En tant qu'administrateur des opérations de cloud, vous pouvez utiliser Cloud Guardrails pour créer une unité d'organisation et un compte de membre que vous déployez dans votre environnement. Vous pouvez également ajouter des comptes de membres à des unités d'organisation existantes.

Par exemple, vous pouvez démarrer AWS et créer une organisation et deux unités d'organisation principales.

  • L'unité d'organisation principale peut inclure des comptes de membres pour la sécurité, la journalisation et les services partagés.
  • L'unité d'organisation de stratégie peut inclure un compte de ligne de base et diriger les stratégies de l'organisation.

Dans cet exemple, vous démarrez votre environnement AWS en créant une unité d'organisation et un compte de membre, puis appliquez des stratégies à celle-ci. Pour démarrer AWS, sélectionnez un ou plusieurs fichiers SLS de modèle de démarrage dans la bibliothèque de modèles Cloud Guardrails, mettez-les à jour si nécessaire et exécutez-les en tant qu'états souhaités Cloud Guardrails. Par exemple :

  • Unité d'organisation AWS
  • Compte de membre AWS
  • Créer une zone de lancement AWS

Après avoir exécuté les modèles qui créent les unités d'organisation et le compte de membre dans Cloud Guardrails, vous pouvez finaliser la conception de la zone de lancement en appliquant des stratégies ou en créant un VPC (Virtual Private Cloud) dans lequel vous pouvez déployer vos charges de travail et applications. Si vous utilisez des clusters Kubernetes, l'utilisation des modèles qui créent l'unité d'organisation et le compte de membre est particulièrement importante pour une configuration rapide.

La zone de lancement finalisée est un environnement entièrement configuré qui inclut une infrastructure sécurisée, des stratégies et des services partagés. L'unité d'organisation provisionnée et le compte de membre de la zone de lancement, ainsi que les stratégies, les VPC et les services partagés, développent la zone de lancement à utiliser avec Cloud Guardrails et l'application continue des politiques.

À l'aide des modèles Cloud Guardrails, vous pouvez créer rapidement votre unité d'organisation et votre compte de membre, et les déployer dans votre environnement. Lorsque vous démarrez AWS avec les unités d'organisation imbriquées et les comptes de membres, vous devez inclure des métadonnées spécifiques qui incluent le nom, le type, le fournisseur, la description et les paramètres.

Par exemple :

META:
  name: AWS landing zone
  type: GUARDRAILS_BUNDLE
  provider: AWS
  description: Create nested OUs and member accounts with SCP polices.
  parameters:
    - root_org_name : Root Organization name
        type: String

Le code du modèle de démarrage de l'unité d'organisation ressemble à ce qui suit :

META:
  name: AWS Organizational Unit
  provider: AWS
  category: BOOTSTRAP
  description: An organizational unit (OU) is a group of AWS accounts within an organization. An OU can also contain other OUs enabling you to create a hierarchy.

{% set organization_unit_name = params.get('organization_unit_name') %}
{% set parent_org_id = params.get('parent_org_id') %}

{{organization_unit_name}}:
  META:
    name: Create organization unit
    parameters:
      organization_unit_name:
        uiElement: text
        name: Organization Unit
        description: An organizational unit (OU) is a group of AWS accounts within an organization. An OU can also contain other OUs enabling you to create a hierarchy.
      parent_org_id:
        uiElement: text
        name: Parent Org Id
        description: An organizational name is a group of AWS accounts or OUs within an organization.
  aws.organizations.organization_unit.present:
  - org_unit_name: {{organization_unit_name}}
  - parent_id: {{parent_org_id}}

Le code du modèle de démarrage du compte de membre ressemble à ce qui suit :

META:
  name: AWS Member Account
  provider: AWS
  category: BOOTSTRAP
  description: An account in Organizations is a standard AWS account that contains your AWS resources and the identities that can access those resources.

{% set member_account_name = params.get('member_account_name') %}
{% set member_account_email = params.get('member_account_email') %}
{% set member_account_role = params.get('member_account_role', 'OrganizationAccountAccessRole') %}
{% set parent_org_id = params.get('parent_org_id') %}

{{member_account_name}}:
  META:
    name: Create AWS member account
    description: An account in Organizations is a standard AWS account that contains your AWS resources and the identities that can access those resources.
    parameters:
      member_account_name:
        uiElement: text
        name: Account Name
        description: Name of member account.
      member_account_role:
        uiElement: text
        name: Role Name
        description: Provide some role to member account.
      member_account_email:
        uiElement: text
        name: Email
        description: Email id for creating member account.
      parent_org_id:
        uiElement: text
        name: Parent Org Id
        description: Id of the Organization or Organization Unit under which the account will be created.

  aws.organizations.account.present:
  - account_name: {{member_account_name}}
  - role_name: {{member_account_role}}
  - email: {{member_account_email}}
  - iam_user_access_to_billing: ALLOW
  - parent_id: {{parent_org_id}}

Dans l'exemple suivant, vous démarrez AWS avec les unités d'organisation imbriquées et les comptes de membres, puis appliquez des stratégies à l'unité d'organisation et au compte de membre.

Conditions préalables

Procédure

  1. Accédez au référentiel de modèles de stratégies Cloud Guardrails à partir de votre instance de vRealize Automation Cloud.
    1. Dans l'onglet Guardrails, cliquez sur +Nouveau.
    2. Cliquez sur À partir de la bibliothèque.
    3. Cliquez sur la fiche Démarrage.
  2. Créez l'unité d'organisation et le compte de membre.
    1. Sélectionnez le modèle nommé Unité d'organisation AWS.
    2. Sélectionnez le modèle nommé Compte de membre AWS.
  3. Si vous devez créer une zone de lancement, sélectionnez le modèle nommé Créer une zone de lancement AWS.
  4. Cliquez sur Ajouter le modèle sélectionné.
    Les modèles que vous avez sélectionnés s'affichent dans la liste.
  5. Dans la zone Ajouter un projet, cliquez sur la flèche déroulante et sélectionnez un projet.
    Vous pouvez créer des modèles en les important à partir de la bibliothèque Cloud Guardrails.
  6. Pour ajouter d'autres modèles à partir de la bibliothèque, cliquez sur Plus d'éléments de bibliothèque.
  7. Cliquez sur Importer.
    Les modèles Cloud Guardrails que vous sélectionnez et importez figurent dans la liste des modèles.
    La liste des modèles Cloud Guardrails inclut désormais les modèles AWS que vous avez importés.
  8. Vous pouvez ajouter d'autres modèles de démarrage à la liste des modèles disponibles.
    Vous ne pouvez pas modifier de modèles dans Cloud Guardrails. Pour modifier un fichier SLS de modèle, vous devez exporter le modèle, le modifier et charger le fichier mis à jour dans Cloud Guardrails.
    1. Dans l'onglet Guardrails, cliquez sur +Nouveau.
    2. Cliquez sur À partir de la bibliothèque.
    3. Cliquez sur la fiche Démarrage et sélectionnez un autre modèle.
    Par exemple, vous pouvez sélectionner le modèle nommé Créer une machine de gestion de compte AWS (AVM) afin de pouvoir créer de nouveaux comptes AWS dans les unités d'organisation qu'un administrateur des opérations de Cloud a déjà configurées avec une ligne de base de sécurité de compte et un réseau.

Résultats

Vous avez importé plusieurs modèles de démarrage à partir de la bibliothèque de modèles Cloud Guardrails afin de pouvoir les appliquer comme états souhaités Cloud Guardrails.

Que faire ensuite

Créez un état souhaité Cloud Guardrails qui exécute les modèles Cloud Guardrails que vous avez sélectionnés. Reportez-vous à la section Création d'un état souhaité Cloud Guardrails à partir d'un modèle et application de cet état.

Si vous disposez d'un accès direct au référentiel de modèles Cloud Guardrails, vous pouvez y afficher tous les modèles disponibles.