本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 AWS Control Tower 中预置账户
AWS Control Tower 提供了多种创建和更新成员账户的方法。有些方法主要基于控制台,有些方法主要是自动化的。
概述
在 AWS Control Tower 中创建成员账户的一种标准方法是通过 Account Factory,这是一款基于控制台的产品,属于 Service Catalog 的一部分。此外,从 AWS Control Tower 控制台,您可以将创建账户用作一种方法来预置新账户,也可以使用注册账户来将现有 AWS 账户注册到 AWS Control Tower,但前提是您的登录区未处于偏移状态。
借助 Account Factory,您可以依靠 AWS Control Tower 默认设置来预置基本账户。您还可以预置满足特殊使用案例要求的自定义 账户。
Account Factory Customization(AFC)是一种从 AWS Control Tower 控制台预置自定义账户的方法,它可以自动自定义和部署账户。执行一些一次性设置步骤后,它就可以实现基于控制台的自动预置,而无需编写脚本或设置管道。有关更多信息,请参阅 使用 Account Factory Customization(AFC)功能自定义账户。
自动注册
如果您选择使用着陆区设置中的自动账户注册功能,您还可以在 AWS Control Tower AWS 账户 之外创建并将其移至已在 AWS Control Tower 注册的 OU 中,而不会产生继承偏移。有关更多信息,请参阅 使用自动注册功能移动和注册账户。
基于控制台的方法:
-
通过属于基本账户或自定义账户的 Accoun AWS Service Catalog t Factory 控制台。有关详细信息和说明,请查阅 使用 Account Factory 预置和管理账户。
通过自动注册,将账户从控制台移至 OU。请参阅 使用自动注册功能移动和注册账户。
-
如果您的登录区未处于偏移状态,请通过 AWS Control Tower 中的注册账户功能。请参阅从 AWS Control Tower 控制台注册现有账户。
-
在 AWS Control Tower 控制台中,您可以使用 Account Factory 同时创建、更新或注册最多五个账户。
自动化方法:
-
Lambda 代码:通过 AWS Control Tower 登录区的管理账户进行操作(使用 Lambda 代码和适当的 IAM 角色)。请参阅使用 IAM 角色自动预置账户。
-
Terraform:来自适用于 Terraform 的 AWS Control Tower Account Factory (AFT),该工厂依靠账户工厂和 GitOps 模型来实现账户配置和更新的自动化。请参阅利用 AWS Control Tower Account Factory for Terraform(AFT)预置账户。
通过自动注册,使用将现有账户移至 OU APIs。请参阅 使用自动注册功能移动和注册账户。
-
AWS Control Tower 控制台中的 Account Factory Customization:完成设置步骤后,今后再提供自定义账户时,无需进行额外的配置或管道维护。账户是通过名为蓝图 AWS Service Catalog 的产品进行配置的。蓝图可以使用 CloudFormation 模板或 Terraform 模板。
注意
CloudFormation 蓝图可以将资源部署到多个区域。Terraform 蓝图只能将资源部署到单个区域。默认情况下,这就是主区域。
