作为云环境运维管理员,您可以使用 vRealize Automation Cloud Guardrails 创建组织单位 (OU) 和成员帐户,并在您的环境中进行部署。您还可以将成员帐户添加到现有 OU。

例如,您可以引导 AWS,并创建一个组织和两个主组织单位 (OU)。

  • 核心 OU 可以包括用于确保安全、日志记录存档和共享服务的成员帐户。
  • 策略 OU 可以包括基准帐户,并驱动组织的策略。

在此示例中,将通过创建 OU 和成员帐户来引导 AWS 环境,并将策略应用于 OU。要引导 AWS,您需要在 Cloud Guardrails 模板库中选择一个或多个引导模板 SLS 文件,根据需要更新这些文件,然后将其作为 Cloud Guardrails 所需状态运行。例如:

  • AWS 组织单位
  • AWS 成员帐户
  • 创建 AWS 登录区域

Cloud Guardrails 置备 OU 和成员帐户后,您可以创建一个登录区,例如 Virtual Private Cloud (VPC),可以在其中部署工作负载和应用程序。如果要使用 Kubernetes 集群,则使用创建 OU 和成员帐户的模板对于快速设置尤为重要。

通过使用 Guardrails 模板,可以快速创建 OU 和成员帐户,并将其部署到您的环境中。通过嵌套 OU 和成员帐户引导 AWS 时,必须包括特定的元数据,其中包括名称、类型、提供商、描述和参数。

例如:

META:
  name: AWS landing zone
  type: GUARDRAILS_BUNDLE
  provider: AWS
  description: Create nested OUs and member accounts with SCP polices.
  parameters:
    - root_org_name : Root Organization name
        type: String

OU 引导模板代码类似于:

META:
  name: AWS Organizational Unit
  provider: AWS
  category: BOOTSTRAP
  description: An organizational unit (OU) is a group of AWS accounts within an organization. An OU can also contain other OUs enabling you to create a hierarchy.

{% set organization_unit_name = params.get('organization_unit_name') %}
{% set parent_org_id = params.get('parent_org_id') %}

{{organization_unit_name}}:
  META:
    name: Create organization unit
    parameters:
      organization_unit_name:
        uiElement: text
        name: Organization Unit
        description: An organizational unit (OU) is a group of AWS accounts within an organization. An OU can also contain other OUs enabling you to create a hierarchy.
      parent_org_id:
        uiElement: text
        name: Parent Org Id
        description: An organizational name is a group of AWS accounts or OUs within an organization.
  aws.organizations.organization_unit.present:
  - org_unit_name: {{organization_unit_name}}
  - parent_id: {{parent_org_id}}

成员帐户引导程序模板代码类似于:

META:
  name: AWS Member Account
  provider: AWS
  category: BOOTSTRAP
  description: An account in Organizations is a standard AWS account that contains your AWS resources and the identities that can access those resources.

{% set member_account_name = params.get('member_account_name') %}
{% set member_account_email = params.get('member_account_email') %}
{% set member_account_role = params.get('member_account_role', 'OrganizationAccountAccessRole') %}
{% set parent_org_id = params.get('parent_org_id') %}

{{member_account_name}}:
  META:
    name: Create AWS member account
    description: An account in Organizations is a standard AWS account that contains your AWS resources and the identities that can access those resources.
    parameters:
      member_account_name:
        uiElement: text
        name: Account Name
        description: Name of member account.
      member_account_role:
        uiElement: text
        name: Role Name
        description: Provide some role to member account.
      member_account_email:
        uiElement: text
        name: Email
        description: Email id for creating member account.
      parent_org_id:
        uiElement: text
        name: Parent Org Id
        description: Id of the Organization or Organization Unit under which the account will be created.

  aws.organizations.account.present:
  - account_name: {{member_account_name}}
  - role_name: {{member_account_role}}
  - email: {{member_account_email}}
  - iam_user_access_to_billing: ALLOW
  - parent_id: {{parent_org_id}}

在以下示例中,将通过嵌套 OU 和成员帐户引导 AWS,并将策略应用于 OU 和成员帐户。

前提条件

过程

  1. 从 vRealize Automation Cloud 实例访问 Cloud Guardrails 策略模板存储库。
    1. 在“Guardrails”选项卡上,单击 +新建
    2. 单击从库
    3. 单击引导卡视图。
  2. 创建组织单位和成员帐户。
    1. 选择名为 AWS 组织单位的模板。
    2. 选择名为 AWS 成员帐户的模板。
  3. 如果需要创建登录区,请选择名为创建 AWS 登录区的模板。
  4. 单击添加选定模板
    所选模板将显示在列表中。
  5. 添加项目区域中,单击下拉箭头,然后选择项目。
    可以通过从 Cloud Guardrails 库导入模板来创建模板。
  6. 要从库添加更多模板,请单击更多库项目
  7. 单击导入
    选择并导入的 Cloud Guardrails 模板显示在模板列表中。
    Cloud Guardrails 模板列表现在包含您导入的 AWS 模板。
  8. 您可以将其他引导模板添加到可用模板列表中。
    1. 在“Guardrails”选项卡上,单击 +新建
    2. 单击从库
    3. 单击引导卡视图,然后选择其他模板。
    例如,可以选择名为 创建 AWS 帐户自动售货机 (AVM) 的模板,以便可以在云环境运维管理员已配置帐户安全基准和网络的 OU 中创建新的 AWS 帐户。

结果

您从 Cloud Guardrails 模板库中导入了多个引导模板,以便可以将其作为 Cloud Guardrails 所需状态实施。

下一步做什么

创建运行所选 Cloud Guardrails 模板的 Cloud Guardrails 所需状态。请参见如何从模板创建 Cloud Guardrails 所需状态并实施

如果您可以直接访问 Cloud Guardrails 模板存储库,则可以查看其中的所有可用模板。