问题标签 [aws-control-tower]

为什么在通过 AWS Control Tower Account Factory 创建新的 AWS 账户时还需要创建 SSO 用户？已经有一封用于 root 用户的电子邮件，AWS SSO无论如何您都可以分配用户/组，那么创建 SSO 用户的目的是什么？您可能不想要新用户，还是我应该简单地输入现有 SSO 用户的电子邮件？

我正在使用 AWS lambda，但无法更改 lambda 中使用的默认参数。有解决方法吗？

设置：

Lambda“ iAmInvoked ”是由 cloudformation 中的堆栈创建的，该堆栈设置了默认参数值（我设置这些默认值的想法是，如果调用程序不提供所需参数的值并且可以覆盖），将使用这些默认值）。我正在使用名为“ iWillInvoke ”的 lambda 异步调用此iAmInvoked lambda ，并提供包含iAmInvoked使用的参数的新值而不是其默认值的有效负载。

iWillInvoke 代码：

iAmInvoked 代码：

问题/问题：

不管我在 iWillInvoke 的有效负载中提供什么， iAmInvoked都使用它的默认值。有没有办法可以覆盖默认值？

这是我在这里的第一篇文章，我正在开发一个 AWS CodePipeline，它创建新的 AWS 账户并通过 AWS SSO 分配用户，它的权限集具有特定的托管 IAM 策略和内联策略作为用户组的权限边界集。我想使用一个测试管道来测试所售 AWS 账户中的特定用户角色，并测试用户是否能够执行某些操作，例如启用 Internet 访问、创建策略等，并根据结果继续执行进一步的管道步骤.

示例：在 POC 环境中运行的管道创建一个帐户，然后必须对 SSO 用户/本地 IAM 用户运行测试，以检查用户是否可以创建 Internet 网关等，通常这可以是 IAM 策略模拟器 cli 并且结果用户操作是否允许。我的管道流应该继续将源移动到生产环境的“主”分支，这取决于测试结果，如果失败则丢弃。

我正在尝试一些工具，例如 Taskcat 和其他工具，其中大多数不执行此类功能测试，只检查资源是否存在。

对于可以让我作为管道的一部分执行此类功能测试的工具的任何建议，我们将不胜感激。

提前致谢。

我目前的理解是，如果我要在一个地区（例如爱尔兰）建立一个多账户登陆区（MALZ），我仍然可以拥有可以包含其他地区（美国、法兰克福等）资源的账户假设护栏允许。

我的理解正确吗？当我读到这篇文章时，我有点困惑

单个 AWS 区域。AMS 多账户登陆区仅限于单个 AWS 区域。要跨越多个 AWS 区域，请使用多个多账户登录区。

https://docs.aws.amazon.com/managedservices/latest/userguide/single-or-multi-malz.html

我们正在寻求为集中式 CloudWatch Logs 实施此解决方案。但是，在实施该解决方案时，它没有指定是否应使用使用 Control Tower 创建的 Log Archive 帐户，或者是否应创建一个单独的帐户用于集中式日志记录。我找不到任何关于在 Log Archive 帐户中实施此操作是否是最佳实践的指导

https://aws.amazon.com/solutions/implementations/centralized-logging/

我有一个使用 172.18.0.0/16 cidr 范围的 aws 控制塔创建的“开发”帐户，它是分配给整个项目的 172.18.16.0/20 cidr 范围的一部分。现在我想用另一个 vpc(172.18.32.o/20) 添加一个 'qa' 帐户，我该如何完成这个，我应该在哪里指定要创建的 vpc-cidr 范围？

我们正在使用联合和角色切换，目前不需要使用必须通过帐户工厂创建的 SSO 管理员用户。理想情况下，我们想删除它们，但我担心控制塔漂移。我也会考虑禁用它们和/或对它们施加高度限制的 SCP（我认为这是我们最有可能的情况）。

我们想要一个选项，其中我们不需要拥有与管理员用户使用的相同类型的例程，这些例程实际上已被使用或有可能具有有效的用例。

我正在关注https://aws.amazon.com/de/blogs/security/how-to-automate-aws-account-creation-with-sso-user-assignment/来自动创建 sso 帐户。它说：

此解决方案配置为部署在北弗吉尼亚地区 (us-east-1)。但是您可以更改 CloudFormation 模板以在支持解决方案所需的所有服务的任何区域中运行。

所以我创建了堆栈https://awsiammedia.s3.amazonaws.com/public/sample/952-Automate-AWS-Accounts-Creation-SSO-Users-Assignment/automate_aws_accounts_creation_sso_users_assignment.yaml并从我们更改顶部面板中的区域-east-1 到 eu-central-1。

堆栈的创建失败并出现以下事件：

我检查了模板和其中引用的位置：
https ://awsiammedia.s3.amazonaws.com/public/sample/952-Automate-AWS-Accounts-Creation-SSO-Users-Assignment/automate_aws_accounts_creation_sso_users_assignment.yaml

https://awsiammedia.s3.amazonaws.com/public/sample/952-Automate-AWS-Accounts-Creation-SSO-Users-Assignment/batchcreation_lambda.zip

https://awsiammedia.s3.amazonaws.com/public/sample/952-Automate-AWS-Accounts-Creation-SSO-Users-Assignment/account_create_lambda.zip

https://awsiammedia.s3.amazonaws.com/public/sample/952-Automate-AWS-Accounts-Creation-SSO-Users-Assignment/create_account_assignment_lambda.zip

但是没有提到us-east-1or Virginia。如何更改 CloudFormation 模板以在其他区域运行？

我们希望使用 Terraform 通过名称使用 TF 资源 aws_servicecatalog_provisioned_product 来配置 Control Tower Account Factory Service Catalog 产品，但是因为 Control Tower 控制此产品并在更新时创建此产品的两个版本/工件（1 个活动，1 个不活动），我们收到错误：

│ 错误：错误预置服务目录产品：InvalidParametersException：找到多个名称为 AWS Control Tower Account Factory 的预置工件。

因此，这意味着我们无法发布此产品的更新，也无法通过 Terraform 使用其名称动态配置它。

有谁知道我们如何能够使它工作？