Visão geral da arquitetura - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral da arquitetura

A implantação do cFCT cria o seguinte ambiente na AWS nuvem, com um bucket Amazon S3 como fonte de configuração.

Personalizações para o diagrama de arquitetura do AWS Control Tower

Figura 1: Personalizações para a arquitetura do AWS Control Tower

O cFct inclui um AWS CloudFormation modelo que você implanta na sua conta de gerenciamento do AWS Control Tower. O modelo inicia todos os componentes necessários para criar os fluxos de trabalho, para que você possa personalizar a zona de pouso do AWS Control Tower.

Observação

O CfCT deve ser implantado na região de origem do AWS Control Tower e na conta de gerenciamento do AWS Control Tower, porque é aí que a zona de pouso do AWS Control Tower é implantada. Consulte informações sobre como configurar uma zona de pouso do AWS Control Tower em Conceitos básicos do AWS Control Tower.

Conforme você implanta o CfCT, ele empacota e carrega os recursos personalizados na fonte do pipeline de código, por meio do Amazon Simple Storage Service (Amazon S3). O processo de upload invoca automaticamente a máquina de estado das políticas de controle de serviço (SCPs) e a máquina de AWS CloudFormation StackSetsestado para implantá-las SCPs no nível da OU ou para implantar instâncias de pilha no nível da OU ou da conta.

Observação

Por padrão, o CfCT cria um bucket do Amazon S3 para armazenar a origem do pipeline. Se você tiver um AWS CodeCommit repositório existente, poderá alterar o local para um CodeCommitrepositório. Consulte mais informações em Configurar o Amazon S3 como fonte de configuração.

O CfCT implanta dois fluxos de trabalho:

  • um fluxo de trabalho do AWS CodePipeline

  • e um fluxo de trabalho de eventos do ciclo de vida do AWS Control Tower.

O AWS CodePipeline fluxo de trabalho

O AWS CodePipeline fluxo de trabalho configura AWS CodePipeline, AWS CodeBuildprojeta e AWS Step Functionsorquestra o gerenciamento de AWS CloudFormation StackSets e SCPs em sua organização.

Ao fazer upload do pacote de configuração, o CfCT invoca o pipeline de código para executar três estágios.

  • Build Stage — valida o conteúdo do pacote de configuração usando a AWS CodeBuild.

  • Estágio SCP — invoca a máquina de estado da política de controle de serviços, que chama a AWS Organizations API para criar. SCPs

  • AWS CloudFormation Etapa — invoca a máquina de estado do conjunto de pilhas para implantar os recursos especificados na lista de contas ou OUs, que você forneceu no arquivo de manifesto.

Em cada estágio, o pipeline de código invoca o conjunto de pilhas e as funções de etapas do SCP, que implantam conjuntos de pilhas personalizados nas contas individuais de destino ou em uma unidade organizacional inteira. SCPs

Observação

Consulte informações detalhadas sobre a personalização do pacote de configuração em Guia de personalização do CfCT.

O fluxo de trabalho de eventos do ciclo de vida do AWS Control Tower

Quando uma nova conta é criada no AWS Control Tower, um evento de ciclo de vida pode invocar o fluxo de trabalho. AWS CodePipeline Você pode personalizar o pacote de configuração por meio desse fluxo de trabalho, que consiste em uma regra de EventBridge evento da Amazon, uma fila de primeiro a entrar, primeiro a sair (FIFO) do Amazon Simple Queue Service (Amazon SQS) e uma função. AWS Lambda

Quando a regra de eventos da Amazon detecta um EventBridge evento de ciclo de vida correspondente, ela passa o evento para a fila FIFO do Amazon SQS, invoca a AWS Lambda função e invoca o pipeline de código para realizar a implantação posterior de conjuntos de pilhas e. SCPs