在 AWS Control Tower 中自动执行任务 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 AWS Control Tower 中自动执行任务

许多客户更喜欢在 AWS Control Tower 中自动执行任务,例如账户配置、控制分配和审计。您可以通过调用以下电话来设置这些自动操作:

其他信息和链接页面包含许多优秀的技术博客文章的链接,这些文章可以帮助您在 AWS Control Tower 中自动执行任务。以下各节提供了指向本 AWS Control Tower 用户指南中可帮助您自动执行任务的区域的链接。

自动执行控制任务

您可以通过 AWS Control Tower API 自动执行与应用和移除控件(也称为护栏)相关的任务。有关详细信息,请参阅 AWS Control Tower API 参考

有关如何使用 AWS Control Tower API 执行控制操作的更多信息,请参阅博客文章 AWS Control Tower 发布 API,这是针对您的组织单位的预定义控件

自动执行着陆区任务

AWS Control Tower 着陆区 API 可帮助您自动执行与着陆区相关的某些任务。有关详细信息,请参阅 AWS Control Tower API 参考

自动化 OU 注册

AWS Control Tower 基准 API 可帮助您自动执行某些任务,例如注册 OU。有关详细信息,请参阅 AWS Control Tower API 参考

自动关闭账户

您可以使用 AWS Organizations API 自动关闭 AWS Control Tower 成员账户。有关更多信息,请参阅 通过以下方式关闭 C AWS ontrol Tower 成员账户 AWS Organizations

自动配置和更新账户

AWS Control Tower 账户工厂定制 (AFC) 可帮助您通过 AWS Control Tower 控制台创建账户,并使用我们称之为蓝图的自定义 AWS CloudFormation 模板。从某种意义上说,此过程是自动化的,因为您可以在设置单个蓝图后重复创建新帐户和更新帐户,而无需维护管道。

适用于 Terraform 的 AWS Control Tower Account Factor y (AFT) 遵循一种 GitOps 模型,在 AWS Control Tower 中自动执行账户配置和账户更新流程。有关更多信息,请参阅 使用适用于 Terraform 的 AWS Control Tower Account Factory(AFT)配置账户

AWS Control Tower (cfcT) 的自定义可帮助您自定义 AWS Control Tower 着陆区,并与 AWS 最佳实践保持一致。使用 AWS CloudFormation 模板和服务控制策略 (SCP) 实现自定义。有关更多信息,请参阅 Cont AWS rol Tower (cfcT) 的自定义项概述

有关自动账户配置的更多信息和视频,请参阅演练:AWS Control Tower 中的自动账户配置和使用 IA M 角色自动配置账户。

另请参阅通过脚本更新账户

账户的程序化审计

有关以编程方式审计账户的更多信息,请参阅 AWS Control Tower 审计账户的编程角色和信任关系

自动执行其他任务

有关如何使用自动请求方法增加某些 AWS Control Tower 服务配额的信息,请观看此视频:自动提高服务限制

有关涵盖自动化和集成用例的技术博客,请参阅自动化和集成

有两个开源示例 GitHub 可帮助您完成某些与安全相关的自动化任务。

  • 名为 aws-control-tower-org-setup-sample 的示例显示了如何自动将审核帐户设置为安全相关服务的委托管理员。

  • 名为 aws-control-tower-account- 的示例setup-using-step-functions显示了在配置和配置新账户时如何使用 Step Functions 自动执行安全最佳实践。此示例包括将委托人添加到组织共享的 AWS Service Catalog 投资组合中,以及将组织范围内的 AWS IAM Identity Center 群组自动关联到新账户。它还说明了如何删除每个区域的默认 VPC。

AWS 安全参考架构包括用于自动执行与 AWS Control Tower 相关的任务的代码示例。有关更多信息,请参阅 “AWS 规范性指南” 页面相关的 GitHub 存储库

有关将 AWS Control Tower 与 AWS CloudShell一项便于在 AWS CLI 中工作的 AWS 服务结合使用的信息,请参阅AWS CloudShell 和 AWS CLI

由于 AWS AWS Control Tower 是的编排层 AWS Organizations,因此通过 API 和 CLI 可以获得许多其他 AWS 服务。有关更多信息,请参阅相关 AWS 服务