问题标签 [aws-control-tower]

我刚刚转移到使用 Control Tower 设置的多帐户，并且正在使用 Terraform 在不同帐户中部署资源。

我的（简化的）帐户结构是：

作为一个简化的实验，我试图在图像帐户中创建一个 ecr。所以我认为我需要创建一个策略来启用角色切换并在目标帐户中提供权限。现在我手头很重，只是试图切换到管理员访问权限。AWSAdministratorAccess 角色由 Control Tower 在配置时创建。

部署此堆栈后，我尝试部署另一个堆栈，该堆栈在图像帐户中创建资源。

在部署时我得到：

第一个：提供的凭据来自始终在单帐户环境中工作的主帐户

第二：这是我认为通过附加政策实现的

第三：对此不太确定，但帐户中存在 AWSAdministratorAccess defo，我认为 arn 格式是正确的，而 AWS Single Sign On 将其称为权限集，控制台也将其描述为角色。

我发现使用 Terraform 部署到多个 AWS 账户？这很有帮助，但我在这里遗漏了一些东西。

我也不知道如何将这个想法扩展到将 s3 远程后端部署到我的“管理”帐户中。

Terraform 版本 0.12.29

控制塔生命周期事件可以用来触发 terraform 脚本吗？比如创建账号成功后，触发一个terraform脚本创建一个VPC。

有没有办法创建一个默认情况下为所有组织启用 EBS 加密的 cloudformation 脚本？有一个 aws config 规则，我正在寻找此配置规则的补救措施。https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-guardrails.html#ebs-enable-encryption

目标：使用除AWS SSO 之外的所有 AWS Control Tower 功能，因为与我合作的组织目前不想更改身份管理和单点登录的任何方面。

目前，该组织在其数据中心中使用 ADFS 进行 SSO 和 MFA，并具有一些自动化和流程来使用该身份解决方案设置新的 AWS 账户。

我不在乎这种与 ADFS 的集成是否会在创建新帐户时触发自动运行，因为该组织还没有达到那种级别的身份自动化，并且目标不是改变它。

如果您需要更自定义的方法，AWS Control Tower 常见问题解答建议使用 Landing Zones 解决方案而不是Control Tower：

虽然 Control Tower 使用预配置的蓝图（例如，用于目录和访问的 AWS SSO）自动创建新的登陆区，但 AWS Landing Zone 解决方案通过自定义插件（例如， 、Active Directory、Okta Directory）以及通过代码部署和配置管道进行的持续修改。

登陆区方法的 CloudFormation 模板和指南在这里：

• CloudFormation 登陆区启动模板： https ://s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-initiation.template
• AWS 登陆区开发人员指南： https ://s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-developer-guide.pdf
• AWS 登陆区实施指南： https ://s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-implementation-guide.pdf
• AWS 登陆区用户指南： https ://s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-user-guide.pdf

但我想要这一切：控制塔的易用性和使用自定义身份方法。此外，该组织使用 Terraform，因此我不想介绍一堆 CloudFormation 模板，而且 AWS Terraform Landing Zone Accelerator (TLZ)尽管已在一年多前宣布，但尚未发布。

AWS Control Tower 的 Account Factory 要求您输入 AWS SSO 电子邮件地址，因此似乎无法绕过 AWS SSO 的某些使用，至少在初始设置或“帐户注册”期间是这样：

另一个方面：由于组织使用 ADFS 进入 AWS，我无法通过切换角色访问由 AWS Control Tower 创建的帐户AWSControlTowerExecution，因为我已通过以下方式登录到 Control Tower（主）帐户联邦。

（AWSControlTowerExecution角色信任关系中的委托人是主帐号。当您通过联合身份验证时，AWS 不会将您的委托人视为您已联合到的帐户的一部分，因此该AWSControlTowerExecution角色不信任我，联合用户，可以这么说。）

在左下角，它显示开发人员帐户，这是我们拥有的产品帐户的补充，即 Sandbox/dev/test/prod/tools

1. 是否建议拥有个人开发者帐户？

2. 使用登陆区域设置时如何设置个人开发者帐户。（截至目前，所有用户都登录到登录区帐户并在 sandbox/dev/test/prod 帐户中担任角色。

我正在尝试使用 AWS Control Tower 设置一个新的登陆区，但即使经过多次尝试，我仍然卡在同一步骤。

AWS Control Tower 无法完全设置您的登录区：AWS Control Tower 无法创建日志组 /aws/lambda/aws-controltower-NotificationForwarder，因为该日志组已存在。要继续，请从 Amazon CloudWatch 中删除日志组，然后重试。

问题是没有具有该名称的日志组。我手动创建具有相同名称的日志组也没有问题，之后也没有删除它。

我不太确定如何继续进行故障排除。设置另一个 CloudWatch 日志组的堆栈工作得很好。

我正在学习使用aws-nuke删除我的组织 AWS 账户中的所有资源。我能够在我自己的组织中成功删除我的个人资源来管理核武器。想知道它是否适用于整个组织？假设我们有 2 个不同的组织。请参阅上面的屏幕截图。

当我们有来自组织 B 的高级用户或系统管理员来管理组织中的培训帐户时，是否可以让 aws-nuke 在 2 个不同的组织中工作。这是该图的简化版本。

我正在通过 AWS Control Tower 自定义进行一些 Stackset 部署。在此处遵循最新指南 。我这样做是为了便于部署到多个区域以进行 DevOps 设置。

对于我的一个 lambda 模板，我遇到了Templates with transforms requires capabilities: CAPABILITY_AUTO_EXPAND错误。

环顾四周，看起来这个问题通常可以通过在 AWS CLI 部署期间添加功能标志来解决。但是，控制塔自定义不是这种情况，因为模板文件由manifest.yml文件控制（目前似乎没有记录的方法来解决这个问题）

有没有办法解决这个问题？

是否有任何文件或有任何方法可以使用 API 或 boto3 创建 AWS 控制毛巾？我无法在 AWS 中找到任何用于自动执行此过程的文档。

或者我们是否有任何 API 可以将 OU 注册到控制塔？

我试图了解在使用 AWS Organization 时启用集成服务的影响。

1. CloudTrail -- 我尚未启用，但 CloudTrail 正在为所有成员账户自动在主账户中创建跟踪，因为我正在使用 Control Tower。
2. 配置：我没有启用配置，但控制塔正在使用配置？

问题：在这种情况下启用 CloudTrail 和 Config 有什么好处？

如果我想创建一个委派管理员，它有用吗？

谢谢 ！