身為雲端作業管理員,您可以使用 vRealize Automation Cloud Guardrails 建立組織單位 (OU) 和成員帳戶,並在您的環境中進行部署。您還可以將成員帳戶新增到現有 OU。

例如,您可以啟動載入 AWS,並建立一個組織 (org) 和兩個主要組織單位 (OU)。

  • 核心 OU 可以包括用於確保安全性、記錄封存檔和共用服務的成員帳戶。
  • 原則 OU 可以包括基準帳戶,並驅動組織的原則。

在此範例中,將透過建立 OU 和成員帳戶來啟動載入 AWS 環境,並將原則套用至 OU。若要啟動載入 AWS,您需要在 Cloud Guardrails 範本程式庫中選取一或多個啟動載入範本 SLS 檔案,根據需要更新這些檔案,然後將其以 Cloud Guardrails 所需狀態執行。例如:

  • AWS 組織單位
  • AWS 成員帳戶
  • 建立 AWS 登陸區域

Cloud Guardrails 佈建 OU 和成員帳戶後,您可以建立一個登陸區域,例如 Virtual Private Cloud (VPC),可以在其中部署工作負載和應用程式。如果要使用 Kubernetes 叢集,則使用建立 OU 和成員帳戶的範本對於快速設定尤為重要。

透過使用 Guardrails 範本,可以快速建立 OU 和成員帳戶,並將其部署到您的環境中。透過巢狀 OU 和成員帳戶啟動載入 AWS 時,必須包括特定的中繼資料,其中包括名稱、類型、提供者、說明和參數。

例如:

META:
  name: AWS landing zone
  type: GUARDRAILS_BUNDLE
  provider: AWS
  description: Create nested OUs and member accounts with SCP polices.
  parameters:
    - root_org_name : Root Organization name
        type: String

OU 啟動載入範本代碼類似於:

META:
  name: AWS Organizational Unit
  provider: AWS
  category: BOOTSTRAP
  description: An organizational unit (OU) is a group of AWS accounts within an organization. An OU can also contain other OUs enabling you to create a hierarchy.

{% set organization_unit_name = params.get('organization_unit_name') %}
{% set parent_org_id = params.get('parent_org_id') %}

{{organization_unit_name}}:
  META:
    name: Create organization unit
    parameters:
      organization_unit_name:
        uiElement: text
        name: Organization Unit
        description: An organizational unit (OU) is a group of AWS accounts within an organization. An OU can also contain other OUs enabling you to create a hierarchy.
      parent_org_id:
        uiElement: text
        name: Parent Org Id
        description: An organizational name is a group of AWS accounts or OUs within an organization.
  aws.organizations.organization_unit.present:
  - org_unit_name: {{organization_unit_name}}
  - parent_id: {{parent_org_id}}

成員帳戶啟動載入範本代碼類似於:

META:
  name: AWS Member Account
  provider: AWS
  category: BOOTSTRAP
  description: An account in Organizations is a standard AWS account that contains your AWS resources and the identities that can access those resources.

{% set member_account_name = params.get('member_account_name') %}
{% set member_account_email = params.get('member_account_email') %}
{% set member_account_role = params.get('member_account_role', 'OrganizationAccountAccessRole') %}
{% set parent_org_id = params.get('parent_org_id') %}

{{member_account_name}}:
  META:
    name: Create AWS member account
    description: An account in Organizations is a standard AWS account that contains your AWS resources and the identities that can access those resources.
    parameters:
      member_account_name:
        uiElement: text
        name: Account Name
        description: Name of member account.
      member_account_role:
        uiElement: text
        name: Role Name
        description: Provide some role to member account.
      member_account_email:
        uiElement: text
        name: Email
        description: Email id for creating member account.
      parent_org_id:
        uiElement: text
        name: Parent Org Id
        description: Id of the Organization or Organization Unit under which the account will be created.

  aws.organizations.account.present:
  - account_name: {{member_account_name}}
  - role_name: {{member_account_role}}
  - email: {{member_account_email}}
  - iam_user_access_to_billing: ALLOW
  - parent_id: {{parent_org_id}}

在以下範例中,將透過巢狀 OU 和成員帳戶啟動載入 AWS,並將原則套用至 OU 和成員帳戶。

必要條件

程序

  1. 從 vRealize Automation Cloud 執行個體存取 Cloud Guardrails 原則範本存放庫。
    1. 在 Guardrails 索引標籤上,按一下 +新增
    2. 按一下從程式庫
    3. 按一下啟動載入卡。
  2. 建立組織單位和成員帳戶。
    1. 選取名為 AWS 組織單位的範本。
    2. 選取名為 AWS 成員帳戶的範本。
  3. 如果需要建立登陸區域,請選取名為建立 AWS 登陸區域的範本。
  4. 按一下新增所選範本
    所選範本將顯示在清單中。
  5. 新增專案區域中,按一下下拉式箭頭,然後選取專案。
    可以透過從 Cloud Guardrails 程式庫匯入範本來建立範本。
  6. 若要從程式庫新增更多範本,請按一下更多程式庫項目
  7. 按一下匯入
    選取並匯入的 Cloud Guardrails 範本顯示在範本清單中。
    Cloud Guardrails 範本清單現在包含您匯入的 AWS 範本。
  8. 可以將其他啟動載入範本新增到可用範本清單中。
    1. 在 Guardrails 索引標籤上,按一下 +新增
    2. 按一下從程式庫
    3. 按一下啟動載入卡,然後選取其他範本。
    例如,可以選取名為 建立 AWS 帳戶自動販賣機 (AVM) 的範本,以便可以在雲端作業管理員已設定帳戶安全性基準和網路的 OU 中建立新的 AWS 帳戶。

結果

您從 Cloud Guardrails 範本程式庫中匯入了多個啟動載入範本,以便可以將其以 Cloud Guardrails 所需狀態強制執行。

下一步

建立執行所選 Cloud Guardrails 範本的 Cloud Guardrails 所需狀態。請參閱如何從範本建立 Cloud Guardrails 所需狀態並強制執行

如果您可以直接存取 Cloud Guardrails 範本存放庫,則可以檢視其中的所有可用範本。