本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
自定义 AWS Control Tower 登录区
AWS Control Tower 登录区的某些方面可以在控制台中进行配置,例如区域选择和可选控件。其他更改则可以通过自动化方式在控制台之外进行。
例如,您可以使用 AWS Control Tower 的自定义功能(一种适用于 AWS CloudFormation 模板和 AWS Control Tower 生命周期事件的 GitOps风格自定义框架)为着陆区创建更广泛的自定义设置。
Customizations for AWS Control Tower(CfCT)的优势
我们称为 Customizations for AWS Control Tower(CfCT)的功能包可帮助您为登录区创建自定义项,而且比在 AWS Control Tower 控制台中所能创建的自定义项更广泛。它提供了一种 GitOps风格的自动化流程。您可以重塑登录区以满足业务需求。
此infrastructure-as-code自定义过程将 AWS CloudFormation 模板与 AWS 服务控制策略 (SCPs) 和 AWS Control Tower 生命周期事件集成,因此您的资源部署与着陆区保持同步。例如,当您使用 Account Factory 创建新账户时,可以自动部署附加到该账户和 OU 的资源。
注意
与 Account Factory 和 AFT 不同,cfcT 不是专门用于创建新账户,而是通过部署你指定的资源来自定义账户和 OUs 着陆区。
优势
-
扩展自定义的安全 AWS 环境 — 您可以更快地扩展您的多账户 AWS Control Tower 环境,并将 AWS 最佳实践整合到可重复的自定义工作流程中。
-
实例化您的需求 — 您可以使用表达您的政策意图的 AWS CloudFormation 模板和服务控制策略根据您的业务需求自定义 AWS Control Tower 着陆区。
-
利用 AWS Control Tower 生命周期事件进一步实现自动化 - 生命周期事件允许您根据之前一系列事件的完成情况部署资源。您可以依靠生命周期事件来帮助您将资源部署到账户并 OUs自动部署。
-
扩展网络架构 - 您可以部署自定义的网络架构,以改善和保护连接,例如中转网关。
其他 CfCT 示例
-
AWS 架构博客文章《使用服务目录和 AWS Control Tower 自定义项部署一致的 DNS》中给出了使用 AWS Control Tower 定制 (cfcT) 的网络用
例示例。 -
aws-samples存储库中提供了一个与 cfcT 和 GuardDuty Amazon 相关的 具体示例。 GitHub -
有关 CfCT 的其他代码示例,请参阅
aws-samples存储库中的“ AWS 安全参考架构”部分。其中许多示例都在名为 customizations_for_aws_control_tower的目录中包含示例manifest.yaml文件。
有关 AWS 安全参考架构的更多信息,请参阅AWS 规范性指南页面。
