres Kontos auf der Seite **Organisation** einsehen. Wenn Ihre Kontoregistrierung abgeschlossen ist, sind die im Blueprint angegebenen Ressourcen bereits darin bereitgestellt.
# Einen Blueprint zu einem AWS Control Tower Tower-Konto hinzufügen
Um einem bestehenden AWS Control Tower Tower-Mitgliedskonto einen Blueprint hinzuzufügen, folgen Sie dem Workflow **Konto aktualisieren** in der AWS Control Tower Tower-Konsole und wählen Sie einen neuen Blueprint aus, der dem Konto hinzugefügt werden soll. Weitere Informationen finden Sie unter [Account Factory Factory-Konten mit AWS Control Tower aktualisieren und verschieben oder mit AWS Service Catalog](https://docs.aws.amazon.com/controltower/latest/userguide/updating-account-factory-accounts.html#update-account-in-console).
**Anmerkung**
Wenn Sie einem Konto einen neuen Blueprint hinzufügen, wird der vorhandene Blueprint überschrieben.
**Anmerkung**
Pro AWS Control Tower Tower-Konto kann ein Blueprint bereitgestellt werden.
# Aktualisieren Sie einen Blueprint
In den folgenden Verfahren wird beschrieben, wie benutzerdefinierte Blueprints aktualisiert und bereitgestellt werden.
**Um Ihre benutzerdefinierten Blueprints zu aktualisieren**
1. Aktualisieren Sie Ihre CloudFormation Vorlage oder Terraform-Datei tar.gz (Blueprint) mit Ihren neuen Konfigurationen.
1. Speichern Sie den aktualisierten Blueprint als neue Version in. AWS Service Catalog
**Um Ihren aktualisierten Blueprint bereitzustellen**
1. Navigieren Sie in der AWS Control Tower Tower-Konsole zur Seite **Organisation**.
1. Filtern Sie die Seite „**Organisation**“ nach Blueprint-Name und Version.
1. Folgen Sie dem Vorgang **„Konto aktualisieren**“ und stellen Sie die neueste Blueprint-Version in Ihrem Konto bereit.
**Wenn ein Blueprint-Update nicht erfolgreich ist**
AWS Control Tower ermöglicht Blueprint-Updates, wenn sich das bereitgestellte Produkt im `AVAILABLE` Status befindet. Wenn sich Ihr bereitgestelltes Produkt in einem bestimmten `TAINTED` Status befindet, schlägt das Update fehl. Wir empfehlen die folgende Problemumgehung:
1. Aktualisieren Sie das `TAINTED` bereitgestellte Produkt in der AWS Service Catalog Konsole manuell, um den Status zu ändern. `AVAILABLE` Weitere Informationen finden Sie unter [Bereitgestellte Produkte aktualisieren](https://docs.aws.amazon.com//servicecatalog/latest/userguide/enduser-update.html).
1. Folgen Sie dann dem Vorgang zur Kontoaktualisierung von AWS Control Tower aus, um den Blueprint-Bereitstellungsfehler zu beheben.
*Wir empfehlen diesen manuellen Schritt aus folgenden Gründen:* Wenn Sie einen Blueprint entfernen, kann dies dazu führen, dass Ressourcen im Mitgliedskonto entfernt werden. Das Entfernen von Ressourcen kann sich auf Ihre vorhandenen Workloads auswirken. Aus diesem Grund empfehlen wir diese Methode und nicht die alternative Methode zur Aktualisierung eines Blueprints, bei der der ursprüngliche Blueprint entfernt und ersetzt wird, insbesondere dann, wenn Sie Produktionsworkloads ausführen.
# Entfernen Sie einen Blueprint aus einem Konto
Um einen Blueprint aus einem Konto zu entfernen, folgen Sie dem Workflow **Konto aktualisieren**, um den Blueprint zu entfernen und das Konto auf die AWS Control Tower Tower-Standardkonfigurationen zurückzusetzen.
Wenn Sie den Workflow „**Konto aktualisieren**“ in der Konsole aufrufen, werden Sie feststellen, dass alle Kontodetails ausgefüllt sind und die Anpassungsdetails nicht. Wenn Sie diese AFC-Details leer lassen, entfernt AWS Control Tower den Blueprint aus dem Konto. Bevor die Aktion beginnt, wird Ihnen eine Warnmeldung angezeigt.
**Anmerkung**
AWS Control Tower fügt einem Konto nur dann einen Blueprint hinzu, wenn Sie während des Prozesses **Konto erstellen oder Konto** **aktualisieren** einen Blueprint auswählen.
# Blueprints von Partnern
AWS Control Tower Account Factory Customization (AFC) bietet Zugriff auf vordefinierte Anpassungs-Blueprints, die von Partnern erstellt und verwaltet werden. AWS Diese Partner-Blueprints helfen Ihnen dabei, Ihre Konten für bestimmte Anwendungsfälle anzupassen. Die Blueprints der einzelnen Partner helfen Ihnen dabei, maßgeschneiderte Konten zu erstellen, die so vorkonfiguriert sind, dass sie mit den Produktangeboten dieses jeweiligen Partners funktionieren.
Eine vollständige Liste der AWS Control Tower Tower-Partner-Blueprints finden Sie in Ihrer Konsole zur Service Catalog **Getting Started Library**. Suchen Sie nach dem Quelltyp **AWS Control Tower Blueprints**.
## Überlegungen zu Account Factory Factory-Anpassungen (AFC)
+ AFC unterstützt Anpassungen nur mit einem einzigen AWS Service Catalog Blueprint-Produkt.
+ Die AWS Service Catalog Blueprint-Produkte müssen im Hub-Konto und in derselben Region wie die Heimatregion der AWS Control Tower Tower-Landing landing zone erstellt werden.
+ Die `AWSControlTowerBlueprintAccess` IAM-Rolle muss mit dem richtigen Namen, den richtigen Berechtigungen und der Vertrauensrichtlinie erstellt werden.
+ AWS Control Tower unterstützt zwei Bereitstellungsoptionen für Blueprints: Bereitstellung nur in der Heimatregion oder Bereitstellung in allen Regionen, die von AWS Control Tower verwaltet werden. Eine Auswahl von Regionen ist nicht verfügbar.
+ Wenn Sie einen Blueprint in einem Mitgliedskonto aktualisieren, können die Blueprint-Hub-Konto-ID und das AWS Service Catalog Blueprint-Produkt nicht geändert werden.
+ AWS Control Tower unterstützt nicht das Entfernen eines vorhandenen Blueprints und das Hinzufügen eines neuen Blueprints in einem einzigen Blueprint-Aktualisierungsvorgang. Sie können einen Blueprint entfernen und dann in separaten Vorgängen einen neuen Blueprint hinzufügen.
+ AWS Control Tower ändert das Verhalten, je nachdem, ob Sie benutzerdefinierte Konten oder nicht benutzerdefinierte Konten erstellen oder registrieren. Wenn Sie keine benutzerdefinierten Konten mit Blueprints erstellen oder registrieren, erstellt AWS Control Tower ein von Account Factory bereitgestelltes Produkt (über Service Catalog) im AWS Control Tower Tower-Verwaltungskonto. Wenn Sie bei der Erstellung oder Registrierung von Konten mit Blueprints Anpassungen angeben, erstellt AWS Control Tower kein von Account Factory bereitgestelltes Produkt im AWS Control Tower Tower-Verwaltungskonto.
## Im Falle eines Blueprint-Fehlers
**Fehler beim Anwenden eines Blueprints**
Wenn beim Anwenden eines Blueprints auf ein Konto — entweder ein neues Konto oder ein vorhandenes Konto, das Sie bei AWS Control Tower registrieren — ein Fehler auftritt, ist das Wiederherstellungsverfahren dasselbe. Das Konto wird existieren, aber es ist nicht angepasst und es ist nicht bei AWS Control Tower registriert. Um fortzufahren, folgen Sie den Schritten zur Registrierung des Kontos bei AWS Control Tower und fügen Sie den Blueprint bei der Registrierung hinzu.
**Fehler beim Erstellen der Rolle und Behelfslösungen `AWSControlTowerBlueprintAccess`**
Wenn Sie die `AWSControlTowerBlueprintAccess` Rolle von einem AWS Control Tower Tower-Konto aus erstellen, müssen Sie mit der `AWSControlTowerExecution` Rolle als Principal angemeldet sein. Wenn Sie wie ein anderer angemeldet sind, wird der `CreateRole` Vorgang durch einen SCP verhindert, wie das folgende Artefakt zeigt:
```
{
"Condition": {
"ArnNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/AWSControlTowerExecution",
"arn:aws:iam::*:role/stacksets-exec-*"
]
}
},
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::*:role/aws-controltower-*",
"arn:aws:iam::*:role/*AWSControlTower*",
"arn:aws:iam::*:role/stacksets-exec-*"
],
"Effect": "Deny",
"Sid": "GRIAMROLEPOLICY"
}
```
Die folgenden Problemumgehungen sind verfügbar:
+ (Am meisten empfohlen) Nehmen Sie die `AWSControlTowerExecution` Rolle an und erstellen Sie die `AWSControlTowerBlueprintAccess` Rolle. Wenn Sie sich für diese Problemumgehung entscheiden, müssen Sie sich unmittelbar danach von der `AWSControlTowerExecution` Rolle abmelden, um unbeabsichtigte Änderungen an Ressourcen zu verhindern.
+ Melden Sie sich bei einem Konto an, das nicht bei AWS Control Tower registriert ist und daher nicht diesem SCP unterliegt.
+ Bearbeiten Sie diesen SCP vorübergehend, um den Vorgang zuzulassen.
+ (Dringend nicht empfohlen) Verwenden Sie Ihr AWS Control Tower Tower-Managementkonto als Ihr Hub-Konto, sodass es nicht dem SCP unterliegt.
## Anpassen Ihres Richtliniendokuments für AFC-Blueprints auf der Grundlage von CloudFormation
Wenn Sie einen Blueprint über Account Factory aktivieren, weist AWS Control Tower an, in StackSet Ihrem Namen einen CloudFormation zu erstellen. CloudFormation benötigt Zugriff auf Ihr verwaltetes Konto, um CloudFormation Stacks in der zu erstellen. StackSet Sie verfügt über diese `AWSControlTowerExecution` Rolle zwar CloudFormation bereits über Administratorrechte für das verwaltete Konto, diese Rolle kann jedoch nicht von übernommen werden. CloudFormation
Im Rahmen der Aktivierung eines Blueprints erstellt AWS Control Tower eine Rolle im Mitgliedskonto, die die Ausführung der StackSet Verwaltungsaufgaben übernehmen CloudFormation kann. Die einfachste Möglichkeit, Ihren benutzerdefinierten Blueprint über Account Factory zu aktivieren, ist die Verwendung einer *Alles-Lass-Richtlinie, da diese Richtlinien mit jeder* Blueprint-Vorlage kompatibel sind.
Bewährte Methoden empfehlen jedoch, dass Sie die Berechtigungen für CloudFormation das Zielkonto einschränken müssen. Sie können eine benutzerdefinierte Richtlinie angeben, die AWS Control Tower auf die Rolle anwendet, die es für CloudFormation die Verwendung erstellt hat. Wenn Ihr Blueprint beispielsweise einen SSM-Parameter mit der Bezeichnung *something-important* erstellt, könnten Sie die folgende Richtlinie angeben:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudFormationActionsOnStacks",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": "arn:aws:cloudformation:*:*:stack/*"
},
{
"Sid": "AllowSsmParameterActions",
"Effect": "Allow",
"Action": [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:GetParameter",
"ssm:GetParameters"
],
"Resource": "arn:*:ssm:*:*:parameter/something-important"
}
]
}
```
------
Die `AllowCloudFormationActionsOnStacks` Anweisung ist für alle benutzerdefinierten AFC-Richtlinien erforderlich. Sie CloudFormation verwendet diese Rolle, um Stack-Instances zu erstellen, weshalb für die Ausführung von Aktionen auf Stacks eine Genehmigung erforderlich ist. CloudFormation Der `AllowSsmParameterActions` Abschnitt bezieht sich speziell auf die Vorlage, die aktiviert wird.
**Probleme mit Berechtigungen lösen**
Wenn Sie einen Blueprint mit einer eingeschränkten Richtlinie aktivieren, stellen Sie möglicherweise fest, dass nicht genügend Berechtigungen vorhanden sind, um den Blueprint zu aktivieren. Um diese Probleme zu lösen, überarbeiten Sie Ihr Richtliniendokument und aktualisieren Sie die Blueprint-Einstellungen des Mitgliedskontos, sodass die korrigierte Richtlinie verwendet wird. Um zu überprüfen, ob die Richtlinie ausreicht, um den Blueprint zu aktivieren, stellen Sie sicher, dass die CloudFormation Berechtigungen erteilt wurden und dass Sie mithilfe dieser Rolle direkt einen Stack erstellen können.
## Zusätzliche Berechtigungen sind für die Erstellung eines Terraform-basierten Service Catalog-Produkts erforderlich
Wenn Sie ein AWS Service Catalog externes Produkt mit einer Terraform-Konfigurationsdatei für AFC erstellen, AWS Service Catalog müssen Ihrer benutzerdefinierten AFC-IAM-Richtlinie bestimmte Berechtigungen hinzugefügt werden, zusätzlich zu den Berechtigungen, die zum Erstellen der in Ihrer Vorlage definierten Ressourcen erforderlich sind. Wenn Sie die standardmäßige vollständige **Administratorrichtlinie** wählen, müssen Sie diese zusätzlichen Berechtigungen nicht hinzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"resource-groups:CreateGroup",
"resource-groups:ListGroupResources",
"resource-groups:DeleteGroup",
"resource-groups:Tag"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"tag:GetResources",
"tag:GetTagKeys",
"tag:GetTagValues",
"tag:TagResources",
"tag:UntagResources"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "s3:GetObject",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
}
]
}
```
------
Weitere Informationen zum Erstellen von Terraform-Produkten mit dem Produkttyp External in AWS Service Catalog finden Sie unter [Schritt 5: Startrollen erstellen](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/getstarted-launchrole-Terraform.html) im Service Catalog Administrator Guide.
## Übergang zum AWS Service Catalog externen Produkttyp
AWS Service Catalog *Die Unterstützung für *Terraform Open Source-Produkte* und bereitgestellte Produkte wurde auf einen neuen Produkttyp namens External umgestellt.* *Weitere Informationen zu dieser Umstellung finden Sie im Administratorhandbuch [unter Aktualisierung vorhandener Terraform Open Source-Produkte und bereitgestellter Produkte auf den Produkttyp Extern](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/update_terraform_open_source_to_external.html).AWS Service Catalog *
Diese Änderung wirkt sich auf bestehende Konten aus, die Sie mit der werkseitigen Anpassung des AWS Control Tower Tower-Kontos erstellt oder registriert haben. Um diese Konten auf den Produkttyp *External* umzustellen, müssen Sie sowohl in AWS Control Tower als auch AWS Service Catalog in AWS Control Tower Änderungen vornehmen.
**Um zum Produkttyp Extern überzugehen**
1. Aktualisieren Sie Ihre bestehende Terraform Reference Engine AWS Service Catalog , sodass sie sowohl *externe* als auch *Terraform Open* Source-Produkttypen unterstützt. [Anweisungen zur Aktualisierung Ihrer Terraform Reference Engine finden Sie im Repository.AWS Service Catalog GitHub ](https://github.com/aws-samples/service-catalog-engine-for-terraform-os)
1. AWS Service Catalog*Duplizieren Sie darin alle vorhandenen *Terraform Open Source-Produkte* (Blueprints), wobei die Duplikate den neuen externen Produkttyp verwenden.* **Beenden Sie nicht die vorhandenen Terraform** Open Source-Blueprints.
1. *Aktualisieren Sie in AWS Control Tower jedes Konto mithilfe eines *Terraform Open Source-Blueprints*, um den neuen externen Blueprint zu verwenden.*
1. Um einen Blueprint zu aktualisieren, müssen Sie zuerst den *Terraform* Open Source-Blueprint vollständig entfernen. Weitere Informationen finden Sie unter Einen [Blueprint aus einem Konto entfernen](https://docs.aws.amazon.com/controltower/latest/userguide/remove-a-blueprint.html).
1. Fügen Sie den neuen *externen* Blueprint demselben Konto hinzu. Weitere Informationen finden Sie unter [Hinzufügen eines Blueprints zu einem AWS Control Tower Tower-Konto](https://docs.aws.amazon.com/controltower/latest/userguide/add-blueprint-to-account.html).
1. Nachdem alle Konten, die *Terraform Open Source-Blueprints* verwenden, auf *Externe* Blueprints aktualisiert wurden, kehren Sie zu allen Produkten zurück, die *Terraform* Open Source als Produkttyp verwenden, AWS Service Catalog und kündigen Sie sie.
1. Künftig müssen alle Konten, die mit der werkseitigen Anpassung des AWS Control Tower Tower-Kontos erstellt oder registriert wurden, auf Blueprints verweisen, die den Produkttyp *CloudFormation*oder *External* verwenden.
Für Blueprints, die mit dem Produkttyp *Extern* erstellt wurden, unterstützt AWS Control Tower nur Kontoanpassungen, die Terraform-Vorlagen und die Terraform-Referenz-Engine verwenden. [Weitere Informationen finden Sie unter Zur Anpassung einrichten.](https://docs.aws.amazon.com/controltower/latest/userguide/afc-setup-steps.html)
**Anmerkung**
AWS Control Tower unterstützt *Terraform Open Source* nicht als Produkttyp bei der Erstellung neuer Konten. *Weitere Informationen zu diesen Änderungen finden Sie im Administratorhandbuch [unter Aktualisierung vorhandener Terraform Open Source-Produkte und bereitgestellter Produkte auf den Produkttyp *Extern*](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/update_terraform_open_source_to_external.html).AWS Service Catalog * AWS Service Catalog unterstützt Kunden bei Bedarf bei der Umstellung auf diesen Produkttyp. Wenden Sie sich an Ihren Kundenbetreuer, um Unterstützung anzufordern.
# Bereitstellen von Konten mit AWS Control Tower Account Factory for Terraform (AFT)
AWS Control Tower Account Factory for Terraform (AFT) verwendet ein GitOps Modell, das den Prozess der Kontobereitstellung und -aktualisierung in AWS Control Tower automatisiert.
Mit AFT erstellen Sie eine Terraform-Datei für Kontoanfragen, die die Eingabe enthält, die den AFT-Workflow aufruft. Nach Abschluss der Kontobereitstellung und -aktualisierung wird der AFT-Workflow fortgesetzt, indem das AFT-Framework für die Kontobereitstellung und die Schritte zur Kontoanpassung ausgeführt werden.
AFT hat keinen Einfluss auf die Workflow-Leistung in AWS Control Tower. Wenn Sie ein Konto über AFT oder Account Factory bereitstellen, findet derselbe Backend-Workflow statt.
## Voraussetzungen
**Anmerkung**
Die Bereitstellung von AFT-Konten muss auf eine Organisationseinheit (OU) abzielen, die in AWS Control Tower AWSControl TowerBaseline aktiviert ist. Einzelheiten zu finden AWSControl TowerBaseline Sie unter:[Basistypen, die auf OU-Ebene gelten](types-of-baselines.md#ou-baseline-types).
Wenn Sie mit AFT beginnen, werden Sie Folgendes erstellen:
+ Erstellen Sie in AWS Control Tower die OU und anschließend das AFT-Verwaltungskonto für Ihre AFT-Umgebung. Notieren Sie sich die Konto-ID, damit Sie sie später, wenn Sie AFT mit dem Terraform-Modul bereitstellen, in die `main.tf` Datei eingeben können. Sie können diese Konto-ID auf der **Detailseite von AWS Control Tower Control** einsehen. Weitere Informationen finden Sie in der [Terraform-Dokumentation](https://developer.hashicorp.com/terraform/tutorials/aws/aws-control-tower-aft).
+ Ein oder mehrere `git` Repositorys für Ihre vollständig bereitgestellte AFT-Umgebung. Weitere Informationen finden Sie unter [Schritte nach der Bereitstellung von AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-post-deployment.html).
+ Eine vollständig bereitgestellte AFT-Umgebung. Weitere Informationen finden Sie unter [Überblick über AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) und [Bereitstellen von AWS Control Tower Account Factory for Terraform](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html) (AFT). [Lesen Sie auch die Terraform-Dokumentation.](https://developer.hashicorp.com/terraform/tutorials/aws/aws-control-tower-aft)
**Tipp**
Sie können das AFT-Verwaltungskonto über die AWS Control Tower Tower-Konsole mit **Konto erstellen erstellen**. Weitere Informationen finden Sie unter [Bereitstellungsmethoden](https://docs.aws.amazon.com//controltower/latest/userguide/methods-of-provisioning.html).
Optional können Sie auch einen Ordner mit Kontovorlagen im **aft-account-customizations**Repository erstellen, um Ihre zusätzlichen Konten zu definieren.
Für Konten, die über Auto Enroll registriert wurden:
+ Die Erstellung neuer Konten über AFT funktioniert weiterhin normal.
+ Für den Import vorhandener Konten sind zusätzliche Schritte erforderlich:
+ Registrieren Sie die Organisationseinheit, um vor dem Import die erforderlichen bereitgestellten Produkte zu erstellen.
+ Die Register-OU sendet `UpdateManagedAccount` Ereignisse aus`CreateManagedAccount`, sodass AFT-Anpassungen möglich sind.
Informationen darüber, AWS-Regionen wo AFT Bereitstellungsbeschränkungen hat, finden Sie unter [Einschränkungen und Kontingente in AWS Control Tower](limits.md) und[Einschränkungen der Kontrolle](control-limitations.md).
Die [Terraform-Dokumentation](https://developer.hashicorp.com/terraform/tutorials/aws/aws-control-tower-aft) enthält einen guten Überblick über die Einrichtung von AWS Control Tower Account Factory for Terraform (AFT).
# Überblick über AWS Control Tower Account Factory für Terraform (AFT)
Account Factory for Terraform (AFT) richtet eine Terraform-Pipeline ein, um Sie bei der Bereitstellung und Anpassung von Konten in AWS Control Tower zu unterstützen. AFT bietet Ihnen den Vorteil der Terraform-basierten Kontobereitstellung und ermöglicht Ihnen gleichzeitig, Ihre Konten mit AWS Control Tower zu verwalten.
Mit AFT erstellen Sie eine *Terraform-Datei für Kontoanfragen*, um die Eingabe zu erhalten, die den AFT-Workflow für die Kontobereitstellung auslöst. Nach Abschluss der Kontobereitstellungsphase führt AFT automatisch eine Reihe von Schritten aus, bevor die Phase der Kontoanpassungen beginnt. Weitere Informationen finden Sie unter Pipeline zur [AFT-Kontobereitstellung](https://docs.aws.amazon.com/controltower/latest/userguide/aft-provisioning-framework.html).
AFT unterstützt Terraform Cloud, Terraform Enterprise und Terraform Community Edition. Mit AFT können Sie die Kontoerstellung mithilfe einer Eingabedatei und eines einfachen `git push` Befehls initiieren und neue oder bestehende Konten anpassen. Die Kontoerstellung umfasst alle Vorteile von AWS Control Tower Governance und Kontoanpassungen, mit denen Sie die standardmäßigen Sicherheitsverfahren und Compliance-Richtlinien Ihres Unternehmens einhalten können.
AFT unterstützt die Rückverfolgung von Anfragen zur Kontoanpassung. Jedes Mal, wenn Sie eine Anfrage zur Kontoanpassung einreichen, generiert AFT ein eindeutiges Ablaufverfolgungstoken, das eine AWS Step Functions Zustandsmaschine für AFT-Anpassungen durchläuft, die das Token im Rahmen seiner Ausführung protokolliert. Anschließend können Sie Amazon CloudWatch Logs Insights-Abfragen verwenden, um Zeitstempelbereiche zu durchsuchen und das Anforderungstoken abzurufen. Dadurch können Sie die Payloads sehen, die dem Token beiliegen, sodass Sie Ihre Anfrage zur Kontoanpassung während des gesamten AFT-Workflows verfolgen können. Informationen zu CloudWatch Logs und Step Functions finden Sie im Folgenden:
+ [Was ist Amazon CloudWatch Logs?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*
+ [Was ist AWS Step Functions?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html) im *Entwicklerhandbuch für AWS Step Functions *
AFT kombiniert zum Aufbau eines Frameworks die Funktionen anderer AWS Dienste mit Pipelines, die Terraform Infrastructure as Code (IaC) bereitstellen. [Komponenten-Dienste](aft-components.md) AFT ermöglicht Ihnen:
+ Anfragen zur Kontobereitstellung und Aktualisierung in einem GitOps Modell einreichen
+ Speichern Sie Kontometadaten und den Auditverlauf
+ Wenden Sie Tags auf Kontoebene an
+ Fügen Sie allen Konten, einer Gruppe von Konten oder einzelnen Konten Anpassungen hinzu
+ Aktivieren Sie Funktionsoptionen
AFT erstellt ein separates Konto, das so genannte *AFT-Verwaltungskonto*, um AFT-Funktionen bereitzustellen. Bevor Sie AFT einrichten können, müssen Sie über eine bestehende AWS Control Tower Tower-Landezone verfügen. Das AFT-Verwaltungskonto ist nicht dasselbe wie das AWS Control Tower Tower-Verwaltungskonto.
**AFT bietet Flexibilität**
+ **Flexibilität für Ihre Plattform:** AFT unterstützt jede Terraform-Distribution für die Erstbereitstellung und den laufenden Betrieb: Community Edition, Cloud und Enterprise.
+ **Flexibilität für Ihr Versionskontrollsystem:** AFT unterstützt AWS CodeCommit und bietet alternative Versionskontrollquellen. AWS CodeConnections
**AFT bietet Funktionsoptionen**
Sie können verschiedene Funktionsoptionen aktivieren, die auf bewährten Methoden basieren:
+ Einrichtung einer Organisationsebene CloudTrail für die Protokollierung von Datenereignissen
+ Löschen der AWS Standard-VPC für Konten
+ Bereitgestellte Konten für den AWS Enterprise Support-Plan registrieren
**Anmerkung**
Die AFT-Pipeline ist nicht für die Bereitstellung von Ressourcen wie Amazon EC2 EC2-Instances vorgesehen, die Ihre Konten für die Ausführung Ihrer Anwendungen benötigen. Es ist ausschließlich für die automatisierte Bereitstellung und Anpassung von AWS Control Tower Tower-Konten vorgesehen.
## Video-Anleitung
In diesem Video (7:33) wird beschrieben, wie Konten mit AWS Control Tower Account Factory for Terraform bereitgestellt werden. Wählen Sie zur besseren Ansicht das Symbol in der rechten unteren Ecke des Videos, um es in voller Bildschirmgröße anzuzeigen. Es stehen Untertitel zur Verfügung.
[](http://www.youtube.com/watch?v=eDbNvHz02dk)
# AFT-Architektur
## Reihenfolge der Operationen
Sie führen AFT-Operationen im AFT-Verwaltungskonto aus. Für einen vollständigen Workflow zur Kontobereitstellung sieht die Reihenfolge der Phasen von links nach rechts im Diagramm wie folgt aus:
1. Kontoanfragen werden erstellt und an die Pipeline weitergeleitet. Sie können mehr als eine Kontoanfrage gleichzeitig erstellen und einreichen. Account Factory verarbeitet Anfragen in einer first-in-first-out Bestellung. Weitere Informationen finden Sie unter [Mehrere Kontoanfragen einreichen](https://docs.aws.amazon.com/controltower/latest/userguide/aft-multiple-account-requests.html).
1. Jedes Konto wird bereitgestellt. Diese Phase wird im AWS Control Tower Tower-Managementkonto ausgeführt.
1. Globale Anpassungen werden in den Pipelines ausgeführt, die für jedes verkaufte Konto erstellt werden.
1. Wenn Anpassungen in den ersten Anfragen zur Kontobereitstellung angegeben wurden, werden die Anpassungen nur für Zielkonten ausgeführt. Wenn Sie über ein Konto verfügen, das bereits bereitgestellt wurde, müssen Sie weitere Anpassungen manuell in der Pipeline des Kontos vornehmen.
**AWS Control Tower Account Factory für Terraform — Workflow zur Kontobereitstellung**
![\[Abbildung: AFT-Workflow-Diagramm\]](http://docs.aws.amazon.com/de_de/controltower/latest/userguide/images/high-level-aft-diagram.png)
# Cost (Kosten)
Für AFT fallen keine zusätzlichen Gebühren an. Sie zahlen nur für die von AFT bereitgestellten Ressourcen, die von AFT bereitgestellten AWS Dienste und die Ressourcen, die Sie in Ihrer AFT-Umgebung bereitstellen.
Die AFT-Standardkonfiguration umfasst die Zuweisung von AWS PrivateLink Endpunkten für verbesserten Datenschutz und Sicherheit sowie ein NAT-Gateway, das für die Unterstützung AWS CodeBuild erforderlich ist. Einzelheiten zu den Preisen dieser Infrastruktur finden Sie in den [AWS PrivateLink Preisen](https://aws.amazon.com//privatelink/pricing/) und den [Amazon VPC-Preisen für das NAT Gateway](https://aws.amazon.com//vpc/pricing/). Weitere Informationen zur Verwaltung dieser Kosten erhalten Sie von Ihrem AWS Kundenbetreuer. Sie können diese Standardeinstellungen für AFT ändern.
# Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit
Dieser Abschnitt richtet sich an Administratoren von AWS Control Tower Tower-Umgebungen, die Account Factory for Terraform (AFT) in ihrer bestehenden Umgebung einrichten möchten. Es beschreibt, wie Sie eine Account Factory for Terraform (AFT) -Umgebung mit einem neuen, dedizierten AFT-Verwaltungskonto einrichten.
**Anmerkung**
Ein Terraform-Modul stellt AFT bereit. Dieses Modul ist im [AFT-Repository am](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main) verfügbar GitHub, und das gesamte AFT-Repository wird als Modul betrachtet.
Wir empfehlen, dass Sie auf die AFT-Module verweisen, GitHub anstatt das AFT-Repository zu klonen. Auf diese Weise können Sie Updates für die Module kontrollieren und nutzen, sobald sie verfügbar sind.
Einzelheiten zu den neuesten Versionen der AWS Control Tower Account Factory for Terraform (AFT) -Funktionalität finden Sie in [der Release-Datei](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases) für dieses GitHub Repository.
**Voraussetzungen für die Bereitstellung**
Bevor Sie Ihre AFT-Umgebung konfigurieren und starten, müssen Sie über die folgenden Ressourcen verfügen:
+ Eine Heimatregion für Ihre AWS Control Tower Tower-Landezone. Weitere Informationen finden Sie unter [So AWS-Regionen arbeiten Sie mit AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html).
+ Eine landing zone im AWS Control Tower. Weitere Informationen finden Sie unter [Planen Ihrer AWS Control Tower Tower-Landezone](https://docs.aws.amazon.com/controltower/latest/userguide/planning-your-deployment.html).
+ Ein AFT-Verwaltungskonto, das Sie in AWS Control Tower oder auf andere Weise bereitstellen und sich bei AWS Control Tower registrieren können.
+ Eine Terraform-Version und -Distribution. Weitere Informationen finden Sie unter [Terraform](https://docs.aws.amazon.com/controltower/latest/userguide/version-supported.html) - und AFT-Versionen.
+ Ein VCS-Anbieter für die Nachverfolgung und Verwaltung von Änderungen an Code und anderen Dateien. Standardmäßig verwendet AWS CodeCommit AFT. Weitere Informationen finden Sie unter [Was ist AWS CodeCommit?](https://docs.aws.amazon.com/codecommit/latest/userguide/welcome.html) im *AWS CodeCommit Benutzerhandbuch*.
Wenn Sie AFT zum ersten Mal bereitstellen und kein vorhandenes CodeCommit Repository haben, müssen Sie einen externen VCS-Anbieter wie GitHub oder BitBucket wählen. Weitere Informationen finden Sie unter [Alternativen zur Versionskontrolle von Quellcode in AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-alternative-vcs.html).
+ Eine Laufzeitumgebung, in der Sie das Terraform-Modul ausführen können, das AFT installiert.
+ AFT-Funktionsoptionen. Weitere Informationen finden Sie unter [Funktionsoptionen aktivieren](https://docs.aws.amazon.com/controltower/latest/userguide/aft-feature-options.html).
## Konfigurieren und starten Sie Ihre AWS Control Tower Account Factory für Terraform
Bei den folgenden Schritten wird davon ausgegangen, dass Sie mit dem Terraform-Workflow vertraut sind. Sie können auch mehr über die Bereitstellung von AFT erfahren, indem Sie dem Lab [Einführung in AFT auf](https://catalog.workshops.aws/control-tower/en-US/customization/aft) der AWS Workshop Studio-Website folgen.
**Schritt 1: Starten Sie Ihre AWS Control Tower Tower-Landezone**
Führen Sie die Schritte unter [Erste Schritte mit AWS Control Tower](https://catalog.workshops.aws/control-tower/en-US/customization/aft) aus. Hier erstellen Sie das AWS Control Tower Tower-Verwaltungskonto und richten Ihre AWS Control Tower Tower-Landezone ein.
**Anmerkung**
Stellen Sie sicher, dass Sie eine Rolle für das AWS Control Tower Tower-Verwaltungskonto mit **AdministratorAccess**Anmeldeinformationen erstellen. Weitere Informationen finden Sie hier:
[IAM-Identitäten (Benutzer, Benutzergruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) *im AWS Identity and Access Management Benutzerhandbuch*
[AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html)im Referenzhandbuch *für AWS verwaltete Richtlinien*
**Schritt 2: Erstellen Sie eine neue Organisationseinheit für AFT (dringend empfohlen)**
Wir empfehlen Ihnen, eine separate Organisationseinheit in Ihrer AWS Control Tower Tower-Landing landing zone zu erstellen. In dieser Organisationseinheit stellen Sie das AFT-Verwaltungskonto bereit. Erstellen Sie die neue Organisationseinheit und das AFT-Verwaltungskonto von Ihrem AWS Control Tower Tower-Verwaltungskonto aus. Weitere Informationen finden Sie unter [Neue Organisationseinheit erstellen](https://docs.aws.amazon.com/controltower/latest/userguide/create-new-ou.html).
**Schritt 3: Stellen Sie das AFT-Verwaltungskonto bereit**
AFT erfordert, dass Sie ein AWS Konto einrichten, das für AFT-Verwaltungsvorgänge vorgesehen ist. Erstellen Sie das AFT-Verwaltungskonto, wenn Sie bei dem AWS Control Tower Tower-Verwaltungskonto angemeldet sind, das Ihrer AWS Control Tower Tower-Landezone zugeordnet ist. Sie können das AFT-Verwaltungskonto von der AWS Control Tower Tower-Konsole aus bereitstellen, indem **Sie auf der Seite **Organisation** die Option Konto erstellen** auswählen, oder auf andere Weise. Weitere Informationen finden Sie unter [Konten mit AWS Service Catalog Account Factory bereitstellen](https://docs.aws.amazon.com/controltower/latest/userguide/provision-as-end-user.html).
**Anmerkung**
Wenn Sie eine separate OU für AFT erstellt haben, achten Sie darauf, diese OU auszuwählen, wenn Sie das AFT-Verwaltungskonto erstellen.
Es kann bis zu 30 Minuten dauern, bis das AFT-Verwaltungskonto vollständig bereitgestellt ist.
**Schritt 4: Stellen Sie sicher, dass die Terraform-Umgebung für die Bereitstellung verfügbar ist**
Dieser Schritt setzt voraus, dass Sie Erfahrung mit Terraform haben und über Verfahren zur Ausführung von Terraform verfügen. Weitere Informationen finden Sie unter [Command: init](https://developer.hashicorp.com/terraform/cli/commands/init) auf der Entwickler-Website. HashiCorp
**Anmerkung**
AFT unterstützt die Terraform-Version `1.6.0` oder höher.
**Schritt 5: Optionale Konfigurationen**
+ **Legen Sie optional die Virtual Private Cloud (VPC) -Konfiguration fest**
Das AFT-Modul enthält einen `aft_enable_vpc` Parameter, der angibt, ob AWS Control Tower Kontoressourcen innerhalb einer VPC im zentralen AFT-Verwaltungskonto bereitstellt. Standardmäßig ist der Parameter auf `true` eingestellt. Wenn Sie diesen Parameter auf setzen`false`, stellt AWS Control Tower AFT *ohne* die Verwendung einer VPC und privater Netzwerkressourcen wie NAT-Gateways oder VPC-Endpoints bereit. *Die Deaktivierung `aft_enable_vpc` kann bei einigen Nutzungsmustern dazu beitragen, die Betriebskosten von AFT zu senken.* Das Hinzufügen von VPC-Konfigurationen überschreibt den `aft_enable_vpc` Parameter, auf den gesetzt ist. `false`
**Anmerkung**
Wenn Sie den `aft_enable_vpc` Parameter erneut aktivieren (den Wert von `false` auf ändern`true`), müssen Sie den `terraform apply` Befehl möglicherweise zweimal hintereinander ausführen.
Anstatt eine neue VPC bereitzustellen, können Sie AFT so konfigurieren, dass eine vorhandene VPC in Ihrem Konto verwendet wird. Um Ihre eigene VPC zu verwenden, geben Sie die folgenden VPC-Konfigurationsparameter an:
+ `aft_customer_vpc_id`- Die ID Ihrer bestehenden VPC
+ `aft_customer_private_subnets`- Eine Liste der privaten Subnetze IDs in Ihrer VPC
Beispielkonfiguration:
```
module "aft" {
source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
# VPC configuration
aft_customer_vpc_id = "vpc-0123456789abcdef0"
aft_customer_private_subnets = ["subnet-0123456789abcdef0", "subnet-0123456789abcdef1"]
# Other AFT parameters...
}
```
**Wichtig**
Es wird nicht empfohlen, die benutzerdefinierte VPC-Option zu verwenden, wenn Sie bereits über eine AFT-Bereitstellung verfügen. Möglicherweise sind Sie von Lambda-Funktionen abhängig oder CodePipeline hängen von Ressourcen innerhalb der zugrunde liegenden vorhandenen VPC ab.
+ **Konfigurieren Sie optional den Terraform-Projektnamen**
Sie können den von AFT verwendeten Terraform-Projektnamen anpassen, indem Sie den Parameter festlegen. `terraform_project_name` Standardmäßig platziert AFT die Bereitstellung im „Standard“ -Projekt in Terraform Cloud oder Terraform Enterprise.
Beispielkonfiguration:
```
module "aft" {
source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
# Project name configuration
terraform_project_name = "my-organization-aft"
# Other AFT parameters...
}
```
**Anmerkung**
Dieser Parameter gilt nur für Terraform Enterprise- oder Terraform Cloud-Bereitstellungen.
+ **Wenden Sie optional benutzerdefinierte Tags auf AFT-Ressourcen an**
Mithilfe des `tags` Parameters können Sie benutzerdefinierte Tags auf alle AFT-Ressourcen anwenden. Diese Tags helfen bei der Ressourcenorganisation, Kostenzuweisung und Zugriffskontrolle.
Beispielkonfiguration:
```
module "aft" {
source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
# Custom tags configuration
tags = {
Environment = "Production"
CostCenter = "IT-12345"
Project = "AFT-Deployment"
Owner = "platform-team@example.com"
}
# Other AFT parameters...
}
```
Diese Tags werden auf alle Ressourcen angewendet, die vom AFT-Modul erstellt wurden. AFT fügt allen Ressourcen automatisch ein `managed_by = "AFT"` Tag hinzu, das nicht durch benutzerdefinierte Tags überschrieben werden kann.
**Anmerkung**
Benutzerdefinierte Tags können jederzeit hinzugefügt werden, nicht nur bei der ersten Bereitstellung.
+ **Wenden Sie optional einen AWS KMS vom Kunden verwalteten Verschlüsselungsschlüssel (CMK) auf CloudWatch Protokollgruppen und SNS-Themen an**
Um die KMS-CMK-Verschlüsselung für Protokollgruppen und SNS-Themen zu aktivieren, legen Sie die Variablen und fest. `cloudwatch_log_group_enable_cmk_encryption` `sns_topic_enable_cmk_encryption`
Wenn Sie sich für diese Einstellungen entscheiden, verwendet AFT das vorhandene CMK, *alias/aft*, um Protokolle und SNS-Themen zu verschlüsseln CloudWatch . Dieser CMK wird erstellt, wenn AFT im AFT-Verwaltungskonto bereitgestellt wird, und er kann auf Protokollgruppen und SNS-Themen angewendet werden.
+ Wenn die Variable auf **true** gesetzt `cloudwatch_log_group_enable_cmk_encryption` ist, werden die CloudWatch Protokollgruppen für AFT mit dem CMK verschlüsselt. Wenn die Variable auf **False** gesetzt ist, was der Standardwert ist, werden die Protokolle mit [serverseitiger Verschlüsselung verschlüsselt, wobei die CloudWatch Standardprotokolle](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) verwendet werden.
+ Wenn die Variable auf **true** gesetzt `sns_topic_enable_cmk_encryption` ist, werden Benachrichtigungen, die an die AFT-SNS-Themen (*aft-notifications* und *aft-failure-notifications*) gesendet werden, mit dem CMK verschlüsselt. Wenn die Variable auf **False** gesetzt ist, was der Standardwert ist, werden die SNS-Nachrichten mit dem von AWS verwalteten Schlüssel verschlüsselt:. *alias/aws/sns* Weitere Informationen finden Sie unter [SSE-Schlüsselbegriffe](https://docs.aws.amazon.com//sns/latest/dg/sns-server-side-encryption.html#sse-key-terms).
+ **Ändern Sie optional Ihren CodeBuild Rechnertyp**
Um den von AFT verwendeten Berechnungstyp während der Bereitstellung zu ändern CodeBuild, legen Sie die Variable fest`aft_codebuild_compute_type`.
Informationen zu akzeptierten Berechnungstypen finden Sie unter [Über On-Demand-Umgebungstypen](https://docs.aws.amazon.com//codebuild/latest/userguide/build-env-ref-compute-types.html#environment.types). Der Standard-Berechnungstyp ist`BUILD_GENERAL1_MEDIUM`.
+ **Konfigurieren Sie optional OpenID Connect (OIDC) für Terraform**
Kunden, die Terraform Enterprise oder HCP Terraform (ehemals Terraform Cloud) verwenden, können die Workload-Identitätstoken (oder dynamischen Anbieteranmeldedaten) von Terraform verwenden, die auf dem OIDC-Protokoll basieren, um Workspaces sicher mit AFT zu verbinden und zu authentifizieren.
Sie können die OIDC-Integration für AFT-Arbeitsbereiche aktivieren, indem Sie den Parameter auf setzen. `terraform_oidc_integration` `true` Dieser Parameter ist standardmäßig auf `false` festgelegt. Wenn Sie diesen Parameter aktivieren, sollten die `terraform_oidc_hostname` Parameter `terraform_oidc_aws_audience` und überprüft und konfiguriert werden`app.terraform.io`, falls die Standardwerte (`aws.workload.identity`bzw.) nicht mit Ihrer Umgebung übereinstimmen.
Beispielkonfiguration:
```
module "aft" {
source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
# Terraform distribution must be "tfc" or "tfe" for OIDC
terraform_distribution = "tfc"
# Terraform OIDC Configuration
terraform_oidc_integration = true
terraform_oidc_aws_audience = "aws.workload.identity" # default
terraform_oidc_hostname = "app.terraform.io" # default; set to your TFE hostname if applicable
# Other AFT parameters...
}
```
**Anmerkung**
Dieser Parameter gilt nur für Terraform Enterprise- oder HCP Terraform-Bereitstellungen.
**Anmerkung**
Wenn Sie derzeit einen OIDC-Anbieter für Terraform im AFT-Verwaltungskonto nutzen, müssen Sie diesen Anbieter löschen, bevor Sie sich für diese Integration anmelden. AFT erstellt diesen Anbieter bei der Bereitstellung für Sie neu.
**Schritt 6: Rufen Sie das Account Factory for Terraform-Modul auf, um AFT bereitzustellen**
Rufen Sie das AFT-Modul mit der Rolle auf, die Sie für das AWS Control Tower Tower-Verwaltungskonto mit **AdministratorAccess**Anmeldeinformationen erstellt haben. AWS Control Tower stellt über das AWS Control Tower-Verwaltungskonto ein Terraform-Modul bereit, das die gesamte Infrastruktur einrichtet, die für die Orchestrierung von AWS Control Tower Account Factory Factory-Anfragen erforderlich ist.
Sie können das AFT-Modul im AFT-Repository [unter](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main) einsehen. GitHub Das gesamte GitHub Repository wird als AFT-Modul betrachtet. In der [README-Datei](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/blob/main/README.md) finden Sie Informationen zu den Eingaben, die für die Ausführung des AFT-Moduls und die Bereitstellung von AFT erforderlich sind. Alternativ können Sie das AFT-Modul in der [Terraform-Registrierung](https://registry.terraform.io/modules/aws-ia/control_tower_account_factory/aws/latest) einsehen.
Wenn Sie in Ihrer Umgebung über Pipelines verfügen, die für die Verwaltung von Terraform eingerichtet wurden, können Sie das AFT-Modul in Ihren bestehenden Workflow integrieren. Andernfalls führen Sie das AFT-Modul in einer beliebigen Umgebung aus, die mit den erforderlichen Anmeldeinformationen authentifiziert wurde.
Ein Timeout führt dazu, dass die Bereitstellung fehlschlägt. Wir empfehlen die Verwendung von AWS -Security-Token-Service (STS-) Anmeldeinformationen, um sicherzustellen, dass Sie einen Timeout haben, der für eine vollständige Bereitstellung ausreicht. Das Mindesttimeout für AWS STS Anmeldeinformationen beträgt 60 Minuten. Weitere Informationen finden Sie unter [Temporäre Sicherheitsanmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) im *AWS Identity and Access Management Benutzerhandbuch*.
**Anmerkung**
Sie können bis zu 30 Minuten warten, bis AFT die Bereitstellung über das Terraform-Modul abgeschlossen hat.
**Schritt 7: Verwalten Sie die Terraform-Statusdatei**
Bei der Bereitstellung von AFT wird eine Terraform-Statusdatei generiert. Dieses Artefakt beschreibt den Status der Ressourcen, die Terraform erstellt hat. Wenn Sie die AFT-Version aktualisieren möchten, achten Sie darauf, die Terraform-Statusdatei beizubehalten, oder richten Sie ein Terraform-Backend mit Amazon S3 und DynamoDB ein. Das AFT-Modul verwaltet keinen Terraform-Back-End-Status.
**Anmerkung**
Sie sind für den Schutz der Terraform-Statusdatei verantwortlich. Einige Eingabevariablen können sensible Werte enthalten, z. B. einen privaten `ssh` Schlüssel oder ein Terraform-Token. Abhängig von Ihrer Bereitstellungsmethode können diese Werte in der Terraform-Statusdatei als Klartext angezeigt werden. Weitere Informationen finden Sie unter [Sensible Daten in State](https://www.terraform.io/docs/language/state/sensitive-data.html) auf der HashiCorp Website.
# Schritte nach der Bereitstellung
Wenn die Bereitstellung der AFT-Infrastruktur abgeschlossen ist, folgen Sie diesen zusätzlichen Schritten, um den Einrichtungsprozess abzuschließen und sich auf die Bereitstellung von Konten vorzubereiten.
**Schritt 1: Schließen Sie den Vorgang CodeConnections mit Ihrem gewünschten VCS-Anbieter ab**
Wenn Sie sich für einen VCS-Drittanbieter entscheiden CodeConnections, richtet AFT ihn ein und Sie bestätigen ihn. Weitere Informationen [Alternativen zur Versionskontrolle von Quellcode in AFT](aft-alternative-vcs.md) zur Einrichtung von AFT mit Ihrem bevorzugten VCS finden Sie unter.
Der erste Schritt zum Herstellen der AWS CodeStar Verbindung wird von AFT ausgeführt. Sie müssen die Verbindung bestätigen.
**Schritt 2: Füllen Sie jedes Repository aus**
AFT erfordert, dass Sie [vier Repositorys](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos) verwalten:
1. Kontoanfragen — Dieses Repository verarbeitet das Stellen oder Aktualisieren von Kontoanfragen. [Verfügbare Beispiele](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-request). Weitere Informationen zu AFT-Kontoanfragen finden Sie unter[Stellen Sie ein neues Konto bei AFT bereit](aft-provision-account.md).
1. Anpassungen bei der Bereitstellung von AFT-Konten — Dieses Repository verwaltet Anpassungen, die auf alle Konten angewendet werden, die von AFT erstellt und mit AFT verwaltet werden, bevor mit der Phase der globalen Anpassungen begonnen wird. [Verfügbare Beispiele.](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-provisioning-customizations) Informationen zum Erstellen von Anpassungen für die Bereitstellung von AFT-Konten finden Sie unter. [Erstellen Sie Ihr AFT-Konto, Provisioning, Anpassungen, State-Machine.](aft-provisioning-framework.md#aft-create-customizations)
1. Globale Anpassungen — Dieses Repository verwaltet Anpassungen, die auf alle Konten angewendet werden, die von AFT erstellt und mit AFT verwaltet werden. [Verfügbare Beispiele](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-global-customizations). Informationen zum Erstellen globaler AFT-Anpassungen finden Sie unter[Wenden Sie globale Anpassungen an](aft-account-customization-options.md#aft-global-customizations).
1. Kontoanpassungen — Dieses Repository verwaltet Anpassungen, die nur auf bestimmte Konten angewendet werden, die von AFT erstellt und mit AFT verwaltet werden. [Verfügbare Beispiele](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-customizations). Informationen zum Erstellen von AFT-Kontoanpassungen finden Sie unter[Wenden Sie Kontoanpassungen an](aft-account-customization-options.md#aft-account-customizations).
AFT geht davon aus, dass jedes dieser Repositorys einer bestimmten Verzeichnisstruktur folgt. [Die Vorlagen, die zum Auffüllen Ihrer Repositorys verwendet werden, und Anweisungen, die beschreiben, wie Sie die Vorlagen füllen, sind im Modul Account Factory for Terraform im AFT-Github-Repository verfügbar.](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos)
# Stellen Sie ein neues Konto bei AFT bereit
*In diesem Abschnitt wird davon ausgegangen, dass Sie AFT und Ihr AFT-Verwaltungskonto bereits eingerichtet haben und zusätzliche Konten bereitstellen.*
Um ein neues Konto bei AFT bereitzustellen, erstellen Sie eine Terraform-Datei mit Kontoanforderung. Diese Datei enthält die Eingabe für Parameter im **aft-account-request**Repository. Nachdem Sie eine Terraform-Datei für eine Kontoanforderung erstellt haben, beginnen Sie mit der Bearbeitung Ihrer Kontoanfrage, indem Sie Folgendes ausführen. `git push` Dieser Befehl ruft den `ct-aft-account-request` Vorgang in der auf AWS CodePipeline, der nach Abschluss der Kontobereitstellung im AFT-Verwaltungskonto erstellt wird. Weitere Informationen finden Sie unter Pipeline zur [Bereitstellung von AFT-Konten](https://docs.aws.amazon.com/controltower/latest/userguide/aft-provisioning-framework.html).
## Terraform-Dateiparameter für Kontoanfragen
Sie müssen die folgenden Parameter in Ihre Terraform-Datei für die Kontoanforderung aufnehmen. Sie können sich [ein Beispiel für eine Terraform-Datei mit einer Kontoanforderung unter](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-request) ansehen. GitHub
+ Der Wert von `module name` muss pro Anfrage eindeutig sein. AWS-Konto
+ Der Wert von `module source` ist der Pfad zum Terraform-Modul für die Kontoanforderung, das AFT bereitstellt.
+ Der Wert von `control_tower_parameters` erfasst die erforderlichen Eingaben zur Erstellung eines AWS Control Tower Tower-Kontos. Der Wert umfasst die folgenden Eingabefelder:
+ `AccountEmail`
+ `AccountName`
+ `ManagedOrganizationalUnit`
+ `SSOUserEmail`
+ `SSOUserFirstName`
+ `SSOUserLastName`
**Anmerkung**
Die Eingabe, die Sie angeben, `control_tower_parameters` kann während der Kontobereitstellung nicht geändert werden.
Zu den unterstützten Formaten für die Angabe `ManagedOrganizationalUnit` im **aft-account-request**Repository gehören `OUName` und`OUName (OU-ID)`.
+ `account_tags`erfasst benutzerdefinierte Schlüssel und Werte, die anhand von Geschäftskriterien AWS-Konten markiert werden können. Weitere Informationen finden Sie im [*AWS Organizations Benutzerhandbuch* unter AWS Organizations Ressourcen](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_tagging.html) kennzeichnen.
+ Der Wert von `change_management_parameters` erfasst zusätzliche Informationen, z. B. warum eine Kontoanfrage erstellt wurde und wer die Kontoanfrage initiiert hat. Der Wert umfasst die folgenden Eingabefelder:
+ `change_reason`
+ `change_requested_by`
+ `custom_fields`erfasst zusätzliche Metadaten mit Schlüsseln und Werten, die als SSM-Parameter im angegebenen Konto unter**/-fields/ aft/account-request/custom** bereitgestellt werden. Sie können bei Kontoanpassungen auf diese Metadaten verweisen, um die richtigen Kontrollen einzurichten. Beispielsweise kann für ein Konto, das der Einhaltung gesetzlicher Vorschriften unterliegt, zusätzliche Funktionen bereitgestellt werden AWS-Config-Regeln. Die Metadaten, mit denen Sie Daten erfassen, `custom_fields` können bei der Kontobereitstellung und -aktualisierung zu zusätzlicher Verarbeitung führen. Wenn ein benutzerdefiniertes Feld aus der Kontoanfrage entfernt wird, wird das benutzerdefinierte Feld aus dem SSM-Parameterspeicher für das verkaufte Konto entfernt.
+ (Optional) `account_customizations_name` erfasst den Kontovorlagenordner im **aft-account-customizations**Repository. Weitere Informationen finden Sie unter [Kontoanpassungen](https://docs.aws.amazon.com/controltower/latest/userguide/aft-account-customization-options.html).
# Reichen Sie mehrere Kontoanfragen ein
AFT verarbeitet Kontoanfragen nacheinander, Sie können jedoch mehrere Kontoanfragen an die AFT-Pipeline senden. Wenn Sie mehrere Kontoanfragen an die AFT-Pipeline senden, stellt AFT die Kontoanfragen in der Reihenfolge „first in, first out“ in die Warteschlange und verarbeitet sie.
**Anmerkung**
Sie können für jedes Konto, das AFT bereitstellen soll, eine Terraform-Datei für Kontoanfragen erstellen oder mehrere Kontoanfragen in einer einzigen Terraform-Datei für Kontoanfragen zusammenfassen.
# Aktualisieren Sie ein bestehendes Konto
**Kompatibilität mit automatischer Registrierung**
Wenn Ihr Unternehmen Auto Enroll für die automatische Kontoregistrierung verwendet, beachten Sie, dass AFT Einschränkungen beim Import dieser Konten hat. Konten, die über Auto Enroll registriert wurden, verfügen nicht über die vom Service Catalog bereitgestellten Produkte, die für den Import-Workflow von AFT erforderlich sind.
**Umgehung:** Verwenden Sie die Funktion „Organisationseinheit registrieren“, um bereitgestellte Produkte für automatisch registrierte Konten zu erstellen. Dadurch werden die erforderlichen Lebenszyklusereignisse für AFT-Anpassungen aktiviert.
Sie können von AFT bereitgestellte Konten aktualisieren, indem Sie zuvor eingereichte Kontoanfragen bearbeiten und ausführen`git push`. Dieser Befehl ruft den Workflow zur Kontobereitstellung auf und kann Anfragen zur Kontoaktualisierung verarbeiten. Sie können die Eingabe für aktualisieren`ManagedOrganizationalUnit`, die Teil des erforderlichen Werts für ist. `control_tower_parameters`
`ManagedOrganizationalUnit`ist unter allen Parametern der einzige Parameter, der aktualisiert werden kann`control_tower_parameters`. Andere Parameter, die Teil der Terraform-Datei für die Kontoanforderung sind, können jedoch aktualisiert werden, z. `custom_fields` Weitere Informationen finden Sie unter [Bereitstellen eines neuen Kontos bei AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-provision-account.html).
Um beispielsweise den Namen oder die E-Mail-Adresse eines AFT-Kontos zu aktualisieren, können Sie die Einzelheiten wie `custom_fields` in der Kontoanforderungsdatei definieren. Auf diese Weise erstellen Sie SSM-Parameter, die Sie bei globalen Anpassungen an die `aws_account_alternate_contact` Ressource übergeben können.
```
resource "aws_account_alternate_contact" "operations" {
alternate_contact_type = "OPERATIONS"
name = "Example"
title = "Example"
email_address = "someone@example.com"
phone_number = "+1234567890"
}
```
Sie können ähnliche Felder für andere Kontakttypen hinzufügen, z. B. für den Bereich Betrieb und Sicherheit. Fügen Sie unter Globale Anpassungen Datensuchvorgänge für jedes benutzerdefinierte Feld hinzu, um sicherzustellen, dass Sie alle Felder nachschlagen, die Sie in der Kontoanfrage erstellt haben:
```
data "aws_ssm_parameter" "billing_name" {
name = "/aft/account-request/custom-fields/billing_name"
}
data "aws_ssm_parameter" "billing_title" {
name = "/aft/account-request/custom-fields/billing_title"
}
data "aws_ssm_parameter" "billing_email_address" {
name = "/aft/account-request/custom-fields/billing_email_address"
}
data "aws_ssm_parameter" "billing_phone_number" {
name = "/aft/account-request/custom-fields/billing_phone_number"
}
```
Erstellen Sie abschließend auch in der Datei „Globale Anpassungen“ die alternativen Kontaktressourcen. Sie müssen für jeden Kontakttyp, den Sie in Account Request erstellt haben, einen dieser Blöcke definieren:
```
resource "aws_account_alternate_contact" "billing" {
alternate_contact_type = "BILLING"
name = data.aws_ssm_parameter.billing_name.value
title = data.aws_ssm_parameter.billing_title.value
email_address = data.aws_ssm_parameter.billing_email_address.value
phone_number = data.aws_ssm_parameter.billing_phone_number.value
}
```
**Anmerkung**
Die Eingabe, die Sie angeben, `control_tower_parameters` kann während der Kontobereitstellung nicht geändert werden.
Zu den unterstützten Formaten für die Angabe `ManagedOrganizationalUnit` im **aft-account-request**Repository gehören `OUName` und`OUName (OU-ID)`.
## Aktualisieren Sie ein Konto, das AFT nicht bereitstellt
Sie können außerhalb von AFT erstellte AWS Control Tower Tower-Konten aktualisieren, indem Sie das Konto im **aft-account-request**Repository angeben.
**Anmerkung**
Stellen Sie sicher, dass alle Kontoinformationen korrekt sind und mit der AWS Control Tower Tower-Organisation und dem jeweiligen AWS Service Catalog bereitgestellten Produkt übereinstimmen.
**Voraussetzungen für die Aktualisierung eines vorhandenen Produkts AWS-Konto mit AFT**
+ Der AWS-Konto muss bei AWS Control Tower registriert sein.
+ Sie AWS-Konto müssen Teil der AWS Control Tower Tower-Organisation sein.
# Terraform- und AFT-Versionen
Account Factory for Terraform (AFT) unterstützt die Terraform-Version oder höher. `1.6.0` Sie müssen eine Terraform-Version als Eingabeparameter für den AFT-Bereitstellungsprozess angeben, wie im folgenden Beispiel gezeigt.
```
terraform_version = "1.6.0"
```
## Terraform-Verteilungen
AFT unterstützt drei Terraform-Verteilungen:
+ Terraform Community Edition
+ Terraform-Wolke
+ Terraform Enterprise
Diese Verteilungen werden in den folgenden Abschnitten erklärt. Geben Sie während des AFT-Bootstrap-Prozesses die Terraform-Verteilung Ihrer Wahl als Eingabeparameter an. Weitere Informationen zur AFT-Bereitstellung und zu Eingabeparametern finden Sie unter. [Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit](aft-getting-started.md)
Wenn Sie sich für die Distributionen Terraform Cloud oder Terraform Enterprise entscheiden, `terraform_token ` muss es sich bei dem [API-Token](https://www.terraform.io/cloud-docs/users-teams-organizations/api-tokens), für das Sie angeben, um ein Benutzer- oder Team-API-Token handeln. Ein Organisationstoken wird nicht für alle erforderlichen Zwecke unterstützt. APIs Aus Sicherheitsgründen müssen Sie vermeiden, den Wert dieses Tokens in Ihr Versionskontrollsystem (VCS) einzuchecken, indem Sie eine [Terraform-Variable](https://www.terraform.io/cloud-docs/workspaces/variables/managing-variables) zuweisen, wie im folgenden Beispiel gezeigt.
```
# Sensitive variable managed in Terraform Cloud:
terraform_token = var.terraform_cloud_token
```
### Terraform Community Edition
Wenn Sie Terraform Community Edition als Distribution auswählen, verwaltet AFT das Terraform-Backend für Sie im AFT-Verwaltungskonto. AFT lädt die `terraform-cli` von Ihnen angegebene Terraform-Version herunter, um sie während der AFT-Bereitstellung und der AFT-Pipeline-Phase auszuführen. Die resultierende Terraform-State-Konfiguration wird in einem Amazon S3 S3-Bucket gespeichert, der in der folgenden Form benannt ist:
```
aft-backend-[account_id]-primary-region
```
AFT erstellt außerdem einen Amazon S3 S3-Bucket, der Ihre Terraform-Zustandskonfiguration zu Notfallwiederherstellungszwecken in einem anderen AWS-Region repliziert und in der folgenden Form benannt ist:
```
aft-backend-[account_id]-secondary-region
```
Wir empfehlen, die Multi-Faktor-Authentifizierung (MFA) für Löschfunktionen in diesen Amazon S3 S3-Buckets im Terraform-Status zu aktivieren. [Weitere Informationen zur Terraform Community Edition finden Sie in der Terraform-Dokumentation.](https://www.terraform.io/docs/cli/index.html)
Um Terraform OSS als Ihre Distribution auszuwählen, geben Sie den folgenden Eingabeparameter an:
```
terraform_distribution = "oss"
```
### Terraform Cloud
Wenn Sie Terraform Cloud als Distribution auswählen, erstellt AFT Workspaces für die folgenden Komponenten in Ihrer Terraform Cloud-Organisation, wodurch ein API-gesteuerter Workflow initiiert wird.
+ Kontoanfrage
+ AFT-Anpassungen für Konten, die von AFT bereitgestellt werden
+ Kontoanpassungen für Konten, die von AFT bereitgestellt werden
+ Globale Anpassungen für Konten, die von AFT bereitgestellt werden
Terraform Cloud verwaltet die resultierende Terraform-State-Konfiguration.
Wenn Sie Terraform Cloud als Distribution auswählen, geben Sie die folgenden Eingabeparameter an:
+ `terraform_distribution = "tfc"`
+ `terraform_token`— Dieser Parameter enthält den Wert des Terraform Cloud-Tokens. AFT markiert den als sensibel und speichert den Wert als sichere Zeichenfolge im SSM-Parameterspeicher des AFT-Verwaltungskontos. Wir empfehlen Ihnen, den Wert des Terraform-Tokens regelmäßig entsprechend den Sicherheits- und Compliance-Richtlinien Ihres Unternehmens zu ändern. Das Terraform-Token sollte ein API-Token auf Benutzer- oder Teamebene sein. Organisationstoken werden nicht unterstützt.
+ `terraform_org_name`— Dieser Parameter enthält den Namen Ihrer Terraform Cloud-Organisation.
**Anmerkung**
Mehrere AFT-Bereitstellungen in einer einzigen Terraform Cloud-Organisation werden nicht unterstützt.
[Informationen zur Einrichtung von Terraform Cloud finden Sie in der Terraform-Dokumentation.](https://www.terraform.io/docs/cloud/index.html)
### Terraform Enterprise
Wenn Sie Terraform Enterprise als Distribution auswählen, erstellt AFT Arbeitsbereiche für die folgenden Komponenten in Ihrer Terraform Enterprise-Organisation und löst einen API-gesteuerten Workflow für die resultierenden Terraform-Läufe aus.
+ Kontoanfrage
+ Anpassungen der AFT-Kontobereitstellung für von AFT bereitgestellte Konten
+ Kontoanpassungen für von AFT bereitgestellte Konten
+ Globale Anpassungen für von AFT bereitgestellte Konten
Die resultierende Terraform-State-Konfiguration wird von Ihrem Terraform Enterprise-Setup verwaltet.
Um Terraform Enterprise als Ihre Distribution auszuwählen, geben Sie die folgenden Eingabeparameter an:
+ `terraform_distribution = "tfe"`
+ `terraform_token`— Dieser Parameter enthält den Wert Ihres Terraform Enterprise-Tokens. AFT markiert seinen Wert als sensibel und speichert ihn als sichere Zeichenfolge im SSM-Parameterspeicher im AFT-Verwaltungskonto. Wir empfehlen, dass Sie den Wert des Terraform-Tokens regelmäßig entsprechend den Sicherheits- und Compliance-Richtlinien Ihres Unternehmens ändern.
+ `terraform_org_name`— Dieser Parameter enthält den Namen Ihrer Terraform Enterprise-Organisation.
+ `terraform_api_endpoint`— Dieser Parameter enthält die URL Ihrer Terraform Enterprise-Umgebung. Der Wert dieses Parameters muss das folgende Format haben:
```
https://{fqdn}/api/v2/
```
Weitere Informationen [zur Einrichtung von Terraform Enterprise finden Sie in der Terraform-Dokumentation](https://www.terraform.io/docs/enterprise/index.html).
# Überprüfen Sie die AFT-Version
Sie können Ihre bereitgestellte AFT-Version überprüfen, indem Sie den AWS SSM Parameter Store-Schlüssel abfragen:
```
/aft/config/aft/version
```
Wenn Sie die Registrierungsmethode verwenden, können Sie die Version anheften.
```
module "control_tower_account_factory" {
source = "aws-ia/control_tower_account_factory/aws"
version = "1.3.2"
# insert the 6 required variables here
}
```
Weitere Informationen zu AFT-Versionen finden Sie im [AFT-Repository](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main).
# Aktualisieren Sie die AFT-Version
Melden Sie sich beim AWS Control Tower Tower-Managementkonto an, um dieses AFT-Update zu initiieren.
Sie können Ihre bereitgestellte AFT-Version aktualisieren, indem Sie sie aus dem `main` Repository-Zweig abrufen:
```
terraform get -update
```
Nachdem der Abruf abgeschlossen ist, können Sie den Terraform-Plan erneut ausführen oder apply ausführen, um die AFT-Infrastruktur mit den neuesten Änderungen zu aktualisieren.
# Funktionsoptionen aktivieren
AFT bietet Funktionsoptionen, die auf bewährten Verfahren basieren. Sie können sich während der AFT-Bereitstellung mithilfe von Feature-Flags für diese Funktionen entscheiden. [Stellen Sie ein neues Konto bei AFT bereit](aft-provision-account.md)Weitere Informationen zu den AFT-Eingangskonfigurationsparametern finden Sie unter.
Diese Funktionen sind standardmäßig nicht aktiviert. Sie müssen jede Funktion in Ihrer Umgebung explizit aktivieren.
**Topics**
+ [AWS CloudTrail Datenereignisse](#cloudtrail-data-event-option)
+ [AWS Support-Plan für Unternehmen](#enterprise-support-option)
+ [Löschen Sie die AWS Standard-VPC](#delete-default-vpc-option)
## AWS CloudTrail Datenereignisse
Wenn diese Option aktiviert ist, konfiguriert die Option AWS CloudTrail Datenereignisse diese Funktionen.
+ Erstellt einen Organization Trail im AWS Control Tower Tower-Managementkonto, für CloudTrail
+ Aktiviert die Protokollierung für Amazon S3- und Lambda-Datenereignisse
+ Verschlüsselt und exportiert alle CloudTrail Datenereignisse mit AWS KMS Verschlüsselung in einen `aws-aft-logs-*` S3-Bucket im AWS Control Tower Log Archive-Konto
+ Aktiviert die Einstellung zur **Überprüfung der Protokolldatei**
Um diese Option zu aktivieren, setzen Sie das folgende Feature-Flag in Ihrer AFT-Bereitstellungs-Eingabekonfiguration auf **True**.
```
aft_feature_cloudtrail_data_events
```
**Voraussetzung**
Bevor Sie diese Funktionsoption aktivieren, stellen Sie sicher, dass der vertrauenswürdige Zugriff für in Ihrer Organisation aktiviert AWS CloudTrail ist.
**So überprüfen Sie den Status des vertrauenswürdigen Zugriffs für CloudTrail :**
1. Navigieren Sie zur AWS Organizations Konsole.
1. Wählen Sie **Dienste > CloudTrail**.
1. Wählen Sie dann bei Bedarf oben rechts die Option **Vertrauenswürdigen Zugriff aktivieren** aus.
Möglicherweise erhalten Sie eine Warnmeldung, in der Sie aufgefordert werden, die AWS CloudTrail Konsole zu verwenden. In diesem Fall sollten Sie die Warnung jedoch ignorieren. AFT erstellt den Trail im Rahmen der Aktivierung dieser Funktionsoption, nachdem Sie den vertrauenswürdigen Zugriff zugelassen haben. Wenn der vertrauenswürdige Zugriff nicht aktiviert ist, erhalten Sie eine Fehlermeldung, wenn AFT versucht, Ihren Trail für Datenereignisse zu erstellen.
**Anmerkung**
Diese Einstellung funktioniert auf Organisationsebene. Die Aktivierung dieser Einstellung wirkt sich auf alle Konten in aus AWS Organizations, unabhängig davon, ob sie von AFT verwaltet werden oder nicht. Alle Buckets im AWS Control Tower Log Archive-Konto zum Zeitpunkt der Aktivierung sind von Amazon S3 S3-Datenereignissen ausgeschlossen. Weitere Informationen [zu finden Sie im AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html). CloudTrail
## AWS Support-Plan für Unternehmen
Wenn diese Option aktiviert ist, aktiviert die AFT-Pipeline den AWS Enterprise Support-Plan für von AFT bereitgestellte Konten.
AWS Bei Konten ist standardmäßig der AWS Basic Support-Plan aktiviert. AFT bietet für Konten, die von AFT bereitgestellt werden, eine automatische Registrierung für die Enterprise-Support-Stufe. Der Bereitstellungsprozess öffnet ein Support-Ticket für das Konto und fordert auf, es zum AWS Enterprise Support-Plan hinzuzufügen.
Um die Enterprise Support-Option zu aktivieren, setzen Sie das folgende Feature-Flag in Ihrer AFT-Bereitstellungs-Eingabekonfiguration auf **True**.
```
aft_feature_enterprise_support=false
```
Weitere Informationen zu [AWS Supportplänen finden Sie unter AWS Supportpläne vergleichen](https://aws.amazon.com/premiumsupport/plans/).
**Anmerkung**
Damit diese Funktion funktionieren kann, müssen Sie das Zahlerkonto für den Enterprise Support-Plan registrieren.
## Löschen Sie die AWS Standard-VPC
Wenn Sie diese Option aktivieren, löscht AFT alle AWS Standardeinstellungen VPCs im AFT-Verwaltungskonto und alle AWS-Regionen, auch wenn dort keine AWS Control Tower Tower-Ressourcen bereitgestellt wurden. AWS-Regionen
AFT löscht AWS standardmäßig nicht VPCs automatisch für alle von AFT bereitgestellten AWS Control Tower-Konten oder für bestehende AWS Konten, die Sie über AFT bei AWS Control Tower registrieren.
Neue AWS Konten werden standardmäßig mit jeweils AWS-Region einer VPC erstellt. In Ihrem Unternehmen gibt es möglicherweise Standardverfahren für die Erstellung VPCs, bei denen Sie die AWS Standard-VPC löschen und vermeiden müssen, sie zu aktivieren, insbesondere für das AFT-Verwaltungskonto.
Um diese Option zu aktivieren, setzen Sie in der Eingabekonfiguration für die AFT-Bereitstellung das folgende Feature-Flag auf **True**.
```
aft_feature_delete_default_vpcs_enabled
```
Im Folgenden finden Sie ein Beispiel für eine Eingabekonfiguration für die AFT-Bereitstellung.
```
module "aft" {
source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
ct_management_account_id = var.ct_management_account_id
log_archive_account_id = var.log_archive_account_id
audit_account_id = var.audit_account_id
aft_management_account_id = var.aft_management_account_id
ct_home_region = var.ct_home_region
tf_backend_secondary_region = var.tf_backend_secondary_region
vcs_provider = "github"
account_request_repo_name = "${var.github_username}/learn-terraform-aft-account-request"
account_provisioning_customizations_repo_name = "${var.github_username}/learn-terraform-aft-account-provisioning-customizations"
global_customizations_repo_name = "${var.github_username}/learn-terraform-aft-global-customizations"
account_customizations_repo_name = "${var.github_username}/learn-terraform-aft-account-customizations"
# Optional Feature Flags
aft_feature_delete_default_vpcs_enabled = true
aft_feature_cloudtrail_data_events = false
aft_feature_enterprise_support = false
}
```
Weitere Informationen zu [Standard finden Sie unter Standard-VPC und Standard-Subnetze](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html). VPCs
# Überlegungen zu Ressourcen für AWS Control Tower Account Factory für Terraform
Wenn Sie Ihre landing zone mit AWS Control Tower Account Factory for Terraform einrichten, werden in Ihren AWS Konten verschiedene Arten von AWS Ressourcen erstellt.
**Suchen Sie nach Ressourcen**
+ Sie können Tags verwenden, um nach der aktuellsten Liste von AFT-Ressourcen zu suchen. Das Schlüssel-Wert-Paar für Ihre Suche ist:
```
Key: managed_by | Value: AFT
```
+ Für Komponentendienste, die keine Tags unterstützen, können Sie nach Ressourcen suchen, indem Sie `aft` in den Ressourcennamen nach suchen.
**Anmerkung**
AFT erstellt keine AWS Backup-Ressourcen im Verwaltungskonto.
**Tabellen der ursprünglich erstellten Ressourcen, sortiert nach Konten**
**Verwaltungskonto AWS Control Tower Account Factory für Terraform**
| **AWS Service nicht zulässig** | **Ressourcentyp** | **Ressourcenname** |
| --- | --- | --- |
| AWS Identity and Access Management | Rollen | AWSAFTAdmin AWSAFTExecution AWSAFTService ct-aft-\$1 aft-\$1 codebuild\$1trigger\$1role python-layer-builder-aft-common-\$1 |
| AWS Identity and Access Management | Richtlinien | aft-\$1 |
| CodeCommit | Repositorien | aft-\$1 |
| CodeBuild | Build-Projekte | aft-\$1 ct-aft-\$1 python-layer-builder-aft-common-\$1 |
| Code-Pipeline | Pipelines | **YourAccountId**-customizations-pipeline |
| Amazon S3 | Buckets | aft-\$1 |
| Lambda | Funktionen | aft-\$1 |
| Lambda | Layer | aft-common-\$1 |
| DynamoDB | Tabellen | aft-request aft-request-audit aft-request-metadata aft-controltower-events |
| Step Functions | Staatsmaschinen | aft-account-provisioning-customizations aft-account-provisioning-framework aft-feature-options aft-invoke-customizations |
| VPC | VPC | aft-management-vpc |
| Amazon SNS | Topics | aft-notifications aft-failure-notifications |
| Amazon EventBridge | Ereignisbusse | aft-events-from-ct-management |
| Amazon EventBridge | Regeln für Veranstaltungen | aft-account-provisioning-customizations-trigger aft-account-request-codepipeline-trigger aft-lambda-account-request-processor aft-controltower-event-logger |
| Schlüsselverwaltungsdienst (KMS) | Vom Kunden verwaltete Schlüssel | aft-backend-\$1-kms-key aft |
| AWS Systems Manager | Parameter speichern | /aft/\$1 |
| Amazon SQS | Queues (Warteschlangen) | aft-account-request.fifo aft-account-request-dlg.fifo |
| CloudWatch | Protokollgruppen | /aws/\$1/ct-aft-\$1 /aws/\$1/aft-\$1 /aws/codebuild/python-layer-builder-aft-common-\$1 |
| AWS Backup | Tresore | aft-controltower-backup-vault |
| AWS Backup | Plans (Pläne) | aft-controltower-backup-plan |
| AWS Kundendienstzentrum (optional) | Unterstützungspläne | Enterprise |
**AWS Konten, die über AWS Control Tower Account Factory für Terraform bereitgestellt werden**
| **AWS Service nicht zulässig** | **Ressourcentyp** | **Ressourcenname** |
| --- | --- | --- |
| AWS Identity and Access Management | Rollen | AWSAFTExecution |
| AWS Kundendienstzentrum (optional) | Unterstützungspläne | Enterprise |
**AWS Control Tower Tower-Verwaltungskonto**
| **AWS Service nicht zulässig** | **Ressourcentyp** | **Ressourcenname** |
| --- | --- | --- |
| AWS Identity and Access Management | Rollen | AWSAFTExecution AWSAFTService aft-controltower-events-rule |
| AWS Systems Manager | Parameter speichern | /aft/\$1 |
| EventBridge | Regeln für Veranstaltungen | aft-capture-ct-events |
| CloudTrail (Fakultativ) | Trails | aws-aft-CustomizationsCloudTrail |
| AWS-Supportcenter (optional) | Unterstützungspläne | Enterprise |
**AWS Control Tower Tower-Protokollarchiv-Konto**
| **AWS Service nicht zulässig** | **Ressourcentyp** | **Ressourcenname** |
| --- | --- | --- |
| AWS Identity and Access Management | Rollen | AWSAFTExecution AWSAFTService |
| Schlüsselverwaltungsservice (KMS) | Vom Kunden verwaltete Schlüssel | aft |
| Amazon S3 | Buckets | aws-aft-logs-\$1 aws-aft-s3-access-logs-\$1 |
| AWS Kundendienstzentrum (optional) | Unterstützungspläne | Enterprise |
**AWS Control Tower Tower-Auditkonto**
| **AWS Service nicht zulässig** | **Ressourcentyp** | **Ressourcenname** |
| --- | --- | --- |
| AWS Identity and Access Management | Rollen | AWSAFTExecution AWSAFTService |
| AWS Kundendienstzentrum (optional) | Unterstützungspläne | Enterprise |
# Erforderliche Rollen
Im Allgemeinen sind Rollen und Richtlinien Teil des Identitäts- und Zugriffsmanagements (IAM) in. AWS Weitere Informationen finden Sie im [https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html).
AFT erstellt mehrere IAM-Rollen und -Richtlinien in den AFT-Management- und AWS Control Tower Tower-Managementkonten, um den Betrieb der AFT-Pipeline zu unterstützen. Diese Rollen werden auf der Grundlage des Zugriffsmodells mit den geringsten Rechten erstellt, das die Berechtigungen auf die minimal erforderlichen Gruppen von Aktionen und Ressourcen für jede Rolle und Richtlinie beschränkt. Diesen Rollen und Richtlinien wird zur Identifizierung ein AWS `key:value` Tag-Paar zugewiesen. ` managed_by:AFT`
Neben diesen IAM-Rollen schafft AFT drei wichtige Rollen:
+ die Rolle `AWSAFTAdmin`
+ die `AWSAFTExecution` Rolle
+ die `AWSAFTService` Rolle
Diese Rollen werden in den folgenden Abschnitten erklärt.
**Die AWSAFTAdmin Rolle, erklärt**
Wenn Sie AFT bereitstellen, wird die `AWSAFTAdmin` Rolle im AFT-Verwaltungskonto erstellt. Diese Rolle ermöglicht es der AFT-Pipeline, die `AWSAFTExecution` Rolle in den von AWS Control Tower und von AFT bereitgestellten Konten zu übernehmen und so Aktionen im Zusammenhang mit der Kontobereitstellung und -anpassung durchzuführen.
Hier ist die Inline-Richtlinie (JSON-Artefakt), die der Rolle zugeordnet ist: `AWSAFTAdmin`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::*:role/AWSAFTExecution",
"arn:aws:iam::*:role/AWSAFTService"
]
}
]
}
```
------
Das folgende JSON-Artefakt zeigt die Vertrauensbeziehung für die `AWSAFTAdmin` Rolle. Die Platzhalternummer `012345678901` wird durch die ID-Nummer des AFT-Verwaltungskontos ersetzt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::012345678901:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Die AWSAFTExecution Rolle, erklärt**
Wenn Sie AFT bereitstellen, wird die `AWSAFTExecution` Rolle in den AFT-Management- und AWS Control Tower Tower-Managementkonten erstellt. Später erstellt die AFT-Pipeline die `AWSAFTExecution` Rolle in jedem von AFT bereitgestellten Konto während der Bereitstellungsphase des AFT-Kontos.
AFT verwendet die `AWSControlTowerExecution` Rolle zunächst, um die `AWSAFTExecution` Rolle in bestimmten Konten zu erstellen. Die `AWSAFTExecution` Rolle ermöglicht es der AFT-Pipeline, die Schritte auszuführen, die während der Bereitstellungs- und Bereitstellungsanpassungsphasen des AFT-Frameworks für von AFT bereitgestellte Konten und für gemeinsam genutzte Konten ausgeführt werden.
**Durch unterschiedliche Rollen können Sie den Umfang einschränken**
Es hat sich bewährt, die Anpassungsberechtigungen von den Berechtigungen zu trennen, die bei der ersten Bereitstellung von Ressourcen gewährt wurden. Denken Sie daran, dass die `AWSAFTService` Rolle für die Kontobereitstellung und die `AWSAFTExecution` Rolle für die Kontoanpassung vorgesehen ist. Diese Trennung schränkt den Umfang der Berechtigungen ein, die in jeder Phase der Pipeline zulässig sind. Diese Unterscheidung ist besonders wichtig, wenn Sie die gemeinsamen Konten von AWS Control Tower anpassen, da die gemeinsamen Konten vertrauliche Informationen wie Rechnungsdetails oder Benutzerinformationen enthalten können.
Berechtigungen für die `AWSAFTExecution` Rolle: **AdministratorAccess**— eine von AWS verwaltete Richtlinie
Das folgende JSON-Artefakt zeigt die IAM-Richtlinie (Vertrauensbeziehung), die `AWSAFTExecution` der Rolle zugeordnet ist. Die Platzhalternummer `012345678901` wird durch die ID-Nummer des AFT-Verwaltungskontos ersetzt.
Vertrauensrichtlinie für `AWSAFTExecution`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Die AWSAFTService Rolle, erklärt**
Die `AWSAFTService` Rolle stellt AFT-Ressourcen für alle registrierten und verwalteten Konten bereit, einschließlich der gemeinsamen Konten und des Verwaltungskontos. Ressourcen wurden früher nur von der `AWSAFTExecution` Rolle bereitgestellt.
Die `AWSAFTService` Rolle ist für die Verwendung durch die Dienstinfrastruktur zur Bereitstellung von Ressourcen während der Bereitstellungsphase vorgesehen, und die `AWSAFTExecution` Rolle ist nur für die Bereitstellung von Anpassungen vorgesehen. Wenn Sie die Rollen auf diese Weise übernehmen, können Sie in jeder Phase eine detailliertere Zugriffskontrolle gewährleisten.
Berechtigungen für die `AWSAFTService` Rolle: **AdministratorAccess**— eine von AWS verwaltete Richtlinie
Das folgende JSON-Artefakt zeigt die IAM-Richtlinie (Vertrauensbeziehung), die `AWSAFTService` der Rolle zugeordnet ist. Die Platzhalternummer `012345678901` wird durch die ID-Nummer des AFT-Verwaltungskontos ersetzt.
Vertrauensrichtlinie für `AWSAFTService`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Komponenten-Dienste
Wenn Sie AFT bereitstellen, werden Ihrer AWS Umgebung Komponenten aus jedem dieser AWS Dienste hinzugefügt.
+ **[AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html)** — AFT verwendet AWS Control Tower Account Factory im AWS Control Tower Tower-Verwaltungskonto, um Konten bereitzustellen.
+ **[Amazon DynamoDB](https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/Introduction.html)** — AFT erstellt Amazon DynamoDB-Tabellen im AFT-Verwaltungskonto, in denen Kontoanfragen, der Prüfverlauf von Kontoaktualisierungen, Kontometadaten und AWS Control Tower Tower-Lifecycle-Ereignisse gespeichert werden. AFT erstellt auch DynamoDB-Lambda-Trigger, um nachgelagerte Prozesse zu initiieren, z. B. den Workflow zur AFT-Kontobereitstellung zu starten.
+ **[Amazon Simple Storage Service](https://docs.aws.amazon.com//AmazonS3/latest/userguide/Welcome.html)** — AFT erstellt Amazon Simple Storage Service (S3) -Buckets im AFT-Verwaltungskonto und im AWS Control Tower Tower-Protokollarchivkonto, in denen Protokolle gespeichert werden, die von den AWS Services generiert wurden, die die AFT-Pipeline benötigt. AFT erstellt außerdem einen primären und sekundären Terraform-Backend-S3-Bucket, um Terraform-Zustände zu speichern AWS-Regionen, die während der AFT-Pipeline-Workflows generiert wurden.
+ **[Amazon Simple Notification Service](https://docs.aws.amazon.com//sns/latest/dg/welcome.html)** — AFT erstellt Amazon Simple Notification Service (SNS) -Themen im AFT-Verwaltungskonto, in dem Erfolgs- und Fehlerbenachrichtigungen nach der Bearbeitung jeder AFT-Kontoanfrage gespeichert werden. Sie können diese Nachrichten mit dem Protokoll Ihrer Wahl empfangen.
+ **[Amazon Simple Queuing Service](https://docs.aws.amazon.com//AWSSimpleQueueService/latest/SQSDeveloperGuide/welcome.html)** — AFT erstellt eine Amazon Simple Queuing Service (Amazon SQS) FIFO-Warteschlange im AFT-Verwaltungskonto. Die Warteschlange ermöglicht es Ihnen, mehrere Kontoanfragen parallel einzureichen, sendet jedoch jeweils eine Anfrage zur sequentiellen Verarbeitung an AWS Control Tower Account Factory.
+ **[AWS CodeBuild](https://docs.aws.amazon.com//codebuild/latest/userguide/welcome.html)** — AFT erstellt CodeBuild AWS-Build-Projekte im AFT-Verwaltungskonto, um Terraform-Pläne für AFT-Quellcode in verschiedenen Build-Phasen zu initialisieren, zu kompilieren, zu testen und anzuwenden.
+ **[AWS CodePipeline](https://docs.aws.amazon.com//codepipeline/latest/userguide/welcome.html)** — AFT erstellt CodePipeline AWS-Pipelines im AFT-Verwaltungskonto, um sie mit Ihrem ausgewählten, unterstützten CodeStar AWS-Verbindungsanbieter für AFT-Quellcode zu integrieren und Build-Jobs in AWS CodeBuild auszulösen.
+ **[AWS Lambda](https://docs.aws.amazon.com//lambda/latest/dg/welcome.html)** — AFT erstellt AWS Lambda Lambda-Funktionen und -Ebenen im AFT-Verwaltungskonto, um Schritte während der Kontoanforderung, der AFT-Kontobereitstellung und der Kontoanpassungen durchzuführen.
+ **[AWS Systems Manager Parameter Store](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-parameter-store.html)** — AFT richtet den AWS Systems Manager Parameter Store im AFT-Verwaltungskonto ein, um die für die AFT-Pipelineprozesse erforderlichen Konfigurationsparameter zu speichern.
+ **[Amazon CloudWatch](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)** — AFT erstellt CloudWatch Amazon-Protokollgruppen im AFT-Verwaltungskonto, um Protokolle zu speichern, die von AWS-Services generiert wurden, die von der AFT-Pipeline verwendet werden. Die Aufbewahrungsfrist für CloudWatch Protokolle ist auf festgelegt`Never Expire`.
+ **[Amazon VPC](https://docs.aws.amazon.com//vpc/latest/userguide/what-is-amazon-vpc.html)** — AFT erstellt eine Amazon Virtual Private Cloud (VPC), um Dienste und Ressourcen im AFT-Verwaltungskonto in einer separaten Netzwerkumgebung zu isolieren und so die Sicherheit zu erhöhen.
+ **[AWS KMS](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)** — AFT verwendet den AWS Key Management Service (KMS) im AFT-Verwaltungskonto und im AWS Control Tower Tower-Protokollarchivkonto. AFT erstellt Schlüssel zur Verschlüsselung von Terraform-Status, in DynamoDB-Tabellen gespeicherten Daten und SNS-Themen. Diese Protokolle und Artefakte werden generiert, wenn AWS-Ressourcen und -Services von AFT bereitgestellt werden. Bei von AFT erstellten KMS-Schlüsseln ist die jährliche Rotation standardmäßig aktiviert.
+ **[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html)** — AFT folgt dem empfohlenen Least-Privilege-Modell. Es erstellt bei Bedarf Rollen und Richtlinien für AWS Identity and Access Management (IAM) im AFT-Verwaltungskonto, in AWS Control Tower Tower-Konten und in von AFT bereitgestellten Konten, um die während des AFT-Pipeline-Workflows erforderlichen Aktionen auszuführen.
+ **[AWS Step Functions](https://docs.aws.amazon.com//step-functions/latest/dg/welcome.html)** — AFT erstellt AWS Step Functions Functions-Zustandsmaschinen im AFT-Verwaltungskonto. Diese Zustandsmaschinen orchestrieren und automatisieren den Prozess und die Schritte für das Framework und die Anpassungen für die AFT-Kontobereitstellung.
+ **[Amazon EventBridge](https://docs.aws.amazon.com//eventbridge/latest/userguide/eb-what-is.html)** — AFT erstellt einen EventBridge Amazon-Event-Bus im AFT- und AWS Control Tower Tower-Verwaltungskonto, um AWS Control Tower-Lifecycle-Ereignisse langfristig in der DynamoDB-Tabelle des AFT-Verwaltungskontos zu erfassen und zu speichern. AFT erstellt CloudWatch Amazon-Ereignisregeln in den AFT-Management- und AWS Control Tower Tower-Verwaltungskonten, die mehrere Schritte auslösen, die während der Ausführung des AFT-Pipeline-Workflows erforderlich sind
+ **[AWS CloudTrail (Optional)](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)** — Wenn diese Funktion aktiviert ist, erstellt AFT einen AWS CloudTrail Organisationspfad im AWS Control Tower Tower-Verwaltungskonto, um Datenereignisse für Amazon S3 S3-Buckets und AWS Lambda-Funktionen zu protokollieren. AFT sendet diese Protokolle an einen zentralen S3-Bucket im AWS Control Tower Tower-Protokollarchivkonto.
+ **[AWS Support (optional)](https://aws.amazon.com//premiumsupport/)** — Wenn diese Funktion aktiviert ist, aktiviert AFT den AWS Enterprise Support-Plan für von AFT bereitgestellte Konten. Standardmäßig werden AWS Konten mit aktiviertem AWS Basic Support-Plan erstellt.
# Pipeline zur Bereitstellung von AFT-Konten
Nachdem die Phase der Kontobereitstellung der Pipeline abgeschlossen ist, wird das AFT-Framework fortgesetzt. Es führt automatisch eine Reihe von Schritten aus, um sicherzustellen, dass die neu bereitgestellten Konten über die erforderlichen Informationen verfügen, bevor die [Anpassungen des Kontos](aft-account-customization-options.md) Phase beginnt.
**Hier sind die nächsten Schritte, die die AFT-Pipeline ausführt.**
1. Überprüft die Eingabe der Kontoanfrage.
1. Ruft Informationen über das bereitgestellte Konto ab, z. B. die Konto-ID.
1. Speichert die Kontometadaten in einer DynamoDB-Tabelle im AFT-Verwaltungskonto.
1. Erstellt die **AWSAFTExecution**IAM-Rolle im neu bereitgestellten Konto. AFT übernimmt diese Rolle, um die Phase der Kontoanpassungen durchzuführen, da diese Rolle Zugriff auf das Account Factory-Portfolio gewährt.
1. Wendet die Kontokennzeichnungen an, die Sie als Teil der Eingabeparameter für die Kontoanforderung angegeben haben.
1. Wendet die AFT-Funktionsoptionen an, die Sie bei der AFT-Bereitstellung ausgewählt haben.
1. Wendet die von Ihnen angegebenen Anpassungen für die AFT-Kontobereitstellung an. Im nächsten Abschnitt erfahren Sie mehr darüber, wie Sie diese Anpassungen mit einer AWS Step Functions Functions-Zustandsmaschine in einem `git` Repository einrichten. Diese Phase wird manchmal als *Framework-Phase für die Kontobereitstellung* bezeichnet. Sie ist Teil des zentralen Bereitstellungsprozesses, aber Sie haben bereits ein Framework eingerichtet, das maßgeschneiderte Integrationen als Teil Ihres Workflows für die Kontobereitstellung bereitstellt, bevor in der nächsten Phase weitere Anpassungen zu den Konten hinzugefügt werden.
1. Für jedes bereitgestellte Konto wird AWS CodePipeline im AFT-Verwaltungskonto ein Konto erstellt, das ausgeführt wird, um die (nächste, globale) Phase durchzuführen. [Anpassungen des Kontos](aft-account-customization-options.md)
1. Ruft die Pipeline für Kontoanpassungen für jedes bereitgestellte (und zielgerichtete) Konto auf.
1. Sendet eine Erfolgs- oder Fehlschlagsbenachrichtigung an das SNS-Thema, von dem aus Sie die Nachrichten abrufen können.
## Richten Sie die Anpassungen des Account Provisioning Frameworks mit einer Zustandsmaschine ein
Wenn Sie vor der Bereitstellung Ihrer Konten benutzerdefinierte Integrationen einrichten, die nicht auf Terraform basieren, sind diese Anpassungen in Ihrem Workflow für die AFT-Kontobereitstellung enthalten. Beispielsweise können Sie bestimmte Anpassungen verlangen, um sicherzustellen, dass alle von AFT erstellten Konten den Standards und Richtlinien Ihrer Organisation entsprechen, z. B. den Sicherheitsstandards, und diese Standards können vor weiteren Anpassungen zu Konten hinzugefügt werden. Diese Anpassungen *des Account Provisioning Frameworks* werden für jedes bereitgestellte Konto implementiert, bevor die nächste Phase der globalen Kontoanpassung beginnt.
**Anmerkung**
Die in diesem Abschnitt beschriebene AFT-Funktion richtet sich an fortgeschrittene Benutzer, die mit der Funktionsweise von AWS Step Functions vertraut sind. Als Alternative empfehlen wir, dass Sie in der Phase der Kontoanpassungen mit den globalen Helfern zusammenarbeiten.
Das AFT-Kontobereitstellungs-Framework ruft eine AWS Step Functions Functions-Zustandsmaschine auf, die Sie definieren, um Ihre Anpassungen zu implementieren. Weitere Informationen zu den möglichen State-Machine-Integrationen finden Sie in der [Dokumentation zu AWS Step Functions](https://docs.aws.amazon.com//step-functions/latest/dg/welcome.html).
Hier sind einige gängige Integrationen.
+ AWS Lambda funktioniert in der Sprache Ihrer Wahl
+ AWS ECS- oder AWS Fargate-Aufgaben mit Docker-Containern
+ AWS Step Functions Functions-Aktivitäten mit benutzerdefinierten Workern, die entweder in AWS oder vor Ort gehostet werden
+ Amazon SNS- oder SQS-Integrationen
Wenn kein AWS Step Functions Functions-Zustandsmaschine definiert ist, wird die Phase ohne Operation abgeschlossen. Folgen Sie den Anweisungen unter, um ein AFT-Konto zu erstellen, das Anpassungen bereitstellt. [Erstellen Sie Ihr AFT-Konto, Provisioning, Anpassungen, State-Machine.](#aft-create-customizations) Bevor Sie Anpassungen hinzufügen, stellen Sie sicher, dass die Voraussetzungen erfüllt sind.
Diese Arten von Integrationen sind nicht Teil von AWS Control Tower und können nicht während der globalen Pre-API-Phase der AFT-Kontoanpassung hinzugefügt werden. Stattdessen ermöglicht Ihnen die AFT-Pipeline, diese Anpassungen als Teil des Bereitstellungsprozesses einzurichten, und sie werden im Bereitstellungs-Workflow ausgeführt. Sie müssen diese Anpassungen implementieren, indem Sie Ihren Zustandsmaschine im Voraus erstellen, bevor Sie mit der Bereitstellungsphase des AFT-Kontos beginnen, wie in den folgenden Abschnitten beschrieben.
**Voraussetzungen für die Erstellung einer Zustandsmaschine**
+ Ein vollständig bereitgestellter AFT. Weitere Informationen [Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit](aft-getting-started.md) zur AFT-Bereitstellung finden Sie unter.
+ Richten Sie in Ihrer Umgebung ein `git` Repository für Anpassungen der AFT-Kontobereitstellung ein. Weitere Informationen finden Sie unter [Schritte nach der Bereitstellung](aft-post-deployment.md).
## Erstellen Sie Ihr AFT-Konto, Provisioning, Anpassungen, State-Machine.
**Schritt 1: Ändern Sie die State-Machine-Definition**
Ändern Sie die Beispieldefinition für eine `customizations.asl.json` Zustandsmaschine. Das Beispiel ist in dem `git` Repository verfügbar, das Sie für die Speicherung von Anpassungen der AFT-Kontobereitstellung in Ihren Schritten [nach](https://docs.aws.amazon.com//controltower/latest/userguide/aft-post-deployment.html) der Bereitstellung eingerichtet haben. Weitere Informationen zu State-Machine-Definitionen finden Sie im [AWS Step Functions Developer Guide](https://docs.aws.amazon.com//step-functions/latest/dg/welcome.html).
**Schritt 2: Fügen Sie die entsprechende Terraform-Konfiguration hinzu**
Fügen Sie Terraform-Dateien mit der `.tf` Erweiterung in dasselbe `git` Repository wie die State-Machine-Definition für Ihre benutzerdefinierte Integration ein. Wenn Sie sich beispielsweise dafür entscheiden, eine Lambda-Funktion in Ihrer State-Machine-Aufgabendefinition aufzurufen, würden Sie die `lambda.tf` Datei in dasselbe Verzeichnis aufnehmen. Stellen Sie sicher, dass Sie die erforderlichen IAM-Rollen und -Berechtigungen für Ihre benutzerdefinierten Konfigurationen angeben.
Wenn Sie die entsprechenden Eingaben machen, ruft die AFT-Pipeline automatisch Ihre Zustandsmaschine auf und stellt Ihre Anpassungen als Teil der Framework-Phase für die AFT-Kontobereitstellung bereit.
## Um das Framework und die Anpassungen für die AFT-Kontobereitstellung neu zu starten
AFT führt das Framework für die Kontobereitstellung und die Anpassungsschritte für jedes Konto aus, das über die AFT-Pipeline verkauft wird. Um die Anpassungen der Kontobereitstellung neu zu starten, können Sie eine der folgenden beiden Methoden verwenden:
1. Nehmen Sie alle Änderungen an einem vorhandenen Konto im Kontoanforderungsrepo vor.
1. Richten Sie ein neues Konto bei AFT ein.
# Anpassungen des Kontos
AFT kann Standard- oder benutzerdefinierte Konfigurationen in bereitgestellten Konten bereitstellen. Im AFT-Verwaltungskonto stellt AFT eine Pipeline für jedes Konto bereit. Mit dieser Pipeline können Sie Ihre Anpassungen in allen Konten, in einer Gruppe von Konten oder in einzelnen Konten implementieren. Sie können Python-Skripte, Bash-Skripte und Terraform-Konfigurationen ausführen oder im Rahmen Ihrer Kontoanpassungen mit der AWS-CLI interagieren.
## -Übersicht
Nachdem Ihre Anpassungen in den von Ihnen ausgewählten `git` Repositorys angegeben wurden, entweder in dem, in dem Sie Ihre globalen Anpassungen speichern, oder in dem, in dem Sie Ihre Kontoanpassungen speichern, wird die Phase der Kontoanpassungen automatisch von der AFT-Pipeline abgeschlossen. Informationen zur rückwirkenden Anpassung von Konten finden Sie unter. [Rufen Sie Anpassungen erneut auf](#aft-re-invoke-customizations)
**Globale Anpassungen (optional)**
Sie können sich dafür entscheiden, bestimmte Anpassungen auf alle Konten anzuwenden, die von AFT bereitgestellt werden. Wenn Sie beispielsweise eine bestimmte IAM-Rolle erstellen oder in jedem Konto ein benutzerdefiniertes Steuerelement bereitstellen müssen, können Sie dies in der Phase der globalen Anpassungen in der AFT-Pipeline automatisch tun.
**Kontoanpassungen (optional)**
Um ein einzelnes Konto oder eine Gruppe von Konten anders als andere von AFT bereitgestellte Konten anzupassen, können Sie den Bereich Kontoanpassungen der AFT-Pipeline nutzen, um kontospezifische Konfigurationen zu implementieren. Beispielsweise benötigt möglicherweise nur ein bestimmtes Konto Zugriff auf ein Internet-Gateway.
## Voraussetzungen für die Anpassung
Bevor Sie mit der Anpassung von Konten beginnen, stellen Sie sicher, dass diese Voraussetzungen erfüllt sind.
+ Ein vollständig bereitgestelltes AFT. Informationen zur Bereitstellung finden Sie unter[Konfigurieren und starten Sie Ihre AWS Control Tower Account Factory für Terraform](aft-getting-started.md#aft-configure-and-launch).
+ Vorab ausgefüllte `git` Repositorys für globale Anpassungen und Kontoanpassungen in Ihrer Umgebung. Weitere Informationen finden Sie unter *Schritt 3: Füllen Sie die einzelnen Repositorys* aus. [Schritte nach der Bereitstellung](aft-post-deployment.md)
## Wenden Sie globale Anpassungen an
Um globale Anpassungen anzuwenden, müssen Sie eine bestimmte Ordnerstruktur in das von Ihnen gewählte Repository übertragen.
+ Wenn Ihre benutzerdefinierten Konfigurationen in Form von Python-Programmen oder -Skripten vorliegen, platzieren Sie diese im Ordner **api\$1helpers/python** in Ihrem Repository.
+ **Wenn Ihre benutzerdefinierten Konfigurationen in Form von Bash-Skripten vorliegen, platzieren Sie diese im Ordner api\$1helpers in Ihrem Repository.**
+ **Wenn Ihre benutzerdefinierten Konfigurationen in Form von Terraform vorliegen, platzieren Sie diese im Terraform-Ordner in Ihrem Repository.**
+ Weitere Informationen zum Erstellen benutzerdefinierter Konfigurationen finden Sie in der README-Datei für globale Anpassungen.
**Anmerkung**
Globale Anpassungen werden automatisch nach der Framework-Phase für die AFT-Kontobereitstellung in der AFT-Pipeline angewendet.
## Wenden Sie Kontoanpassungen an
****
Sie können Kontoanpassungen vornehmen, indem Sie eine bestimmte Ordnerstruktur in das von Ihnen gewählte Repository übertragen. Kontoanpassungen werden automatisch in der AFT-Pipeline und nach der Phase der globalen Anpassungen angewendet. Sie können in Ihrem Repository für Kontoanpassungen auch mehrere Ordner erstellen, die unterschiedliche Kontoanpassungen enthalten. Gehen Sie für jede Kontoanpassung, die Sie benötigen, wie folgt vor.
**Um Kontoanpassungen anzuwenden**
1. **Schritt 1: Erstellen Sie einen Ordner für eine Kontoanpassung**
Kopieren Sie in Ihrem ausgewählten Repository den von AFT bereitgestellten `ACCOUNT_TEMPLATE` Ordner in einen neuen Ordner. Der Name Ihres neuen Ordners sollte mit dem Namen übereinstimmen`account_customizations_name`, den Sie in Ihrer Kontoanfrage angegeben haben.
1. **Fügen Sie die Konfigurationen Ihrem spezifischen Kontoanpassungsordner hinzu**
Sie können Ihrem Ordner mit Kontoanpassungen Konfigurationen hinzufügen, die auf dem Format Ihrer Konfigurationen basieren.
+ Wenn Ihre benutzerdefinierten Konfigurationen in Form von Python-Programmen oder -Skripten vorliegen, platzieren Sie sie im Ordner ***[account\$1customizations\$1name]*/api\$1helpers/python**, der sich in Ihrem Repository befindet.
+ Wenn Ihre benutzerdefinierten Konfigurationen in Form von Bash-Skripten vorliegen, platzieren Sie sie im Ordner ***[account\$1customizations\$1name]*/api\$1helpers**, der sich in Ihrem Repository befindet.
+ Wenn Ihre benutzerdefinierten Konfigurationen in Form von Terraform vorliegen, platzieren Sie sie im Ordner ***[account\$1customizations\$1name]*/terraform**, der sich in Ihrem Repository befindet.
Weitere Informationen zum Erstellen benutzerdefinierter Konfigurationen finden Sie in der README-Datei für Kontoanpassungen.
1. **Beziehen Sie sich auf den spezifischen `account_customizations_name` Parameter in der Kontoanforderungsdatei**
Die AFT-Kontoanforderungsdatei enthält den Eingabeparameter`account_customizations_name`. Geben Sie den Namen Ihrer Kontoanpassung als Wert für diesen Parameter ein.
**Anmerkung**
Sie können mehrere Kontoanfragen für Konten in Ihrer Umgebung einreichen. Wenn Sie unterschiedliche oder ähnliche Kontoanpassungen anwenden möchten, geben Sie die Kontoanpassungen mithilfe des `account_customizations_name` Eingabeparameters in Ihren Kontoanfragen an. Weitere Informationen finden Sie unter Mehrere Kontoanfragen [einreichen](https://docs.aws.amazon.com/controltower/latest/userguide/aft-multiple-account-requests.html).
## Rufen Sie Anpassungen erneut auf
AFT bietet eine Möglichkeit, Anpassungen in der AFT-Pipeline erneut aufzurufen. Diese Methode ist nützlich, wenn Sie einen neuen Anpassungsschritt hinzugefügt haben oder wenn Sie Änderungen an einer vorhandenen Anpassung vornehmen. Wenn Sie erneut aufrufen, initiiert AFT die Anpassungspipeline, um Änderungen am bereitgestellten AFT-Konto vorzunehmen. Durch einen event-source-based erneuten Aufruf können Sie Anpassungen auf einzelne Konten, auf alle Konten, auf Konten entsprechend ihrer Organisationseinheit oder auf Konten, die anhand von Stichwörtern ausgewählt wurden, anwenden.
Folgen Sie diesen drei Schritten, um Anpassungen für von AFT bereitgestellte Konten erneut aufzurufen.
**Schritt 1: Änderungen an globale Repositorys oder Repositorys für Kontoanpassungen weiterleiten `git`**
Sie können Ihre globalen Anpassungen und Kontoanpassungen nach Bedarf aktualisieren und Änderungen zurück in Ihre Repositorys übertragen. `git` Zu diesem Zeitpunkt passiert nichts. Die Anpassungspipeline muss von einer Ereignisquelle aufgerufen werden, wie in den nächsten beiden Schritten erklärt.
**Schritt 2: Starten Sie eine AWS Step Function-Ausführung, um Anpassungen erneut aufzurufen**
AFT bietet eine AWS-Step-Funktion, die `aft-invoke-customizations` im AFT-Verwaltungskonto aufgerufen wird. Der Zweck dieser Funktion besteht darin, die Anpassungspipeline für von AFT bereitgestellte Konten erneut aufzurufen.
Hier ist ein Beispiel für ein Ereignisschema (JSON-Format), das Sie erstellen können, um Eingaben an die `aft-invoke-customizations` AWS Step Function zu übergeben.
```
{
"include": [
{
"type": "all"
},
{
"type": "ous",
"target_value": [ "ou1","ou2"]
},
{
"type": "tags",
"target_value": [ {"key1": "value1"}, {"key2": "value2"}]
},
{
"type": "accounts",
"target_value": [ "acc1_ID","acc2_ID"]
}
],
"exclude": [
{
"type": "ous",
"target_value": [ "ou1","ou2"]
},
{
"type": "tags",
"target_value": [ {"key1": "value1"}, {"key2": "value2"}]
},
{
"type": "accounts",
"target_value": [ "acc1_ID","acc2_ID"]
}
]
}
```
Das Beispiel-Eventschema zeigt, dass Sie Konten auswählen können, die in den erneuten Aufrufprozess aufgenommen oder davon ausgeschlossen werden sollen. Sie können nach Organisationseinheit (OU), Konto-Tags und Konto-ID filtern. Wenn Sie keine Filter anwenden und den Kontoauszug hinzufügen`"type":"all"`, wird die Anpassung für alle von AFT bereitgestellten Konten erneut aufgerufen.
**Anmerkung**
Wenn Ihre Version von AWS Control Tower Account Factory for Terraform (AFT) 1.6.5 oder höher ist, können Sie als Targeting verwenden ( OUs mit der Syntax verschachtelt). `OU Name (ou-id-1234` Weitere Informationen finden Sie im folgenden Thema unter. [GitHub](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/issues/280)
Nachdem Sie die Ereignisparameter ausgefüllt haben, wird Step Functions ausgeführt und ruft die entsprechenden Anpassungen auf. AFT kann maximal 5 Anpassungen gleichzeitig aufrufen. Step Functions wartet und wiederholt, bis alle Konten, die den Ereigniskriterien entsprechen, vollständig sind.
**Schritt 3: Überwachen Sie die AWS Step Function-Ausgabe und beobachten Sie, wie AWS CodePipeline läuft**
+ Die resultierende Step Function-Ausgabe enthält Konten IDs , die der Step Function-Eingabeereignisquelle entsprechen.
+ Navigieren Sie CodePipeline unter **Developer Tools** zu AWS und sehen Sie sich die entsprechenden Anpassungspipelines für die Konto-ID an.
## Fehlerbehebung bei der Rückverfolgung von Anfragen zur AFT-Kontoanpassung
Workflows zur Kontoanpassung, die auf AWS Lambda Emissionsprotokollen basieren, die das Zielkonto und die Anpassungsanfrage IDs enthalten. AFT ermöglicht es Ihnen, Anpassungsanfragen mit Amazon CloudWatch Logs zu verfolgen und zu beheben, indem es Ihnen CloudWatch Logs Insights-Abfragen zur Verfügung stellt, mit denen Sie CloudWatch Logs zu Ihrer Anpassungsanfrage nach Ihrem Zielkonto oder Ihrer Personalisierungsanforderungs-ID filtern können. Weitere Informationen finden Sie unter [Analysieren von Protokolldaten mit Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
**Um CloudWatch Logs Insights für AFT zu verwenden**
1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie im Navigationsbereich **Logs und dann Logs** **Insights** aus.
1. Wählen Sie **Abfragen** aus.
1. Wählen Sie unter **Beispielabfragen** die Option **Account Factory for Terraform** und wählen Sie dann eine der folgenden Abfragen aus:
+ **Anpassungsprotokolle nach Konto-ID**
**Anmerkung**
Stellen Sie sicher, dass Sie es *"YOUR-ACCOUNT-ID"* durch Ihre Zielkonto-ID ersetzen.
```
fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.account_id == "YOUR-ACCOUNT-ID" and @message like /customization_request_id/
```
+ **Anpassungsprotokolle nach der ID der Anpassungsanforderung**
**Anmerkung**
Stellen Sie sicher, dass Sie es *"YOUR-CUSTOMIZATION-REQUEST-ID"* durch Ihre Personalisierungsanforderungs-ID ersetzen. Sie finden Ihre Anpassungsanforderungs-ID in der Ausgabe der AWS Step Functions State-Machine des AFT-Account-Provisioning-Frameworks. Weitere Informationen zum Framework für die AFT-Kontobereitstellung finden Sie unter Pipeline zur [AFT-Kontobereitstellung](https://docs.aws.amazon.com/controltower/latest/userguide/aft-provisioning-framework.html)
```
fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.customization_request_id == "YOUR-CUSTOMIZATION-REQUEST-ID"
```
1. Nachdem Sie eine Abfrage ausgewählt haben, stellen Sie sicher, dass Sie ein Zeitintervall auswählen, und wählen Sie dann Abfrage **ausführen** aus.
# Alternativen zur Versionskontrolle von Quellcode in AFT
AFT AWS CodeCommit verwendet als Quellcode-Versionskontrollsystem (VCS) und ermöglicht andere, [CodeConnections](https://docs.aws.amazon.com//dtconsole/latest/userguide/supported-versions-connections.html)die Ihren Geschäftsanforderungen oder der vorhandenen Architektur entsprechen.
Wenn Sie AFT zum ersten Mal bereitstellen und noch kein CodeCommit Repository haben, müssen Sie im Rahmen der AFT-Bereitstellungsvoraussetzungen einen externen VCS-Anbieter angeben.
**AFT unterstützt die folgenden Alternativen zur Quellcodeverwaltung:**
+ GitHub
+ GitHub Unternehmensserver
+ BitBucket
+ GitLab
+ GitLab Selbstverwaltet
**Anmerkung**
Wenn Sie es AWS CodeCommit als Ihr VCS angeben, sind keine zusätzlichen Schritte erforderlich. AFT erstellt die erforderlichen `git` Repositorys in Ihrer Umgebung mit Standardnamen. Sie können jedoch die Standard-Repository-Namen bei CodeCommit Bedarf überschreiben, um Ihren Unternehmensstandards zu entsprechen.
## Richten Sie mit AFT ein alternatives Quellcode-Versionskontrollsystem (benutzerdefiniertes VCS) ein
Gehen Sie folgendermaßen vor, um ein alternatives Quellcode-Versionskontrollsystem für Ihre AFT-Bereitstellung einzurichten.
**Schritt 1: Erstellen Sie `git` Repositorys in einem unterstützten Versionskontrollsystem (VCS) eines Drittanbieters.**
Wenn Sie es nicht verwenden AWS CodeCommit, müssen Sie in Ihrer von AFT unterstützten VCS-Drittanbieter-Umgebung `git` Repositorys für die folgenden Elemente erstellen.
+ **AFT-Kontoanfragen.** [Beispielcode verfügbar](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-request). Weitere Informationen zu AFT-Kontoanfragen finden Sie unter[Stellen Sie ein neues Konto bei AFT bereit](aft-provision-account.md).
+ **Anpassungen bei der Bereitstellung von AFT-Konten.** [Beispielcode verfügbar.](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-provisioning-customizations) Weitere Informationen zu Anpassungen der AFT-Kontobereitstellung finden Sie unter. [Erstellen Sie Ihr AFT-Konto, Provisioning, Anpassungen, State-Machine.](aft-provisioning-framework.md#aft-create-customizations)
+ **Globale AFT-Anpassungen.** [Beispielcode verfügbar.](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-global-customizations) Weitere Informationen zu globalen AFT-Anpassungen finden Sie unter[Anpassungen des Kontos](aft-account-customization-options.md).
+ **Anpassungen des AFT-Kontos.** [Beispielcode verfügbar.](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-customizations) Weitere Informationen zu AFT-Kontoanpassungen finden Sie unter[Anpassungen des Kontos](aft-account-customization-options.md).
**Schritt 2: Geben Sie die für die AFT-Bereitstellung erforderlichen VCS-Konfigurationsparameter an**
Die folgenden Eingabeparameter werden benötigt, um Ihren VCS-Anbieter im Rahmen der AFT-Bereitstellung zu konfigurieren.
+ **vcs\$1provider**: Wenn Sie nicht verwenden AWS CodeCommit, geben Sie den VCS-Anbieter je nach `"bitbucket"` Anwendungsfall als`"github"`, `"githubenterprise"``"gitlab"`, oder an.
+ **github\$1enterprise\$1url: Geben Sie die URL nur** für Enterprise-Kunden an. GitHub GitHub
+ **account\$1request\$1repo\$1name**: Für Benutzer ist dieser Wert auf gesetzt. AWS CodeCommit `aft-account-request` Aktualisieren Sie in einer von AFT unterstützten VCS-Anbieterumgebung eines Drittanbieters diesen Eingabewert mit Ihrem tatsächlichen Repository-Namen. Für Github BitBucket GitLab, GitHub Enterprise und GitLab Self-managed muss der Repository-Name das folgende Format haben. `[Org]/[Repo]`
+ **account\$1customizations\$1repo\$1name**: Für Benutzer ist dieser Wert auf gesetzt. AWS CodeCommit `aft-account-customizations` Aktualisieren Sie diesen Eingabewert in einer von AFT unterstützten VCS-Anbieterumgebung eines Drittanbieters mit Ihrem Repository-Namen. Für Github BitBucket GitLab, GitHub Enterprise und GitLab Self-managed muss der Repository-Name das folgende Format haben. `[Org]/[Repo]`
+ **account\$1provisioning\$1customizations\$1repo\$1name: Für Benutzer ist dieser Wert auf gesetzt**. AWS CodeCommit `aft-account-provisioning-customizations` Aktualisieren Sie in einer von AFT unterstützten VCS-Anbieterumgebung eines Drittanbieters diesen Eingabewert mit Ihrem Repository-Namen. Für Github BitBucket GitLab, GitHub Enterprise und GitLab Self-managed muss der Repository-Name das folgende Format haben. `[Org]/[Repo]`
+ **global\$1customizations\$1repo\$1name**: Für Benutzer ist dieser Wert auf gesetzt. AWS CodeCommit `aft-global-customizations` Aktualisieren Sie diesen Eingabewert in einer von AFT unterstützten VCS-Anbieterumgebung eines Drittanbieters mit Ihrem Repository-Namen. Für Github BitBucket GitLab, GitHub Enterprise und GitLab Self-managed muss der Repository-Name das folgende Format haben. `[Org]/[Repo]`
+ **account\$1request\$1repo\$1branch**: Der Branch ist `main` standardmäßig aktiviert, aber der Wert kann überschrieben werden.
Standardmäßig stammen AFT-Quellen aus dem Branch jedes Repositorys. `main` `git` Sie können den Wert des Zweignamens mit einem zusätzlichen Eingabeparameter überschreiben. Weitere Informationen zu Eingabeparametern finden Sie in der README-Datei im [AFT-Terraform-Modul](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/blob/main/README.md#inputs).
**Für Bestandskunden AWS CodeCommit**
Wenn Sie ein CodeCommit Repository mit einem neuen Namen für AFT erstellen, können Sie den Repository-Namen aktualisieren, indem Sie die Werte für diese Eingabeparameter aktualisieren.
**Schritt 3: Stellen Sie die AWS CodeCommit Verbindung für VCS-Drittanbieter her**
Wenn Ihre Bereitstellung ausgeführt wird, erstellt AFT entweder die erforderlichen AWS CodeCommit Repositorys oder es stellt eine AWS CodeCommit Verbindung für den von Ihnen ausgewählten VCS-Drittanbieter her. Im letzteren Fall müssen Sie sich manuell bei der Konsole des AFT-Verwaltungskontos anmelden, um die ausstehende CodeCommit Verbindung herzustellen. Weitere Anweisungen [zum AWS CodeCommit Herstellen der CodeCommit Verbindung finden Sie in der Dokumentation](https://docs.aws.amazon.com//dtconsole/latest/userguide/connections-update.html).
# AFT von AWS CodeCommit einem anderen VCS-Anbieter verschieben
Dieser Abschnitt bietet einen Überblick darüber, wie Sie AWS Control Tower Account Factory for Terraform (AFT) von AWS CodeCommit Ihrem Versionskontrollsystem (VCS) zu einem anderen VCS-Anbieter verschieben können.
**Schritt 1.** Richten Sie neue Repositorys im VCS Ihrer Wahl ein.
**Schritt 2.** Fügen Sie diese Repositorys als neue Fernbedienungen hinzu. `git`
**Schritt 3.** Führen Sie `git push` den Befehl zum neuen VCS-Anbieter aus.
**Anmerkung**
Die Repository-Struktur, die Sie erstellen, sollte dieselbe sein wie in AWS CodeCommit. Eine Änderung der Struktur beeinträchtigt die Fähigkeit von AFT, den gewünschten Code auszuführen.
aft-account-request
aft-account-customizations
aft-global-customizations
aft-account-provisioning-customizations
**Schritt 4.** Aktualisieren Sie in Ihrem AWS Control Tower Tower-Verwaltungskonto das Terraform-Modul (Bootstrap) so, dass es auf Ihren VCS-Anbieter verweist, wie im folgenden Beispiel gezeigt:
**Beispiel:** [mit Terraform OSS GitLab ](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/blob/main/examples/gitlab%2Btf_oss/main.tf)
— Führen Sie dann `terraform plan` eine Vorschau der Änderungen durch. `terraform apply`
**Schritt 5.** Gehen Sie wie folgt vor, um die Einrichtung von CodeConnection (früher bekannt als CodeStar) abzuschließen:
1. Melden Sie sich bei Ihrem AFT-Verwaltungskonto an
1. Suchen und vervollständigen Sie die ausstehenden Informationen AWS CodeConnections für den neuen VCS-Anbieter, wie unter [Eine ausstehende Verbindung aktualisieren](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-update.html) oder in der AWS Konsole [`https://us-east-1.console.aws.amazon.com/codesuite/settings/connections`] beschrieben.
1. Referenz: Schritte [nach der Bereitstellung](https://docs.aws.amazon.com//controltower/latest/userguide/aft-post-deployment.html)
**Anmerkung**
Kontopipelines behalten die vorherige Quelle bei, bis `aft-invoke-customizations` *Step Functions* aufgerufen wird. Dieser Aufruf kann als Teil des Upgrades oder als Teil der nächsten Anpassungsaufrufe erfolgen.
Weitere Informationen findest du in diesem Blog: [So migrierst du dein AWS CodeCommit Repository zu einem anderen Git-Anbieter](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider).
# Datenschutz
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com//compliance/shared-responsibility-model/) gilt für den Datenschutz in AFT. Aus Datenschutzgründen empfehlen wir die folgenden bewährten Sicherheitsmethoden.
+ Folgen Sie den Datenschutzrichtlinien von AWS Control Tower. Details hierzu finden Sie unter [Datenschutz in AWS Control Tower](controltower-console-encryption.md).
+ Behalten Sie die Terraform-State-Konfiguration bei, die zum Zeitpunkt der AFT-Bereitstellung generiert wurde. Details hierzu finden Sie unter [Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit](aft-getting-started.md).
+ Wechseln Sie sensible Anmeldeinformationen regelmäßig, wie es die Sicherheitsrichtlinie Ihres Unternehmens vorschreibt. Beispiele für Geheimnisse sind `git` Terraform-Token, Token usw.
**Verschlüsselung im Ruhezustand**
AFT erstellt Amazon S3 S3-Buckets, Amazon SNS SNS-Themen, Amazon SQS SQS-Warteschlangen und Amazon DynamoDB DynamoDB-Datenbanken, die im Ruhezustand mit Key Management Service-Schlüsseln verschlüsselt werden. AWS Bei von AFT erstellten KMS-Schlüsseln ist die jährliche Rotation standardmäßig aktiviert. Wenn Sie sich für die Terraform Cloud- oder Terraform Enterprise-Distributionen von Terraform entscheiden, enthält AFT einen AWS Systems Manager SecureString Manager-Parameter zum Speichern sensibler Terraform-Tokenwerte.
AFT verwendet die unter beschriebenen AWS Dienste, die standardmäßig im Ruhezustand verschlüsselt [Komponenten-Dienste](aft-components.md) sind. Einzelheiten finden Sie in der AWS Dokumentation der einzelnen AWS Dienste von AFT und erfahren Sie mehr über die Datenschutzpraktiken, die von den einzelnen Diensten befolgt werden.
**Verschlüsselung während der Übertragung**
AFT stützt sich auf [Komponenten-Dienste](aft-components.md) die unter beschriebenen AWS Dienste, die standardmäßig Verschlüsselung bei der Übertragung verwenden. Einzelheiten finden Sie in der AWS Dokumentation der einzelnen AWS Dienste von AFT und erfahren Sie mehr über die Datenschutzpraktiken, die von den einzelnen Diensten befolgt werden.
Bei Terraform Cloud- oder Terraform Enterprise-Distributionen ruft AFT eine HTTPS-Endpunkt-API für den Zugriff auf Ihre Terraform-Organisation auf. Wenn Sie sich für einen VCS-Drittanbieter entscheiden, der von AWS CodeStar Verbindungen unterstützt wird, ruft AFT eine HTTPS-Endpunkt-API für den Zugriff auf Ihre VCS-Anbieterorganisation auf.
# Ein Konto aus AFT entfernen
In diesem Thema wird beschrieben, wie ein Konto aus AFT entfernt wird, sodass die AFT-Pipeline die Bereitstellung und Aktualisierung des Kontos beendet.
**Wichtig**
Das Entfernen eines Kontos aus der AFT-Pipeline ist irreversibel und kann zu einem Statusverlust führen.
Sie können ein Konto aus AFT entfernen, wenn Sie ein Konto für eine stillgelegte Anwendung schließen, ein kompromittiertes Konto isolieren oder ein Konto von einer Organisation in eine andere verschieben möchten.
**Anmerkung**
Das Entfernen eines Kontos aus AFT unterscheidet sich vom Löschen eines AWS Control Tower Tower-Kontos oder AWS-Konto. Wenn Sie ein Konto aus AFT entfernen, verwaltet AWS Control Tower das Konto weiterhin. Um ein AWS Control Tower Tower-Konto zu löschen AWS-Konto, oder gehen Sie wie folgt vor:
Im *AWS Control Tower Tower-Benutzerhandbuch* die [Verwaltung eines Kontos aufheben](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html).
[Ein Konto schließen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) im *AWS Billing Benutzerhandbuch*.
**Um ein Konto aus den AFT-Pipelines zu entfernen**
Das folgende Verfahren beschreibt, wie Sie ein Konto aus AFT entfernen.
1. **Entfernen Sie das Konto aus dem `git` Repository, in dem Kontoanfragen gespeichert sind**
Löschen Sie in dem `git` Repository, in dem Sie Kontoanfragen speichern, die Kontoanfrage für das Konto, das Sie aus AFT entfernen möchten.
Wenn Sie eine Kontoanfrage aus dem Kontoanforderungs-Repository entfernen, löscht AFT die Anpassungspipeline und die Konto-Metadaten. Weitere Informationen finden Sie in den [Versionshinweisen für AFT 1.8.0](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases/tag/1.8.0) unter. GitHub
1. **Terraform Workspace löschen (nur für Terraform Cloud- und Terraform Enterprise-Kunden)**
Löschen Sie die Arbeitsbereiche für globale Anpassungen und Kontoanpassungen für das Konto, das Sie aus AFT entfernen möchten.
1. **Terraform-Status aus dem Amazon S3 S3-Backend löschen**
Löschen Sie im AFT-Verwaltungskonto alle relevanten Ordner in den Amazon S3 S3-Buckets für das Konto, das Sie aus AFT entfernen möchten.
**Tipp**
Ersetzen Sie es in den folgenden Beispielen `012345678901` durch die ID-Nummer des AFT-Verwaltungskontos.
**Beispiel: Terraform OSS**
Wenn Sie sich für Terraform OSS entscheiden, finden Sie 3 Ordner für jedes Konto in den Buckets `aft-backend-012345678901-primary-region` und `aft-backend-012345678901-secondary-region` Amazon S3. *Diese Ordner beziehen sich auf den Status der *Kontoanpassungen, den Status der Anpassungspipeline* *und den Status der globalen Anpassungen**
**Beispiel: Terraform Cloud oder Terraform Enterprise**
Wenn Sie sich für Terraform Cloud oder Terraform Enterprise entscheiden, finden Sie einen Ordner für jedes Konto in den Buckets `aft-backend-012345678901-primary-region` und `aft-backend-012345678901-secondary-region` Amazon S3. *Diese Ordner beziehen sich auf den Status der Anpassungs-Pipeline.*
# Operationelle Metriken
Standardmäßig sendet *Account Factory for Terraform (AFT)* anonyme Betriebsmetriken an. AWS Wir verwenden diese Daten, um zu verstehen, wie Kunden AFT verwenden, sodass wir die Qualität und die Funktionen der Lösung verbessern können. Sie können die Datenerfassung deaktivieren, indem Sie während der AFT-Bereitstellung einen Parameter ändern. Wenn die Erfassung aktiviert ist, werden die folgenden Daten gesendet an AWS:
+ **Lösung:** Die AFT-spezifische Kennung
+ **Version:** Die Version von AFT
+ **Universally Unique Identifier (UUID):** Zufällig generierter, eindeutiger Bezeichner für jede AFT-Bereitstellung
+ **Zeitstempel:** Zeitstempel der Datenerfassung
+ **Daten:** AFT-Konfiguration und vom Kunden ergriffene Maßnahmen
AWS besitzt die gesammelten Daten. Die Datenerfassung unterliegt der [AWS Datenschutzrichtlinie](https://aws.amazon.com/privacy/).
**Anmerkung**
Versionen von AFT vor 1.6.0 melden keine Nutzungsmetriken an AWS.
So deaktivieren Sie die Berichterstattung über Metriken:
+ Stellen Sie `false` in Ihrer Terraform-Eingabekonfigurationsdatei den Eingabewert auf ein, wie im folgenden Beispiel gezeigt, und stellen Sie AFT erneut bereit. `aft_metrics_reporting` Dieser Wert ist `true` standardmäßig auf festgelegt, wenn Sie ihn nicht explizit festlegen.
Wenn Sie das Beispiel kopieren, denken Sie daran, die in Zeichenketten angegebenen Elemente durch Ihre tatsächlichen ID- und Regionswerte durch zu ersetzen`x`.
```
module "control_tower_account_factory" {
source = "aws-ia/control_tower_account_factory/aws"
# Required Vars
ct_management_account_id = "xxxxxxxxxxx"
log_archive_account_id = "xxxxxxxxxxx"
audit_account_id = "xxxxxxxxxxx"
aft_management_account_id = "xxxxxxxxxxx"
ct_home_region = "xx-xxxx-x"
tf_backend_secondary_region = "xx-xxxx-x"
# Optional Vars
aft_metrics_reporting = false # to opt out, set this value to false
}
```
# Leitfaden zur Fehlerbehebung bei Account Factory for Terraform (AFT)
In diesem Abschnitt können Sie häufig auftretende Probleme beheben, die bei der Verwendung von Account Factory for Terraform (AFT) auftreten können.
**Topics**
+ [Allgemeine Probleme](#w2aac44c33c45b7)
+ [Probleme im Zusammenhang mit der Kontobereitstellung/Registrierung](#w2aac44c33c45b9)
+ [Probleme im Zusammenhang mit dem Aufruf von Anpassungen](#w2aac44c33c45c11)
+ [Probleme im Zusammenhang mit dem Workflow für Kontoanpassungen](#w2aac44c33c45c13)
## Allgemeine Probleme
+ **Ressourcenkontingente überschritten AWS **
Wenn Ihre Protokollgruppen darauf hinweisen, dass Sie die AWS Ressourcenkontingente überschritten haben, wenden Sie sich an den [AWS Support](https://aws.amazon.com/premiumsupport/). Account Factory verwendet AWS-Services mit Ressourcenkontingenten, die AWS CodeBuild AWS Organizations, und beinhalten AWS Systems Manager. Weitere Informationen finden Sie hier:
+ [Was ist AWS CodeBuild?](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html) im *CodeBuild Benutzerhandbuch*.
+ [Was ist AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) im *Organizations User Guide*.
+ [Was ist AWS Systems Manager?](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) im *Systems Manager Manager-Benutzerhandbuch*.
+ **Veraltete Version von Account Factory**
Wenn Sie auf ein Problem stoßen und glauben, dass es sich bei dem Problem um einen Bug handelt, stellen Sie sicher, dass Sie über die neueste Version von Account Factory verfügen. Weitere Informationen finden Sie unter [Account Factory Factory-Version aktualisieren](https://docs.aws.amazon.com/controltower/latest/userguide/update-aft-version.html).
+ **Lokale Änderungen wurden am Account Factory Factory-Quellcode vorgenommen**
Account Factory ist ein Open-Source-Projekt. AWS Control Tower unterstützt den Account Factory Factory-Kerncode. Wenn Sie eine lokale Änderung am Account Factory Factory-Core-Code vornehmen, unterstützt AWS Control Tower Ihre Account Factory Factory-Bereitstellung nur nach bestem Wissen.
+ **Unzureichende Account Factory Factory-Rollenberechtigungen**
Account Factory erstellt IAM-Rollen und -Richtlinien, um die Bereitstellung und Anpassung von Verkäuferkonten zu verwalten. Wenn Sie diese Rollen oder Richtlinien ändern, kann die Account Factory Factory-Pipeline möglicherweise bestimmte Aktionen nicht ausführen. Weitere Informationen finden Sie unter [Erforderliche Rollen](https://docs.aws.amazon.com/controltower/latest/userguide/aft-required-roles.html).
+ **Konto-Repositorys wurden nicht korrekt gefüllt**
Stellen Sie sicher, dass Sie die [Schritte nach der Bereitstellung](https://docs.aws.amazon.com/controltower/latest/userguide/aft-post-deployment.html) befolgen, bevor Sie Konten bereitstellen.
+ **Nach manuellem Ändern der Organisationseinheit wird keine Abweichung festgestellt**
**Anmerkung**
AWS Control Tower erkennt Drift automatisch. Informationen zur Behebung von Abweichungen finden Sie unter Drift [erkennen und beheben in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift).
Abweichungen werden nicht erkannt, wenn die Organisationseinheit (OU) manuell geändert wird. Dies ist auf den ereignisgesteuerten Charakter von Account Factory zurückzuführen. Wenn eine Kontoanfrage eingereicht wird, handelt es sich bei der von Terraform verwalteten Ressource um einen Amazon DynamoDB DynamoDB-Artikel, nicht um ein direktes Konto. Nachdem ein Element geändert wurde, wird die Anfrage in eine Warteschlange gestellt, wo AWS Control Tower sie über Service Catalog (den Service, der Kontodetails verwaltet) verarbeitet. Wenn Sie die Organisationseinheit manuell ändern, wird keine Abweichung festgestellt, da sich die Kontoanforderung nicht geändert hat.
## Probleme im Zusammenhang mit der Kontobereitstellung/Registrierung
+ **Eine Kontoanfrage (E-Mail-Adresse/Name) ist bereits vorhanden**
Das Problem führt in der Regel zu einem Ausfall eines Service Catalog-Produkts während der Bereitstellung oder als`ConditionalCheckFailedException`.
Sie können weitere Informationen zu dem Problem finden, indem Sie einen der folgenden Schritte ausführen:
+ Überprüfen Sie Ihre Terraform- oder CloudWatch Logs-Protokollgruppen.
+ Überprüfen Sie die Fehler, die an das Amazon SNS-Thema `aft-failure-notifications` gemeldet wurden.
+ **Falsch formatierte Kontoanfrage**
Vergewissern Sie sich, dass Ihre Kontoanfrage dem erwarteten Schema entspricht. Beispiele finden Sie unter [terraform-aws-control\$1tower\$1account\$1factory on](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-request/examples). GitHub
+ **Ressourcenkontingente von AWS Organizations überschritten**
Stellen Sie sicher, dass Ihre Kontoanfrage die AWS Organizations Ressourcenkontingente nicht überschreitet. Weitere Informationen finden Sie unter [Kontingente für AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html).
## Probleme im Zusammenhang mit dem Aufruf von Anpassungen
+ **Das Zielkonto ist nicht in Account Factory integriert**
Vergewissern Sie sich, dass alle Konten, die in einer Anpassungsanfrage enthalten sind, in Account Factory aufgenommen wurden. Weitere Informationen finden Sie unter [Ein bestehendes Konto aktualisieren](https://docs.aws.amazon.com/controltower/latest/userguide/aft-update-account.html).
+ **Das Konto, auf das die Anpassungsanfrage abzielt, ist in der DynamoDB-Tabelle vorhanden`aft-request-metadata`, aber nicht im Kontenanforderungs-Repository**
Formatieren Sie Ihre Anfrage zum Aufruf der Anpassung so, dass das betreffende Konto ausgeschlossen wird, indem Sie einen der folgenden Schritte ausführen:
+ Löschen Sie in der DynamoDB-Tabelle den Eintrag`aft-request-metadata`, der auf das Konto verweist, das sich nicht mehr in Ihrem Kontoanforderungs-Repository befindet.
+ Verwenden Sie nicht „alle“ als Ziel.
+ Es zielt nicht auf die Organisationseinheit ab, zu der das Konto gehört.
+ Das Konto wird nicht direkt ins Visier genommen.
+ **Falsches Token für Terraform Cloud verwendet**
Stellen Sie sicher, dass Sie das richtige Token eingerichtet haben. Terraform Cloud unterstützt nur teambasierte Token, keine organisationsbasierten Token.
+ **Konto konnte nicht erstellt werden, bevor die Pipeline für Kontoanpassungen erstellt wurde; Konto kann nicht angepasst werden**
Nehmen Sie eine Änderung an der Kontospezifikation im Repository für Kontoanfragen vor. Wenn Sie eine Änderung vornehmen, z. B. einen Tag-Wert für ein Konto ändern, folgt Account Factory dem Pfad, der versucht, die Pipeline zu erstellen, auch wenn die Pipeline nicht existiert.
## Probleme im Zusammenhang mit dem Workflow für Kontoanpassungen
Wenn Sie Probleme im Zusammenhang mit dem Workflow für Kontoanpassungen haben, stellen Sie sicher, dass Ihre Version von AFT 1.8.0 oder höher ist und dass Sie alle Instanzen von kontobezogenen Metadaten aus Ihrer DynamoDB-Anforderungstabelle löschen.
[Informationen zur AFT-Version 1.8.0 finden Sie unter Version 1.8.0 unter.](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases/tag/1.8.0) GitHub
Informationen dazu, wie Sie Ihre Version von AFT überprüfen und aktualisieren können, finden Sie im Folgenden:
+ [Überprüfen Sie die AFT-Version](https://docs.aws.amazon.com/controltower/latest/userguide/check-aft-version.html)
+ [Aktualisieren Sie die AFT-Version](https://docs.aws.amazon.com/controltower/latest/userguide/update-aft-version.html)
Sie können auch Anpassungsanfragen verfolgen und Fehler beheben, indem Sie Amazon CloudWatch Logs Insights-Abfragen verwenden, um Protokolle zu filtern, die Ihr Zielkonto und Ihre Anpassungsanfrage enthalten IDs. Weitere Informationen finden Sie unter [Fehlerbehebung bei der Rückverfolgung von Anfragen zur AFT-Kontoanpassung](https://docs.aws.amazon.com/controltower/latest/userguide/aft-account-customization-options.html).