在 AWS Control Tower 中自动执行任务 - AWS Control Tower

在 AWS Control Tower 中自动执行任务

许多客户更喜欢在 AWS Control Tower 中自动执行任务,例如账户预置、控制分配和审计。您可以通过调用以下项来设置这些自动操作:

其他信息和链接页面包含指向许多优秀技术博客文章的链接,可帮助您在 AWS Control Tower 中自动执行任务。以下各部分提供了指向本 AWS Control Tower 用户指南中可帮助您自动执行任务的方面的链接。

自动执行控件任务

您可以通过 AWS Control Tower API 自动执行与应用和移除控件(也称为护栏)相关的任务。有关详细信息,请参阅 AWS Control Tower API 参考

有关如何使用 AWS Control Tower API 执行控件操作的更多信息,请参阅博客文章 AWS Control Tower releases API, pre-defined controls to your organizational units

自动执行登录区任务

AWS Control Tower 登录区 API 可帮助您自动执行与登录区相关的某些任务。有关详细信息,请参阅 AWS Control Tower API 参考

自动执行 OU 注册

AWS Control Tower 基准 API 可帮助您自动执行某些任务,例如注册 OU。有关详细信息,请参阅 AWS Control Tower API 参考

自动关闭账户

您可以使用 AWS Organizations API 自动关闭 AWS Control Tower 成员账户。有关更多信息,请参阅 通过 AWS Organizations 关闭 AWS Control Tower 成员账户

自动预置和更新账户

AWS Control Tower Account Factory Customization(AFC)可帮助您使用自定义的 AWS CloudFormation 模板(我们称之为蓝图)从 AWS Control Tower 控制台创建账户。从某种意义上说,这一过程是自动化的,即在设置单个蓝图后,您可以重复创建新账户和更新账户,而无需维护管道。

AWS Control Tower Account Factory for Terraform(AFT)遵循 GitOps 模型,在 AWS Control Tower 中自动执行账户预置和账户更新流程。有关更多信息,请参阅 利用 AWS Control Tower Account Factory for Terraform(AFT)预置账户

Customizations for AWS Control Tower(CfCT)可帮助您自定义 AWS Control Tower 登录区,并与 AWS 最佳实践保持一致。这些自定义项通过 AWS CloudFormation 模板和服务控制策略(SCP)来实现。有关更多信息,请参阅 Customizations for AWS Control Tower(CfCT)概述

有关自动账户预置的更多信息和视频,请参阅 Walkthrough: Automated account provisioning in AWS Control TowerAutomated provisioning with IAM roles

另请参阅 Update accounts by script

账户的编程式审计

有关以编程方式审计账户的更多信息,请参阅 Programmatic roles and trust relationships for the AWS Control Tower audit account

自动执行其他任务

有关如何使用自动请求方法增加某些 AWS Control Tower 服务配额的信息,请观看此视频:Automate Service Limit Increases

有关介绍自动化和集成使用案例的技术博客,请参阅 Automation and integration

GitHub 上提供了两个开源示例,可帮助您完成某些与安全相关的自动化任务。

  • 名为 aws-control-tower-org-setup-sample 的示例演示了如何自动将审计账户设置为安全相关服务的委托管理员。

  • 名为 aws-control-tower-account-setup-using-step-functions 的示例演示了如何在预置和配置新账户时使用 Step Functions 自动实施安全最佳实践。此示例包括将主体添加到组织共享的 AWS Service Catalog 产品组合,并将组织范围内的 AWS IAM Identity Center 组自动关联到新账户。它还说明了如何删除每个区域中的默认 VPC。

AWS Security Reference Architecture 包括用于自动执行与 AWS Control Tower 相关的任务的代码示例。有关更多信息,请参阅 AWS Prescriptive Guidance 页面关联的 GitHub 存储库

有关将 AWS Control Tower 与 AWS CloudShell(一种便于在 AWS CLI 中使用的 AWS 服务)结合使用的信息,请参阅 AWS CloudShell and the AWS CLI

由于 AWS Control Tower 是 AWS Organizations 的编排层,因此可通过 API 和 AWS CLI 提供许多其他 AWS 服务。有关更多信息,请参阅 Related AWS services