组件服务 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

组件服务

部署 AFT 时,会将每项 AWS 服务中的组件添加到您的 AWS 环境中。

  • AWS Control Tower - AFT 使用 AWS Control Tower 管理账户中的 AWS Control Tower Account Factory 来预置账户。

  • Amazon DynamoDB - AFT 会在 AFT 管理账户中创建 Amazon DynamoDB 表,用于存储账户请求、账户更新的审计历史记录、账户元数据以及 AWS Control Tower 生命周期事件。AFT 还会创建 DynamoDB Lambda 触发器来启动下游流程,例如启动 AFT 账户预置工作流。

  • 亚马逊简单存储服务 — AFT 在 AFT 管理账户和 AWS Control Tower 日志存档账户中创建亚马逊简单存储服务 (S3) 存储桶,用于存储 AFT 管道所需的服务生成的 AWS 日志。AFT 还在主存储桶和辅助存储桶中创建一个 Terraform 后端 S3 存储桶 AWS 区域,用于存储 AFT 管道工作流程中生成的 Terraform 状态。

  • Amazon Simple Notification Service - AFT 会在 AFT 管理账户中创建 Amazon Simple Notification Service(SNS)主题,用于存储处理每个 AFT 账户请求后的成功和失败通知。您可以使用自己选择的协议来接收这些消息。

  • Amazon Simple Queuing Service - AFT 会在 AFT 管理账户中创建一个 Amazon Simple Queuing Service(Amazon SQS)FIFO 队列。该队列支持并行提交多个账户请求,但它一次只能向 AWS Control Tower Account Factory 发送一个请求以按顺序处理。

  • AWS CodeBuild — AFT 在 AFT 管理账户中创 CodeBuild 建 AWS 构建项目,以便在各个构建阶段初始化、编译、测试和应用 AFT 源代码的 Terraform 计划。

  • AWS CodePipeline — AFT 在 AFT 管理账户中创建 AWS CodePipeline 管道,以便与您选择的、支持的 AWS CodeStar 连接提供商集成 AFT 源代码,并在 AWS 中触发构建任务 CodeBuild。

  • AWS Lambda - AFT 可在 AFT 管理账户中创建 AWS Lambda 函数和层,以便在账户请求、AFT 账户预置和账户自定义过程中执行步骤。

  • AWS Systems Manager Parameter Store - AFT 可在 AFT 管理账户中设置 AWS Systems Manager Parameter Store,用于存储 AFT 管道流程所需的配置参数。

  • 亚马逊 CloudWatch — A FT 在 AFT 管理账户中创建亚马逊 CloudWatch 日志组,用于存储 AFT 管道使用的 AWS 服务生成的日志。 CloudWatch 日志的保留期设置为Never Expire

  • Amazon VPC - AFT 可创建 Amazon Virtual Private Cloud(VPC),用于将 AFT 管理账户中的服务和资源隔离到单独的网络环境中,从而增强安全性。

  • AWS KMS - AFT 可在 AFT 管理账户和 AWS Control Tower 日志存档账户中使用 AWS Key Management Service(KMS)。AFT 还可以创建密钥来加密 Terraform 状态、存储在 DynamoDB 表中的数据以及 SNS 主题。这些日志和构件是在 AFT 部署 AWS 资源和服务时生成的。默认情况下,AFT 创建的 KMS 密钥已启用每年轮换功能。

  • AWS 身份和访问管理 (IAM) Man agement — AFT 遵循推荐的最低权限模型。它根据需要在 AFT 管理账户、AWS Control Tower 账户和 AFT 预配置账户中创建 AWS 身份和访问管理 (IAM) 角色和策略,以执行 AFT 管道工作流程中所需的操作。

  • AWS Step Func tions — AFT 在 AFT 管理账户中创建 AWS Step Functions 状态机。这些状态机可以协调并自动执行 AFT 账户预置框架和自定义的流程和步骤。

  • 亚马逊 EventBridge — AFT 在 AFT 和 AWS Control Tower 管理账户中创建亚马逊 EventBridge事件总线,用于在 AFT 管理账户的 DynamoDB 表中长期捕获和存储 AWS 控制塔生命周期事件。AFT 在 AFT 管理账户和 AWS Control Tower 管理账户中创建亚马逊 CloudWatch 事件规则,这些规则会触发 AFT 管道工作流程运行期间所需的多个步骤

  • AWS CloudTrail (可选)— 启用此功能后,AFT 将在 AWS Control Tower 管理账户中创建 AWS CloudTrail 组织跟踪,用于记录 Amazon S3 存储桶和 Lamb AWS da 函数的数据事件。AFT 会将这些日志发送到 AWS Control Tower 日志存档账户中的中央 S3 存储桶。

  • AWS 支持(可选)— 启用此功能后,AFT 会为由 AFT 配置的帐户开启 AWS 企业支持计划。默认情况下,创建 AWS 账户时会启用 B AWS asic Support 计划。