问题标签 [aws-landing-zone]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
3 回答
1014 浏览

amazon-web-services - AWS 登陆区 - 访问核心账户?

core创建 AWS 登陆区后如何访问 AWS 登陆区账户?

这是我到目前为止所做的:

  1. 根据AWS Landing Zone 启动模板部署AWS Landing Zone
  2. 让 CodePipeline 执行aws-landing-zone-configuration.zip文件
  3. 当我在控制台中查看 AWS 组织时,我可以看到 、shared servicesecurity帐户log archive已创建并添加到核心 OU

当然,由于我创建了帐户,我知道 root 电子邮件地址,并且可以使用它来重置 root 密码,但这不是重点。

0 投票
5 回答
3303 浏览

amazon-web-services - 将 AWS 安全组复制/导出到多个 AWS 账户

我有多账户 AWS 环境(使用 AWS 登陆区设置),我需要将特定的安全组复制到所有账户。我确实写了一份 CFT,但要一个一个地完成这项任务太重复了。

安全组位于中央(共享服务)帐户中,该帐户可以访问所有其他帐户。最好有办法将其集成到帐户自动售货机 (AVM) 中,以避免将来将 SG 导出到新生成的帐户的任务。

0 投票
1 回答
139 浏览

aws-lambda - 如何让现有的 aws 帐户进入登陆区?

我已经使用 AWS 提供的初始模板完成了着陆区解决方案设置。

现在,我有一个现有帐户,我想将该帐户放入我的登陆区。

0 投票
1 回答
85 浏览

amazon-web-services - AWS Landing Zone - 创建核心账户后发生错误后回滚完整的代码管道

我尝试使用 AWS Landing Zone 设置我的 AWS 组织。这就是我所做的:-

  • 根据 AWS Landing Zone 启动模板部署 AWS Landing Zone
  • 执行启动模板创建的 CodePipeline
  • 核心帐户由 CodePipeline 创建,但在创建 CoreResources 时构建失败

现在,我想在 Manifest.yaml 文件中进行一些更改后再次执行代码管道。

有人可以帮助我了解如何删除创建的组织,即“核心”和“应用程序”以及核心帐户吗?

据我所知,从组织中删除 AWS 账户并不是那么简单,并且您在删除登陆区创建的账户之前提供了付款、计划详细信息。此外,即使提供了所有必需的详细信息,AWS 也不允许您立即删除该帐户。

有什么方法可以立即删除 AWS Landing Zone 创建的组织和核心账户?

0 投票
2 回答
1726 浏览

amazon-web-services - AWS Control Tower 的新账户创建错误

我在将帐户注册到控制塔时遇到错误,尽管我的同事能够以相同的权限注册新帐户。

错误详细信息:- 发生未知错误。请稍后再试,或联系 AWS Support。找不到资源的启动路径:prod-xxxxxxxxxxxx

AWS Control Tower 无法创建您的账户,因为您的着陆区可能存在偏差。检查您的登陆区域并尝试使用高级帐户配置方法来创建您的帐户。

注意:我们的着陆区没有漂移

我尝试了所有可能的解决方案,但仍然存在相同的错误。有没有人面临同样的问题?

0 投票
1 回答
908 浏览

amazon-web-services - 如何使用 AWS Control Tower,但忽略 AWS SSO 功能而支持自定义 ADFS 方法?

目标:使用AWS SSO 之外的所有 AWS Control Tower 功能,因为与我合作的组织目前不想更改身份管理和单点登录的任何方面。

目前,该组织在其数据中心中使用 ADFS 进行 SSO 和 MFA,并具有一些自动化和流程来使用该身份解决方案设置新的 AWS 账户。

我不在乎这种与 ADFS 的集成是否会在创建新帐户时触发自动运行,因为该组织还没有达到那种级别的身份自动化,并且目标不是改变它。

如果您需要更自定义的方法,AWS Control Tower 常见问题解答建议使用 Landing Zones 解决方案而不是Control Tower:

虽然 Control Tower 使用预配置的蓝图(例如,用于目录和访问的 AWS SSO)自动创建新的登陆区,但 AWS Landing Zone 解决方案通过自定义插件(例如, 、Active Directory、Okta Directory)以及通过代码部署和配置管道进行的持续修改。

登陆区方法的 CloudFormation 模板和指南在这里:

但我想要这一切:控制塔的易用性使用自定义身份方法。此外,该组织使用 Terraform,因此我不想介绍一堆 CloudFormation 模板,而且 AWS Terraform Landing Zone Accelerator (TLZ)尽管已在一年多前宣布,但尚未发布。

AWS Control Tower 的 Account Factory 要求您输入 AWS SSO 电子邮件地址,因此似乎无法绕过 AWS SSO 的某些使用,至少在初始设置或“帐户注册”期间是这样: 帐户工厂中的帐户注册

另一个方面:由于组织使用 ADFS 进入 AWS,我无法通过切换角色访问由 AWS Control Tower 创建的帐户AWSControlTowerExecution,因为我已通过以下方式登录到 Control Tower(主)帐户联邦。

AWSControlTowerExecution角色信任关系中的委托人是主帐号。当您通过联合身份验证时,AWS 不会将您的委托人视为您已联合到的帐户的一部分,因此该AWSControlTowerExecution角色不信任我,联合用户,可以这么说。)

0 投票
1 回答
40 浏览

amazon-web-services - 在 AWS Landing zone seup 中设置个人开发者账户

在左下角,它显示开发人员帐户,这是我们拥有的产品帐户的补充,即 Sandbox/dev/test/prod/tools

在此处输入图像描述

  1. 是否建议拥有个人开发者帐户?

  2. 使用登陆区域设置时如何设置个人开发者帐户。(截至目前,所有用户都登录到登录区帐户并在 sandbox/dev/test/prod 帐户中担任角色。

0 投票
1 回答
338 浏览

amazon-web-services - AWS Control Tower 无法完全设置您的登录区:...因为日志组已存在

我正在尝试使用 AWS Control Tower 设置一个新的登陆区,但即使经过多次尝试,我仍然卡在同一步骤。

AWS Control Tower 无法完全设置您的登录区:AWS Control Tower 无法创建日志组 /aws/lambda/aws-controltower-NotificationForwarder,因为该日志组已存在。要继续,请从 Amazon CloudWatch 中删除日志组,然后重试。

问题是没有具有该名称的日志组。我手动创建具有相同名称的日志组也没有问题,之后也没有删除它。

我不太确定如何继续进行故障排除。设置另一个 CloudWatch 日志组的堆栈工作得很好。

0 投票
0 回答
52 浏览

amazon-web-services - 如何将 AWS Organizations 下的 aws 账户注册到 Control Tower 创建的 OU

我想将在 aws 组织中创建的 2 个 aws 帐户注册到根帐户 2 中控制塔创建的组织单元中,例如根帐户 1。

这里的主要问题是这两个 root 帐户是完全不同的帐户,并且它们没有以任何方式相互关联。

0 投票
1 回答
37 浏览

amazon-web-services - 将 AWS 账户移动到另一个 AWS 组织

我有一个带有联网、日志记录、安全性和许多自定义 AWS 账户的 AWS 登陆区设置。所有入口/出口连接都通过网络帐户。

我想设置一个全新的登陆区(AWS 组织)并将所有自定义 AWS 账户移动到该登陆区。如果我将账户移动到新的 AWS 组织,现有的网络连接是否会继续工作(中转网关附件、路由表等)?