本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
自定义您的 AWS Control Tower 着陆区
您的 AWS Control Tower 着陆区的某些方面可以在控制台中进行配置,例如区域选择和可选控件。其他更改可以在控制台之外进行自动化。
例如,您可以使用 AWS Control Tower 的自定义功能(一种适用于 AWS CloudFormation 模板和 AWS Control Tower 生命周期事件的 GitOps风格自定义框架)为着陆区创建更广泛的自定义设置。
从 AWS Control Tower 控制台进行自定义
要对您的着陆区进行这些自定义,请按照 AWS Control Tower 控制台提供的步骤进行操作。
在安装过程中选择自定义名称
-
您可以在设置过程中选择您的顶级 OU 名称。您可以随时使用 AWS Organizations 控制台重命名 OU,但是在中更改 OU AWS Organizations 可能会导致可修复的偏差。
-
您可以选择共享的审核和日志存档帐户的名称,但在设置后无法更改名称。(这是一次性选择。)
提示
请记住,在中重命名 OU AWS Organizations 并不能更新 Account Factory 中相应的预配置产品。要自动更新预配置的产品(并避免偏移),您必须通过 AWS Control Tower 执行 OU 操作,包括创建、删除或重新注册 OU。
选择 AWS 区域
-
您可以通过选择特定 AWS 区域进行治理来自定义您的着陆区。按照 AWS Control Tower 控制台中的步骤进行操作。
-
在更新 landing zone 时,你可以选择和取消选择 AWS 区域进行治理。
-
您可以将 “区域拒绝” 控件设置为 “已启用” 或 “未启用”,并控制用户对非治理 AWS 区域中大多数 AWS 服务的访问权限。
有关 cfCT AWS 区域 在哪些地方有部署限制的信息,请参阅控制限制。
通过添加可选控件进行自定义
自定义您的 AWS CloudTrail 路线
-
当您将着陆区更新到 3.0 或更高版本时,您可以选择加入或选择退出由 AWS Control Tower 管理的组织级 CloudTrail 路径。您可以随时更新着陆区(Landing zone)时更改此选择。AWS Control Tower 会在您的管理账户中创建组织级别的跟踪,并根据您的选择,该跟踪进入活动或非活动状态。着陆区 3.0 不支持账号级别的 CloudTrail 路径;但是,如果您需要这些路径,则可以配置和管理自己的路线。重复跟踪可能会产生额外费用。
在控制台中创建自定义成员账户
-
您可以从 AWS Control Tower 控制台创建自定义的 AWS Control Tower 成员账户,也可以更新现有成员账户以添加自定义设置。有关更多信息,请参阅 使用 Account Factory 自定义 (AFC) 自定义账户。
在 AWS Control Tower 控制台之外自动进行自定义
有些自定义无法通过 AWS Control Tower 控制台获得,但可以通过其他方式实现。例如:
-
在配置过程中,你可以使用 Account F actory for Terraform (AFT) 以 GitOps风格的工作流程自定义帐户。
AFT 与 Terraform 模块一起部署,该模块可在 A
FT 存储库中找到。 -
您可以使用 AWS 控制塔 (cfcT) 的自定义功能来自定义 AWS Control Tower 着陆区,这是一套基于 AWS CloudFormation 模板和服务控制策略 (SCP) 构建的功能。您可以将自定义模板和策略部署到组织内的个人账户和组织单位 (OU)。
cfCT 的源代码可在GitHub 存储库
中找到。
AWS Control Tower (cfcT) 定制的好处
我们称之为 AWS Control Tower 定制 (cfcT) 的功能包可帮助您为着陆区创建比在 AWS Control Tower 控制台中创建更广泛的自定义项。它提供了一种 GitOps风格的自动化流程。您可以重塑您的 landing zone 以满足您的业务需求。
此infrastructure-as-code自定义过程将 AWS CloudFormation 模板与 AWS 服务控制策略 (SCP) 和 AWS Control Tower 生命周期事件集成,因此您的资源部署与着陆区保持同步。例如,当您使用 Account Factory 创建新账户时,可以自动部署附加到该账户和 OU 的资源。
注意
与 Account Factory 和 AFT 不同,cfcT 不是专门用于创建新账户,而是通过部署你指定的资源来自定义着陆区域中的账户和 OU。
优势
-
扩展自定义的安全 AWS 环境 — 您可以更快地扩展您的多账户 AWS Control Tower 环境,并将 AWS 最佳实践整合到可重复的自定义工作流程中。
-
实例化您的需求 — 您可以使用表达您的政策意图的 AWS CloudFormation 模板和服务控制策略根据您的业务需求自定义 AWS Control Tower 着陆区。
-
利@@ 用 AWS Control Tower 生命周期事件进一步实现自动化 — 生命周期事件允许您根据之前一系列事件的完成情况部署资源。您可以依靠生命周期事件来帮助您将资源自动部署到账户和 OU。
-
扩展您的网络架构-您可以部署自定义的网络架构,以改善和保护您的连接,例如传输网关。
其他氟氯化碳示例
-
AWS 架构博客文章《使用服务目录和 AWS Control Tower 自定义项部署一致的 DNS》中给出了使用 AWS Control Tower 定制 (cfcT) 的网络用
例示例。 -
aws-samples
存储库中提供了与 cfcT 和 GuardDuty Amazon 相关的 具体示例。 GitHub -
有关 cfCT 的其他代码示例可作为 AWS 安全参考架构的一部分在
aws-samples
存储库中找到。其中许多示例都包含名为的目录中的示例 manifest.yaml
文件customizations_for_aws_control_tower
。
有关 AWS 安全参考架构的更多信息,请参阅AWS 规范性指南页面。