Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Siapkan untuk kustomisasi
Bagian selanjutnya memberikan langkah-langkah untuk menyiapkan Account Factory untuk proses kustomisasi. Kami menyarankan Anda menyiapkan [admin yang didelegasikan](https://docs.aws.amazon.com//accounts/latest/reference/using-orgs-delegated-admin.html) untuk akun hub, sebelum memulai langkah-langkah ini.
**Ringkasan**
+ **Langkah 1. Buat peran yang diperlukan.** Buat peran IAM yang memberikan izin kepada AWS Control Tower untuk memiliki akses ke akun (hub), tempat produk Service Catalog, juga disebut cetak biru, disimpan.
+ **Langkah 2. Buat AWS Service Catalog produk.** Buat AWS Service Catalog produk (juga disebut “produk cetak biru”) yang Anda perlukan untuk membuat dasar akun kustom.
+ **Langkah 3. Tinjau cetak biru kustom Anda.** Periksa AWS Service Catalog produk (cetak biru) yang Anda buat.
+ **Langkah 4. Hubungi cetak biru Anda untuk membuat akun yang disesuaikan.** Masukkan informasi produk cetak biru dan informasi peran ke bidang yang sesuai di Account Factory, di konsol AWS Control Tower, saat membuat akun.
# Langkah 1. Buat peran yang diperlukan
Sebelum mulai menyesuaikan akun, Anda harus menyiapkan peran yang berisi hubungan kepercayaan antara AWS Control Tower dan akun hub Anda. Saat diasumsikan, peran tersebut memberikan akses AWS Control Tower untuk mengelola sumber daya di akun hub. Peran itu harus diberi nama **AWSControlTowerBlueprintAccess**.
AWS Control Tower mengasumsikan peran ini untuk membuat sumber daya Portofolio atas nama Anda AWS Service Catalog, lalu menambahkan cetak biru Anda sebagai Produk Katalog Layanan ke Portofolio ini, dan kemudian membagikan Portofolio ini, dan cetak biru Anda, dengan akun anggota Anda selama penyediaan akun.
Anda akan membuat `AWSControlTowerBlueprintAccess` peran, seperti yang dijelaskan di bagian berikut. Anda dapat mengatur peran di akun terdaftar atau tidak terdaftar.
**Arahkan ke konsol IAM untuk mengatur peran yang diperlukan.**
**Untuk mengatur AWSControl TowerBlueprintAccess peran dalam akun AWS Control Tower yang terdaftar**
1. Buat federasi atau masuk sebagai prinsipal di akun manajemen AWS Control Tower.
1. Dari prinsipal federasi di akun manajemen, asumsikan atau alihkan peran ke `AWSControlTowerExecution` peran di akun AWS Control Tower terdaftar yang Anda pilih untuk dijadikan akun hub cetak biru.
1. Dari `AWSControlTowerExecution` peran di akun AWS Control Tower yang terdaftar, buat `AWSControlTowerBlueprintAccess` peran dengan izin dan hubungan kepercayaan yang tepat.
**penting**
Untuk mematuhi panduan praktik AWS terbaik, penting bagi Anda untuk segera keluar dari `AWSControlTowerExecution` peran tersebut setelah Anda membuat `AWSControlTowerBlueprintAccess` peran.
Untuk mencegah perubahan sumber daya yang tidak diinginkan, `AWSControlTowerExecution` peran ini dimaksudkan untuk digunakan oleh AWS Control Tower saja.
Jika akun hub cetak biru Anda tidak terdaftar di AWS Control Tower, `AWSControlTowerExecution` peran tersebut tidak akan ada di akun, dan tidak perlu berasumsi sebelum melanjutkan pengaturan peran. `AWSControlTowerBlueprintAccess`
**Untuk mengatur AWSControl TowerBlueprintAccess peran dalam akun anggota yang tidak terdaftar**
1. Federasi atau masuk sebagai kepala sekolah di akun yang ingin Anda tetapkan sebagai akun hub, melalui metode pilihan Anda.
1. Saat masuk sebagai prinsipal di akun, buat `AWSControlTowerBlueprintAccess` peran dengan izin dan hubungan kepercayaan yang tepat.
**AWSControlTowerBlueprintAccess**Peran harus diatur untuk memberikan kepercayaan kepada dua kepala sekolah:
+ Prinsipal (pengguna) yang menjalankan AWS Control Tower di akun manajemen AWS Control Tower.
+ Peran yang disebutkan `AWSControlTowerAdmin` dalam akun manajemen AWS Control Tower.
Berikut adalah contoh kebijakan kepercayaan, mirip dengan yang perlu Anda sertakan untuk peran Anda. Kebijakan ini menunjukkan praktik terbaik dalam memberikan akses hak istimewa paling sedikit. Saat Anda membuat kebijakan sendiri, ganti istilah *YourManagementAccountId* dengan ID acccount aktual akun manajemen AWS Control Tower Anda, dan ganti istilah tersebut *YourControlTowerUserRole* dengan pengenal peran IAM untuk akun manajemen Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
"arn:aws:iam::111122223333:role/YourControlTowerUserRole"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Kebijakan izin yang diperlukan**
AWS Control Tower mengharuskan kebijakan terkelola yang diberi nama `AWSServiceCatalogAdminFullAccess` harus dilampirkan ke `AWSControlTowerBlueprintAccess` peran. Kebijakan ini memberikan izin yang AWS Service Catalog dicari ketika AWS Control Tower mengizinkan AWS Control Tower mengelola portofolio dan sumber daya AWS Service Catalog Produk Anda. Anda dapat melampirkan kebijakan ini saat membuat peran di konsol IAM.
**Izin tambahan mungkin diperlukan**
Jika Anda menyimpan cetak biru di Amazon S3, AWS Control Tower juga memerlukan kebijakan `AmazonS3ReadOnlyAccess` izin untuk peran tersebut. `AWSControlTowerBlueprintAccess`
**Jenis produk AWS Service Catalog Terraform mengharuskan Anda menambahkan beberapa izin tambahan ke kebijakan IAM kustom AFC, jika Anda tidak menggunakan kebijakan Admin default.** Ini membutuhkan ini selain izin yang diperlukan untuk membuat sumber daya yang Anda tentukan di templat terraform Anda.
# Langkah 2. Buat AWS Service Catalog produk
Untuk membuat AWS Service Catalog produk, ikuti langkah-langkah di [Membuat produk](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/productmgmt-cloudresource.html) di *Panduan AWS Service Catalog Administrator*. Anda akan menambahkan cetak biru akun Anda sebagai templat saat membuat produk. AWS Service Catalog
**penting**
*Sebagai hasil dari HashiCorp lisensi Terraform yang diperbarui, AWS Service Catalog mengubah dukungan untuk produk *Terraform Open Source* dan menyediakan produk ke jenis produk baru, yang disebut Eksternal.* Untuk mempelajari lebih lanjut tentang bagaimana perubahan ini memengaruhi AFC, termasuk cara memperbarui cetak biru akun yang ada ke jenis produk Eksternal, tinjau [Transisi ke](af-customization-page.md#service-catalog-external-product-type) jenis produk Eksternal.
**Ringkasan langkah-langkah untuk membuat cetak biru**
+ Buat atau unduh CloudFormation templat atau file konfigurasi Terraform tar.gz yang akan menjadi cetak biru akun Anda. Beberapa contoh template diberikan nanti di bagian ini.
+ Masuk ke Akun AWS tempat Anda menyimpan cetak biru Account Factory (terkadang disebut akun hub).
+ Arahkan ke AWS Service Catalog konsol. Pilih **daftar Produk**, lalu pilih **Unggah produk baru**.
+ Di panel **Detail Produk**, masukkan detail untuk produk cetak biru Anda, seperti nama dan deskripsi.
+ Pilih **Gunakan file templat** dan kemudian pilih **Pilih file**. Pilih atau tempel templat atau file konfigurasi yang telah Anda kembangkan atau unduh untuk digunakan sebagai cetak biru Anda.
+ Pilih **Buat produk** di bagian bawah halaman konsol.
Anda dapat mengunduh CloudFormation template dari repositori arsitektur AWS Service Catalog referensi. [Salah satu contoh dari repositori itu membantu menyiapkan rencana cadangan untuk sumber daya Anda](https://github.com/aws-samples/aws-service-catalog-reference-architectures/blob/master/backup/backup-tagoptions.yml).
Berikut adalah contoh template, untuk perusahaan fiktif bernama **Best** Pets. Ini membantu mengatur koneksi ke database hewan peliharaan mereka.
```
Resources:
ConnectionStringGeneratorLambdaRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
Service:
- lambda.amazonaws.com
Action:
- "sts:AssumeRole"
ConnectionStringGeneratorLambda:
Type: AWS::Lambda::Function
Properties:
FunctionName: !Join ['-', ['ConnectionStringGenerator', !Select [4, !Split ['-', !Select [2, !Split ['/', !Ref AWS::StackId]]]]]]
Description: Retrieves the connection string for this account to access the Pet Database
Role: !GetAtt ConnectionStringGeneratorLambdaRole.Arn
Runtime: nodejs22.x
Handler: index.handler
Timeout: 5
Code:
ZipFile: >
export const handler = async (event, context) => {
const awsAccountId = context.invokedFunctionArn.split(“:”)[4]
const connectionString= “fake connection for account ” + awsAccountId;
const response = {
statusCode: 200,
body: connectionString
};
return response;
};
ConnectionString:
Type: Custom::ConnectionStringGenerator
Properties:
ServiceToken: !GetAtt ConnectionStringGeneratorLambda.Arn
PetDatabaseConnectionString:
DependsOn: ConnectionString
# For example purposes we're using SSM parameter store.
# In your template, use secure alternatives to store
# sensitive values such as connection strings.
Type: AWS::SSM::Parameter
Properties:
Name: pet-database-connection-string
Description: Connection information for the BestPets pet database
Type: String
Value: !GetAtt ConnectionString.Value
```
# Langkah 3. Tinjau cetak biru kustom Anda
Anda dapat melihat cetak biru Anda di konsol. AWS Service Catalog Untuk informasi selengkapnya, lihat [Mengelola produk](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_products.html#productmgmt-menu) di Panduan *Adminstrator Service Catalog*.
# Langkah 4. Hubungi cetak biru Anda untuk membuat akun yang disesuaikan
Saat mengikuti alur kerja **Buat akun** di konsol AWS Control Tower, Anda akan melihat bagian opsional tempat Anda dapat memasukkan informasi tentang cetak biru yang ingin Anda gunakan untuk menyesuaikan akun.
**Prasyarat**
Anda harus menyiapkan akun hub kustomisasi dan menambahkan setidaknya satu cetak biru (produk Service Catalog) sebelum Anda dapat memasukkan informasi tersebut ke konsol AWS Control Tower dan mulai menyediakan akun yang disesuaikan.
**Buat atau perbarui akun yang disesuaikan di konsol AWS Control Tower.**
1. Masukkan ID akun untuk akun yang berisi cetak biru Anda.
1. Dari akun tersebut, pilih produk Service Catalog yang sudah ada (cetak biru yang ada).
1. Pilih versi cetak biru yang tepat (produk Service Catalog), jika Anda memiliki lebih dari satu versi.
1. (Opsional) Anda dapat menambahkan atau mengubah kebijakan penyediaan cetak biru pada saat ini dalam proses. Kebijakan penyediaan cetak biru ditulis dalam JSON dan dilampirkan ke peran IAM, sehingga dapat menyediakan sumber daya yang ditentukan dalam templat cetak biru. AWS Control Tower membuat peran ini di akun anggota sehingga Service Catalog dapat menyebarkan sumber daya menggunakan kumpulan CloudFormation tumpukan. Peran ini bernama `AWSControlTower-BlueprintExecution-bp-xxxx`. `AdministratorAccess`Kebijakan ini diterapkan di sini secara default.
1. Pilih Wilayah AWS atau Wilayah di mana Anda ingin menyebarkan akun berdasarkan cetak biru ini.
1. Jika cetak biru Anda berisi parameter, Anda dapat memasukkan nilai untuk parameter ke dalam bidang tambahan dalam alur kerja AWS Control Tower. Nilai tambahan dapat mencakup: nama GitHub repositori, GitHub cabang, nama cluster Amazon ECS, dan GitHub identitas untuk pemilik repositori.
1. Anda dapat menyesuaikan akun di lain waktu dengan mengikuti proses **pembaruan Akun**, jika akun hub atau cetak biru Anda belum siap.
Untuk detail selengkapnya, lihat [Buat akun yang disesuaikan dari cetak biru](create-afc-customized-account.md).