Kustomisasi dari konsol AWS Control Tower Mengotomatiskan penyesuaian di luar konsol AWS Control Tower Manfaat Kustomisasi untuk AWS Control Tower (CFCT)Contoh CfCT tambahan

Sesuaikan landing zone AWS Control Tower

Aspek tertentu dari zona landing zone AWS Control Tower dapat dikonfigurasi di konsol, seperti pemilihan Wilayah dan kontrol opsional. Perubahan lain dapat dilakukan di luar konsol, dengan otomatisasi.

Misalnya, Anda dapat membuat penyesuaian yang lebih luas dari landing zone Anda dengan kemampuan Kustomisasi untuk AWS Control Tower, kerangka kerja kustomisasi GitOps bergaya yang berfungsi dengan template dan peristiwa siklus hidup AWS AWS CloudFormation Control Tower.

Kustomisasi dari konsol AWS Control Tower

Untuk membuat penyesuaian ini ke landing zone Anda, ikuti langkah-langkah yang diberikan oleh konsol AWS Control Tower.

Pilih nama yang disesuaikan selama penyiapan

Anda dapat memilih nama OU tingkat atas Anda selama pengaturan. Anda dapat mengganti nama OU Anda kapan saja menggunakan AWS Organizations konsol, tetapi membuat perubahan pada OU Anda AWS Organizations dapat menyebabkan penyimpangan yang dapat diperbaiki.
Anda dapat memilih nama akun Audit dan Arsip Log bersama, tetapi Anda tidak dapat mengubah nama setelah penyiapan. (Ini adalah pilihan satu kali.)

Kiat

Ingatlah bahwa mengganti nama OU di AWS Organizations tidak memperbarui produk yang disediakan terkait di Account Factory. Untuk memperbarui produk yang disediakan secara otomatis (dan menghindari penyimpangan), Anda harus melakukan operasi OU melalui AWS Control Tower, termasuk membuat, menghapus, atau mendaftarkan ulang OU.

Pilih AWS Wilayah

Anda dapat menyesuaikan landing zone dengan memilih AWS Wilayah tertentu untuk tata kelola. Ikuti langkah-langkah di konsol AWS Control Tower.
Anda dapat memilih dan membatalkan pilihan AWS Wilayah untuk tata kelola saat memperbarui landing zone.
Anda dapat mengatur kontrol Tolak Wilayah ke Diaktifkan atau Tidak diaktifkan, dan mengontrol akses pengguna ke sebagian besar AWS layanan di Wilayah yang tidak diatur AWS .

Untuk informasi tentang Wilayah AWS di mana CFCT memiliki batasan penerapan, lihat. Keterbatasan kontrol

Sesuaikan dengan menambahkan kontrol opsional

Sangat direkomendasikan dan kontrol elektif bersifat opsional, yang berarti Anda dapat menyesuaikan tingkat penegakan untuk landing zone Anda dengan memilih mana yang akan diaktifkan. Kontrol opsional tidak diaktifkan secara default.
Kontrol residensi Data opsional memungkinkan Anda menyesuaikan Wilayah tempat Anda menyimpan dan mengizinkan akses ke data Anda.
Kontrol opsional yang merupakan bagian dari standar Security Hub terintegrasi memungkinkan Anda memindai lingkungan AWS Control Tower untuk memeriksa risiko keamanan.
Kontrol proaktif opsional memungkinkan Anda untuk memeriksa AWS CloudFormation sumber daya Anda sebelum disediakan, untuk memastikan sumber daya baru akan sesuai dengan tujuan kontrol lingkungan Anda.

Sesuaikan AWS CloudTrail jalur Anda

Saat memperbarui landing zone ke versi 3.0 atau yang lebih baru, Anda dapat memilih untuk memilih atau memilih keluar dari CloudTrail jalur tingkat organisasi yang dikelola oleh AWS Control Tower. Anda dapat mengubah pilihan ini setiap kali Anda memperbarui landing zone Anda. AWS Control Tower membuat jejak tingkat organisasi di akun manajemen Anda, dan jejak tersebut memasuki status aktif atau tidak aktif, berdasarkan pilihan Anda. Zona pendaratan 3.0 tidak mendukung CloudTrail jalur tingkat akun; namun, jika Anda memerlukannya, Anda dapat mengonfigurasi dan mengelola jalur Anda sendiri. Anda mungkin dikenakan biaya tambahan untuk jalur duplikat.

Buat akun anggota yang disesuaikan di konsol

Anda dapat membuat akun anggota AWS Control Tower yang disesuaikan, dan Anda dapat memperbarui akun anggota yang ada untuk menambahkan penyesuaian, dari konsol AWS Control Tower. Untuk informasi selengkapnya, lihat Kustomisasi akun dengan Kustomisasi Account Factory (AFC).

Mengotomatiskan penyesuaian di luar konsol AWS Control Tower

Beberapa penyesuaian tidak tersedia melalui konsol AWS Control Tower, tetapi dapat diterapkan dengan cara lain. Sebagai contoh:

Anda dapat menyesuaikan akun selama penyediaan, dalam alur kerja GitOps -style, dengan Account Factory for Terraform (AFT).

AFT digunakan dengan modul Terraform, tersedia di repositori AFT.
Anda dapat menyesuaikan landing zone AWS Control Tower dengan Kustomisasi untuk AWS Control Tower (CFCT), paket fungsionalitas yang dibangun berdasarkan AWS CloudFormation templat dan kebijakan kontrol layanan (SCP). Anda dapat menerapkan templat dan kebijakan khusus ke akun individual dan unit organisasi (OU) dalam organisasi Anda.

Kode sumber untuk CFCT tersedia di GitHub repositori.

Manfaat Kustomisasi untuk AWS Control Tower (CFCT)

Paket fungsionalitas yang kami sebut sebagai Kustomisasi untuk AWS Control Tower (CFCT) membantu Anda membuat penyesuaian yang lebih luas untuk landing zone Anda daripada yang dapat Anda buat di konsol AWS Control Tower. Ini menawarkan GitOps -style, proses otomatis. Anda dapat membentuk kembali landing zone Anda untuk memenuhi kebutuhan bisnis Anda.

Proses infrastructure-as-codepenyesuaian ini mengintegrasikan AWS CloudFormation template dengan kebijakan kontrol AWS layanan (SCP) dan peristiwa siklus hidup AWS Control Tower, sehingga penerapan sumber daya Anda tetap disinkronkan dengan landing zone Anda. Misalnya, saat Anda membuat akun baru dengan Account Factory, sumber daya yang dilampirkan ke akun dan OU dapat digunakan secara otomatis.

catatan

Tidak seperti Account Factory dan AFT, CFCT tidak secara khusus dimaksudkan untuk membuat akun baru, tetapi untuk menyesuaikan akun dan OU di landing zone Anda dengan menerapkan sumber daya yang Anda tentukan.

Manfaat

Memperluas lingkungan yang disesuaikan dan aman — Anda dapat memperluas AWS lingkungan AWS Control Tower multi-akun dengan lebih cepat, dan menggabungkan praktik AWS terbaik ke dalam alur kerja penyesuaian yang dapat diulang.
Buat instantiasi persyaratan Anda — Anda dapat menyesuaikan landing zone AWS Control Tower untuk kebutuhan bisnis Anda, dengan AWS CloudFormation templat dan kebijakan kontrol layanan yang menyatakan maksud kebijakan Anda.
Otomatiskan lebih lanjut dengan peristiwa siklus hidup AWS Control Tower — Peristiwa Siklus Hidup memungkinkan Anda menerapkan sumber daya berdasarkan penyelesaian rangkaian peristiwa sebelumnya. Anda dapat mengandalkan peristiwa siklus hidup untuk membantu Anda menyebarkan sumber daya ke akun dan OU, secara otomatis.
Memperluas arsitektur jaringan Anda — Anda dapat menerapkan arsitektur jaringan khusus yang meningkatkan dan melindungi konektivitas Anda, seperti gateway transit.

Contoh CfCT tambahan

Contoh kasus penggunaan jaringan dengan Customizations for AWS Control Tower (CFCT) diberikan dalam posting blog AWS Architecture, Menyebarkan DNS konsisten dengan Service Catalog dan AWS Control Tower kustomisasi.
Contoh spesifik yang terkait dengan CFCT dan Amazon GuardDuty tersedia GitHub di aws-samplesrepositori.
Contoh kode tambahan mengenai CFCT tersedia sebagai bagian dari Arsitektur Referensi AWS Keamanan, di aws-samplesrepositori. Banyak dari contoh ini berisi manifest.yaml file sampel dalam direktori bernamacustomizations_for_aws_control_tower.

Untuk informasi selengkapnya tentang Arsitektur Referensi AWS Keamanan, lihat halaman Panduan AWS Preskriptif.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWS CloudFormation sumber daya

Kustomisasi untuk ikhtisar AWS Control Tower (CFCT)