組件服務 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

組件服務

當您部署時AFT,元件會從這些 AWS 服務新增至您的 AWS 環境。

  • AWSControl Tower — AFT 使用 AWS Control Tower 管理帳戶中的 AWS Control Tower Account Factory 來佈建帳戶。

  • Amazon DynamoDB — 在AFT管理帳戶中AFT建立 Amazon DynamoDB 表格,用於存放帳戶請求、稽核帳戶更新的歷史記錄、帳戶中繼資料和 AWS Control Tower 生命週期事件。AFT此外,還會建立 DynamoDB Lambda 觸發程序以啟動下游程序,例如啟動AFT帳戶佈建工作流程。

  • Amazon 簡單儲存服務 — 在AFT管理帳戶和 AWS Control Tower 日誌存檔帳戶中AFT建立 Amazon Simple Storage Service (S3) 儲存貯體,用於存放管AFT道所需AWS服務所產生的日誌。AFT還會在主要和次要AWS區域中建立 Terraform 後端 S3 儲存貯體,以存放管道工作流程期間產生的 Terraform 狀態。AFT

  • Amazon 簡易通知服務 — 在管理帳戶中AFT建立 Amazon 簡單通知服務 (SNS) 主題,這些主題會在處AFT理每個AFT帳戶請求後儲存成功和失敗通知。您可以使用您選擇的協議收到這些消息。

  • Amazon 簡單排隊服務 — 在AFT管理帳戶中AFT創建一個 Amazon 簡單排隊服務(AmazonSQS)FIFO隊列。佇列可讓您 parallel 提交多個帳戶要求,但會一次傳送一個要求至 AWS Control Tower Account Factory,以進行順序處理。

  • AWS CodeBuild-在AFT管理帳戶中AFT創AWS CodeBuild 建構建項目,以在各種構建階段初始化,編譯,測試和應用 Terraform 計劃的AFT源代碼。

  • AWS CodePipeline— 在AFT管理帳戶中建AFT立管AWS CodePipeline 道,以與您選取的、受支援的AFT原始程式碼AWS CodeStar 連線提供者整合,並在中觸發建置作業AWS CodeBuild。

  • AWSLambda — 在AFT管理帳戶中AFT建立 AWS Lambda 函數和層,以便在帳戶請求、帳戶佈建和AFT帳戶自訂程序期間執行步驟。

  • AWSSystems Manager 參數存放區 — 在AFT管理帳戶中AFT設定「AWS系統管理員參數存放區」,以儲存AFT管線程序所需的組態參數。

  • Amazon CloudWatch — 在AFT管理帳戶中AFT建立 Amazon 日 CloudWatch 誌群組,以存放管AFT道使用的AWS服務所產生的日誌。 CloudWatch 記錄檔的保留期間設定為Never Expire

  • Amazon VPC — AFT 建立 Amazon Virtual Private Cloud (VPC),將AFT管理帳戶中的服務和資源隔離到單獨的聯網環境中,以增強安全性。

  • AWSKMS— AFT 在管理帳戶和 AWS Control Tower 記錄封存帳戶中使用AWS金鑰AFT管理服務 (KMS)。AFT會建立金鑰來加密地形狀態、DynamoDB 表格中儲存的資料以及主題。SNS這些記錄檔和人工因素會在部署AWS資源和服務時產生AFT。KMS由AFT建立的金鑰預設會啟用年度輪換。

  • AWS Identity and Access Management (IAM) — AFT 遵循建議的最低權限模型。它會視需要在管理帳戶、AWS Control Tower 帳戶和AFT佈建帳戶中建立 AWS Identity and Access AFT Management (IAM) 角色和原則,以執行管AFT線工作流程期間所需的動作。

  • AWS Step Functions — 在AFT管理帳戶中AFT建立 AWS Step Functions 狀態機器。這些狀態機器可協調並自動化AFT帳戶佈建架構和自訂的程序和步驟。

  • Amazon EventBridge — 在AFT和 AWS Control Tower 管理帳戶中AFT建立 Amazon EventBridge 事件匯流排,以便在管理帳戶的 DynamoDB 表中長期擷取和存放 AWS Control Tower 生命週期事件。AFTAFT在AFT管理和 AWS Control Tower 管理帳戶中建立 Amazon CloudWatch 事件規則,這會在管AFT道工作流程執行期間觸發所需的多個步驟

  • AWS CloudTrail (選用) — 啟用此功能時,AFT會在 AWS Control Tower 管理帳戶中建立 AWS CloudTrail 組織追蹤,以記錄 Amazon S3 儲存貯體和 AWS Lambda 函數的資料事件。AFT將這些日誌發送到 Con AWS trol Tower 日誌存檔帳戶中的中央 S3 存儲桶。

  • AWS Sup@@ port (選用) — 啟用此功能時,會針對佈建的帳戶AFT開啟 AWS 企業 Support 計劃AFT。根據預設,會在啟用 AWS 基本 Support 方案的情況下建立 AWS 帳戶。