Información general de la arquitectura - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general de la arquitectura

Al implementar cFCT, se crea el siguiente entorno en la AWS nube, con un bucket de Amazon S3 como fuente de configuración.

Diagrama de personalizaciones para la arquitectura AWS de la Torre de Control

Figura 1: Personalizaciones de la arquitectura de la Torre AWS de Control

cFCT incluye una AWS CloudFormation plantilla que puede implementar en su cuenta de administración de la Torre de AWS Control Tower. La plantilla lanza todos los componentes necesarios para crear los flujos de trabajo, de forma que puedas personalizar la zona de aterrizaje de la Torre de AWS Control Tower.

Nota

El cFCT debe desplegarse en la región de origen de la Torre de AWS Control y en la cuenta de administración de la Torre de AWS Control, porque ahí es donde se despliega la zona de aterrizaje de la Torre de AWS Control. Para obtener información sobre cómo configurar una zona de aterrizaje de la Torre de AWS Control, consulteIntroducción a AWS Control Tower.

A medida que se implementa CfCT, este empaqueta y carga los recursos personalizados en el origen de la canalización del código por medio de Amazon Simple Storage Service (Amazon S3). El proceso de carga invoca automáticamente la máquina de estados de políticas de control de servicios (SCPs) y la máquina de AWS CloudFormation StackSetsestados para desplegarlas a nivel de unidad organizativa o para implementar instancias apiladas a nivel de unidad organizativa o de cuenta. SCPs

Nota

De forma predeterminada, CfCT crea un bucket de Amazon S3 para almacenar el origen de la canalización. Si tiene un AWS CodeCommit repositorio existente, puede cambiar la ubicación a un CodeCommitrepositorio. Para obtener más información, consulte Set up Amazon S3 as the configuration source.

CfCT implementa dos flujos de trabajo:

  • un flujo de trabajo de AWS CodePipeline

  • y un flujo de trabajo de eventos del ciclo de vida de la Torre de AWS Control Tower.

El AWS CodePipeline flujo de trabajo

El AWS CodePipeline flujo de trabajo configura AWS CodePipeline, AWS CodeBuildproyecta y organiza AWS Step Functionsla administración de AWS CloudFormation StackSets y SCPs dentro de su organización.

Al cargar el paquete de configuración, CfCT invoca la canalización de código para ejecutar tres etapas.

  • Build Stage: valida el contenido del paquete de configuración mediante. AWS CodeBuild

  • SCPEtapa: invoca la máquina de estados de la política de control del servicio, que la llama AWS Organizations API a crear. SCPs

  • AWS CloudFormation Etapa: invoca la máquina de estados del conjunto de pilas para implementar los recursos especificados en la lista de cuentas o OUs que hayas proporcionado en el archivo de manifiesto.

En cada etapa, la canalización de códigos invoca las funciones de conjunto y SCP paso de pilas, que despliegan conjuntos de pilas personalizados en las cuentas individuales de destino o en toda una unidad organizativa. SCPs

Nota

Para obtener información detallada sobre la personalización del paquete de configuración, consulte Guía de personalización de CfCT.

El flujo de trabajo de eventos del ciclo de vida de la Torre de AWS Control

Cuando se crea una cuenta nueva en la Torre de AWS Control, un evento del ciclo de vida puede invocar el AWS CodePipeline flujo de trabajo. Puede personalizar el paquete de configuración a través de este flujo de trabajo, que consta de una regla de EventBridge eventos de Amazon, una cola de Amazon Simple Queue Service (AmazonSQS), de primer ingreso, primero en salir (FIFO) y una función. AWS Lambda

Cuando la regla de EventBridge eventos de Amazon detecta un evento del ciclo de vida coincidente, pasa el evento a la SQS FIFO cola de Amazon, invoca la AWS Lambda función e invoca la canalización de código para realizar un despliegue descendente de conjuntos de pilas y. SCPs