Automatize a criação de contas usando o Landing Zone Accelerator em AWS - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasPráticas recomendadasÉpicosRecursos relacionadosMais informações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Automatize a criação de contas usando o Landing Zone Accelerator em AWS

Justin Kuskowski, Joe Behrens e Nathan Scott, Amazon Web Services

Resumo

Esse padrão explica como usar a AWS solução Landing Zone Accelerator on para implantar automaticamente uma nova Conta da AWS quando um usuário autorizado envia uma solicitação. Ele é usado AWS Step Functions para orquestrar várias funções AWS Lambda . As funções do Lambda adicionam as informações da conta a um repositório Git, iniciam um AWS CodePipeline pipeline e validam se os recursos necessários foram provisionados. AWS Quando o processo for concluído, o usuário receberá uma notificação de que a conta foi criada.

Opcionalmente, você pode integrar grupos de ID do Microsoft Entra e atribuir conjuntos de Centro de Identidade do AWS IAM permissões durante o processo de criação da conta. Se sua organização estiver usando o Microsoft Entra ID como fonte de identidade, esse recurso opcional ajuda você a gerenciar e configurar automaticamente o acesso à nova conta.

Pré-requisitos e limitações

Pré-requisitos

Limitações

O fluxo de trabalho de criação de contas oferece suporte a execuções sequenciais para implantar uma única Conta da AWS. Essa limitação garante que o fluxo de trabalho de criação da conta seja concluído com êxito sem precisar competir por recursos durante uma execução paralela.

Arquitetura

Arquitetura de destino

A imagem a seguir mostra a arquitetura de alto nível de automatização da criação de um novo Conta da AWS usando o Landing Zone Accelerator ativado. AWS AWS Step Functions orquestra a automação. Cada tarefa no fluxo de trabalho do Step Functions é executada por uma ou mais AWS Lambda funções.

Fluxo de trabalho para automatizar a criação de uma nova conta usando o Acelerador de Zona de Pouso na AWS.

O diagrama mostra o seguinte fluxo de trabalho:

  1. O usuário solicita uma conta executando um script Python ou usando o Amazon API Gateway.

  2. O fluxo de trabalho do orquestrador de criação de contas começa no AWS Step Functions.

  3. O fluxo de trabalho atualiza o arquivo account-config.yaml no repositório do código-fonte. Ele também inicia o Landing Zone Accelerator na AWS tubulação e verifica o status da tubulação. Esse pipeline cria e configura a nova conta. Para obter mais informações sobre como isso funciona, consulte Architecture overview para o Acelerador de Zona de Pouso na AWS.

  4. (Opcional) Quando o pipeline é concluído, o fluxo de trabalho verifica se o grupo existe no Microsoft Entra ID. Se o grupo não existir no Microsoft Entra ID, o fluxo de trabalho adiciona o grupo ao Microsoft Entra ID.

  5. O fluxo de trabalho executa etapas adicionais que o Landing Zone Accelerator na AWS solução não pode realizar. As etapas padrão incluem:

  6. (Opcional) O fluxo de trabalho atribui um ou mais conjuntos de permissões ao grupo do Microsoft Entra ID que você especificou anteriormente. Os conjuntos de permissões permitem que os usuários do grupo acessem a nova conta e executem as ações que você configura.

  7. Uma AWS Lambda função executa testes de controle de qualidade e validação. Ele valida a criação de recursos, verifica se as marcações foram criadas e valida se os recursos de segurança foram implantados.

  8. O fluxo de trabalho libera a conta e usa o Amazon Simple Email Service (Amazon SES) para notificar o usuário de que o processo foi concluído com sucesso.

Para obter mais informações sobre o fluxo de trabalho do Step Functions, consulte o diagrama do fluxo de trabalho do Step Functions na seção Informações adicionais deste padrão.

Aplicações do Microsoft Entra ID

Se você optar pela integração com o Microsoft Entra ID, crie as duas aplicações a seguir ao implantar esse padrão:

  • Uma aplicação vinculada ao Centro de Identidade do IAM e que garanta que os grupos do Microsoft Entra ID estejam disponíveis no Centro de Identidade do IAM. Neste exemplo, essa aplicação do Microsoft Entra ID se chama LZA2.

  • Um aplicativo que permite que uma função Lambda se comunique com o Microsoft Entra ID e chame o Microsoft Graph. APIs Neste padrão, essa aplicação se chama create_aws_account.

Essas aplicações coletam dados que são usados para sincronizar o grupo do Microsoft Entra ID e atribuir conjuntos de permissões.

Ferramentas

Serviços da AWS

  • O Amazon API Gateway ajuda você a criar, publicar, manter, monitorar e proteger REST, HTTP e WebSocket APIs em qualquer escala. Nesse padrão, você usa o API Gateway para verificar a disponibilidade de Conta da AWS nomes, iniciar o AWS Step Functions fluxo de trabalho e verificar o status da execução do Step Functions.

  • AWS Cloud Development Kit (AWS CDK)é uma estrutura de desenvolvimento de software que ajuda você a definir e provisionar Nuvem AWS infraestrutura em código.

  • AWS Control Towerajuda você a configurar e administrar um ambiente AWS com várias contas, seguindo as melhores práticas prescritivas.

  • EventBridgeA Amazon é um serviço de ônibus de eventos sem servidor que ajuda você a conectar seus aplicativos com dados em tempo real de várias fontes. Por exemplo, AWS Lambda funções, endpoints de invocação HTTP usando destinos de API ou barramentos de eventos em outros. Contas da AWS Essa solução usa uma EventBridge regra que inicia uma função Lambda se o estado do fluxo de trabalho do Step Functions mudar para FailedTimed-out, ou. Aborted

  • AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.

  • Centro de Identidade do AWS IAMajuda você a gerenciar centralmente o acesso de login único (SSO) a todos os seus Contas da AWS aplicativos e à nuvem.

  • AWS Key Management Service (AWS KMS) ajuda você a criar e controlar chaves criptográficas para ajudar a proteger seus dados. Nesse padrão, AWS KMS as chaves são usadas para criptografar dados, como dados armazenados no Amazon Simple Storage Service (Amazon S3), variáveis de ambiente Lambda e dados em Step Functions.

  • O AWS Lambda é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.

  • AWS Organizationsé um serviço de gerenciamento de contas que ajuda você a consolidar várias Contas da AWS em uma organização que você cria e gerencia centralmente.

  • Amazon Simple Email Service (Amazon SES): ajuda você a enviar e receber e-mails usando seus próprios endereços de e-mail e domínios. Depois que uma nova conta for criada com sucesso, você receberá uma notificação por meio do Amazon SES.

  • O Amazon Simple Notification Service (Amazon SNS) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail. Se ocorrer um erro durante o processo de criação da conta, o Amazon SNS enviará uma notificação aos endereços de e-mail que você configurar.

  • AWS Step Functionsé um serviço de orquestração sem servidor que ajuda você a combinar AWS Lambda funções e outras Serviços da AWS para criar aplicativos essenciais para os negócios.

  • AWS Systems Manager O Parameter Store fornece armazenamento seguro e hierárquico para gerenciamento de dados de configuração e gerenciamento de segredos.

Outras ferramentas

  • O awscurl automatiza o processo de assinatura de solicitações de AWS API e ajuda você a fazer solicitações como um comando curl padrão.

  • O Microsoft Entra ID, anteriormente conhecido como Azure Active Directory, é um serviço de gerenciamento de identidade e acesso baseado em nuvem.

  • O Microsoft Graph APIs ajuda você a acessar dados e inteligência nos serviços de nuvem da Microsoft, como o Microsoft Entra e o Microsoft 365.

Repositório de código

O código desse padrão está disponível no GitHub lza-account-creation-workflowrepositório.

O diretório lambda_layer contém as seguintes camadas, que são referenciadas em mais de uma função do Lambda:

O diretório lambda_src contém as seguintes funções do Lambda:

  • AccountTagToSsmParameter— Essa função usa as tags anexadas à conta para criar parâmetros no Parameter Store. AWS Organizations Cada parâmetro é iniciado com o prefixo /account/tags/.

  • AttachPermissionSet— Essa função adiciona um conjunto de permissões a um grupo do IAM Identity Center.

  • ADGroupSincronização do Azure — Essa função sincroniza o grupo de ID Microsoft Entra de destino com o IAM Identity Center.

  • CheckForRunningProcesses— Essa função verifica se o AWSAccelerator-Pipeline pipeline está em execução no momento. Se o pipeline estiver em execução, a função atrasará o AWS Step Functions fluxo de trabalho.

  • CreateAccount— Esta função usa AWS Service Catalog e AWS Control Tower para criar o novo Conta da AWS.

  • CreateAdditionalResources— Essa função cria os AWS recursos que não são gerenciados pelo Landing Zone Accelerator ou AWS CloudFormation, como o alias e AWS Service Catalog as tags da conta.

  • GetAccountStatus— Essa função verifica o produto provisionado AWS Service Catalog para determinar se o processo de criação da conta foi concluído.

  • GetExecutionStatus— Essa função recupera o status de uma execução em AWS Step Functions execução ou concluída.

  • NameAvailability— Esta função verifica se um Conta da AWS nome já existe em AWS Organizations.

  • ReturnResponse— Se a criação da conta for bem-sucedida, essa função retornará o ID da nova conta. Se a criação da conta não for bem-sucedida, ela retornará uma mensagem de erro.

  • RunStepFunction— Essa função executa o AWS Step Functions fluxo de trabalho que cria a conta.

  • SendEmailWithSES — Essa função envia e-mails para os usuários que estão aguardando a conclusão da criação da conta.

  • Validar o ADGroup SyncTo SSO — Essa função verifica se os grupos de ID Microsoft Entra especificados estão sincronizados com o IAM Identity Center.

  • ValidateResources— Essa função valida que todas as AWS Control Tower personalizações foram executadas com êxito.

Práticas recomendadas

Recomendamos as seguintes convenções de nomenclatura para o AWS CDK: 

  • Inicie todos os parâmetros com um prefixo p.

  • Inicie todas as condições com um prefixo c.

  • Inicie todos os recursos com um prefixo r.

  • Inicie todas as saídas com um prefixo o.

Épicos

TarefaDescriptionHabilidades necessárias

Prepare o Landing Zone Accelerator AWS para personalização.

  1. No Landing Zone Accelerator no repositório de AWS código, crie um arquivo chamado. customizations-config.yaml Você usa esse arquivo para definir personalizações para a solução principal. Para obter mais informações, consulte Customizing the solution.

  2. No arquivo customizations-config.yaml, crie uma seção chamada cloudFormationStacks.

AWS DevOps

Prepare-se para implantar o perfil lza-account-creation-validation.

Agora, você personaliza a solução para implantar o perfil do lza-account-creation-validation IAM em todas as contas, exceto na conta gerencial. Essa função fornece à função do Lambda ValidateResources acesso somente leitura às novas contas.

  1. Faça o download do account-creation-validation-rolearquivo.yaml em. GitHub

  2. Salve o arquivo no local indicado na seção de modelos do arquivo customizations-config.yaml.

  3. Abra o arquivo customizations-config.yaml.

  4. Na seção cloudFormationStacks, adicione o código a seguir. Atualize o alvo Região da AWS conforme necessário para sua landing zone:

            - deploymentTargets:
            organizationalUnits:
              - Root
            excludedAccounts:
              - Management              
          description: IAM Role to allow Account Validation
          name: lza-account-creation-validation
          regions:
            - us-east-1
          template: cloudformation/account-creation-validation-role.yaml
          runOrder: 1 
          terminationProtection: true
          parameters:
            - name: pManagementAccountId
              value: "{{ account Management }}"

  5. Salve e feche o arquivo customizations-config.yaml.

AWS DevOps

Prepare-se para implantar o perfil account-tagging-to-ssm-parameter-role.

Agora, você personaliza a solução para implantar o perfil do account-tagging-to-ssm-parameter-role IAM em todas as contas, exceto na conta gerencial. Essa função é usada para criar os parâmetros no AWS Systems Manager Parameter Store.

  1. Baixe o arquivo account-tagging-to-ssm-parameter-role.yaml em. GitHub

  2. Salve o arquivo no local indicado na seção de modelos do arquivo customizations-config.yaml.

  3. Abra o arquivo customizations-config.yaml.

  4. Na seção cloudFormationStacks, adicione o código a seguir. Atualize o alvo Região da AWS conforme necessário para sua landing zone:

            - deploymentTargets:
            organizationalUnits:
              - Root
            excludedAccounts:
              - Management
          description: IAM Role to create SSM Parameters based on Account Tagging
          name: lza-account-tagging-to-ssm-parameter
          regions:
            - us-east-1
          template: cloudformation/account-tagging-to-ssm-parameter-role.yaml
          runOrder: 1 
          terminationProtection: true          
          parameters:
            - name: pManagementAccountId
              value: "{{ account Management }}"

  5. Salve e feche o arquivo customizations-config.yaml.

AWS DevOps

Prepare-se para implantar o perfil config-log-validation-role.

Agora, você personaliza a solução para implantar o perfil do IAM config-log-validation-role na conta de arquivamento de logs. Essa função permite que a função ValidateResources Lambda acesse o bucket do Amazon S3 para registrar e acessar regras. AWS Config

  1. Faça o download do config-log-validation-rolearquivo.yaml em. GitHub

  2. Salve o arquivo no local indicado na seção de modelos do arquivo customizations-config.yaml.

  3. Abra o arquivo customizations-config.yaml.

  4. Na seção cloudFormationStacks, adicione o código a seguir. Atualize o alvo Região da AWS conforme necessário para sua landing zone:

            - deploymentTargets:
            accounts:
              - LogArchive
          description: IAM Role to validate Config and Logs
          name: lza-config-log-validation-role
          regions:
            - us-east-1
          template: cloudformation/config-log-validation-role.yaml
          runOrder: 1 
          terminationProtection: true          
          parameters:
            - name: pManagementAccountId
              value: "{{ account Management }}"

  5. Salve, feche e confirme as alterações feitas no arquivo customizations-config.yaml.

AWS DevOps
TarefaDescriptionHabilidades necessárias

Crie a aplicação que permite que uma função do Lambda se comunique com o Microsoft Entra ID.

  1. No centro de administração do Microsoft Entra ID, registre a aplicação create_aws_account. Para obter instruções, consulte Register an application na documentação da Microsoft.

  2. Siga as instruções em Update an app’s requested permissions na documentação da Microsoft para configurar as seguintes permissões do Microsoft Graph para a aplicação create_aws_account:

Microsoft Entra ID

Recupere os valores da aplicação create_aws_account.

Agora, você recupera os valores necessários para a aplicação create_aws_account.

  1. No centro de administração do Microsoft Entra ID, navegue até Registros de aplicação e escolha create_aws_account.

  2. No painel esquerdo, escolha Visão geral.

  3. Na página Visão geral, anote os seguintes valores:

    • ID da aplicação (cliente)

    • ID do diretório (locatário)

  4. No painel esquerdo, em Gerenciar, selecione Certificados e segredos.

  5. Na página Certificados e segredos, escolha a guia Segredos do cliente e anote os seguintes valores:

    • Valor do segredo do cliente

    • ID do segredo do cliente

Microsoft Entra ID

Crie a aplicação que integra o Microsoft Entra ID ao Centro de Identidade do IAM.

No centro de administração do Microsoft Entra ID, registre a aplicação LZA2. Para obter instruções, consulte Register an application na documentação da Microsoft.

Microsoft Entra ID

Recupere os valores da aplicação LZA2.

Agora, você recupera os valores necessários para a aplicação LZA2.

  1. No centro de administração do Microsoft Entra ID, navegue até Aplicações empresariais e escolha LZA2.

  2. No painel esquerdo, escolha Visão geral.

  3. Na página Visão geral, anote os seguintes valores:

    • Nome

    • ID de objeto

  4. No painel esquerdo, em Gerenciar, escolha Manifesto.

  5. No arquivo JSON, na seção appRoles, localize o perfil da aplicação chamada User.

  6. Anote o valor id desse perfil da aplicação.

Microsoft Entra ID

Criar um segredo.

  1. No AWS CLI, insira o comando a seguir para criar as variáveis. Use os valores que você recuperou para as aplicações create_aws_account e LZA2:

    # Variables for create_aws_account app
  TENANT_ID='<Directory ID>'
  CLIENT_ID='<Application ID>'
  SECRET_ID='<Client secret ID>'
  SECRET_VALUE='<Client secret value>'

# Variables for LZA2 app
  OBJECT_ID='<Object ID>'
  APP_ROLE_ID='<App role ID>'
  ENTERPRISE_APP_NAME='<Name>'

  2. Digite o comando a seguir para criar um segredo com o nome GraphApiSecret em AWS Secrets Manager:

    aws secretsmanager create-secret \
  --name GraphApiSecret \
  --secret-string "{\"client_id\": \"${CLIENT_ID}\", \"tenant_id\": \"${TENANT_ID}\", \"object_id\": \"${OBJECT_ID}\", \"app_role_id\": \"${APP_ROLE_ID}\", \"secret_value\": \"${SECRET_VALUE}\", \"secret_id\": \"${SECRET_ID}\"}"

    Se precisar atualizar o segredo no futuro, você pode atualizar as variáveis e executar o seguinte comando:

    aws secretsmanager update-secret \
  --secret-id GraphApiSecret \
  --secret-string "{\"client_id\": \"${CLIENT_ID}\", \"tenant_id\": \"${TENANT_ID}\", \"object_id\": \"${OBJECT_ID}\", \"app_role_id\": \"${APP_ROLE_ID}\", \"secret_value\": \"${SECRET_VALUE}\", \"secret_id\": \"${SECRET_ID}\"}"
AWS DevOps
TarefaDescriptionHabilidades necessárias

Clone o código-fonte.

  1. Digite o comando a seguir para clonar o lza-account-creation-workflowrepositório:

    git clone https://github.com/aws-samples/lza-account-creation-workflow

  2. Insira o seguinte comando para navegar até o diretório config do repositório clonado:

    cd lza-account-creation-workflow/config
DevOps engenheiro

Para atualizar o arquivo deploy-config.yaml.

  1. Abra o arquivo deploy-config.yaml.

  2. Revise o modelo e atualize os valores conforme necessário para implantação em seu AWS ambiente. Por exemplo, atualize para os seguintes valores:

    • accountCreationFailure

    • accountCompletionFromEmail

    • ssoLoginUrl

    • rootEmailPrefix

    • rootEmailDomain

  3. Se você estiver integrando ao Microsoft Entra ID, faça o seguinte:

    • Defina enableAzureADIntegration como true.

    • Para o valor graphApiSecretName, insira o segredo que você criou anteriormente (GraphApiSecret).

  4. Salve e feche o arquivo deploy-config.yaml.

AWS DevOps

Implante a solução em seu AWS ambiente.

  1. Digite o comando:

    cdk bootstrap <account-number>/<Region>

    Para obter mais informações, consulte Bootstrapping na documentação. AWS CDK

  2. Insira o comando a seguir para sintetizar o CloudFormation modelo:

    cdk synth

    Para obter mais informações, consulte Configurar e realizar a síntese de AWS CDK pilha na AWS CDK documentação.

  3. Insira o comando a seguir para implantar a solução.

    cdk deploy

    Para obter mais informações, consulte Implantar AWS CDK aplicativos na AWS CDK documentação.

nota

Essa solução usará um bucket do Amazon S3 para armazenar o código-fonte dessa solução. Você pode usar o script upload_to_source_bucket.py para criar um arquivo do código-fonte e fazer upload de uma versão atualizada.

AWS DevOps
TarefaDescriptionHabilidades necessárias

Identifique quais argumentos serão usados.

Escolha quais argumentos usar ao executar o script Python que inicia o fluxo de trabalho do Step Functions. Para obter uma lista completa dos argumentos, consulte a seção Informações adicionais deste padrão.

AWS DevOps, Python

Inicie o script Python.

  1. Insira o seguinte comando para navegar até o repositório clonado:

    cd lza-account-creation-workflow

  2. Execute o script Python que inicia o fluxo de trabalho do Step Functions. Veja a seguir um exemplo de comando que inclui exemplos de argumentos e valores:

    python ./run-stepfunction.py \
  --account-name "lza-test-01" \
  --support-dl "johnsmith@example.com" \
  --managed-org-unit "Workloads/Workload-1" \
  --purpose "Testing new micro service" \
  --force-update true \
  --ad-integration "{\"CustomerAccountAdmin\": \"platform-admin\", \"CustomerAccountDev\": \"workload1-app1\"}" \
  --bypass-creation true \
  --tags APPLICATION=TestingMicroService

  3. Espere até receber uma notificação de que a conta foi criada com sucesso.

    nota

    Se o processo de criação da conta falhar, o Amazon SNS enviará uma notificação aos endereços de e-mail que você definir em accountCreationFailure no arquivo deploy-config.yaml. O solicitante da conta não será notificado.

DevOps engenheiro, Python
TarefaDescriptionHabilidades necessárias

Configure as variáveis para awscurl.

  1. Insira o seguinte comando para navegar até o diretório do código-fonte:

    cd lza-account-creation-workflow

  2. Digite o comando a seguir para definir as variáveis da chave de AWS acesso. Você pode copiar as variáveis do portal de acesso da AWS e depois colá-las em um shell. Este é um exemplo:

    export AWS_ACCESS_KEY_ID="<id>"
export AWS_SECRET_ACCESS_KEY="<key>"
export AWS_SESSION_TOKEN="<token>"

  3. Insira o comando a seguir para definir o Região da AWS para chamadas de API:

    export AWS_REGION=$(aws configure get region)

  4. Insira o comando a seguir para recuperar o endpoint do API Gateway da lza-account-creation-workflow-application CloudFormation saída:

    export API_GATEWAY_ENDPOINT=$(aws cloudformation describe-stacks --stack-name "lza-account-creation-workflow-application" --query 'Stacks[*].Outputs[?OutputKey==`oApiGatewayCreateAccountEndpoint`].OutputValue' --output text)
AWS DevOps

Verifique a disponibilidade do nome.

Insira o comando a seguir para verificar se o nome está disponível para a Conta da AWS. Substitua <AWS_ACCOUNT_NAME> pelo nome da conta de destino:

awscurl --service execute-api \
    --region ${AWS_REGION} \
    --access_key ${AWS_ACCESS_KEY_ID} \
    --secret_key ${AWS_SECRET_ACCESS_KEY} \
    --security_token ${AWS_SESSION_TOKEN} \
    -X POST ${API_GATEWAY_ENDPOINT}check_name?account_name=<AWS_ACCOUNT_NAME>
AWS DevOps

Execute o fluxo de trabalho de criação da conta.

  1. Na pasta-raiz do repositório clonado, abra o arquivo api_example.json.

  2. Atualize os parâmetros com seus valores de configuração.

    {
    "account_name": "lza-test-01",
    "account_email": "johnsmith+lzatest01@example.com",
    "support_dl": "johnsmith@example.com",
    "managed_org_unit": "Workloads/Workload-1",
    "ad_integration": [
        {
            "PermissionSetName": "CustomerAccountAdmin",
            "ActiveDirectoryGroupName": "platform-admin"
        },
        {
            "PermissionSetName": "CustomerAccountDev",
            "ActiveDirectoryGroupName": "workload1-app1"
        }
    ],
    "force_update": "true",
    "bypass_creation": "false",
    "account_tags": [
        {
            "Key": "Environment",
            "Value": "Dev"
        }, {
            "Key": "DeploymentMethod",
            "Value": "ApiGateway"
        }
    ]
}

  3. Salve e feche o arquivo api_example.json.

  4. Insira o seguinte comando para iniciar o fluxo de trabalho do Step Functions:

    awscurl --service execute-api \
    --data @api-example.json \
    --region ${AWS_REGION} \
    --access_key ${AWS_ACCESS_KEY_ID} \
    --secret_key ${AWS_SECRET_ACCESS_KEY} \
    --security_token ${AWS_SESSION_TOKEN} \
    -X POST ${API_GATEWAY_ENDPOINT}execute

  5. Na saída do comando anterior, anote o nome do recurso da Amazon (ARN) da execução do Step Functions.

  6. Se você quiser conferir o status do fluxo de trabalho do Step Functions, insira o comando a seguir. Substitua <STEP_FUNCTION_EXECUTION_NAME> pelo nome ou o ARN de execução do Step Functions:

    awscurl --service execute-api \
  --region ${AWS_REGION} \
  --access_key ${AWS_ACCESS_KEY_ID} \
  --secret_key ${AWS_SECRET_ACCESS_KEY} \
  --security_token ${AWS_SESSION_TOKEN} \
  -X GET ${API_GATEWAY_ENDPOINT}get_execution_status?execution=<STEP_FUNCTION_EXECUTION_NAME>

  7. Espere até receber uma notificação de que a conta foi criada com sucesso.

    nota

    Se o processo de criação da conta falhar, o Amazon SNS enviará uma notificação aos endereços de e-mail que você definir em accountCreationFailure no arquivo deploy-config.yaml. O solicitante da conta não será notificado.

AWS DevOps
TarefaDescriptionHabilidades necessárias

Remova os objetos do bucket do Amazon S3.

Remova qualquer objeto nos seguintes buckets do Amazon S3:

  • lza-account-creation-work-<CDK_UNIQUE_ID>

  • lza-account-creation-workflow-src-<AWS_REGION>-<AWS_ACCOUNT>

  • lza-account-creation-workflow-<AWS_REGION>-<AWS_ACCOUNT>

AWS DevOps

Exclua a CloudFormation pilha.

Digite o seguinte comando para excluir a CloudFormation pilha:

aws cloudformation delete-stack \
  --stack-name lza-account-creation-workflow-application
aws cloudformation wait stack-delete-complete \
  --stack-name lza-account-creation-workflow-application
AWS DevOps

Exclua o pipeline.

Insira o seguinte comando para excluir o pipeline lza-account-creation-workflow-pipeline:

cdk destroy lza-account-creation-workflow-pipeline --force
AWS DevOps

Recursos relacionados

Mais informações

Diagrama do fluxo de trabalho do Step Functions

A imagem a seguir mostra os estados no fluxo de trabalho do Step Functions.

Estados no fluxo de trabalho do Step Functions.

Arguments (Argumentos)

A seguir estão os argumentos que você pode usar ao executar o script Python que inicia o fluxo de trabalho do Step Functions.

Os seguintes argumentos são necessários:

  • account-name (-a)(string) — O nome do novo Conta da AWS.

  • support-dl (-s) (string): o endereço de e-mail que recebe a notificação quando o processo de criação da conta é concluído.

  • managed-org-unit (-m) (string): a unidade organizacional (UO) gerenciada que conterá a nova conta.

Os seguintes argumentos são opcionais:

  • ad-integration (-ad) (dicionário de strings): o grupo do Microsoft Entra ID e o conjunto de permissões atribuído. Veja a seguir um exemplo de como usar esse argumento:

    --ad-integration "{\"<PermissionSetName>\": \"<EntraIdGroupName>\"}"

  • account-email (-e)(string) — O endereço de e-mail do usuário raiz do novo Conta da AWS.

    nota

    Se esse argumento não for usado, um endereço de e-mail será gerado usando os valores rootEmailPrefix e rootEmailDomain do arquivo configs/deploy-config.yaml. Se um endereço de e-mail não for fornecido, um endereço de e-mail será gerado usando o seguinte formato: rootEmailPrefix+accountName@rootEmailDomain.

  • region (-r)(string) — Região da AWS Onde o fluxo de trabalho do Step Functions foi implantado. O valor padrão é us-east-1.

  • force-update (-f)(string Boolean) — Insira true para forçar AWS Service Catalog a atualização do produto provisionado.

  • bypass-creation (-b) (booleano da string): insira true para ignorar a adição da conta ao arquivo accounts-config.yaml e ignorar a execução do pipeline AWSAccelerator-Pipeline. Esse argumento geralmente é usado para testar o processo de fluxo de trabalho de criação da conta ou para executar o restante das etapas do Step Functions se ocorrer um erro no pipeline do Landing Zone Accelerator.

  • tags (-t)(string) — Tags adicionais que você deseja adicionar ao Conta da AWS. Por padrão, as seguintes marcações são adicionadas: account-name, support-dl e purpose. Veja a seguir um exemplo de como usar esse argumento:

    --tags TEST1=VALUE1 TEST2=VALUE2