Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Bereitstellen von Konten mit AWS Control Tower Account Factory for Terraform (AFT)
AWS Control Tower Account Factory for Terraform (AFT) verwendet ein GitOps Modell, das den Prozess der Kontobereitstellung und -aktualisierung in AWS Control Tower automatisiert.
Mit AFT erstellen Sie eine Terraform-Datei für Kontoanfragen, die die Eingabe enthält, die den AFT-Workflow aufruft. Nach Abschluss der Kontobereitstellung und -aktualisierung wird der AFT-Workflow fortgesetzt, indem das AFT-Framework für die Kontobereitstellung und die Schritte zur Kontoanpassung ausgeführt werden.
AFT hat keinen Einfluss auf die Workflow-Leistung in AWS Control Tower. Wenn Sie ein Konto über AFT oder Account Factory bereitstellen, findet derselbe Backend-Workflow statt.
## Voraussetzungen
**Anmerkung**
Die Bereitstellung von AFT-Konten muss auf eine Organisationseinheit (OU) abzielen, die in AWS Control Tower AWSControl TowerBaseline aktiviert ist. Einzelheiten zu finden AWSControl TowerBaseline Sie unter:[Basistypen, die auf OU-Ebene gelten](types-of-baselines.md#ou-baseline-types).
Wenn Sie mit AFT beginnen, werden Sie Folgendes erstellen:
+ Erstellen Sie in AWS Control Tower die OU und anschließend das AFT-Verwaltungskonto für Ihre AFT-Umgebung. Notieren Sie sich die Konto-ID, damit Sie sie später, wenn Sie AFT mit dem Terraform-Modul bereitstellen, in die `main.tf` Datei eingeben können. Sie können diese Konto-ID auf der **Detailseite von AWS Control Tower Control** einsehen. Weitere Informationen finden Sie in der [Terraform-Dokumentation](https://developer.hashicorp.com/terraform/tutorials/aws/aws-control-tower-aft).
+ Ein oder mehrere `git` Repositorys für Ihre vollständig bereitgestellte AFT-Umgebung. Weitere Informationen finden Sie unter [Schritte nach der Bereitstellung von AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-post-deployment.html).
+ Eine vollständig bereitgestellte AFT-Umgebung. Weitere Informationen finden Sie unter [Überblick über AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) und [Bereitstellen von AWS Control Tower Account Factory for Terraform](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html) (AFT). [Lesen Sie auch die Terraform-Dokumentation.](https://developer.hashicorp.com/terraform/tutorials/aws/aws-control-tower-aft)
**Tipp**
Sie können das AFT-Verwaltungskonto über die AWS Control Tower Tower-Konsole mit **Konto erstellen erstellen**. Weitere Informationen finden Sie unter [Bereitstellungsmethoden](https://docs.aws.amazon.com//controltower/latest/userguide/methods-of-provisioning.html).
Optional können Sie auch einen Ordner mit Kontovorlagen im **aft-account-customizations**Repository erstellen, um Ihre zusätzlichen Konten zu definieren.
Für Konten, die über Auto Enroll registriert wurden:
+ Die Erstellung neuer Konten über AFT funktioniert weiterhin normal.
+ Für den Import vorhandener Konten sind zusätzliche Schritte erforderlich:
+ Registrieren Sie die Organisationseinheit, um vor dem Import die erforderlichen bereitgestellten Produkte zu erstellen.
+ Die Register-OU sendet `UpdateManagedAccount` Ereignisse aus`CreateManagedAccount`, sodass AFT-Anpassungen möglich sind.
Informationen darüber, AWS-Regionen wo AFT Bereitstellungsbeschränkungen hat, finden Sie unter [Einschränkungen und Kontingente in AWS Control Tower](limits.md) und[Einschränkungen der Kontrolle](control-limitations.md).
Die [Terraform-Dokumentation](https://developer.hashicorp.com/terraform/tutorials/aws/aws-control-tower-aft) enthält einen guten Überblick über die Einrichtung von AWS Control Tower Account Factory for Terraform (AFT).
# Überblick über AWS Control Tower Account Factory für Terraform (AFT)
Account Factory for Terraform (AFT) richtet eine Terraform-Pipeline ein, um Sie bei der Bereitstellung und Anpassung von Konten in AWS Control Tower zu unterstützen. AFT bietet Ihnen den Vorteil der Terraform-basierten Kontobereitstellung und ermöglicht Ihnen gleichzeitig, Ihre Konten mit AWS Control Tower zu verwalten.
Mit AFT erstellen Sie eine *Terraform-Datei für Kontoanfragen*, um die Eingabe zu erhalten, die den AFT-Workflow für die Kontobereitstellung auslöst. Nach Abschluss der Kontobereitstellungsphase führt AFT automatisch eine Reihe von Schritten aus, bevor die Phase der Kontoanpassungen beginnt. Weitere Informationen finden Sie unter Pipeline zur [AFT-Kontobereitstellung](https://docs.aws.amazon.com/controltower/latest/userguide/aft-provisioning-framework.html).
AFT unterstützt Terraform Cloud, Terraform Enterprise und Terraform Community Edition. Mit AFT können Sie die Kontoerstellung mithilfe einer Eingabedatei und eines einfachen `git push` Befehls initiieren und neue oder bestehende Konten anpassen. Die Kontoerstellung umfasst alle Vorteile von AWS Control Tower Governance und Kontoanpassungen, mit denen Sie die standardmäßigen Sicherheitsverfahren und Compliance-Richtlinien Ihres Unternehmens einhalten können.
AFT unterstützt die Rückverfolgung von Anfragen zur Kontoanpassung. Jedes Mal, wenn Sie eine Anfrage zur Kontoanpassung einreichen, generiert AFT ein eindeutiges Ablaufverfolgungstoken, das eine AWS Step Functions Zustandsmaschine für AFT-Anpassungen durchläuft, die das Token im Rahmen seiner Ausführung protokolliert. Anschließend können Sie Amazon CloudWatch Logs Insights-Abfragen verwenden, um Zeitstempelbereiche zu durchsuchen und das Anforderungstoken abzurufen. Dadurch können Sie die Payloads sehen, die dem Token beiliegen, sodass Sie Ihre Anfrage zur Kontoanpassung während des gesamten AFT-Workflows verfolgen können. Informationen zu CloudWatch Logs und Step Functions finden Sie im Folgenden:
+ [Was ist Amazon CloudWatch Logs?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*
+ [Was ist AWS Step Functions?](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html) im *Entwicklerhandbuch für AWS Step Functions *
AFT kombiniert zum Aufbau eines Frameworks die Funktionen anderer AWS Dienste mit Pipelines, die Terraform Infrastructure as Code (IaC) bereitstellen. [Komponenten-Dienste](aft-components.md) AFT ermöglicht Ihnen:
+ Anfragen zur Kontobereitstellung und Aktualisierung in einem GitOps Modell einreichen
+ Speichern Sie Kontometadaten und den Auditverlauf
+ Wenden Sie Tags auf Kontoebene an
+ Fügen Sie allen Konten, einer Gruppe von Konten oder einzelnen Konten Anpassungen hinzu
+ Aktivieren Sie Funktionsoptionen
AFT erstellt ein separates Konto, das so genannte *AFT-Verwaltungskonto*, um AFT-Funktionen bereitzustellen. Bevor Sie AFT einrichten können, müssen Sie über eine bestehende AWS Control Tower Tower-Landezone verfügen. Das AFT-Verwaltungskonto ist nicht dasselbe wie das AWS Control Tower Tower-Verwaltungskonto.
**AFT bietet Flexibilität**
+ **Flexibilität für Ihre Plattform:** AFT unterstützt jede Terraform-Distribution für die Erstbereitstellung und den laufenden Betrieb: Community Edition, Cloud und Enterprise.
+ **Flexibilität für Ihr Versionskontrollsystem:** AFT unterstützt AWS CodeCommit und bietet alternative Versionskontrollquellen. AWS CodeConnections
**AFT bietet Funktionsoptionen**
Sie können verschiedene Funktionsoptionen aktivieren, die auf bewährten Methoden basieren:
+ Einrichtung einer Organisationsebene CloudTrail für die Protokollierung von Datenereignissen
+ Löschen der AWS Standard-VPC für Konten
+ Bereitgestellte Konten für den AWS Enterprise Support-Plan registrieren
**Anmerkung**
Die AFT-Pipeline ist nicht für die Bereitstellung von Ressourcen wie Amazon EC2 EC2-Instances vorgesehen, die Ihre Konten für die Ausführung Ihrer Anwendungen benötigen. Es ist ausschließlich für die automatisierte Bereitstellung und Anpassung von AWS Control Tower Tower-Konten vorgesehen.
## Video-Anleitung
In diesem Video (7:33) wird beschrieben, wie Konten mit AWS Control Tower Account Factory for Terraform bereitgestellt werden. Wählen Sie zur besseren Ansicht das Symbol in der rechten unteren Ecke des Videos, um es in voller Bildschirmgröße anzuzeigen. Es stehen Untertitel zur Verfügung.
[](http://www.youtube.com/watch?v=eDbNvHz02dk)
# AFT-Architektur
## Reihenfolge der Operationen
Sie führen AFT-Operationen im AFT-Verwaltungskonto aus. Für einen vollständigen Workflow zur Kontobereitstellung sieht die Reihenfolge der Phasen von links nach rechts im Diagramm wie folgt aus:
1. Kontoanfragen werden erstellt und an die Pipeline weitergeleitet. Sie können mehr als eine Kontoanfrage gleichzeitig erstellen und einreichen. Account Factory verarbeitet Anfragen in einer first-in-first-out Bestellung. Weitere Informationen finden Sie unter [Mehrere Kontoanfragen einreichen](https://docs.aws.amazon.com/controltower/latest/userguide/aft-multiple-account-requests.html).
1. Jedes Konto wird bereitgestellt. Diese Phase wird im AWS Control Tower Tower-Managementkonto ausgeführt.
1. Globale Anpassungen werden in den Pipelines ausgeführt, die für jedes verkaufte Konto erstellt werden.
1. Wenn Anpassungen in den ersten Anfragen zur Kontobereitstellung angegeben wurden, werden die Anpassungen nur für Zielkonten ausgeführt. Wenn Sie über ein Konto verfügen, das bereits bereitgestellt wurde, müssen Sie weitere Anpassungen manuell in der Pipeline des Kontos vornehmen.
**AWS Control Tower Account Factory für Terraform — Workflow zur Kontobereitstellung**
![\[Abbildung: AFT-Workflow-Diagramm\]](http://docs.aws.amazon.com/de_de/controltower/latest/userguide/images/high-level-aft-diagram.png)
# Cost (Kosten)
Für AFT fallen keine zusätzlichen Gebühren an. Sie zahlen nur für die von AFT bereitgestellten Ressourcen, die von AFT bereitgestellten AWS Dienste und die Ressourcen, die Sie in Ihrer AFT-Umgebung bereitstellen.
Die AFT-Standardkonfiguration umfasst die Zuweisung von AWS PrivateLink Endpunkten für verbesserten Datenschutz und Sicherheit sowie ein NAT-Gateway, das für die Unterstützung AWS CodeBuild erforderlich ist. Einzelheiten zu den Preisen dieser Infrastruktur finden Sie in den [AWS PrivateLink Preisen](https://aws.amazon.com//privatelink/pricing/) und den [Amazon VPC-Preisen für das NAT Gateway](https://aws.amazon.com//vpc/pricing/). Weitere Informationen zur Verwaltung dieser Kosten erhalten Sie von Ihrem AWS Kundenbetreuer. Sie können diese Standardeinstellungen für AFT ändern.
# Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit
Dieser Abschnitt richtet sich an Administratoren von AWS Control Tower Tower-Umgebungen, die Account Factory for Terraform (AFT) in ihrer bestehenden Umgebung einrichten möchten. Es beschreibt, wie Sie eine Account Factory for Terraform (AFT) -Umgebung mit einem neuen, dedizierten AFT-Verwaltungskonto einrichten.
**Anmerkung**
Ein Terraform-Modul stellt AFT bereit. Dieses Modul ist im [AFT-Repository am](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main) verfügbar GitHub, und das gesamte AFT-Repository wird als Modul betrachtet.
Wir empfehlen, dass Sie auf die AFT-Module verweisen, GitHub anstatt das AFT-Repository zu klonen. Auf diese Weise können Sie Updates für die Module kontrollieren und nutzen, sobald sie verfügbar sind.
Einzelheiten zu den neuesten Versionen der AWS Control Tower Account Factory for Terraform (AFT) -Funktionalität finden Sie in [der Release-Datei](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases) für dieses GitHub Repository.
**Voraussetzungen für die Bereitstellung**
Bevor Sie Ihre AFT-Umgebung konfigurieren und starten, müssen Sie über die folgenden Ressourcen verfügen:
+ Eine Heimatregion für Ihre AWS Control Tower Tower-Landezone. Weitere Informationen finden Sie unter [So AWS-Regionen arbeiten Sie mit AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html).
+ Eine landing zone im AWS Control Tower. Weitere Informationen finden Sie unter [Planen Ihrer AWS Control Tower Tower-Landezone](https://docs.aws.amazon.com/controltower/latest/userguide/planning-your-deployment.html).
+ Ein AFT-Verwaltungskonto, das Sie in AWS Control Tower oder auf andere Weise bereitstellen und sich bei AWS Control Tower registrieren können.
+ Eine Terraform-Version und -Distribution. Weitere Informationen finden Sie unter [Terraform](https://docs.aws.amazon.com/controltower/latest/userguide/version-supported.html) - und AFT-Versionen.
+ Ein VCS-Anbieter für die Nachverfolgung und Verwaltung von Änderungen an Code und anderen Dateien. Standardmäßig verwendet AWS CodeCommit AFT. Weitere Informationen finden Sie unter [Was ist AWS CodeCommit?](https://docs.aws.amazon.com/codecommit/latest/userguide/welcome.html) im *AWS CodeCommit Benutzerhandbuch*.
Wenn Sie AFT zum ersten Mal bereitstellen und kein vorhandenes CodeCommit Repository haben, müssen Sie einen externen VCS-Anbieter wie GitHub oder BitBucket wählen. Weitere Informationen finden Sie unter [Alternativen zur Versionskontrolle von Quellcode in AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-alternative-vcs.html).
+ Eine Laufzeitumgebung, in der Sie das Terraform-Modul ausführen können, das AFT installiert.
+ AFT-Funktionsoptionen. Weitere Informationen finden Sie unter [Funktionsoptionen aktivieren](https://docs.aws.amazon.com/controltower/latest/userguide/aft-feature-options.html).
## Konfigurieren und starten Sie Ihre AWS Control Tower Account Factory für Terraform
Bei den folgenden Schritten wird davon ausgegangen, dass Sie mit dem Terraform-Workflow vertraut sind. Sie können auch mehr über die Bereitstellung von AFT erfahren, indem Sie dem Lab [Einführung in AFT auf](https://catalog.workshops.aws/control-tower/en-US/customization/aft) der AWS Workshop Studio-Website folgen.
**Schritt 1: Starten Sie Ihre AWS Control Tower Tower-Landezone**
Führen Sie die Schritte unter [Erste Schritte mit AWS Control Tower](https://catalog.workshops.aws/control-tower/en-US/customization/aft) aus. Hier erstellen Sie das AWS Control Tower Tower-Verwaltungskonto und richten Ihre AWS Control Tower Tower-Landezone ein.
**Anmerkung**
Stellen Sie sicher, dass Sie eine Rolle für das AWS Control Tower Tower-Verwaltungskonto mit **AdministratorAccess**Anmeldeinformationen erstellen. Weitere Informationen finden Sie hier:
[IAM-Identitäten (Benutzer, Benutzergruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) *im AWS Identity and Access Management Benutzerhandbuch*
[AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html)im Referenzhandbuch *für AWS verwaltete Richtlinien*
**Schritt 2: Erstellen Sie eine neue Organisationseinheit für AFT (dringend empfohlen)**
Wir empfehlen Ihnen, eine separate Organisationseinheit in Ihrer AWS Control Tower Tower-Landing landing zone zu erstellen. In dieser Organisationseinheit stellen Sie das AFT-Verwaltungskonto bereit. Erstellen Sie die neue Organisationseinheit und das AFT-Verwaltungskonto von Ihrem AWS Control Tower Tower-Verwaltungskonto aus. Weitere Informationen finden Sie unter [Neue Organisationseinheit erstellen](https://docs.aws.amazon.com/controltower/latest/userguide/create-new-ou.html).
**Schritt 3: Stellen Sie das AFT-Verwaltungskonto bereit**
AFT erfordert, dass Sie ein AWS Konto einrichten, das für AFT-Verwaltungsvorgänge vorgesehen ist. Erstellen Sie das AFT-Verwaltungskonto, wenn Sie bei dem AWS Control Tower Tower-Verwaltungskonto angemeldet sind, das Ihrer AWS Control Tower Tower-Landezone zugeordnet ist. Sie können das AFT-Verwaltungskonto von der AWS Control Tower Tower-Konsole aus bereitstellen, indem **Sie auf der Seite **Organisation** die Option Konto erstellen** auswählen, oder auf andere Weise. Weitere Informationen finden Sie unter [Konten mit AWS Service Catalog Account Factory bereitstellen](https://docs.aws.amazon.com/controltower/latest/userguide/provision-as-end-user.html).
**Anmerkung**
Wenn Sie eine separate OU für AFT erstellt haben, achten Sie darauf, diese OU auszuwählen, wenn Sie das AFT-Verwaltungskonto erstellen.
Es kann bis zu 30 Minuten dauern, bis das AFT-Verwaltungskonto vollständig bereitgestellt ist.
**Schritt 4: Stellen Sie sicher, dass die Terraform-Umgebung für die Bereitstellung verfügbar ist**
Dieser Schritt setzt voraus, dass Sie Erfahrung mit Terraform haben und über Verfahren zur Ausführung von Terraform verfügen. Weitere Informationen finden Sie unter [Command: init](https://developer.hashicorp.com/terraform/cli/commands/init) auf der Entwickler-Website. HashiCorp
**Anmerkung**
AFT unterstützt die Terraform-Version `1.6.0` oder höher.
**Schritt 5: Optionale Konfigurationen**
+ **Legen Sie optional die Virtual Private Cloud (VPC) -Konfiguration fest**
Das AFT-Modul enthält einen `aft_enable_vpc` Parameter, der angibt, ob AWS Control Tower Kontoressourcen innerhalb einer VPC im zentralen AFT-Verwaltungskonto bereitstellt. Standardmäßig ist der Parameter auf `true` eingestellt. Wenn Sie diesen Parameter auf setzen`false`, stellt AWS Control Tower AFT *ohne* die Verwendung einer VPC und privater Netzwerkressourcen wie NAT-Gateways oder VPC-Endpoints bereit. *Die Deaktivierung `aft_enable_vpc` kann bei einigen Nutzungsmustern dazu beitragen, die Betriebskosten von AFT zu senken.* Das Hinzufügen von VPC-Konfigurationen überschreibt den `aft_enable_vpc` Parameter, auf den gesetzt ist. `false`
**Anmerkung**
Wenn Sie den `aft_enable_vpc` Parameter erneut aktivieren (den Wert von `false` auf ändern`true`), müssen Sie den `terraform apply` Befehl möglicherweise zweimal hintereinander ausführen.
Anstatt eine neue VPC bereitzustellen, können Sie AFT so konfigurieren, dass eine vorhandene VPC in Ihrem Konto verwendet wird. Um Ihre eigene VPC zu verwenden, geben Sie die folgenden VPC-Konfigurationsparameter an:
+ `aft_customer_vpc_id`- Die ID Ihrer bestehenden VPC
+ `aft_customer_private_subnets`- Eine Liste der privaten Subnetze IDs in Ihrer VPC
Beispielkonfiguration:
```
module "aft" {
source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
# VPC configuration
aft_customer_vpc_id = "vpc-0123456789abcdef0"
aft_customer_private_subnets = ["subnet-0123456789abcdef0", "subnet-0123456789abcdef1"]
# Other AFT parameters...
}
```
**Wichtig**
Es wird nicht empfohlen, die benutzerdefinierte VPC-Option zu verwenden, wenn Sie bereits über eine AFT-Bereitstellung verfügen. Möglicherweise sind Sie von Lambda-Funktionen abhängig oder CodePipeline hängen von Ressourcen innerhalb der zugrunde liegenden vorhandenen VPC ab.
+ **Konfigurieren Sie optional den Terraform-Projektnamen**
Sie können den von AFT verwendeten Terraform-Projektnamen anpassen, indem Sie den Parameter festlegen. `terraform_project_name` Standardmäßig platziert AFT die Bereitstellung im „Standard“ -Projekt in Terraform Cloud oder Terraform Enterprise.
Beispielkonfiguration:
```
module "aft" {
source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
# Project name configuration
terraform_project_name = "my-organization-aft"
# Other AFT parameters...
}
```
**Anmerkung**
Dieser Parameter gilt nur für Terraform Enterprise- oder Terraform Cloud-Bereitstellungen.
+ **Wenden Sie optional benutzerdefinierte Tags auf AFT-Ressourcen an**
Mithilfe des `tags` Parameters können Sie benutzerdefinierte Tags auf alle AFT-Ressourcen anwenden. Diese Tags helfen bei der Ressourcenorganisation, Kostenzuweisung und Zugriffskontrolle.
Beispielkonfiguration:
```
module "aft" {
source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
# Custom tags configuration
tags = {
Environment = "Production"
CostCenter = "IT-12345"
Project = "AFT-Deployment"
Owner = "platform-team@example.com"
}
# Other AFT parameters...
}
```
Diese Tags werden auf alle Ressourcen angewendet, die vom AFT-Modul erstellt wurden. AFT fügt allen Ressourcen automatisch ein `managed_by = "AFT"` Tag hinzu, das nicht durch benutzerdefinierte Tags überschrieben werden kann.
**Anmerkung**
Benutzerdefinierte Tags können jederzeit hinzugefügt werden, nicht nur bei der ersten Bereitstellung.
+ **Wenden Sie optional einen AWS KMS vom Kunden verwalteten Verschlüsselungsschlüssel (CMK) auf CloudWatch Protokollgruppen und SNS-Themen an**
Um die KMS-CMK-Verschlüsselung für Protokollgruppen und SNS-Themen zu aktivieren, legen Sie die Variablen und fest. `cloudwatch_log_group_enable_cmk_encryption` `sns_topic_enable_cmk_encryption`
Wenn Sie sich für diese Einstellungen entscheiden, verwendet AFT das vorhandene CMK, *alias/aft*, um Protokolle und SNS-Themen zu verschlüsseln CloudWatch . Dieser CMK wird erstellt, wenn AFT im AFT-Verwaltungskonto bereitgestellt wird, und er kann auf Protokollgruppen und SNS-Themen angewendet werden.
+ Wenn die Variable auf **true** gesetzt `cloudwatch_log_group_enable_cmk_encryption` ist, werden die CloudWatch Protokollgruppen für AFT mit dem CMK verschlüsselt. Wenn die Variable auf **False** gesetzt ist, was der Standardwert ist, werden die Protokolle mit [serverseitiger Verschlüsselung verschlüsselt, wobei die CloudWatch Standardprotokolle](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) verwendet werden.
+ Wenn die Variable auf **true** gesetzt `sns_topic_enable_cmk_encryption` ist, werden Benachrichtigungen, die an die AFT-SNS-Themen (*aft-notifications* und *aft-failure-notifications*) gesendet werden, mit dem CMK verschlüsselt. Wenn die Variable auf **False** gesetzt ist, was der Standardwert ist, werden die SNS-Nachrichten mit dem von AWS verwalteten Schlüssel verschlüsselt:. *alias/aws/sns* Weitere Informationen finden Sie unter [SSE-Schlüsselbegriffe](https://docs.aws.amazon.com//sns/latest/dg/sns-server-side-encryption.html#sse-key-terms).
+ **Ändern Sie optional Ihren CodeBuild Rechnertyp**
Um den von AFT verwendeten Berechnungstyp während der Bereitstellung zu ändern CodeBuild, legen Sie die Variable fest`aft_codebuild_compute_type`.
Informationen zu akzeptierten Berechnungstypen finden Sie unter [Über On-Demand-Umgebungstypen](https://docs.aws.amazon.com//codebuild/latest/userguide/build-env-ref-compute-types.html#environment.types). Der Standard-Berechnungstyp ist`BUILD_GENERAL1_MEDIUM`.
+ **Konfigurieren Sie optional OpenID Connect (OIDC) für Terraform**
Kunden, die Terraform Enterprise oder HCP Terraform (ehemals Terraform Cloud) verwenden, können die Workload-Identitätstoken (oder dynamischen Anbieteranmeldedaten) von Terraform verwenden, die auf dem OIDC-Protokoll basieren, um Workspaces sicher mit AFT zu verbinden und zu authentifizieren.
Sie können die OIDC-Integration für AFT-Arbeitsbereiche aktivieren, indem Sie den Parameter auf setzen. `terraform_oidc_integration` `true` Dieser Parameter ist standardmäßig auf `false` festgelegt. Wenn Sie diesen Parameter aktivieren, sollten die `terraform_oidc_hostname` Parameter `terraform_oidc_aws_audience` und überprüft und konfiguriert werden`app.terraform.io`, falls die Standardwerte (`aws.workload.identity`bzw.) nicht mit Ihrer Umgebung übereinstimmen.
Beispielkonfiguration:
```
module "aft" {
source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
# Terraform distribution must be "tfc" or "tfe" for OIDC
terraform_distribution = "tfc"
# Terraform OIDC Configuration
terraform_oidc_integration = true
terraform_oidc_aws_audience = "aws.workload.identity" # default
terraform_oidc_hostname = "app.terraform.io" # default; set to your TFE hostname if applicable
# Other AFT parameters...
}
```
**Anmerkung**
Dieser Parameter gilt nur für Terraform Enterprise- oder HCP Terraform-Bereitstellungen.
**Anmerkung**
Wenn Sie derzeit einen OIDC-Anbieter für Terraform im AFT-Verwaltungskonto nutzen, müssen Sie diesen Anbieter löschen, bevor Sie sich für diese Integration anmelden. AFT erstellt diesen Anbieter bei der Bereitstellung für Sie neu.
**Schritt 6: Rufen Sie das Account Factory for Terraform-Modul auf, um AFT bereitzustellen**
Rufen Sie das AFT-Modul mit der Rolle auf, die Sie für das AWS Control Tower Tower-Verwaltungskonto mit **AdministratorAccess**Anmeldeinformationen erstellt haben. AWS Control Tower stellt über das AWS Control Tower-Verwaltungskonto ein Terraform-Modul bereit, das die gesamte Infrastruktur einrichtet, die für die Orchestrierung von AWS Control Tower Account Factory Factory-Anfragen erforderlich ist.
Sie können das AFT-Modul im AFT-Repository [unter](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main) einsehen. GitHub Das gesamte GitHub Repository wird als AFT-Modul betrachtet. In der [README-Datei](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/blob/main/README.md) finden Sie Informationen zu den Eingaben, die für die Ausführung des AFT-Moduls und die Bereitstellung von AFT erforderlich sind. Alternativ können Sie das AFT-Modul in der [Terraform-Registrierung](https://registry.terraform.io/modules/aws-ia/control_tower_account_factory/aws/latest) einsehen.
Wenn Sie in Ihrer Umgebung über Pipelines verfügen, die für die Verwaltung von Terraform eingerichtet wurden, können Sie das AFT-Modul in Ihren bestehenden Workflow integrieren. Andernfalls führen Sie das AFT-Modul in einer beliebigen Umgebung aus, die mit den erforderlichen Anmeldeinformationen authentifiziert wurde.
Ein Timeout führt dazu, dass die Bereitstellung fehlschlägt. Wir empfehlen die Verwendung von AWS -Security-Token-Service (STS-) Anmeldeinformationen, um sicherzustellen, dass Sie einen Timeout haben, der für eine vollständige Bereitstellung ausreicht. Das Mindesttimeout für AWS STS Anmeldeinformationen beträgt 60 Minuten. Weitere Informationen finden Sie unter [Temporäre Sicherheitsanmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) im *AWS Identity and Access Management Benutzerhandbuch*.
**Anmerkung**
Sie können bis zu 30 Minuten warten, bis AFT die Bereitstellung über das Terraform-Modul abgeschlossen hat.
**Schritt 7: Verwalten Sie die Terraform-Statusdatei**
Bei der Bereitstellung von AFT wird eine Terraform-Statusdatei generiert. Dieses Artefakt beschreibt den Status der Ressourcen, die Terraform erstellt hat. Wenn Sie die AFT-Version aktualisieren möchten, achten Sie darauf, die Terraform-Statusdatei beizubehalten, oder richten Sie ein Terraform-Backend mit Amazon S3 und DynamoDB ein. Das AFT-Modul verwaltet keinen Terraform-Back-End-Status.
**Anmerkung**
Sie sind für den Schutz der Terraform-Statusdatei verantwortlich. Einige Eingabevariablen können sensible Werte enthalten, z. B. einen privaten `ssh` Schlüssel oder ein Terraform-Token. Abhängig von Ihrer Bereitstellungsmethode können diese Werte in der Terraform-Statusdatei als Klartext angezeigt werden. Weitere Informationen finden Sie unter [Sensible Daten in State](https://www.terraform.io/docs/language/state/sensitive-data.html) auf der HashiCorp Website.
# Schritte nach der Bereitstellung
Wenn die Bereitstellung der AFT-Infrastruktur abgeschlossen ist, folgen Sie diesen zusätzlichen Schritten, um den Einrichtungsprozess abzuschließen und sich auf die Bereitstellung von Konten vorzubereiten.
**Schritt 1: Schließen Sie den Vorgang CodeConnections mit Ihrem gewünschten VCS-Anbieter ab**
Wenn Sie sich für einen VCS-Drittanbieter entscheiden CodeConnections, richtet AFT ihn ein und Sie bestätigen ihn. Weitere Informationen [Alternativen zur Versionskontrolle von Quellcode in AFT](aft-alternative-vcs.md) zur Einrichtung von AFT mit Ihrem bevorzugten VCS finden Sie unter.
Der erste Schritt zum Herstellen der AWS CodeStar Verbindung wird von AFT ausgeführt. Sie müssen die Verbindung bestätigen.
**Schritt 2: Füllen Sie jedes Repository aus**
AFT erfordert, dass Sie [vier Repositorys](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos) verwalten:
1. Kontoanfragen — Dieses Repository verarbeitet das Stellen oder Aktualisieren von Kontoanfragen. [Verfügbare Beispiele](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-request). Weitere Informationen zu AFT-Kontoanfragen finden Sie unter[Stellen Sie ein neues Konto bei AFT bereit](aft-provision-account.md).
1. Anpassungen bei der Bereitstellung von AFT-Konten — Dieses Repository verwaltet Anpassungen, die auf alle Konten angewendet werden, die von AFT erstellt und mit AFT verwaltet werden, bevor mit der Phase der globalen Anpassungen begonnen wird. [Verfügbare Beispiele.](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-provisioning-customizations) Informationen zum Erstellen von Anpassungen für die Bereitstellung von AFT-Konten finden Sie unter. [Erstellen Sie Ihr AFT-Konto, Provisioning, Anpassungen, State-Machine.](aft-provisioning-framework.md#aft-create-customizations)
1. Globale Anpassungen — Dieses Repository verwaltet Anpassungen, die auf alle Konten angewendet werden, die von AFT erstellt und mit AFT verwaltet werden. [Verfügbare Beispiele](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-global-customizations). Informationen zum Erstellen globaler AFT-Anpassungen finden Sie unter[Wenden Sie globale Anpassungen an](aft-account-customization-options.md#aft-global-customizations).
1. Kontoanpassungen — Dieses Repository verwaltet Anpassungen, die nur auf bestimmte Konten angewendet werden, die von AFT erstellt und mit AFT verwaltet werden. [Verfügbare Beispiele](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-customizations). Informationen zum Erstellen von AFT-Kontoanpassungen finden Sie unter[Wenden Sie Kontoanpassungen an](aft-account-customization-options.md#aft-account-customizations).
AFT geht davon aus, dass jedes dieser Repositorys einer bestimmten Verzeichnisstruktur folgt. [Die Vorlagen, die zum Auffüllen Ihrer Repositorys verwendet werden, und Anweisungen, die beschreiben, wie Sie die Vorlagen füllen, sind im Modul Account Factory for Terraform im AFT-Github-Repository verfügbar.](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos)
# Stellen Sie ein neues Konto bei AFT bereit
*In diesem Abschnitt wird davon ausgegangen, dass Sie AFT und Ihr AFT-Verwaltungskonto bereits eingerichtet haben und zusätzliche Konten bereitstellen.*
Um ein neues Konto bei AFT bereitzustellen, erstellen Sie eine Terraform-Datei mit Kontoanforderung. Diese Datei enthält die Eingabe für Parameter im **aft-account-request**Repository. Nachdem Sie eine Terraform-Datei für eine Kontoanforderung erstellt haben, beginnen Sie mit der Bearbeitung Ihrer Kontoanfrage, indem Sie Folgendes ausführen. `git push` Dieser Befehl ruft den `ct-aft-account-request` Vorgang in der auf AWS CodePipeline, der nach Abschluss der Kontobereitstellung im AFT-Verwaltungskonto erstellt wird. Weitere Informationen finden Sie unter Pipeline zur [Bereitstellung von AFT-Konten](https://docs.aws.amazon.com/controltower/latest/userguide/aft-provisioning-framework.html).
## Terraform-Dateiparameter für Kontoanfragen
Sie müssen die folgenden Parameter in Ihre Terraform-Datei für die Kontoanforderung aufnehmen. Sie können sich [ein Beispiel für eine Terraform-Datei mit einer Kontoanforderung unter](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-request) ansehen. GitHub
+ Der Wert von `module name` muss pro Anfrage eindeutig sein. AWS-Konto
+ Der Wert von `module source` ist der Pfad zum Terraform-Modul für die Kontoanforderung, das AFT bereitstellt.
+ Der Wert von `control_tower_parameters` erfasst die erforderlichen Eingaben zur Erstellung eines AWS Control Tower Tower-Kontos. Der Wert umfasst die folgenden Eingabefelder:
+ `AccountEmail`
+ `AccountName`
+ `ManagedOrganizationalUnit`
+ `SSOUserEmail`
+ `SSOUserFirstName`
+ `SSOUserLastName`
**Anmerkung**
Die Eingabe, die Sie angeben, `control_tower_parameters` kann während der Kontobereitstellung nicht geändert werden.
Zu den unterstützten Formaten für die Angabe `ManagedOrganizationalUnit` im **aft-account-request**Repository gehören `OUName` und`OUName (OU-ID)`.
+ `account_tags`erfasst benutzerdefinierte Schlüssel und Werte, die anhand von Geschäftskriterien AWS-Konten markiert werden können. Weitere Informationen finden Sie im [*AWS Organizations Benutzerhandbuch* unter AWS Organizations Ressourcen](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_tagging.html) kennzeichnen.
+ Der Wert von `change_management_parameters` erfasst zusätzliche Informationen, z. B. warum eine Kontoanfrage erstellt wurde und wer die Kontoanfrage initiiert hat. Der Wert umfasst die folgenden Eingabefelder:
+ `change_reason`
+ `change_requested_by`
+ `custom_fields`erfasst zusätzliche Metadaten mit Schlüsseln und Werten, die als SSM-Parameter im angegebenen Konto unter**/-fields/ aft/account-request/custom** bereitgestellt werden. Sie können bei Kontoanpassungen auf diese Metadaten verweisen, um die richtigen Kontrollen einzurichten. Beispielsweise kann für ein Konto, das der Einhaltung gesetzlicher Vorschriften unterliegt, zusätzliche Funktionen bereitgestellt werden AWS-Config-Regeln. Die Metadaten, mit denen Sie Daten erfassen, `custom_fields` können bei der Kontobereitstellung und -aktualisierung zu zusätzlicher Verarbeitung führen. Wenn ein benutzerdefiniertes Feld aus der Kontoanfrage entfernt wird, wird das benutzerdefinierte Feld aus dem SSM-Parameterspeicher für das verkaufte Konto entfernt.
+ (Optional) `account_customizations_name` erfasst den Kontovorlagenordner im **aft-account-customizations**Repository. Weitere Informationen finden Sie unter [Kontoanpassungen](https://docs.aws.amazon.com/controltower/latest/userguide/aft-account-customization-options.html).
# Reichen Sie mehrere Kontoanfragen ein
AFT verarbeitet Kontoanfragen nacheinander, Sie können jedoch mehrere Kontoanfragen an die AFT-Pipeline senden. Wenn Sie mehrere Kontoanfragen an die AFT-Pipeline senden, stellt AFT die Kontoanfragen in der Reihenfolge „first in, first out“ in die Warteschlange und verarbeitet sie.
**Anmerkung**
Sie können für jedes Konto, das AFT bereitstellen soll, eine Terraform-Datei für Kontoanfragen erstellen oder mehrere Kontoanfragen in einer einzigen Terraform-Datei für Kontoanfragen zusammenfassen.
# Aktualisieren Sie ein bestehendes Konto
**Kompatibilität mit automatischer Registrierung**
Wenn Ihr Unternehmen Auto Enroll für die automatische Kontoregistrierung verwendet, beachten Sie, dass AFT Einschränkungen beim Import dieser Konten hat. Konten, die über Auto Enroll registriert wurden, verfügen nicht über die vom Service Catalog bereitgestellten Produkte, die für den Import-Workflow von AFT erforderlich sind.
**Umgehung:** Verwenden Sie die Funktion „Organisationseinheit registrieren“, um bereitgestellte Produkte für automatisch registrierte Konten zu erstellen. Dadurch werden die erforderlichen Lebenszyklusereignisse für AFT-Anpassungen aktiviert.
Sie können von AFT bereitgestellte Konten aktualisieren, indem Sie zuvor eingereichte Kontoanfragen bearbeiten und ausführen`git push`. Dieser Befehl ruft den Workflow zur Kontobereitstellung auf und kann Anfragen zur Kontoaktualisierung verarbeiten. Sie können die Eingabe für aktualisieren`ManagedOrganizationalUnit`, die Teil des erforderlichen Werts für ist. `control_tower_parameters`
`ManagedOrganizationalUnit`ist unter allen Parametern der einzige Parameter, der aktualisiert werden kann`control_tower_parameters`. Andere Parameter, die Teil der Terraform-Datei für die Kontoanforderung sind, können jedoch aktualisiert werden, z. `custom_fields` Weitere Informationen finden Sie unter [Bereitstellen eines neuen Kontos bei AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-provision-account.html).
Um beispielsweise den Namen oder die E-Mail-Adresse eines AFT-Kontos zu aktualisieren, können Sie die Einzelheiten wie `custom_fields` in der Kontoanforderungsdatei definieren. Auf diese Weise erstellen Sie SSM-Parameter, die Sie bei globalen Anpassungen an die `aws_account_alternate_contact` Ressource übergeben können.
```
resource "aws_account_alternate_contact" "operations" {
alternate_contact_type = "OPERATIONS"
name = "Example"
title = "Example"
email_address = "someone@example.com"
phone_number = "+1234567890"
}
```
Sie können ähnliche Felder für andere Kontakttypen hinzufügen, z. B. für den Bereich Betrieb und Sicherheit. Fügen Sie unter Globale Anpassungen Datensuchvorgänge für jedes benutzerdefinierte Feld hinzu, um sicherzustellen, dass Sie alle Felder nachschlagen, die Sie in der Kontoanfrage erstellt haben:
```
data "aws_ssm_parameter" "billing_name" {
name = "/aft/account-request/custom-fields/billing_name"
}
data "aws_ssm_parameter" "billing_title" {
name = "/aft/account-request/custom-fields/billing_title"
}
data "aws_ssm_parameter" "billing_email_address" {
name = "/aft/account-request/custom-fields/billing_email_address"
}
data "aws_ssm_parameter" "billing_phone_number" {
name = "/aft/account-request/custom-fields/billing_phone_number"
}
```
Erstellen Sie abschließend auch in der Datei „Globale Anpassungen“ die alternativen Kontaktressourcen. Sie müssen für jeden Kontakttyp, den Sie in Account Request erstellt haben, einen dieser Blöcke definieren:
```
resource "aws_account_alternate_contact" "billing" {
alternate_contact_type = "BILLING"
name = data.aws_ssm_parameter.billing_name.value
title = data.aws_ssm_parameter.billing_title.value
email_address = data.aws_ssm_parameter.billing_email_address.value
phone_number = data.aws_ssm_parameter.billing_phone_number.value
}
```
**Anmerkung**
Die Eingabe, die Sie angeben, `control_tower_parameters` kann während der Kontobereitstellung nicht geändert werden.
Zu den unterstützten Formaten für die Angabe `ManagedOrganizationalUnit` im **aft-account-request**Repository gehören `OUName` und`OUName (OU-ID)`.
## Aktualisieren Sie ein Konto, das AFT nicht bereitstellt
Sie können außerhalb von AFT erstellte AWS Control Tower Tower-Konten aktualisieren, indem Sie das Konto im **aft-account-request**Repository angeben.
**Anmerkung**
Stellen Sie sicher, dass alle Kontoinformationen korrekt sind und mit der AWS Control Tower Tower-Organisation und dem jeweiligen AWS Service Catalog bereitgestellten Produkt übereinstimmen.
**Voraussetzungen für die Aktualisierung eines vorhandenen Produkts AWS-Konto mit AFT**
+ Der AWS-Konto muss bei AWS Control Tower registriert sein.
+ Sie AWS-Konto müssen Teil der AWS Control Tower Tower-Organisation sein.
# Terraform- und AFT-Versionen
Account Factory for Terraform (AFT) unterstützt die Terraform-Version oder höher. `1.6.0` Sie müssen eine Terraform-Version als Eingabeparameter für den AFT-Bereitstellungsprozess angeben, wie im folgenden Beispiel gezeigt.
```
terraform_version = "1.6.0"
```
## Terraform-Verteilungen
AFT unterstützt drei Terraform-Verteilungen:
+ Terraform Community Edition
+ Terraform-Wolke
+ Terraform Enterprise
Diese Verteilungen werden in den folgenden Abschnitten erklärt. Geben Sie während des AFT-Bootstrap-Prozesses die Terraform-Verteilung Ihrer Wahl als Eingabeparameter an. Weitere Informationen zur AFT-Bereitstellung und zu Eingabeparametern finden Sie unter. [Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit](aft-getting-started.md)
Wenn Sie sich für die Distributionen Terraform Cloud oder Terraform Enterprise entscheiden, `terraform_token ` muss es sich bei dem [API-Token](https://www.terraform.io/cloud-docs/users-teams-organizations/api-tokens), für das Sie angeben, um ein Benutzer- oder Team-API-Token handeln. Ein Organisationstoken wird nicht für alle erforderlichen Zwecke unterstützt. APIs Aus Sicherheitsgründen müssen Sie vermeiden, den Wert dieses Tokens in Ihr Versionskontrollsystem (VCS) einzuchecken, indem Sie eine [Terraform-Variable](https://www.terraform.io/cloud-docs/workspaces/variables/managing-variables) zuweisen, wie im folgenden Beispiel gezeigt.
```
# Sensitive variable managed in Terraform Cloud:
terraform_token = var.terraform_cloud_token
```
### Terraform Community Edition
Wenn Sie Terraform Community Edition als Distribution auswählen, verwaltet AFT das Terraform-Backend für Sie im AFT-Verwaltungskonto. AFT lädt die `terraform-cli` von Ihnen angegebene Terraform-Version herunter, um sie während der AFT-Bereitstellung und der AFT-Pipeline-Phase auszuführen. Die resultierende Terraform-State-Konfiguration wird in einem Amazon S3 S3-Bucket gespeichert, der in der folgenden Form benannt ist:
```
aft-backend-[account_id]-primary-region
```
AFT erstellt außerdem einen Amazon S3 S3-Bucket, der Ihre Terraform-Zustandskonfiguration zu Notfallwiederherstellungszwecken in einem anderen AWS-Region repliziert und in der folgenden Form benannt ist:
```
aft-backend-[account_id]-secondary-region
```
Wir empfehlen, die Multi-Faktor-Authentifizierung (MFA) für Löschfunktionen in diesen Amazon S3 S3-Buckets im Terraform-Status zu aktivieren. [Weitere Informationen zur Terraform Community Edition finden Sie in der Terraform-Dokumentation.](https://www.terraform.io/docs/cli/index.html)
Um Terraform OSS als Ihre Distribution auszuwählen, geben Sie den folgenden Eingabeparameter an:
```
terraform_distribution = "oss"
```
### Terraform Cloud
Wenn Sie Terraform Cloud als Distribution auswählen, erstellt AFT Workspaces für die folgenden Komponenten in Ihrer Terraform Cloud-Organisation, wodurch ein API-gesteuerter Workflow initiiert wird.
+ Kontoanfrage
+ AFT-Anpassungen für Konten, die von AFT bereitgestellt werden
+ Kontoanpassungen für Konten, die von AFT bereitgestellt werden
+ Globale Anpassungen für Konten, die von AFT bereitgestellt werden
Terraform Cloud verwaltet die resultierende Terraform-State-Konfiguration.
Wenn Sie Terraform Cloud als Distribution auswählen, geben Sie die folgenden Eingabeparameter an:
+ `terraform_distribution = "tfc"`
+ `terraform_token`— Dieser Parameter enthält den Wert des Terraform Cloud-Tokens. AFT markiert den als sensibel und speichert den Wert als sichere Zeichenfolge im SSM-Parameterspeicher des AFT-Verwaltungskontos. Wir empfehlen Ihnen, den Wert des Terraform-Tokens regelmäßig entsprechend den Sicherheits- und Compliance-Richtlinien Ihres Unternehmens zu ändern. Das Terraform-Token sollte ein API-Token auf Benutzer- oder Teamebene sein. Organisationstoken werden nicht unterstützt.
+ `terraform_org_name`— Dieser Parameter enthält den Namen Ihrer Terraform Cloud-Organisation.
**Anmerkung**
Mehrere AFT-Bereitstellungen in einer einzigen Terraform Cloud-Organisation werden nicht unterstützt.
[Informationen zur Einrichtung von Terraform Cloud finden Sie in der Terraform-Dokumentation.](https://www.terraform.io/docs/cloud/index.html)
### Terraform Enterprise
Wenn Sie Terraform Enterprise als Distribution auswählen, erstellt AFT Arbeitsbereiche für die folgenden Komponenten in Ihrer Terraform Enterprise-Organisation und löst einen API-gesteuerten Workflow für die resultierenden Terraform-Läufe aus.
+ Kontoanfrage
+ Anpassungen der AFT-Kontobereitstellung für von AFT bereitgestellte Konten
+ Kontoanpassungen für von AFT bereitgestellte Konten
+ Globale Anpassungen für von AFT bereitgestellte Konten
Die resultierende Terraform-State-Konfiguration wird von Ihrem Terraform Enterprise-Setup verwaltet.
Um Terraform Enterprise als Ihre Distribution auszuwählen, geben Sie die folgenden Eingabeparameter an:
+ `terraform_distribution = "tfe"`
+ `terraform_token`— Dieser Parameter enthält den Wert Ihres Terraform Enterprise-Tokens. AFT markiert seinen Wert als sensibel und speichert ihn als sichere Zeichenfolge im SSM-Parameterspeicher im AFT-Verwaltungskonto. Wir empfehlen, dass Sie den Wert des Terraform-Tokens regelmäßig entsprechend den Sicherheits- und Compliance-Richtlinien Ihres Unternehmens ändern.
+ `terraform_org_name`— Dieser Parameter enthält den Namen Ihrer Terraform Enterprise-Organisation.
+ `terraform_api_endpoint`— Dieser Parameter enthält die URL Ihrer Terraform Enterprise-Umgebung. Der Wert dieses Parameters muss das folgende Format haben:
```
https://{fqdn}/api/v2/
```
Weitere Informationen [zur Einrichtung von Terraform Enterprise finden Sie in der Terraform-Dokumentation](https://www.terraform.io/docs/enterprise/index.html).
# Überprüfen Sie die AFT-Version
Sie können Ihre bereitgestellte AFT-Version überprüfen, indem Sie den AWS SSM Parameter Store-Schlüssel abfragen:
```
/aft/config/aft/version
```
Wenn Sie die Registrierungsmethode verwenden, können Sie die Version anheften.
```
module "control_tower_account_factory" {
source = "aws-ia/control_tower_account_factory/aws"
version = "1.3.2"
# insert the 6 required variables here
}
```
Weitere Informationen zu AFT-Versionen finden Sie im [AFT-Repository](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main).
# Aktualisieren Sie die AFT-Version
Melden Sie sich beim AWS Control Tower Tower-Managementkonto an, um dieses AFT-Update zu initiieren.
Sie können Ihre bereitgestellte AFT-Version aktualisieren, indem Sie sie aus dem `main` Repository-Zweig abrufen:
```
terraform get -update
```
Nachdem der Abruf abgeschlossen ist, können Sie den Terraform-Plan erneut ausführen oder apply ausführen, um die AFT-Infrastruktur mit den neuesten Änderungen zu aktualisieren.
# Funktionsoptionen aktivieren
AFT bietet Funktionsoptionen, die auf bewährten Verfahren basieren. Sie können sich während der AFT-Bereitstellung mithilfe von Feature-Flags für diese Funktionen entscheiden. [Stellen Sie ein neues Konto bei AFT bereit](aft-provision-account.md)Weitere Informationen zu den AFT-Eingangskonfigurationsparametern finden Sie unter.
Diese Funktionen sind standardmäßig nicht aktiviert. Sie müssen jede Funktion in Ihrer Umgebung explizit aktivieren.
**Topics**
+ [AWS CloudTrail Datenereignisse](#cloudtrail-data-event-option)
+ [AWS Support-Plan für Unternehmen](#enterprise-support-option)
+ [Löschen Sie die AWS Standard-VPC](#delete-default-vpc-option)
## AWS CloudTrail Datenereignisse
Wenn diese Option aktiviert ist, konfiguriert die Option AWS CloudTrail Datenereignisse diese Funktionen.
+ Erstellt einen Organization Trail im AWS Control Tower Tower-Managementkonto, für CloudTrail
+ Aktiviert die Protokollierung für Amazon S3- und Lambda-Datenereignisse
+ Verschlüsselt und exportiert alle CloudTrail Datenereignisse mit AWS KMS Verschlüsselung in einen `aws-aft-logs-*` S3-Bucket im AWS Control Tower Log Archive-Konto
+ Aktiviert die Einstellung zur **Überprüfung der Protokolldatei**
Um diese Option zu aktivieren, setzen Sie das folgende Feature-Flag in Ihrer AFT-Bereitstellungs-Eingabekonfiguration auf **True**.
```
aft_feature_cloudtrail_data_events
```
**Voraussetzung**
Bevor Sie diese Funktionsoption aktivieren, stellen Sie sicher, dass der vertrauenswürdige Zugriff für in Ihrer Organisation aktiviert AWS CloudTrail ist.
**So überprüfen Sie den Status des vertrauenswürdigen Zugriffs für CloudTrail :**
1. Navigieren Sie zur AWS Organizations Konsole.
1. Wählen Sie **Dienste > CloudTrail**.
1. Wählen Sie dann bei Bedarf oben rechts die Option **Vertrauenswürdigen Zugriff aktivieren** aus.
Möglicherweise erhalten Sie eine Warnmeldung, in der Sie aufgefordert werden, die AWS CloudTrail Konsole zu verwenden. In diesem Fall sollten Sie die Warnung jedoch ignorieren. AFT erstellt den Trail im Rahmen der Aktivierung dieser Funktionsoption, nachdem Sie den vertrauenswürdigen Zugriff zugelassen haben. Wenn der vertrauenswürdige Zugriff nicht aktiviert ist, erhalten Sie eine Fehlermeldung, wenn AFT versucht, Ihren Trail für Datenereignisse zu erstellen.
**Anmerkung**
Diese Einstellung funktioniert auf Organisationsebene. Die Aktivierung dieser Einstellung wirkt sich auf alle Konten in aus AWS Organizations, unabhängig davon, ob sie von AFT verwaltet werden oder nicht. Alle Buckets im AWS Control Tower Log Archive-Konto zum Zeitpunkt der Aktivierung sind von Amazon S3 S3-Datenereignissen ausgeschlossen. Weitere Informationen [zu finden Sie im AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html). CloudTrail
## AWS Support-Plan für Unternehmen
Wenn diese Option aktiviert ist, aktiviert die AFT-Pipeline den AWS Enterprise Support-Plan für von AFT bereitgestellte Konten.
AWS Bei Konten ist standardmäßig der AWS Basic Support-Plan aktiviert. AFT bietet für Konten, die von AFT bereitgestellt werden, eine automatische Registrierung für die Enterprise-Support-Stufe. Der Bereitstellungsprozess öffnet ein Support-Ticket für das Konto und fordert auf, es zum AWS Enterprise Support-Plan hinzuzufügen.
Um die Enterprise Support-Option zu aktivieren, setzen Sie das folgende Feature-Flag in Ihrer AFT-Bereitstellungs-Eingabekonfiguration auf **True**.
```
aft_feature_enterprise_support=false
```
Weitere Informationen zu [AWS Supportplänen finden Sie unter AWS Supportpläne vergleichen](https://aws.amazon.com/premiumsupport/plans/).
**Anmerkung**
Damit diese Funktion funktionieren kann, müssen Sie das Zahlerkonto für den Enterprise Support-Plan registrieren.
## Löschen Sie die AWS Standard-VPC
Wenn Sie diese Option aktivieren, löscht AFT alle AWS Standardeinstellungen VPCs im AFT-Verwaltungskonto und alle AWS-Regionen, auch wenn dort keine AWS Control Tower Tower-Ressourcen bereitgestellt wurden. AWS-Regionen
AFT löscht AWS standardmäßig nicht VPCs automatisch für alle von AFT bereitgestellten AWS Control Tower-Konten oder für bestehende AWS Konten, die Sie über AFT bei AWS Control Tower registrieren.
Neue AWS Konten werden standardmäßig mit jeweils AWS-Region einer VPC erstellt. In Ihrem Unternehmen gibt es möglicherweise Standardverfahren für die Erstellung VPCs, bei denen Sie die AWS Standard-VPC löschen und vermeiden müssen, sie zu aktivieren, insbesondere für das AFT-Verwaltungskonto.
Um diese Option zu aktivieren, setzen Sie in der Eingabekonfiguration für die AFT-Bereitstellung das folgende Feature-Flag auf **True**.
```
aft_feature_delete_default_vpcs_enabled
```
Im Folgenden finden Sie ein Beispiel für eine Eingabekonfiguration für die AFT-Bereitstellung.
```
module "aft" {
source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
ct_management_account_id = var.ct_management_account_id
log_archive_account_id = var.log_archive_account_id
audit_account_id = var.audit_account_id
aft_management_account_id = var.aft_management_account_id
ct_home_region = var.ct_home_region
tf_backend_secondary_region = var.tf_backend_secondary_region
vcs_provider = "github"
account_request_repo_name = "${var.github_username}/learn-terraform-aft-account-request"
account_provisioning_customizations_repo_name = "${var.github_username}/learn-terraform-aft-account-provisioning-customizations"
global_customizations_repo_name = "${var.github_username}/learn-terraform-aft-global-customizations"
account_customizations_repo_name = "${var.github_username}/learn-terraform-aft-account-customizations"
# Optional Feature Flags
aft_feature_delete_default_vpcs_enabled = true
aft_feature_cloudtrail_data_events = false
aft_feature_enterprise_support = false
}
```
Weitere Informationen zu [Standard finden Sie unter Standard-VPC und Standard-Subnetze](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html). VPCs
# Überlegungen zu Ressourcen für AWS Control Tower Account Factory für Terraform
Wenn Sie Ihre landing zone mit AWS Control Tower Account Factory for Terraform einrichten, werden in Ihren AWS Konten verschiedene Arten von AWS Ressourcen erstellt.
**Suchen Sie nach Ressourcen**
+ Sie können Tags verwenden, um nach der aktuellsten Liste von AFT-Ressourcen zu suchen. Das Schlüssel-Wert-Paar für Ihre Suche ist:
```
Key: managed_by | Value: AFT
```
+ Für Komponentendienste, die keine Tags unterstützen, können Sie nach Ressourcen suchen, indem Sie `aft` in den Ressourcennamen nach suchen.
**Anmerkung**
AFT erstellt keine AWS Backup-Ressourcen im Verwaltungskonto.
**Tabellen der ursprünglich erstellten Ressourcen, sortiert nach Konten**
**Verwaltungskonto AWS Control Tower Account Factory für Terraform**
| **AWS Service nicht zulässig** | **Ressourcentyp** | **Ressourcenname** |
| --- | --- | --- |
| AWS Identity and Access Management | Rollen | AWSAFTAdmin AWSAFTExecution AWSAFTService ct-aft-\$1 aft-\$1 codebuild\$1trigger\$1role python-layer-builder-aft-common-\$1 |
| AWS Identity and Access Management | Richtlinien | aft-\$1 |
| CodeCommit | Repositorien | aft-\$1 |
| CodeBuild | Build-Projekte | aft-\$1 ct-aft-\$1 python-layer-builder-aft-common-\$1 |
| Code-Pipeline | Pipelines | **YourAccountId**-customizations-pipeline |
| Amazon S3 | Buckets | aft-\$1 |
| Lambda | Funktionen | aft-\$1 |
| Lambda | Layer | aft-common-\$1 |
| DynamoDB | Tabellen | aft-request aft-request-audit aft-request-metadata aft-controltower-events |
| Step Functions | Staatsmaschinen | aft-account-provisioning-customizations aft-account-provisioning-framework aft-feature-options aft-invoke-customizations |
| VPC | VPC | aft-management-vpc |
| Amazon SNS | Topics | aft-notifications aft-failure-notifications |
| Amazon EventBridge | Ereignisbusse | aft-events-from-ct-management |
| Amazon EventBridge | Regeln für Veranstaltungen | aft-account-provisioning-customizations-trigger aft-account-request-codepipeline-trigger aft-lambda-account-request-processor aft-controltower-event-logger |
| Schlüsselverwaltungsdienst (KMS) | Vom Kunden verwaltete Schlüssel | aft-backend-\$1-kms-key aft |
| AWS Systems Manager | Parameter speichern | /aft/\$1 |
| Amazon SQS | Queues (Warteschlangen) | aft-account-request.fifo aft-account-request-dlg.fifo |
| CloudWatch | Protokollgruppen | /aws/\$1/ct-aft-\$1 /aws/\$1/aft-\$1 /aws/codebuild/python-layer-builder-aft-common-\$1 |
| AWS Backup | Tresore | aft-controltower-backup-vault |
| AWS Backup | Plans (Pläne) | aft-controltower-backup-plan |
| AWS Kundendienstzentrum (optional) | Unterstützungspläne | Enterprise |
**AWS Konten, die über AWS Control Tower Account Factory für Terraform bereitgestellt werden**
| **AWS Service nicht zulässig** | **Ressourcentyp** | **Ressourcenname** |
| --- | --- | --- |
| AWS Identity and Access Management | Rollen | AWSAFTExecution |
| AWS Kundendienstzentrum (optional) | Unterstützungspläne | Enterprise |
**AWS Control Tower Tower-Verwaltungskonto**
| **AWS Service nicht zulässig** | **Ressourcentyp** | **Ressourcenname** |
| --- | --- | --- |
| AWS Identity and Access Management | Rollen | AWSAFTExecution AWSAFTService aft-controltower-events-rule |
| AWS Systems Manager | Parameter speichern | /aft/\$1 |
| EventBridge | Regeln für Veranstaltungen | aft-capture-ct-events |
| CloudTrail (Fakultativ) | Trails | aws-aft-CustomizationsCloudTrail |
| AWS-Supportcenter (optional) | Unterstützungspläne | Enterprise |
**AWS Control Tower Tower-Protokollarchiv-Konto**
| **AWS Service nicht zulässig** | **Ressourcentyp** | **Ressourcenname** |
| --- | --- | --- |
| AWS Identity and Access Management | Rollen | AWSAFTExecution AWSAFTService |
| Schlüsselverwaltungsservice (KMS) | Vom Kunden verwaltete Schlüssel | aft |
| Amazon S3 | Buckets | aws-aft-logs-\$1 aws-aft-s3-access-logs-\$1 |
| AWS Kundendienstzentrum (optional) | Unterstützungspläne | Enterprise |
**AWS Control Tower Tower-Auditkonto**
| **AWS Service nicht zulässig** | **Ressourcentyp** | **Ressourcenname** |
| --- | --- | --- |
| AWS Identity and Access Management | Rollen | AWSAFTExecution AWSAFTService |
| AWS Kundendienstzentrum (optional) | Unterstützungspläne | Enterprise |
# Erforderliche Rollen
Im Allgemeinen sind Rollen und Richtlinien Teil des Identitäts- und Zugriffsmanagements (IAM) in. AWS Weitere Informationen finden Sie im [https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html).
AFT erstellt mehrere IAM-Rollen und -Richtlinien in den AFT-Management- und AWS Control Tower Tower-Managementkonten, um den Betrieb der AFT-Pipeline zu unterstützen. Diese Rollen werden auf der Grundlage des Zugriffsmodells mit den geringsten Rechten erstellt, das die Berechtigungen auf die minimal erforderlichen Gruppen von Aktionen und Ressourcen für jede Rolle und Richtlinie beschränkt. Diesen Rollen und Richtlinien wird zur Identifizierung ein AWS `key:value` Tag-Paar zugewiesen. ` managed_by:AFT`
Neben diesen IAM-Rollen schafft AFT drei wichtige Rollen:
+ die Rolle `AWSAFTAdmin`
+ die `AWSAFTExecution` Rolle
+ die `AWSAFTService` Rolle
Diese Rollen werden in den folgenden Abschnitten erklärt.
**Die AWSAFTAdmin Rolle, erklärt**
Wenn Sie AFT bereitstellen, wird die `AWSAFTAdmin` Rolle im AFT-Verwaltungskonto erstellt. Diese Rolle ermöglicht es der AFT-Pipeline, die `AWSAFTExecution` Rolle in den von AWS Control Tower und von AFT bereitgestellten Konten zu übernehmen und so Aktionen im Zusammenhang mit der Kontobereitstellung und -anpassung durchzuführen.
Hier ist die Inline-Richtlinie (JSON-Artefakt), die der Rolle zugeordnet ist: `AWSAFTAdmin`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::*:role/AWSAFTExecution",
"arn:aws:iam::*:role/AWSAFTService"
]
}
]
}
```
------
Das folgende JSON-Artefakt zeigt die Vertrauensbeziehung für die `AWSAFTAdmin` Rolle. Die Platzhalternummer `012345678901` wird durch die ID-Nummer des AFT-Verwaltungskontos ersetzt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::012345678901:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Die AWSAFTExecution Rolle, erklärt**
Wenn Sie AFT bereitstellen, wird die `AWSAFTExecution` Rolle in den AFT-Management- und AWS Control Tower Tower-Managementkonten erstellt. Später erstellt die AFT-Pipeline die `AWSAFTExecution` Rolle in jedem von AFT bereitgestellten Konto während der Bereitstellungsphase des AFT-Kontos.
AFT verwendet die `AWSControlTowerExecution` Rolle zunächst, um die `AWSAFTExecution` Rolle in bestimmten Konten zu erstellen. Die `AWSAFTExecution` Rolle ermöglicht es der AFT-Pipeline, die Schritte auszuführen, die während der Bereitstellungs- und Bereitstellungsanpassungsphasen des AFT-Frameworks für von AFT bereitgestellte Konten und für gemeinsam genutzte Konten ausgeführt werden.
**Durch unterschiedliche Rollen können Sie den Umfang einschränken**
Es hat sich bewährt, die Anpassungsberechtigungen von den Berechtigungen zu trennen, die bei der ersten Bereitstellung von Ressourcen gewährt wurden. Denken Sie daran, dass die `AWSAFTService` Rolle für die Kontobereitstellung und die `AWSAFTExecution` Rolle für die Kontoanpassung vorgesehen ist. Diese Trennung schränkt den Umfang der Berechtigungen ein, die in jeder Phase der Pipeline zulässig sind. Diese Unterscheidung ist besonders wichtig, wenn Sie die gemeinsamen Konten von AWS Control Tower anpassen, da die gemeinsamen Konten vertrauliche Informationen wie Rechnungsdetails oder Benutzerinformationen enthalten können.
Berechtigungen für die `AWSAFTExecution` Rolle: **AdministratorAccess**— eine von AWS verwaltete Richtlinie
Das folgende JSON-Artefakt zeigt die IAM-Richtlinie (Vertrauensbeziehung), die `AWSAFTExecution` der Rolle zugeordnet ist. Die Platzhalternummer `012345678901` wird durch die ID-Nummer des AFT-Verwaltungskontos ersetzt.
Vertrauensrichtlinie für `AWSAFTExecution`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Die AWSAFTService Rolle, erklärt**
Die `AWSAFTService` Rolle stellt AFT-Ressourcen für alle registrierten und verwalteten Konten bereit, einschließlich der gemeinsamen Konten und des Verwaltungskontos. Ressourcen wurden früher nur von der `AWSAFTExecution` Rolle bereitgestellt.
Die `AWSAFTService` Rolle ist für die Verwendung durch die Dienstinfrastruktur zur Bereitstellung von Ressourcen während der Bereitstellungsphase vorgesehen, und die `AWSAFTExecution` Rolle ist nur für die Bereitstellung von Anpassungen vorgesehen. Wenn Sie die Rollen auf diese Weise übernehmen, können Sie in jeder Phase eine detailliertere Zugriffskontrolle gewährleisten.
Berechtigungen für die `AWSAFTService` Rolle: **AdministratorAccess**— eine von AWS verwaltete Richtlinie
Das folgende JSON-Artefakt zeigt die IAM-Richtlinie (Vertrauensbeziehung), die `AWSAFTService` der Rolle zugeordnet ist. Die Platzhalternummer `012345678901` wird durch die ID-Nummer des AFT-Verwaltungskontos ersetzt.
Vertrauensrichtlinie für `AWSAFTService`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::012345678901:role/AWSAFTAdmin"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Komponenten-Dienste
Wenn Sie AFT bereitstellen, werden Ihrer AWS Umgebung Komponenten aus jedem dieser AWS Dienste hinzugefügt.
+ **[AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html)** — AFT verwendet AWS Control Tower Account Factory im AWS Control Tower Tower-Verwaltungskonto, um Konten bereitzustellen.
+ **[Amazon DynamoDB](https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/Introduction.html)** — AFT erstellt Amazon DynamoDB-Tabellen im AFT-Verwaltungskonto, in denen Kontoanfragen, der Prüfverlauf von Kontoaktualisierungen, Kontometadaten und AWS Control Tower Tower-Lifecycle-Ereignisse gespeichert werden. AFT erstellt auch DynamoDB-Lambda-Trigger, um nachgelagerte Prozesse zu initiieren, z. B. den Workflow zur AFT-Kontobereitstellung zu starten.
+ **[Amazon Simple Storage Service](https://docs.aws.amazon.com//AmazonS3/latest/userguide/Welcome.html)** — AFT erstellt Amazon Simple Storage Service (S3) -Buckets im AFT-Verwaltungskonto und im AWS Control Tower Tower-Protokollarchivkonto, in denen Protokolle gespeichert werden, die von den AWS Services generiert wurden, die die AFT-Pipeline benötigt. AFT erstellt außerdem einen primären und sekundären Terraform-Backend-S3-Bucket, um Terraform-Zustände zu speichern AWS-Regionen, die während der AFT-Pipeline-Workflows generiert wurden.
+ **[Amazon Simple Notification Service](https://docs.aws.amazon.com//sns/latest/dg/welcome.html)** — AFT erstellt Amazon Simple Notification Service (SNS) -Themen im AFT-Verwaltungskonto, in dem Erfolgs- und Fehlerbenachrichtigungen nach der Bearbeitung jeder AFT-Kontoanfrage gespeichert werden. Sie können diese Nachrichten mit dem Protokoll Ihrer Wahl empfangen.
+ **[Amazon Simple Queuing Service](https://docs.aws.amazon.com//AWSSimpleQueueService/latest/SQSDeveloperGuide/welcome.html)** — AFT erstellt eine Amazon Simple Queuing Service (Amazon SQS) FIFO-Warteschlange im AFT-Verwaltungskonto. Die Warteschlange ermöglicht es Ihnen, mehrere Kontoanfragen parallel einzureichen, sendet jedoch jeweils eine Anfrage zur sequentiellen Verarbeitung an AWS Control Tower Account Factory.
+ **[AWS CodeBuild](https://docs.aws.amazon.com//codebuild/latest/userguide/welcome.html)** — AFT erstellt CodeBuild AWS-Build-Projekte im AFT-Verwaltungskonto, um Terraform-Pläne für AFT-Quellcode in verschiedenen Build-Phasen zu initialisieren, zu kompilieren, zu testen und anzuwenden.
+ **[AWS CodePipeline](https://docs.aws.amazon.com//codepipeline/latest/userguide/welcome.html)** — AFT erstellt CodePipeline AWS-Pipelines im AFT-Verwaltungskonto, um sie mit Ihrem ausgewählten, unterstützten CodeStar AWS-Verbindungsanbieter für AFT-Quellcode zu integrieren und Build-Jobs in AWS CodeBuild auszulösen.
+ **[AWS Lambda](https://docs.aws.amazon.com//lambda/latest/dg/welcome.html)** — AFT erstellt AWS Lambda Lambda-Funktionen und -Ebenen im AFT-Verwaltungskonto, um Schritte während der Kontoanforderung, der AFT-Kontobereitstellung und der Kontoanpassungen durchzuführen.
+ **[AWS Systems Manager Parameter Store](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-parameter-store.html)** — AFT richtet den AWS Systems Manager Parameter Store im AFT-Verwaltungskonto ein, um die für die AFT-Pipelineprozesse erforderlichen Konfigurationsparameter zu speichern.
+ **[Amazon CloudWatch](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)** — AFT erstellt CloudWatch Amazon-Protokollgruppen im AFT-Verwaltungskonto, um Protokolle zu speichern, die von AWS-Services generiert wurden, die von der AFT-Pipeline verwendet werden. Die Aufbewahrungsfrist für CloudWatch Protokolle ist auf festgelegt`Never Expire`.
+ **[Amazon VPC](https://docs.aws.amazon.com//vpc/latest/userguide/what-is-amazon-vpc.html)** — AFT erstellt eine Amazon Virtual Private Cloud (VPC), um Dienste und Ressourcen im AFT-Verwaltungskonto in einer separaten Netzwerkumgebung zu isolieren und so die Sicherheit zu erhöhen.
+ **[AWS KMS](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)** — AFT verwendet den AWS Key Management Service (KMS) im AFT-Verwaltungskonto und im AWS Control Tower Tower-Protokollarchivkonto. AFT erstellt Schlüssel zur Verschlüsselung von Terraform-Status, in DynamoDB-Tabellen gespeicherten Daten und SNS-Themen. Diese Protokolle und Artefakte werden generiert, wenn AWS-Ressourcen und -Services von AFT bereitgestellt werden. Bei von AFT erstellten KMS-Schlüsseln ist die jährliche Rotation standardmäßig aktiviert.
+ **[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com//IAM/latest/UserGuide/introduction.html)** — AFT folgt dem empfohlenen Least-Privilege-Modell. Es erstellt bei Bedarf Rollen und Richtlinien für AWS Identity and Access Management (IAM) im AFT-Verwaltungskonto, in AWS Control Tower Tower-Konten und in von AFT bereitgestellten Konten, um die während des AFT-Pipeline-Workflows erforderlichen Aktionen auszuführen.
+ **[AWS Step Functions](https://docs.aws.amazon.com//step-functions/latest/dg/welcome.html)** — AFT erstellt AWS Step Functions Functions-Zustandsmaschinen im AFT-Verwaltungskonto. Diese Zustandsmaschinen orchestrieren und automatisieren den Prozess und die Schritte für das Framework und die Anpassungen für die AFT-Kontobereitstellung.
+ **[Amazon EventBridge](https://docs.aws.amazon.com//eventbridge/latest/userguide/eb-what-is.html)** — AFT erstellt einen EventBridge Amazon-Event-Bus im AFT- und AWS Control Tower Tower-Verwaltungskonto, um AWS Control Tower-Lifecycle-Ereignisse langfristig in der DynamoDB-Tabelle des AFT-Verwaltungskontos zu erfassen und zu speichern. AFT erstellt CloudWatch Amazon-Ereignisregeln in den AFT-Management- und AWS Control Tower Tower-Verwaltungskonten, die mehrere Schritte auslösen, die während der Ausführung des AFT-Pipeline-Workflows erforderlich sind
+ **[AWS CloudTrail (Optional)](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)** — Wenn diese Funktion aktiviert ist, erstellt AFT einen AWS CloudTrail Organisationspfad im AWS Control Tower Tower-Verwaltungskonto, um Datenereignisse für Amazon S3 S3-Buckets und AWS Lambda-Funktionen zu protokollieren. AFT sendet diese Protokolle an einen zentralen S3-Bucket im AWS Control Tower Tower-Protokollarchivkonto.
+ **[AWS Support (optional)](https://aws.amazon.com//premiumsupport/)** — Wenn diese Funktion aktiviert ist, aktiviert AFT den AWS Enterprise Support-Plan für von AFT bereitgestellte Konten. Standardmäßig werden AWS Konten mit aktiviertem AWS Basic Support-Plan erstellt.
# Pipeline zur Bereitstellung von AFT-Konten
Nachdem die Phase der Kontobereitstellung der Pipeline abgeschlossen ist, wird das AFT-Framework fortgesetzt. Es führt automatisch eine Reihe von Schritten aus, um sicherzustellen, dass die neu bereitgestellten Konten über die erforderlichen Informationen verfügen, bevor die [Anpassungen des Kontos](aft-account-customization-options.md) Phase beginnt.
**Hier sind die nächsten Schritte, die die AFT-Pipeline ausführt.**
1. Überprüft die Eingabe der Kontoanfrage.
1. Ruft Informationen über das bereitgestellte Konto ab, z. B. die Konto-ID.
1. Speichert die Kontometadaten in einer DynamoDB-Tabelle im AFT-Verwaltungskonto.
1. Erstellt die **AWSAFTExecution**IAM-Rolle im neu bereitgestellten Konto. AFT übernimmt diese Rolle, um die Phase der Kontoanpassungen durchzuführen, da diese Rolle Zugriff auf das Account Factory-Portfolio gewährt.
1. Wendet die Kontokennzeichnungen an, die Sie als Teil der Eingabeparameter für die Kontoanforderung angegeben haben.
1. Wendet die AFT-Funktionsoptionen an, die Sie bei der AFT-Bereitstellung ausgewählt haben.
1. Wendet die von Ihnen angegebenen Anpassungen für die AFT-Kontobereitstellung an. Im nächsten Abschnitt erfahren Sie mehr darüber, wie Sie diese Anpassungen mit einer AWS Step Functions Functions-Zustandsmaschine in einem `git` Repository einrichten. Diese Phase wird manchmal als *Framework-Phase für die Kontobereitstellung* bezeichnet. Sie ist Teil des zentralen Bereitstellungsprozesses, aber Sie haben bereits ein Framework eingerichtet, das maßgeschneiderte Integrationen als Teil Ihres Workflows für die Kontobereitstellung bereitstellt, bevor in der nächsten Phase weitere Anpassungen zu den Konten hinzugefügt werden.
1. Für jedes bereitgestellte Konto wird AWS CodePipeline im AFT-Verwaltungskonto ein Konto erstellt, das ausgeführt wird, um die (nächste, globale) Phase durchzuführen. [Anpassungen des Kontos](aft-account-customization-options.md)
1. Ruft die Pipeline für Kontoanpassungen für jedes bereitgestellte (und zielgerichtete) Konto auf.
1. Sendet eine Erfolgs- oder Fehlschlagsbenachrichtigung an das SNS-Thema, von dem aus Sie die Nachrichten abrufen können.
## Richten Sie die Anpassungen des Account Provisioning Frameworks mit einer Zustandsmaschine ein
Wenn Sie vor der Bereitstellung Ihrer Konten benutzerdefinierte Integrationen einrichten, die nicht auf Terraform basieren, sind diese Anpassungen in Ihrem Workflow für die AFT-Kontobereitstellung enthalten. Beispielsweise können Sie bestimmte Anpassungen verlangen, um sicherzustellen, dass alle von AFT erstellten Konten den Standards und Richtlinien Ihrer Organisation entsprechen, z. B. den Sicherheitsstandards, und diese Standards können vor weiteren Anpassungen zu Konten hinzugefügt werden. Diese Anpassungen *des Account Provisioning Frameworks* werden für jedes bereitgestellte Konto implementiert, bevor die nächste Phase der globalen Kontoanpassung beginnt.
**Anmerkung**
Die in diesem Abschnitt beschriebene AFT-Funktion richtet sich an fortgeschrittene Benutzer, die mit der Funktionsweise von AWS Step Functions vertraut sind. Als Alternative empfehlen wir, dass Sie in der Phase der Kontoanpassungen mit den globalen Helfern zusammenarbeiten.
Das AFT-Kontobereitstellungs-Framework ruft eine AWS Step Functions Functions-Zustandsmaschine auf, die Sie definieren, um Ihre Anpassungen zu implementieren. Weitere Informationen zu den möglichen State-Machine-Integrationen finden Sie in der [Dokumentation zu AWS Step Functions](https://docs.aws.amazon.com//step-functions/latest/dg/welcome.html).
Hier sind einige gängige Integrationen.
+ AWS Lambda funktioniert in der Sprache Ihrer Wahl
+ AWS ECS- oder AWS Fargate-Aufgaben mit Docker-Containern
+ AWS Step Functions Functions-Aktivitäten mit benutzerdefinierten Workern, die entweder in AWS oder vor Ort gehostet werden
+ Amazon SNS- oder SQS-Integrationen
Wenn kein AWS Step Functions Functions-Zustandsmaschine definiert ist, wird die Phase ohne Operation abgeschlossen. Folgen Sie den Anweisungen unter, um ein AFT-Konto zu erstellen, das Anpassungen bereitstellt. [Erstellen Sie Ihr AFT-Konto, Provisioning, Anpassungen, State-Machine.](#aft-create-customizations) Bevor Sie Anpassungen hinzufügen, stellen Sie sicher, dass die Voraussetzungen erfüllt sind.
Diese Arten von Integrationen sind nicht Teil von AWS Control Tower und können nicht während der globalen Pre-API-Phase der AFT-Kontoanpassung hinzugefügt werden. Stattdessen ermöglicht Ihnen die AFT-Pipeline, diese Anpassungen als Teil des Bereitstellungsprozesses einzurichten, und sie werden im Bereitstellungs-Workflow ausgeführt. Sie müssen diese Anpassungen implementieren, indem Sie Ihren Zustandsmaschine im Voraus erstellen, bevor Sie mit der Bereitstellungsphase des AFT-Kontos beginnen, wie in den folgenden Abschnitten beschrieben.
**Voraussetzungen für die Erstellung einer Zustandsmaschine**
+ Ein vollständig bereitgestellter AFT. Weitere Informationen [Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit](aft-getting-started.md) zur AFT-Bereitstellung finden Sie unter.
+ Richten Sie in Ihrer Umgebung ein `git` Repository für Anpassungen der AFT-Kontobereitstellung ein. Weitere Informationen finden Sie unter [Schritte nach der Bereitstellung](aft-post-deployment.md).
## Erstellen Sie Ihr AFT-Konto, Provisioning, Anpassungen, State-Machine.
**Schritt 1: Ändern Sie die State-Machine-Definition**
Ändern Sie die Beispieldefinition für eine `customizations.asl.json` Zustandsmaschine. Das Beispiel ist in dem `git` Repository verfügbar, das Sie für die Speicherung von Anpassungen der AFT-Kontobereitstellung in Ihren Schritten [nach](https://docs.aws.amazon.com//controltower/latest/userguide/aft-post-deployment.html) der Bereitstellung eingerichtet haben. Weitere Informationen zu State-Machine-Definitionen finden Sie im [AWS Step Functions Developer Guide](https://docs.aws.amazon.com//step-functions/latest/dg/welcome.html).
**Schritt 2: Fügen Sie die entsprechende Terraform-Konfiguration hinzu**
Fügen Sie Terraform-Dateien mit der `.tf` Erweiterung in dasselbe `git` Repository wie die State-Machine-Definition für Ihre benutzerdefinierte Integration ein. Wenn Sie sich beispielsweise dafür entscheiden, eine Lambda-Funktion in Ihrer State-Machine-Aufgabendefinition aufzurufen, würden Sie die `lambda.tf` Datei in dasselbe Verzeichnis aufnehmen. Stellen Sie sicher, dass Sie die erforderlichen IAM-Rollen und -Berechtigungen für Ihre benutzerdefinierten Konfigurationen angeben.
Wenn Sie die entsprechenden Eingaben machen, ruft die AFT-Pipeline automatisch Ihre Zustandsmaschine auf und stellt Ihre Anpassungen als Teil der Framework-Phase für die AFT-Kontobereitstellung bereit.
## Um das Framework und die Anpassungen für die AFT-Kontobereitstellung neu zu starten
AFT führt das Framework für die Kontobereitstellung und die Anpassungsschritte für jedes Konto aus, das über die AFT-Pipeline verkauft wird. Um die Anpassungen der Kontobereitstellung neu zu starten, können Sie eine der folgenden beiden Methoden verwenden:
1. Nehmen Sie alle Änderungen an einem vorhandenen Konto im Kontoanforderungsrepo vor.
1. Richten Sie ein neues Konto bei AFT ein.
# Anpassungen des Kontos
AFT kann Standard- oder benutzerdefinierte Konfigurationen in bereitgestellten Konten bereitstellen. Im AFT-Verwaltungskonto stellt AFT eine Pipeline für jedes Konto bereit. Mit dieser Pipeline können Sie Ihre Anpassungen in allen Konten, in einer Gruppe von Konten oder in einzelnen Konten implementieren. Sie können Python-Skripte, Bash-Skripte und Terraform-Konfigurationen ausführen oder im Rahmen Ihrer Kontoanpassungen mit der AWS-CLI interagieren.
## -Übersicht
Nachdem Ihre Anpassungen in den von Ihnen ausgewählten `git` Repositorys angegeben wurden, entweder in dem, in dem Sie Ihre globalen Anpassungen speichern, oder in dem, in dem Sie Ihre Kontoanpassungen speichern, wird die Phase der Kontoanpassungen automatisch von der AFT-Pipeline abgeschlossen. Informationen zur rückwirkenden Anpassung von Konten finden Sie unter. [Rufen Sie Anpassungen erneut auf](#aft-re-invoke-customizations)
**Globale Anpassungen (optional)**
Sie können sich dafür entscheiden, bestimmte Anpassungen auf alle Konten anzuwenden, die von AFT bereitgestellt werden. Wenn Sie beispielsweise eine bestimmte IAM-Rolle erstellen oder in jedem Konto ein benutzerdefiniertes Steuerelement bereitstellen müssen, können Sie dies in der Phase der globalen Anpassungen in der AFT-Pipeline automatisch tun.
**Kontoanpassungen (optional)**
Um ein einzelnes Konto oder eine Gruppe von Konten anders als andere von AFT bereitgestellte Konten anzupassen, können Sie den Bereich Kontoanpassungen der AFT-Pipeline nutzen, um kontospezifische Konfigurationen zu implementieren. Beispielsweise benötigt möglicherweise nur ein bestimmtes Konto Zugriff auf ein Internet-Gateway.
## Voraussetzungen für die Anpassung
Bevor Sie mit der Anpassung von Konten beginnen, stellen Sie sicher, dass diese Voraussetzungen erfüllt sind.
+ Ein vollständig bereitgestelltes AFT. Informationen zur Bereitstellung finden Sie unter[Konfigurieren und starten Sie Ihre AWS Control Tower Account Factory für Terraform](aft-getting-started.md#aft-configure-and-launch).
+ Vorab ausgefüllte `git` Repositorys für globale Anpassungen und Kontoanpassungen in Ihrer Umgebung. Weitere Informationen finden Sie unter *Schritt 3: Füllen Sie die einzelnen Repositorys* aus. [Schritte nach der Bereitstellung](aft-post-deployment.md)
## Wenden Sie globale Anpassungen an
Um globale Anpassungen anzuwenden, müssen Sie eine bestimmte Ordnerstruktur in das von Ihnen gewählte Repository übertragen.
+ Wenn Ihre benutzerdefinierten Konfigurationen in Form von Python-Programmen oder -Skripten vorliegen, platzieren Sie diese im Ordner **api\$1helpers/python** in Ihrem Repository.
+ **Wenn Ihre benutzerdefinierten Konfigurationen in Form von Bash-Skripten vorliegen, platzieren Sie diese im Ordner api\$1helpers in Ihrem Repository.**
+ **Wenn Ihre benutzerdefinierten Konfigurationen in Form von Terraform vorliegen, platzieren Sie diese im Terraform-Ordner in Ihrem Repository.**
+ Weitere Informationen zum Erstellen benutzerdefinierter Konfigurationen finden Sie in der README-Datei für globale Anpassungen.
**Anmerkung**
Globale Anpassungen werden automatisch nach der Framework-Phase für die AFT-Kontobereitstellung in der AFT-Pipeline angewendet.
## Wenden Sie Kontoanpassungen an
****
Sie können Kontoanpassungen vornehmen, indem Sie eine bestimmte Ordnerstruktur in das von Ihnen gewählte Repository übertragen. Kontoanpassungen werden automatisch in der AFT-Pipeline und nach der Phase der globalen Anpassungen angewendet. Sie können in Ihrem Repository für Kontoanpassungen auch mehrere Ordner erstellen, die unterschiedliche Kontoanpassungen enthalten. Gehen Sie für jede Kontoanpassung, die Sie benötigen, wie folgt vor.
**Um Kontoanpassungen anzuwenden**
1. **Schritt 1: Erstellen Sie einen Ordner für eine Kontoanpassung**
Kopieren Sie in Ihrem ausgewählten Repository den von AFT bereitgestellten `ACCOUNT_TEMPLATE` Ordner in einen neuen Ordner. Der Name Ihres neuen Ordners sollte mit dem Namen übereinstimmen`account_customizations_name`, den Sie in Ihrer Kontoanfrage angegeben haben.
1. **Fügen Sie die Konfigurationen Ihrem spezifischen Kontoanpassungsordner hinzu**
Sie können Ihrem Ordner mit Kontoanpassungen Konfigurationen hinzufügen, die auf dem Format Ihrer Konfigurationen basieren.
+ Wenn Ihre benutzerdefinierten Konfigurationen in Form von Python-Programmen oder -Skripten vorliegen, platzieren Sie sie im Ordner ***[account\$1customizations\$1name]*/api\$1helpers/python**, der sich in Ihrem Repository befindet.
+ Wenn Ihre benutzerdefinierten Konfigurationen in Form von Bash-Skripten vorliegen, platzieren Sie sie im Ordner ***[account\$1customizations\$1name]*/api\$1helpers**, der sich in Ihrem Repository befindet.
+ Wenn Ihre benutzerdefinierten Konfigurationen in Form von Terraform vorliegen, platzieren Sie sie im Ordner ***[account\$1customizations\$1name]*/terraform**, der sich in Ihrem Repository befindet.
Weitere Informationen zum Erstellen benutzerdefinierter Konfigurationen finden Sie in der README-Datei für Kontoanpassungen.
1. **Beziehen Sie sich auf den spezifischen `account_customizations_name` Parameter in der Kontoanforderungsdatei**
Die AFT-Kontoanforderungsdatei enthält den Eingabeparameter`account_customizations_name`. Geben Sie den Namen Ihrer Kontoanpassung als Wert für diesen Parameter ein.
**Anmerkung**
Sie können mehrere Kontoanfragen für Konten in Ihrer Umgebung einreichen. Wenn Sie unterschiedliche oder ähnliche Kontoanpassungen anwenden möchten, geben Sie die Kontoanpassungen mithilfe des `account_customizations_name` Eingabeparameters in Ihren Kontoanfragen an. Weitere Informationen finden Sie unter Mehrere Kontoanfragen [einreichen](https://docs.aws.amazon.com/controltower/latest/userguide/aft-multiple-account-requests.html).
## Rufen Sie Anpassungen erneut auf
AFT bietet eine Möglichkeit, Anpassungen in der AFT-Pipeline erneut aufzurufen. Diese Methode ist nützlich, wenn Sie einen neuen Anpassungsschritt hinzugefügt haben oder wenn Sie Änderungen an einer vorhandenen Anpassung vornehmen. Wenn Sie erneut aufrufen, initiiert AFT die Anpassungspipeline, um Änderungen am bereitgestellten AFT-Konto vorzunehmen. Durch einen event-source-based erneuten Aufruf können Sie Anpassungen auf einzelne Konten, auf alle Konten, auf Konten entsprechend ihrer Organisationseinheit oder auf Konten, die anhand von Stichwörtern ausgewählt wurden, anwenden.
Folgen Sie diesen drei Schritten, um Anpassungen für von AFT bereitgestellte Konten erneut aufzurufen.
**Schritt 1: Änderungen an globale Repositorys oder Repositorys für Kontoanpassungen weiterleiten `git`**
Sie können Ihre globalen Anpassungen und Kontoanpassungen nach Bedarf aktualisieren und Änderungen zurück in Ihre Repositorys übertragen. `git` Zu diesem Zeitpunkt passiert nichts. Die Anpassungspipeline muss von einer Ereignisquelle aufgerufen werden, wie in den nächsten beiden Schritten erklärt.
**Schritt 2: Starten Sie eine AWS Step Function-Ausführung, um Anpassungen erneut aufzurufen**
AFT bietet eine AWS-Step-Funktion, die `aft-invoke-customizations` im AFT-Verwaltungskonto aufgerufen wird. Der Zweck dieser Funktion besteht darin, die Anpassungspipeline für von AFT bereitgestellte Konten erneut aufzurufen.
Hier ist ein Beispiel für ein Ereignisschema (JSON-Format), das Sie erstellen können, um Eingaben an die `aft-invoke-customizations` AWS Step Function zu übergeben.
```
{
"include": [
{
"type": "all"
},
{
"type": "ous",
"target_value": [ "ou1","ou2"]
},
{
"type": "tags",
"target_value": [ {"key1": "value1"}, {"key2": "value2"}]
},
{
"type": "accounts",
"target_value": [ "acc1_ID","acc2_ID"]
}
],
"exclude": [
{
"type": "ous",
"target_value": [ "ou1","ou2"]
},
{
"type": "tags",
"target_value": [ {"key1": "value1"}, {"key2": "value2"}]
},
{
"type": "accounts",
"target_value": [ "acc1_ID","acc2_ID"]
}
]
}
```
Das Beispiel-Eventschema zeigt, dass Sie Konten auswählen können, die in den erneuten Aufrufprozess aufgenommen oder davon ausgeschlossen werden sollen. Sie können nach Organisationseinheit (OU), Konto-Tags und Konto-ID filtern. Wenn Sie keine Filter anwenden und den Kontoauszug hinzufügen`"type":"all"`, wird die Anpassung für alle von AFT bereitgestellten Konten erneut aufgerufen.
**Anmerkung**
Wenn Ihre Version von AWS Control Tower Account Factory for Terraform (AFT) 1.6.5 oder höher ist, können Sie als Targeting verwenden ( OUs mit der Syntax verschachtelt). `OU Name (ou-id-1234` Weitere Informationen finden Sie im folgenden Thema unter. [GitHub](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/issues/280)
Nachdem Sie die Ereignisparameter ausgefüllt haben, wird Step Functions ausgeführt und ruft die entsprechenden Anpassungen auf. AFT kann maximal 5 Anpassungen gleichzeitig aufrufen. Step Functions wartet und wiederholt, bis alle Konten, die den Ereigniskriterien entsprechen, vollständig sind.
**Schritt 3: Überwachen Sie die AWS Step Function-Ausgabe und beobachten Sie, wie AWS CodePipeline läuft**
+ Die resultierende Step Function-Ausgabe enthält Konten IDs , die der Step Function-Eingabeereignisquelle entsprechen.
+ Navigieren Sie CodePipeline unter **Developer Tools** zu AWS und sehen Sie sich die entsprechenden Anpassungspipelines für die Konto-ID an.
## Fehlerbehebung bei der Rückverfolgung von Anfragen zur AFT-Kontoanpassung
Workflows zur Kontoanpassung, die auf AWS Lambda Emissionsprotokollen basieren, die das Zielkonto und die Anpassungsanfrage IDs enthalten. AFT ermöglicht es Ihnen, Anpassungsanfragen mit Amazon CloudWatch Logs zu verfolgen und zu beheben, indem es Ihnen CloudWatch Logs Insights-Abfragen zur Verfügung stellt, mit denen Sie CloudWatch Logs zu Ihrer Anpassungsanfrage nach Ihrem Zielkonto oder Ihrer Personalisierungsanforderungs-ID filtern können. Weitere Informationen finden Sie unter [Analysieren von Protokolldaten mit Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
**Um CloudWatch Logs Insights für AFT zu verwenden**
1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie im Navigationsbereich **Logs und dann Logs** **Insights** aus.
1. Wählen Sie **Abfragen** aus.
1. Wählen Sie unter **Beispielabfragen** die Option **Account Factory for Terraform** und wählen Sie dann eine der folgenden Abfragen aus:
+ **Anpassungsprotokolle nach Konto-ID**
**Anmerkung**
Stellen Sie sicher, dass Sie es *"YOUR-ACCOUNT-ID"* durch Ihre Zielkonto-ID ersetzen.
```
fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.account_id == "YOUR-ACCOUNT-ID" and @message like /customization_request_id/
```
+ **Anpassungsprotokolle nach der ID der Anpassungsanforderung**
**Anmerkung**
Stellen Sie sicher, dass Sie es *"YOUR-CUSTOMIZATION-REQUEST-ID"* durch Ihre Personalisierungsanforderungs-ID ersetzen. Sie finden Ihre Anpassungsanforderungs-ID in der Ausgabe der AWS Step Functions State-Machine des AFT-Account-Provisioning-Frameworks. Weitere Informationen zum Framework für die AFT-Kontobereitstellung finden Sie unter Pipeline zur [AFT-Kontobereitstellung](https://docs.aws.amazon.com/controltower/latest/userguide/aft-provisioning-framework.html)
```
fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.customization_request_id == "YOUR-CUSTOMIZATION-REQUEST-ID"
```
1. Nachdem Sie eine Abfrage ausgewählt haben, stellen Sie sicher, dass Sie ein Zeitintervall auswählen, und wählen Sie dann Abfrage **ausführen** aus.
# Alternativen zur Versionskontrolle von Quellcode in AFT
AFT AWS CodeCommit verwendet als Quellcode-Versionskontrollsystem (VCS) und ermöglicht andere, [CodeConnections](https://docs.aws.amazon.com//dtconsole/latest/userguide/supported-versions-connections.html)die Ihren Geschäftsanforderungen oder der vorhandenen Architektur entsprechen.
Wenn Sie AFT zum ersten Mal bereitstellen und noch kein CodeCommit Repository haben, müssen Sie im Rahmen der AFT-Bereitstellungsvoraussetzungen einen externen VCS-Anbieter angeben.
**AFT unterstützt die folgenden Alternativen zur Quellcodeverwaltung:**
+ GitHub
+ GitHub Unternehmensserver
+ BitBucket
+ GitLab
+ GitLab Selbstverwaltet
**Anmerkung**
Wenn Sie es AWS CodeCommit als Ihr VCS angeben, sind keine zusätzlichen Schritte erforderlich. AFT erstellt die erforderlichen `git` Repositorys in Ihrer Umgebung mit Standardnamen. Sie können jedoch die Standard-Repository-Namen bei CodeCommit Bedarf überschreiben, um Ihren Unternehmensstandards zu entsprechen.
## Richten Sie mit AFT ein alternatives Quellcode-Versionskontrollsystem (benutzerdefiniertes VCS) ein
Gehen Sie folgendermaßen vor, um ein alternatives Quellcode-Versionskontrollsystem für Ihre AFT-Bereitstellung einzurichten.
**Schritt 1: Erstellen Sie `git` Repositorys in einem unterstützten Versionskontrollsystem (VCS) eines Drittanbieters.**
Wenn Sie es nicht verwenden AWS CodeCommit, müssen Sie in Ihrer von AFT unterstützten VCS-Drittanbieter-Umgebung `git` Repositorys für die folgenden Elemente erstellen.
+ **AFT-Kontoanfragen.** [Beispielcode verfügbar](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-request). Weitere Informationen zu AFT-Kontoanfragen finden Sie unter[Stellen Sie ein neues Konto bei AFT bereit](aft-provision-account.md).
+ **Anpassungen bei der Bereitstellung von AFT-Konten.** [Beispielcode verfügbar.](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-provisioning-customizations) Weitere Informationen zu Anpassungen der AFT-Kontobereitstellung finden Sie unter. [Erstellen Sie Ihr AFT-Konto, Provisioning, Anpassungen, State-Machine.](aft-provisioning-framework.md#aft-create-customizations)
+ **Globale AFT-Anpassungen.** [Beispielcode verfügbar.](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-global-customizations) Weitere Informationen zu globalen AFT-Anpassungen finden Sie unter[Anpassungen des Kontos](aft-account-customization-options.md).
+ **Anpassungen des AFT-Kontos.** [Beispielcode verfügbar.](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-customizations) Weitere Informationen zu AFT-Kontoanpassungen finden Sie unter[Anpassungen des Kontos](aft-account-customization-options.md).
**Schritt 2: Geben Sie die für die AFT-Bereitstellung erforderlichen VCS-Konfigurationsparameter an**
Die folgenden Eingabeparameter werden benötigt, um Ihren VCS-Anbieter im Rahmen der AFT-Bereitstellung zu konfigurieren.
+ **vcs\$1provider**: Wenn Sie nicht verwenden AWS CodeCommit, geben Sie den VCS-Anbieter je nach `"bitbucket"` Anwendungsfall als`"github"`, `"githubenterprise"``"gitlab"`, oder an.
+ **github\$1enterprise\$1url: Geben Sie die URL nur** für Enterprise-Kunden an. GitHub GitHub
+ **account\$1request\$1repo\$1name**: Für Benutzer ist dieser Wert auf gesetzt. AWS CodeCommit `aft-account-request` Aktualisieren Sie in einer von AFT unterstützten VCS-Anbieterumgebung eines Drittanbieters diesen Eingabewert mit Ihrem tatsächlichen Repository-Namen. Für Github BitBucket GitLab, GitHub Enterprise und GitLab Self-managed muss der Repository-Name das folgende Format haben. `[Org]/[Repo]`
+ **account\$1customizations\$1repo\$1name**: Für Benutzer ist dieser Wert auf gesetzt. AWS CodeCommit `aft-account-customizations` Aktualisieren Sie diesen Eingabewert in einer von AFT unterstützten VCS-Anbieterumgebung eines Drittanbieters mit Ihrem Repository-Namen. Für Github BitBucket GitLab, GitHub Enterprise und GitLab Self-managed muss der Repository-Name das folgende Format haben. `[Org]/[Repo]`
+ **account\$1provisioning\$1customizations\$1repo\$1name: Für Benutzer ist dieser Wert auf gesetzt**. AWS CodeCommit `aft-account-provisioning-customizations` Aktualisieren Sie in einer von AFT unterstützten VCS-Anbieterumgebung eines Drittanbieters diesen Eingabewert mit Ihrem Repository-Namen. Für Github BitBucket GitLab, GitHub Enterprise und GitLab Self-managed muss der Repository-Name das folgende Format haben. `[Org]/[Repo]`
+ **global\$1customizations\$1repo\$1name**: Für Benutzer ist dieser Wert auf gesetzt. AWS CodeCommit `aft-global-customizations` Aktualisieren Sie diesen Eingabewert in einer von AFT unterstützten VCS-Anbieterumgebung eines Drittanbieters mit Ihrem Repository-Namen. Für Github BitBucket GitLab, GitHub Enterprise und GitLab Self-managed muss der Repository-Name das folgende Format haben. `[Org]/[Repo]`
+ **account\$1request\$1repo\$1branch**: Der Branch ist `main` standardmäßig aktiviert, aber der Wert kann überschrieben werden.
Standardmäßig stammen AFT-Quellen aus dem Branch jedes Repositorys. `main` `git` Sie können den Wert des Zweignamens mit einem zusätzlichen Eingabeparameter überschreiben. Weitere Informationen zu Eingabeparametern finden Sie in der README-Datei im [AFT-Terraform-Modul](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/blob/main/README.md#inputs).
**Für Bestandskunden AWS CodeCommit**
Wenn Sie ein CodeCommit Repository mit einem neuen Namen für AFT erstellen, können Sie den Repository-Namen aktualisieren, indem Sie die Werte für diese Eingabeparameter aktualisieren.
**Schritt 3: Stellen Sie die AWS CodeCommit Verbindung für VCS-Drittanbieter her**
Wenn Ihre Bereitstellung ausgeführt wird, erstellt AFT entweder die erforderlichen AWS CodeCommit Repositorys oder es stellt eine AWS CodeCommit Verbindung für den von Ihnen ausgewählten VCS-Drittanbieter her. Im letzteren Fall müssen Sie sich manuell bei der Konsole des AFT-Verwaltungskontos anmelden, um die ausstehende CodeCommit Verbindung herzustellen. Weitere Anweisungen [zum AWS CodeCommit Herstellen der CodeCommit Verbindung finden Sie in der Dokumentation](https://docs.aws.amazon.com//dtconsole/latest/userguide/connections-update.html).
# AFT von AWS CodeCommit einem anderen VCS-Anbieter verschieben
Dieser Abschnitt bietet einen Überblick darüber, wie Sie AWS Control Tower Account Factory for Terraform (AFT) von AWS CodeCommit Ihrem Versionskontrollsystem (VCS) zu einem anderen VCS-Anbieter verschieben können.
**Schritt 1.** Richten Sie neue Repositorys im VCS Ihrer Wahl ein.
**Schritt 2.** Fügen Sie diese Repositorys als neue Fernbedienungen hinzu. `git`
**Schritt 3.** Führen Sie `git push` den Befehl zum neuen VCS-Anbieter aus.
**Anmerkung**
Die Repository-Struktur, die Sie erstellen, sollte dieselbe sein wie in AWS CodeCommit. Eine Änderung der Struktur beeinträchtigt die Fähigkeit von AFT, den gewünschten Code auszuführen.
aft-account-request
aft-account-customizations
aft-global-customizations
aft-account-provisioning-customizations
**Schritt 4.** Aktualisieren Sie in Ihrem AWS Control Tower Tower-Verwaltungskonto das Terraform-Modul (Bootstrap) so, dass es auf Ihren VCS-Anbieter verweist, wie im folgenden Beispiel gezeigt:
**Beispiel:** [mit Terraform OSS GitLab ](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/blob/main/examples/gitlab%2Btf_oss/main.tf)
— Führen Sie dann `terraform plan` eine Vorschau der Änderungen durch. `terraform apply`
**Schritt 5.** Gehen Sie wie folgt vor, um die Einrichtung von CodeConnection (früher bekannt als CodeStar) abzuschließen:
1. Melden Sie sich bei Ihrem AFT-Verwaltungskonto an
1. Suchen und vervollständigen Sie die ausstehenden Informationen AWS CodeConnections für den neuen VCS-Anbieter, wie unter [Eine ausstehende Verbindung aktualisieren](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-update.html) oder in der AWS Konsole [`https://us-east-1.console.aws.amazon.com/codesuite/settings/connections`] beschrieben.
1. Referenz: Schritte [nach der Bereitstellung](https://docs.aws.amazon.com//controltower/latest/userguide/aft-post-deployment.html)
**Anmerkung**
Kontopipelines behalten die vorherige Quelle bei, bis `aft-invoke-customizations` *Step Functions* aufgerufen wird. Dieser Aufruf kann als Teil des Upgrades oder als Teil der nächsten Anpassungsaufrufe erfolgen.
Weitere Informationen findest du in diesem Blog: [So migrierst du dein AWS CodeCommit Repository zu einem anderen Git-Anbieter](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider).
# Datenschutz
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com//compliance/shared-responsibility-model/) gilt für den Datenschutz in AFT. Aus Datenschutzgründen empfehlen wir die folgenden bewährten Sicherheitsmethoden.
+ Folgen Sie den Datenschutzrichtlinien von AWS Control Tower. Details hierzu finden Sie unter [Datenschutz in AWS Control Tower](controltower-console-encryption.md).
+ Behalten Sie die Terraform-State-Konfiguration bei, die zum Zeitpunkt der AFT-Bereitstellung generiert wurde. Details hierzu finden Sie unter [Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit](aft-getting-started.md).
+ Wechseln Sie sensible Anmeldeinformationen regelmäßig, wie es die Sicherheitsrichtlinie Ihres Unternehmens vorschreibt. Beispiele für Geheimnisse sind `git` Terraform-Token, Token usw.
**Verschlüsselung im Ruhezustand**
AFT erstellt Amazon S3 S3-Buckets, Amazon SNS SNS-Themen, Amazon SQS SQS-Warteschlangen und Amazon DynamoDB DynamoDB-Datenbanken, die im Ruhezustand mit Key Management Service-Schlüsseln verschlüsselt werden. AWS Bei von AFT erstellten KMS-Schlüsseln ist die jährliche Rotation standardmäßig aktiviert. Wenn Sie sich für die Terraform Cloud- oder Terraform Enterprise-Distributionen von Terraform entscheiden, enthält AFT einen AWS Systems Manager SecureString Manager-Parameter zum Speichern sensibler Terraform-Tokenwerte.
AFT verwendet die unter beschriebenen AWS Dienste, die standardmäßig im Ruhezustand verschlüsselt [Komponenten-Dienste](aft-components.md) sind. Einzelheiten finden Sie in der AWS Dokumentation der einzelnen AWS Dienste von AFT und erfahren Sie mehr über die Datenschutzpraktiken, die von den einzelnen Diensten befolgt werden.
**Verschlüsselung während der Übertragung**
AFT stützt sich auf [Komponenten-Dienste](aft-components.md) die unter beschriebenen AWS Dienste, die standardmäßig Verschlüsselung bei der Übertragung verwenden. Einzelheiten finden Sie in der AWS Dokumentation der einzelnen AWS Dienste von AFT und erfahren Sie mehr über die Datenschutzpraktiken, die von den einzelnen Diensten befolgt werden.
Bei Terraform Cloud- oder Terraform Enterprise-Distributionen ruft AFT eine HTTPS-Endpunkt-API für den Zugriff auf Ihre Terraform-Organisation auf. Wenn Sie sich für einen VCS-Drittanbieter entscheiden, der von AWS CodeStar Verbindungen unterstützt wird, ruft AFT eine HTTPS-Endpunkt-API für den Zugriff auf Ihre VCS-Anbieterorganisation auf.
# Ein Konto aus AFT entfernen
In diesem Thema wird beschrieben, wie ein Konto aus AFT entfernt wird, sodass die AFT-Pipeline die Bereitstellung und Aktualisierung des Kontos beendet.
**Wichtig**
Das Entfernen eines Kontos aus der AFT-Pipeline ist irreversibel und kann zu einem Statusverlust führen.
Sie können ein Konto aus AFT entfernen, wenn Sie ein Konto für eine stillgelegte Anwendung schließen, ein kompromittiertes Konto isolieren oder ein Konto von einer Organisation in eine andere verschieben möchten.
**Anmerkung**
Das Entfernen eines Kontos aus AFT unterscheidet sich vom Löschen eines AWS Control Tower Tower-Kontos oder AWS-Konto. Wenn Sie ein Konto aus AFT entfernen, verwaltet AWS Control Tower das Konto weiterhin. Um ein AWS Control Tower Tower-Konto zu löschen AWS-Konto, oder gehen Sie wie folgt vor:
Im *AWS Control Tower Tower-Benutzerhandbuch* die [Verwaltung eines Kontos aufheben](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html).
[Ein Konto schließen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) im *AWS Billing Benutzerhandbuch*.
**Um ein Konto aus den AFT-Pipelines zu entfernen**
Das folgende Verfahren beschreibt, wie Sie ein Konto aus AFT entfernen.
1. **Entfernen Sie das Konto aus dem `git` Repository, in dem Kontoanfragen gespeichert sind**
Löschen Sie in dem `git` Repository, in dem Sie Kontoanfragen speichern, die Kontoanfrage für das Konto, das Sie aus AFT entfernen möchten.
Wenn Sie eine Kontoanfrage aus dem Kontoanforderungs-Repository entfernen, löscht AFT die Anpassungspipeline und die Konto-Metadaten. Weitere Informationen finden Sie in den [Versionshinweisen für AFT 1.8.0](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases/tag/1.8.0) unter. GitHub
1. **Terraform Workspace löschen (nur für Terraform Cloud- und Terraform Enterprise-Kunden)**
Löschen Sie die Arbeitsbereiche für globale Anpassungen und Kontoanpassungen für das Konto, das Sie aus AFT entfernen möchten.
1. **Terraform-Status aus dem Amazon S3 S3-Backend löschen**
Löschen Sie im AFT-Verwaltungskonto alle relevanten Ordner in den Amazon S3 S3-Buckets für das Konto, das Sie aus AFT entfernen möchten.
**Tipp**
Ersetzen Sie es in den folgenden Beispielen `012345678901` durch die ID-Nummer des AFT-Verwaltungskontos.
**Beispiel: Terraform OSS**
Wenn Sie sich für Terraform OSS entscheiden, finden Sie 3 Ordner für jedes Konto in den Buckets `aft-backend-012345678901-primary-region` und `aft-backend-012345678901-secondary-region` Amazon S3. *Diese Ordner beziehen sich auf den Status der *Kontoanpassungen, den Status der Anpassungspipeline* *und den Status der globalen Anpassungen**
**Beispiel: Terraform Cloud oder Terraform Enterprise**
Wenn Sie sich für Terraform Cloud oder Terraform Enterprise entscheiden, finden Sie einen Ordner für jedes Konto in den Buckets `aft-backend-012345678901-primary-region` und `aft-backend-012345678901-secondary-region` Amazon S3. *Diese Ordner beziehen sich auf den Status der Anpassungs-Pipeline.*
# Operationelle Metriken
Standardmäßig sendet *Account Factory for Terraform (AFT)* anonyme Betriebsmetriken an. AWS Wir verwenden diese Daten, um zu verstehen, wie Kunden AFT verwenden, sodass wir die Qualität und die Funktionen der Lösung verbessern können. Sie können die Datenerfassung deaktivieren, indem Sie während der AFT-Bereitstellung einen Parameter ändern. Wenn die Erfassung aktiviert ist, werden die folgenden Daten gesendet an AWS:
+ **Lösung:** Die AFT-spezifische Kennung
+ **Version:** Die Version von AFT
+ **Universally Unique Identifier (UUID):** Zufällig generierter, eindeutiger Bezeichner für jede AFT-Bereitstellung
+ **Zeitstempel:** Zeitstempel der Datenerfassung
+ **Daten:** AFT-Konfiguration und vom Kunden ergriffene Maßnahmen
AWS besitzt die gesammelten Daten. Die Datenerfassung unterliegt der [AWS Datenschutzrichtlinie](https://aws.amazon.com/privacy/).
**Anmerkung**
Versionen von AFT vor 1.6.0 melden keine Nutzungsmetriken an AWS.
So deaktivieren Sie die Berichterstattung über Metriken:
+ Stellen Sie `false` in Ihrer Terraform-Eingabekonfigurationsdatei den Eingabewert auf ein, wie im folgenden Beispiel gezeigt, und stellen Sie AFT erneut bereit. `aft_metrics_reporting` Dieser Wert ist `true` standardmäßig auf festgelegt, wenn Sie ihn nicht explizit festlegen.
Wenn Sie das Beispiel kopieren, denken Sie daran, die in Zeichenketten angegebenen Elemente durch Ihre tatsächlichen ID- und Regionswerte durch zu ersetzen`x`.
```
module "control_tower_account_factory" {
source = "aws-ia/control_tower_account_factory/aws"
# Required Vars
ct_management_account_id = "xxxxxxxxxxx"
log_archive_account_id = "xxxxxxxxxxx"
audit_account_id = "xxxxxxxxxxx"
aft_management_account_id = "xxxxxxxxxxx"
ct_home_region = "xx-xxxx-x"
tf_backend_secondary_region = "xx-xxxx-x"
# Optional Vars
aft_metrics_reporting = false # to opt out, set this value to false
}
```
# Leitfaden zur Fehlerbehebung bei Account Factory for Terraform (AFT)
In diesem Abschnitt können Sie häufig auftretende Probleme beheben, die bei der Verwendung von Account Factory for Terraform (AFT) auftreten können.
**Topics**
+ [Allgemeine Probleme](#w2aac44c33c45b7)
+ [Probleme im Zusammenhang mit der Kontobereitstellung/Registrierung](#w2aac44c33c45b9)
+ [Probleme im Zusammenhang mit dem Aufruf von Anpassungen](#w2aac44c33c45c11)
+ [Probleme im Zusammenhang mit dem Workflow für Kontoanpassungen](#w2aac44c33c45c13)
## Allgemeine Probleme
+ **Ressourcenkontingente überschritten AWS **
Wenn Ihre Protokollgruppen darauf hinweisen, dass Sie die AWS Ressourcenkontingente überschritten haben, wenden Sie sich an den [AWS Support](https://aws.amazon.com/premiumsupport/). Account Factory verwendet AWS-Services mit Ressourcenkontingenten, die AWS CodeBuild AWS Organizations, und beinhalten AWS Systems Manager. Weitere Informationen finden Sie hier:
+ [Was ist AWS CodeBuild?](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html) im *CodeBuild Benutzerhandbuch*.
+ [Was ist AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) im *Organizations User Guide*.
+ [Was ist AWS Systems Manager?](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) im *Systems Manager Manager-Benutzerhandbuch*.
+ **Veraltete Version von Account Factory**
Wenn Sie auf ein Problem stoßen und glauben, dass es sich bei dem Problem um einen Bug handelt, stellen Sie sicher, dass Sie über die neueste Version von Account Factory verfügen. Weitere Informationen finden Sie unter [Account Factory Factory-Version aktualisieren](https://docs.aws.amazon.com/controltower/latest/userguide/update-aft-version.html).
+ **Lokale Änderungen wurden am Account Factory Factory-Quellcode vorgenommen**
Account Factory ist ein Open-Source-Projekt. AWS Control Tower unterstützt den Account Factory Factory-Kerncode. Wenn Sie eine lokale Änderung am Account Factory Factory-Core-Code vornehmen, unterstützt AWS Control Tower Ihre Account Factory Factory-Bereitstellung nur nach bestem Wissen.
+ **Unzureichende Account Factory Factory-Rollenberechtigungen**
Account Factory erstellt IAM-Rollen und -Richtlinien, um die Bereitstellung und Anpassung von Verkäuferkonten zu verwalten. Wenn Sie diese Rollen oder Richtlinien ändern, kann die Account Factory Factory-Pipeline möglicherweise bestimmte Aktionen nicht ausführen. Weitere Informationen finden Sie unter [Erforderliche Rollen](https://docs.aws.amazon.com/controltower/latest/userguide/aft-required-roles.html).
+ **Konto-Repositorys wurden nicht korrekt gefüllt**
Stellen Sie sicher, dass Sie die [Schritte nach der Bereitstellung](https://docs.aws.amazon.com/controltower/latest/userguide/aft-post-deployment.html) befolgen, bevor Sie Konten bereitstellen.
+ **Nach manuellem Ändern der Organisationseinheit wird keine Abweichung festgestellt**
**Anmerkung**
AWS Control Tower erkennt Drift automatisch. Informationen zur Behebung von Abweichungen finden Sie unter Drift [erkennen und beheben in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift).
Abweichungen werden nicht erkannt, wenn die Organisationseinheit (OU) manuell geändert wird. Dies ist auf den ereignisgesteuerten Charakter von Account Factory zurückzuführen. Wenn eine Kontoanfrage eingereicht wird, handelt es sich bei der von Terraform verwalteten Ressource um einen Amazon DynamoDB DynamoDB-Artikel, nicht um ein direktes Konto. Nachdem ein Element geändert wurde, wird die Anfrage in eine Warteschlange gestellt, wo AWS Control Tower sie über Service Catalog (den Service, der Kontodetails verwaltet) verarbeitet. Wenn Sie die Organisationseinheit manuell ändern, wird keine Abweichung festgestellt, da sich die Kontoanforderung nicht geändert hat.
## Probleme im Zusammenhang mit der Kontobereitstellung/Registrierung
+ **Eine Kontoanfrage (E-Mail-Adresse/Name) ist bereits vorhanden**
Das Problem führt in der Regel zu einem Ausfall eines Service Catalog-Produkts während der Bereitstellung oder als`ConditionalCheckFailedException`.
Sie können weitere Informationen zu dem Problem finden, indem Sie einen der folgenden Schritte ausführen:
+ Überprüfen Sie Ihre Terraform- oder CloudWatch Logs-Protokollgruppen.
+ Überprüfen Sie die Fehler, die an das Amazon SNS-Thema `aft-failure-notifications` gemeldet wurden.
+ **Falsch formatierte Kontoanfrage**
Vergewissern Sie sich, dass Ihre Kontoanfrage dem erwarteten Schema entspricht. Beispiele finden Sie unter [terraform-aws-control\$1tower\$1account\$1factory on](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/tree/main/sources/aft-customizations-repos/aft-account-request/examples). GitHub
+ **Ressourcenkontingente von AWS Organizations überschritten**
Stellen Sie sicher, dass Ihre Kontoanfrage die AWS Organizations Ressourcenkontingente nicht überschreitet. Weitere Informationen finden Sie unter [Kontingente für AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html).
## Probleme im Zusammenhang mit dem Aufruf von Anpassungen
+ **Das Zielkonto ist nicht in Account Factory integriert**
Vergewissern Sie sich, dass alle Konten, die in einer Anpassungsanfrage enthalten sind, in Account Factory aufgenommen wurden. Weitere Informationen finden Sie unter [Ein bestehendes Konto aktualisieren](https://docs.aws.amazon.com/controltower/latest/userguide/aft-update-account.html).
+ **Das Konto, auf das die Anpassungsanfrage abzielt, ist in der DynamoDB-Tabelle vorhanden`aft-request-metadata`, aber nicht im Kontenanforderungs-Repository**
Formatieren Sie Ihre Anfrage zum Aufruf der Anpassung so, dass das betreffende Konto ausgeschlossen wird, indem Sie einen der folgenden Schritte ausführen:
+ Löschen Sie in der DynamoDB-Tabelle den Eintrag`aft-request-metadata`, der auf das Konto verweist, das sich nicht mehr in Ihrem Kontoanforderungs-Repository befindet.
+ Verwenden Sie nicht „alle“ als Ziel.
+ Es zielt nicht auf die Organisationseinheit ab, zu der das Konto gehört.
+ Das Konto wird nicht direkt ins Visier genommen.
+ **Falsches Token für Terraform Cloud verwendet**
Stellen Sie sicher, dass Sie das richtige Token eingerichtet haben. Terraform Cloud unterstützt nur teambasierte Token, keine organisationsbasierten Token.
+ **Konto konnte nicht erstellt werden, bevor die Pipeline für Kontoanpassungen erstellt wurde; Konto kann nicht angepasst werden**
Nehmen Sie eine Änderung an der Kontospezifikation im Repository für Kontoanfragen vor. Wenn Sie eine Änderung vornehmen, z. B. einen Tag-Wert für ein Konto ändern, folgt Account Factory dem Pfad, der versucht, die Pipeline zu erstellen, auch wenn die Pipeline nicht existiert.
## Probleme im Zusammenhang mit dem Workflow für Kontoanpassungen
Wenn Sie Probleme im Zusammenhang mit dem Workflow für Kontoanpassungen haben, stellen Sie sicher, dass Ihre Version von AFT 1.8.0 oder höher ist und dass Sie alle Instanzen von kontobezogenen Metadaten aus Ihrer DynamoDB-Anforderungstabelle löschen.
[Informationen zur AFT-Version 1.8.0 finden Sie unter Version 1.8.0 unter.](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases/tag/1.8.0) GitHub
Informationen dazu, wie Sie Ihre Version von AFT überprüfen und aktualisieren können, finden Sie im Folgenden:
+ [Überprüfen Sie die AFT-Version](https://docs.aws.amazon.com/controltower/latest/userguide/check-aft-version.html)
+ [Aktualisieren Sie die AFT-Version](https://docs.aws.amazon.com/controltower/latest/userguide/update-aft-version.html)
Sie können auch Anpassungsanfragen verfolgen und Fehler beheben, indem Sie Amazon CloudWatch Logs Insights-Abfragen verwenden, um Protokolle zu filtern, die Ihr Zielkonto und Ihre Anpassungsanfrage enthalten IDs. Weitere Informationen finden Sie unter [Fehlerbehebung bei der Rückverfolgung von Anfragen zur AFT-Kontoanpassung](https://docs.aws.amazon.com/controltower/latest/userguide/aft-account-customization-options.html).