元件服務 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

元件服務

當您部署 時AFT,元件會從每個 AWS 服務新增至您的 AWS 環境。

  • AWS Control Tower – 在 AWS Control Tower 管理帳戶中AFT使用 AWS Control Tower 帳戶工廠來佈建帳戶。

  • Amazon DynamoDB – 在AFT管理帳戶中AFT建立 Amazon DynamoDB 資料表,用於存放帳戶請求、帳戶更新的稽核歷史記錄、帳戶中繼資料和 AWS Control Tower 生命週期事件。 AFT也會建立 DynamoDB Lambda 觸發程序來啟動下游程序,例如啟動AFT帳戶佈建工作流程。

  • Amazon Simple Storage Service – 在AFT管理帳戶和 AWS Control Tower 日誌封存帳戶中AFT建立 Amazon Simple Storage Service (S3) 儲存貯體,該帳戶會存放AFT管道所需 AWS 服務產生的日誌。 AFT也會在主要和次要 中建立 Terraform 後端 S3 儲存貯體 AWS 區域,以存放AFT管道工作流程期間產生的 Terraform 狀態。

  • Amazon Simple Notification Service – 在AFT管理帳戶中AFT建立 Amazon Simple Notification Service (SNS) 主題,該主題會在處理每個AFT帳戶請求後儲存成功和失敗通知。您可能會使用您選擇的通訊協定來接收這些訊息。

  • Amazon Simple Queuing Service – 在 AFT管理帳戶中AFT建立 Amazon Simple Queuing Service (Amazon SQS) FIFO佇列。佇列可讓您平行提交多個帳戶請求,但一次傳送一個請求給 AWS Control Tower 帳戶工廠,以進行循序處理。

  • AWS CodeBuild – 在AFT管理帳戶中AFT建立AWS CodeBuild 建置專案,以初始化、編譯、測試和套用各種建置階段中AFT原始程式碼的 Terraform 計劃。

  • AWS CodePipeline – 在 AFT 管理帳戶中AFT建立AWS CodePipeline 管道,以整合您選取的支援AWS CodeStar 連線供應商的AFT原始碼,以及在 AWS 中觸發建置任務 CodeBuild。

  • AWS Lambda – 在AFT管理帳戶中AFT建立 AWS Lambda 函數和 layer,以在帳戶請求、AFT帳戶佈建和帳戶自訂程序期間執行步驟。

  • AWS Systems Manager 參數存放區 – 在AFT管理帳戶中AFT設定 AWS Systems Manager 參數存放區,以存放AFT管道程序所需的組態參數。

  • Amazon CloudWatch – 在 AFT 管理帳戶中AFT建立 Amazon CloudWatch 日誌群組,以存放AFT管道所使用AWS服務所產生的日誌。 CloudWatch 日誌的保留期間設定為 Never Expire

  • Amazon VPC – AFT建立 Amazon Virtual Private Cloud (VPC),將AFT管理帳戶中的服務和資源隔離到單獨的聯網環境中,以增強安全性。

  • AWS KMS – 在AFT管理帳戶中和 AWS Control Tower 日誌封存帳戶中AFT使用 AWS Key Management Service (KMS)。 AFT會建立金鑰來加密 Terraform 狀態、存放在 DynamoDB 資料表中的資料和SNS主題。當 AWS 資源和服務由 部署時,會產生這些日誌和成品AFT。 建立的KMS金鑰預設AFT會啟用年度輪換。

  • AWS Identity and Access Management (IAM) – AFT遵循建議的最低權限模型。它會在AFT管理帳戶、AWSControl Tower 帳戶和AFT佈建帳戶中視需要建立 AWS Identity and Access Management (IAM) 角色和政策,以在AFT管道工作流程期間執行所需的動作。

  • AWS Step Functions – 在AFT管理帳戶中AFT建立 AWS Step Functions 狀態機器。這些狀態機器會協調和自動化AFT帳戶佈建架構和自訂的程序和步驟。

  • Amazon EventBridge – 在 AFT和 AWS Control Tower 管理帳戶中AFT建立 Amazon EventBridge 事件匯流排,以在AFT管理帳戶的 DynamoDB 資料表中長期擷取和存放 AWS Control Tower 生命週期事件。 在AFT管理和 AWS Control Tower 管理帳戶中AFT建立 Amazon CloudWatch 事件規則,這會觸發執行AFT管道工作流程期間所需的多個步驟

  • AWS CloudTrail (選用) – 啟用此功能時, 會在 AWS Control Tower 管理帳戶中AFT建立 AWS CloudTrail 組織追蹤,以記錄 Amazon S3 儲存貯體和 AWS Lambda 函數的資料事件。 會將這些日誌AFT傳送至 AWS Control Tower 日誌封存帳戶中的中央 S3 儲存貯體。

  • AWS 支援 (選用) – 啟用此功能時, 會為 佈建的帳戶AFT開啟 AWS 企業支援計劃AFT。根據預設, AWS 帳戶會在基本 AWS 支援計劃啟用的情況下建立。