Servicios de componentes - AWS Control Tower
AWS CodeCommitAWS CodePipelineAWS Key Management ServiceAWS LambdaAmazon Simple Notification ServiceAmazon Simple Storage ServiceAmazon Simple Queue ServiceAWS Step FunctionsAWS Almacén de parámetros de Systems Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Servicios de componentes

Los siguientes AWS servicios son componentes de las personalizaciones de AWS Control Tower (cFCT).

AWS CodeCommit

Si tiene un AWS CodeCommit repositorio existente, puede configurarlo como fuente para su canalización, como alternativa a Amazon S3.

En función de lo que introduzcas en la AWS CloudFormation plantilla, cFct puede crear un AWS CodeCommitrepositorio con la misma configuración de ejemplo que se explica en la sección Amazon Simple Storage Service.

Para clonar el AWS CodeCommit repositorio cFCT en su ordenador local, debe crear credenciales que le den acceso temporal al repositorio, tal y como se explica en la Guía del AWS CodeCommit usuario. Para obtener información sobre la compatibilidad de las versiones, consulte Setting up for AWS CodeCommit.

nota

Si aún no lo usa CodeCommit, su única opción es configurar el bucket de Amazon S3 como ubicación de almacenamiento para su paquete de configuración. CodeCommit no está disponible si está implementando cFCT por primera vez.

AWS CodePipeline

AWS CodePipeline valida, prueba e implementa los cambios en función de las actualizaciones del paquete de configuración, que realizará en el depósito predeterminado de Amazon S3 o en el AWS CodeCommit repositorio. Para obtener más información sobre el control de origen de la configuración, consulte Using Amazon S3 as the Configuration Source. La canalización incluye etapas para validar y administrar los archivos y plantillas de configuración, las cuentas principales, las políticas de control de AWS Organizations servicios y AWS CloudFormation StackSets. Para obtener más información acerca de las fases de la canalización, consulte Guía de personalización de CfCT

AWS Key Management Service

CfCT crea una clave de cifrado CustomControlTowerKMSKey de AWS Key Management Service (AWS KMS). Esta clave se utiliza para cifrar los objetos del bucket de configuración de Amazon S3, la cola de Amazon SQS y los parámetros confidenciales del Almacén de parámetros de AWS Systems Manager. De forma predeterminada, solo los roles aprovisionados por CfCT tienen permiso para realizar operaciones de cifrado o descifrado con esta clave. Para acceder al archivo de configuración, a la cola FIFO o a los valores SecureString del almacén de parámetros, se deben añadir administradores a la política CustomControlTowerKMSKey. La rotación automática de claves no está habilitada de forma predeterminada.

AWS Lambda

CfCT utiliza AWS Lambda funciones para invocar los componentes de la instalación durante la instalación e implementación iniciales AWS CloudFormation StackSets o AWS Organizations SCPs durante un evento del ciclo de vida de la Torre de Control de AWS.

Amazon Simple Notification Service

CfCT puede publicar notificaciones, como la aprobación de canalizaciones, sobre temas de Amazon Simple Notification Service (Amazon SNS) durante el flujo de trabajo. Amazon SNS solo se lanza cuando elige recibir notificaciones de aprobación de canalizaciones.

Amazon Simple Storage Service

Cuando se implementa CfCT, se crea un bucket de Amazon Simple Storage Service (Amazon S3) con un nombre único:

Ejemplo: El nombre del bucket de Amazon S3

custom-control-tower-configuration-accountID-region

El bucket contiene un archivo de configuración de ejemplo llamado _custom-control-tower-configuration.zip

Observe el guion bajo inicial en el nombre del archivo.

Este archivo zip proporciona un manifiesto de ejemplo y las plantillas de ejemplo relacionadas que describen la estructura de carpetas necesaria. Estos ejemplos le ayudarán a desarrollar un paquete de configuración para personalizar la zona de aterrizaje de AWS Control Tower. El ejemplo de manifiesto identifica las configuraciones necesarias para los conjuntos de pilas y las políticas de control de servicios (SCPs) que necesitará al implementar las personalizaciones.

Puede usar este paquete de configuración de ejemplo como modelo para desarrollar y cargar su paquete personalizado, que activará automáticamente la canalización de configuración de CfCT.

Para obtener información sobre cómo personalizar el archivo de configuración, consulte Guía de personalización de CfCT.

Amazon Simple Queue Service

cFCT utiliza una cola FIFO del Amazon Simple Queue Service (Amazon SQS) para capturar los eventos del ciclo de vida de Amazon. EventBridge Activa una AWS Lambda función, que invoca para implementar o. AWS CodePipeline AWS CloudFormation StackSets SCPs Para obtener más información al respecto SCPs, consulte AWS Organizations.

AWS Step Functions

CfCT crea Step Functions para organizar las implementaciones de personalización. Step Functions traduce los archivos de configuración para implementar las personalizaciones según sea necesario en los distintos entornos.

AWS Almacén de parámetros de Systems Manager

El Almacén de parámetros de AWS Systems Manager almacena los parámetros de configuración de CfCT. Estos parámetros le permiten integrar plantillas de configuración relacionadas. Por ejemplo, puede configurar cada cuenta para que registre AWS CloudTrail los datos en un bucket centralizado de Amazon S3. Además, el Almacén de parámetros de Systems Manager proporciona una ubicación centralizada donde los administradores pueden ver las entradas y los parámetros de CfCT.