In qualità di amministratore di Cloud Operations, è possibile utilizzare vRealize Automation Cloud Guardrails per creare un'unità organizzativa e un account membro e distribuirli nell'ambiente. È inoltre possibile aggiungere account membri a unità organizzative esistenti.

Ad esempio, è possibile eseguire il bootstrap di AWS, nonché creare un'organizzazione e due unità organizzative primarie.

  • L'unità organizzativa Core può includere gli account dei membri per la sicurezza, l'archivio delle registrazioni e i servizi condivisi.
  • L'unità organizzativa Criterio può includere un account della base di confronto e gestire i criteri per l'organizzazione.

In questo esempio, si esegue il bootstrap dell'ambiente AWS creando un'unità organizzativa e un account membro e si applicano i criteri all'unità organizzativa. Per eseguire il bootstrap di AWS, selezionare uno o più file SLS del modello di bootstrap nella libreria di modelli di Cloud Guardrails, aggiornarli in base alle proprie esigenze ed eseguirli come stati desiderati di Cloud Guardrails. Ad esempio:

  • Unità organizzativa AWS
  • Account membro AWS
  • Crea zona di destinazione AWS

Dopo che Cloud Guardrails esegue il provisioning dell'unità organizzativa e dell'account membro, è possibile creare una zona di destinazione, ad esempio un cloud privato virtuale (VPC) in cui distribuire i carichi di lavoro e le applicazioni. Se si usano cluster Kubernetes, l'utilizzo dei modelli che creano l'unità organizzativa e l'account membro è particolarmente importante per una configurazione rapida.

Utilizzando i modelli di Guardrails, è possibile creare rapidamente l'unità organizzativa e l'account membro e distribuirli nell'ambiente. Quando si esegue il bootstrap di AWS con le unità organizzative nidificate e gli account membri, è necessario includere metadati specifici che includono Nome, Tipo, Provider, Descrizione e Parametri.

Ad esempio:

META:
  name: AWS landing zone
  type: GUARDRAILS_BUNDLE
  provider: AWS
  description: Create nested OUs and member accounts with SCP polices.
  parameters:
    - root_org_name : Root Organization name
        type: String

Il codice del modello di bootstrap dell'unità organizzativa è simile a:

META:
  name: AWS Organizational Unit
  provider: AWS
  category: BOOTSTRAP
  description: An organizational unit (OU) is a group of AWS accounts within an organization. An OU can also contain other OUs enabling you to create a hierarchy.

{% set organization_unit_name = params.get('organization_unit_name') %}
{% set parent_org_id = params.get('parent_org_id') %}

{{organization_unit_name}}:
  META:
    name: Create organization unit
    parameters:
      organization_unit_name:
        uiElement: text
        name: Organization Unit
        description: An organizational unit (OU) is a group of AWS accounts within an organization. An OU can also contain other OUs enabling you to create a hierarchy.
      parent_org_id:
        uiElement: text
        name: Parent Org Id
        description: An organizational name is a group of AWS accounts or OUs within an organization.
  aws.organizations.organization_unit.present:
  - org_unit_name: {{organization_unit_name}}
  - parent_id: {{parent_org_id}}

Il codice del modello di bootstrap dell'account membro è simile a:

META:
  name: AWS Member Account
  provider: AWS
  category: BOOTSTRAP
  description: An account in Organizations is a standard AWS account that contains your AWS resources and the identities that can access those resources.

{% set member_account_name = params.get('member_account_name') %}
{% set member_account_email = params.get('member_account_email') %}
{% set member_account_role = params.get('member_account_role', 'OrganizationAccountAccessRole') %}
{% set parent_org_id = params.get('parent_org_id') %}

{{member_account_name}}:
  META:
    name: Create AWS member account
    description: An account in Organizations is a standard AWS account that contains your AWS resources and the identities that can access those resources.
    parameters:
      member_account_name:
        uiElement: text
        name: Account Name
        description: Name of member account.
      member_account_role:
        uiElement: text
        name: Role Name
        description: Provide some role to member account.
      member_account_email:
        uiElement: text
        name: Email
        description: Email id for creating member account.
      parent_org_id:
        uiElement: text
        name: Parent Org Id
        description: Id of the Organization or Organization Unit under which the account will be created.

  aws.organizations.account.present:
  - account_name: {{member_account_name}}
  - role_name: {{member_account_role}}
  - email: {{member_account_email}}
  - iam_user_access_to_billing: ALLOW
  - parent_id: {{parent_org_id}}

Nell'esempio seguente, si esegue il bootstrap di AWS con le unità organizzative nidificate e gli account membri e si applicano i criteri all'unità organizzativa e all'account membro.

Prerequisiti

Procedura

  1. Accedere al repository dei modelli di criteri di Cloud Guardrails dall'istanza di vRealize Automation Cloud.
    1. Nella scheda Guardrails, fare clic su +Nuovo.
    2. Fare clic su Dalla libreria.
    3. Fare clic sulla scheda Bootstrap.
  2. Creare l'unità organizzativa e l'account membro.
    1. Selezionare il modello denominato Unità organizzativa AWS.
    2. Selezionare il modello denominato Account membro AWS.
  3. Se è necessario creare una zona di destinazione, selezionare il modello denominato Crea zona di destinazione AWS.
  4. Fare clic su Aggiungi modello selezionato.
    I modelli selezionati vengono visualizzati nell'elenco.
  5. Nell'area Aggiungi progetto, fare clic sulla freccia a discesa e selezionare un progetto.
    È possibile creare modelli importandoli dalla libreria di Cloud Guardrails.
  6. Per aggiungere altri modelli dalla libreria, fare clic su Altri elementi della libreria.
  7. Fare clic su Importa.
    I modelli di Cloud Guardrails selezionati e importati vengono visualizzati nell'elenco dei modelli.
    L'elenco dei modelli di Cloud Guardrails ora include i modelli di AWS importati.
  8. È possibile aggiungere altri modelli di bootstrap all'elenco dei modelli disponibili.
    1. Nella scheda Guardrails, fare clic su +Nuovo.
    2. Fare clic su Dalla libreria.
    3. Fare clic sulla scheda Bootstrap e selezionare un altro modello.
    Ad esempio, è possibile selezionare il modello denominato Crea Account Vending Machine (AVM) AWS in modo da poter creare nuovi account AWS nelle unità organizzative che un amministratore di Cloud Operations ha già configurato con una base di confronto di sicurezza dell'account e una rete.

risultati

Sono stati importati diversi modelli di bootstrap dalla libreria di modelli di Cloud Guardrails in modo da poterli applicare come stati desiderati di Cloud Guardrails.

Operazioni successive

Creare uno stato desiderato di Cloud Guardrails che esegua i modelli di Cloud Guardrails selezionati. Vedere Come creare uno stato desiderato di Cloud Guardrails da un modello e applicarlo.

Se si dispone dell'accesso diretto al repository dei modelli di Cloud Guardrails, è possibile visualizzare in tale repository tutti i modelli disponibili.