将 Amazon S3 设置为配置源 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon S3 设置为配置源

当您为 AWS Control Tower 设置自定义项时,它会在名为的亚马逊简单存储服务 (Amazon S3) 存储桶中存储一个名为_custom-control-tower-configuration.zip文件的初始配置文件,该文件名为Amazon S3。custom-control-tower-configuration-account-ID-region

备注

如果您选择下载和修改此文件,请记得压缩更改,另存为名为的新文件custom-control-tower-configuration.zip,然后将其上传回同一 Amazon S3 存储桶。

Amazon S3 存储桶是管道的默认来源。设置默认设置后,将文件名中不带下划线前缀的配置 zip 文件上传到 S3 存储桶将自动启动管道。

zip 文件受服务器端加密 (SSE) AWS Key Management Service (AWS KMS) 保护,并禁止使用 KMS 密钥。要访问 zip 文件,必须更新 KMS 密钥策略以指定应被授予访问权限的角色。该角色可以是管理员角色、用户或两者兼而有之。请按照以下步骤操作:

  1. 导航到 AWS Key Management Service 控制台

  2. 客户管理的密钥中,选择 CustomControlTowerkmsKe y。

  3. 选择密钥策略选项卡。然后,选择 “编辑”

  4. “编辑密钥策略” 页面中,找到代码中的 “允许使用密钥” 部分,然后添加以下权限之一:

    • 要添加管理角色,请执行以下操作:

      arn:aws:iam::<account-ID>:role/<administrator-role>

    • 要添加用户,请执行以下操作:

      arn:aws:iam::<account-ID>:user/<username>

  5. 选择 Save Changes(保存更改)。

  6. 导航到 Amazon S3 控制台,找到包含配置 zip 文件的 S3 存储桶,然后选择下载。

  7. 对清单文件和模板文件进行必要的配置更改。有关自定义清单和模板文件的信息,请参阅cfcT 定制指南

  8. 上传您的更改:

    1. 压缩修改后的配置文件,并将文件命名为:custom-control-tower-configuration.zip

    2. 使用带有 AWS KMS 主密钥的 SSE 将文件上传到 Amazon S3:。CustomControlTowerKMSKey