Komponenten-Dienste - AWS Control Tower
AWS CodeCommitAWS CodePipelineAWS Key Management ServiceAWS LambdaAmazon Simple Notification ServiceAmazon Simple Storage ServiceAmazon Simple Queue ServiceAWS Step FunctionsAWS Systems Manager Manager-Parameterspeicher

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Komponenten-Dienste

Die folgenden AWS Services sind Bestandteile von Customizations for AWS Control Tower (cFCT).

AWS CodeCommit

Wenn Sie über ein vorhandenes AWS CodeCommit Repository verfügen, können Sie es als Alternative zu Amazon S3 als Quelle für Ihre Pipeline konfigurieren.

Basierend auf Ihren Eingaben zur AWS CloudFormation Vorlage kann CfCT ein AWS CodeCommitRepository mit derselben Beispielkonfiguration erstellen, die im Abschnitt Amazon Simple Storage Service erklärt wird.

Um das AWS CodeCommit CFcT-Repository auf Ihren lokalen Computer zu klonen, müssen Sie Anmeldeinformationen erstellen, die Ihnen temporären Zugriff auf das Repository gewähren, wie im AWS CodeCommit Benutzerhandbuch erklärt. Informationen zur Versionskompatibilität finden Sie unter Einrichten für AWS CodeCommit.

Anmerkung

Falls Sie es noch nicht verwenden CodeCommit, besteht Ihre einzige Möglichkeit darin, den Amazon S3 S3-Bucket als Speicherort für Ihr Konfigurationspaket einzurichten. CodeCommit ist nicht verfügbar, wenn Sie CfCT zum ersten Mal einsetzen.

AWS CodePipeline

AWS CodePipeline validiert, testet und implementiert Änderungen auf der Grundlage von Aktualisierungen des Konfigurationspakets, die Sie entweder im standardmäßigen Amazon S3 S3-Bucket oder im AWS CodeCommit Repository vornehmen. Weitere Informationen zur Quellcodeverwaltung für Konfigurationen finden Sie unter Amazon S3 als Konfigurationsquelle verwenden. Die Pipeline umfasst Phasen zur Validierung und Verwaltung der Konfigurationsdateien und -vorlagen, der Kernkonten, der Richtlinien zur AWS Organizations Servicekontrolle und AWS CloudFormation StackSets. Weitere Informationen zu den Pipeline-Phasen finden Sie unter Leitfaden zur cFcT-Anpassung

AWS Key Management Service

CfCT erstellt einen AWS Key Management Service(AWS KMS) CustomControlTowerKMSKey Verschlüsselungsschlüssel. Dieser Schlüssel wird verwendet, um Objekte im Amazon S3 S3-Konfigurations-Bucket, in der Amazon SQS SQS-Warteschlange und sensible Parameter im AWS Systems Manager Parameter Store zu verschlüsseln. Standardmäßig sind nur Rollen, die von CfCT bereitgestellt wurden, berechtigt, Verschlüsselungs- oder Entschlüsselungsvorgänge mit diesem Schlüssel durchzuführen. Für den Zugriff auf die SecureString Werte der Konfigurationsdatei, der FIFO-Warteschlange oder des Parameterspeichers müssen Administratoren zur Richtlinie hinzugefügt werden. CustomControlTowerKMSKey Die automatische Schlüsselrotation ist standardmäßig aktiviert.

AWS Lambda

CfCT verwendet AWS Lambda Funktionen, um die Installationskomponenten während der Erstinstallation und Bereitstellung von AWS CloudFormation StackSets oder AWS Organizations SCPs während eines AWS Control Tower Tower-Lifecycle-Ereignisses aufzurufen.

Amazon Simple Notification Service

CfCT kann während des Workflows Benachrichtigungen wie Pipeline-Genehmigungen zu Amazon Simple Notification Service (Amazon SNS) -Themen veröffentlichen. Amazon SNS wird nur gestartet, wenn Sie Benachrichtigungen zur Pipeline-Genehmigung erhalten möchten.

Amazon Simple Storage Service

Wenn Sie cFCT bereitstellen, erstellt cFct einen Amazon Simple Storage Service (Amazon S3) -Bucket mit einem eindeutigen Namen:

Beispiel: Amazon S3 S3-Bucket-Name

custom-control-tower-configuration-accountID-region

Der Bucket enthält eine Beispielkonfigurationsdatei mit dem Namen _custom-control-tower-configuration.zip

Beachten Sie den führenden Unterstrich im Dateinamen.

Diese ZIP-Datei enthält ein Beispielmanifest und die zugehörigen Beispielvorlagen, in denen die erforderliche Ordnerstruktur beschrieben wird. Diese Beispiele helfen Ihnen bei der Entwicklung eines Konfigurationspakets zur Anpassung Ihrer AWS Control Tower Tower-Landezone. Das Beispielmanifest identifiziert die erforderlichen Konfigurationen für Stack-Sets und Service-Control-Richtlinien (SCPs), die Sie benötigen, wenn Sie Ihre Anpassungen implementieren.

Sie können dieses Beispielkonfigurationspaket als Modell verwenden, um Ihr benutzerdefiniertes Paket zu entwickeln und hochzuladen, wodurch die CfCT-Konfigurationspipeline automatisch ausgelöst wird.

Hinweise zum Anpassen der Konfigurationsdatei finden Sie unter. Leitfaden zur cFcT-Anpassung

Amazon Simple Queue Service

CfCT verwendet eine FIFO-Warteschlange von Amazon Simple Queue Service (Amazon SQS), um Lebenszyklusereignisse von Amazon zu erfassen. EventBridge Es löst eine AWS Lambda Funktion aus, die zum Bereitstellen von oder aufgerufen wird AWS CodePipeline . AWS CloudFormation StackSets SCPs Weitere Hinweise zu finden Sie SCPs unter AWS Organizations.

AWS Step Functions

CfCT erstellt Step Functions, um Anpassungsbereitstellungen zu orchestrieren. Diese Step Functions übersetzen Konfigurationsdateien, um die Anpassungen nach Bedarf in allen Umgebungen bereitzustellen.

AWS Systems Manager Manager-Parameterspeicher

Der AWS Systems Manager Parameter Store speichert die cFCT-Konfigurationsparameter. Mit diesen Parametern können Sie zugehörige Konfigurationsvorlagen integrieren. Sie können beispielsweise jedes Konto so konfigurieren, dass AWS CloudTrail Daten in einem zentralen Amazon S3 S3-Bucket protokolliert werden. Außerdem bietet der Systems Manager Parameter Store einen zentralen Ort, an dem Administratoren CfCT-Eingaben und -Parameter einsehen können.