组件服务 - AWS Control Tower
AWS CodeCommitAWS CodePipelineAWS Key Management ServiceAWS LambdaAmazon Simple Notification ServiceAmazon Simple Storage ServiceAmazon Simple Queue ServiceAWS Step FunctionsAWS Systems Manager 参数存储

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

组件服务

以下 AWS 服务是 AWS Control Tower 定制服务 (cfcT) 的组成部分。

AWS CodeCommit

如果您已有 AWS CodeCommit 存储库,则可以将其配置为管道的来源,作为 Amazon S3 的替代方案。

根据您对 AWS CloudFormation 模板的输入,cfcT 可以创建一个AWS CodeCommit存储库,其示例配置与 Amazon 简单存储服务部分所述的配置相同。

要将 cfcT AWS CodeCommit 存储库克隆到本地计算机,必须创建凭据以允许您临时访问存储库,如AWS CodeCommit 用户指南中所述。有关版本兼容性的信息,请参阅 Setting up for AWS CodeCommit

注意

如果您尚未使用 CodeCommit,则唯一的选择是将 Amazon S3 存储桶设置为配置包的存储位置。 CodeCommit 如果您是首次部署 cfCT,则不可用。

AWS CodePipeline

AWS CodePipeline 根据配置包的更新验证、测试和实施更改,这些更改将在默认 Amazon S3 存储桶或存储 AWS CodeCommit 库中完成。有关配置源控件的更多信息,请参阅 Using Amazon S3 as the Configuration Source。该管道包括验证和管理配置文件和模板、核心帐户、 AWS Organizations 服务控制策略的阶段,以及 AWS CloudFormation StackSets。有关管道阶段的更多信息,请参阅 CfCT 自定义指南

AWS Key Management Service

CfCT 创建一个 AWS Key Management Service(AWS KMS)CustomControlTowerKMSKey 加密密钥。此密钥用于加密 Amazon S3 配置存储桶中的对象、Amazon SQS 队列以及 AWS Systems Manager Parameter Store 中的敏感参数。默认情况下,只有由 CfCT 预置的角色才有权使用此密钥执行加密或解密操作。要访问配置文件、FIFO 队列或 Parameter Store SecureString 值,必须将管理员添加到 CustomControlTowerKMSKey 策略。默认情况下,不会启用自动密钥轮换。

AWS Lambda

在 AWS Control Tower 的初始安装和部署期间, AWS CloudFormation StackSets 或在 AWS Control Tower 生命周期事件 AWS Organizations SCPs 期间,cfcT 使用 AWS Lambda 函数来调用安装组件。

Amazon Simple Notification Service

CfCT 可在工作流期间向 Amazon Simple Notification Service(Amazon SNS)主题发布管道审批等通知。只有当您选择接收管道审批通知时,才会启动 Amazon SNS。

Amazon Simple Storage Service

部署 CfCT 时,CfCT 会创建具有唯一名称的 Amazon Simple Storage Service(Amazon S3)存储桶:

示例:Amazon S3 存储桶名称

custom-control-tower-configuration-accountID-region

该存储桶包含名为 _custom-control-tower-configuration.zip 的示例配置文件

请注意文件名中的前导下划线。

此 zip 文件提供了示例清单以及描述必要文件夹结构的相关示例模板。这些示例可帮助您开发用于自定义 AWS Control Tower 登录区的配置包。示例清单确定了在实施自定义设置时所需的堆栈集和服务控制策略 (SCPs) 的必要配置。

您可以使用此示例配置包作为模型,开发和上传您的自定义包,这将自动触发 CfCT 配置管道。

有关自定义配置文件的信息,请参阅 CfCT 自定义指南

Amazon Simple Queue Service

cfcT 使用亚马逊简单队列服务 (Amazon SQS) Simple Queue SERVICE FIFO 队列从亚马逊捕获生命周期事件。 EventBridge它会触发一个 AWS Lambda 函数,该函数调用 AWS CodePipeline 以部署 AWS CloudFormation StackSets或。 SCPs有关的更多信息 SCPs,请参阅AWS Organizations

AWS Step Functions

CfCT 创建 Step Functions 来编排自定义部署。这些 Step Functions 会转换配置文件,以便根据需要跨环境部署自定义。

AWS Systems Manager 参数存储

AWS Systems Manager Parameter Store 存储 CfCT 配置参数。这些参数允许您集成相关的配置模板。例如,您可以将每个账户配置为将 AWS CloudTrail 数据记录到集中式的 Amazon S3 存储桶。此外,Systems Manager Parameter Store 还提供了一个集中位置,管理员可以在其中查看 CfCT 输入和参数。