本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Control Tower 中的自動化任務
許多客戶偏好在 AWS Control Tower 中自動執行任務,例如帳戶佈建、控制指派和稽核。您可以通過呼叫以下方式設置這些自動操作:
此其他資訊和連結頁面包含許多優秀技術部落格文章的連結,這些文章可協助您在 AWS Control Tower 中自動執行任務。以下各節提供此 AWS Control Tower 使用者指南中各區域的連結,可協助您自動執行任務。
自動化控制工作
您可以透過 AWS Control Tower API 自動執行與套用和移除控制相關的任務 (也稱為護欄)。如需詳細資訊,請參閱 AWS Control Tower API 參考。
有關如何使用 AWS Control Tower API 執行控制操作的詳細資訊,請參閱 AWS Control To wer 發布 API,以及針對組織單位預先定義的控制項的
自動化 landing zone 工作
AWS Control Tower landing zone API 可協助您自動化與 landing zone 相關的特定任務。如需詳細資訊,請參閱 AWS Control Tower API 參考。
自動化 OU 註冊
AWS Control Tower 基準 API 可協助您自動化特定任務,例如註冊 OU。如需詳細資訊,請參閱 AWS Control Tower API 參考。
自動關閉帳戶
您可以使用 AWS Organizations API 自動關閉 AWS Control Tower 成員帳戶。如需詳細資訊,請參閱 透過 關閉 AWS Control Tower 成員帳戶 AWS Organizations。
自動化帳戶佈建和更新
AWS Control Tower Account Factory 自訂 (AFC) 可協助您從 AWS Control Tower 主控台建立帳戶,並使用我們稱為藍圖的自訂 AWS CloudFormation 範本。此程序是自動化的,因為您可以在設定單一藍圖之後重複建立新帳戶並更新帳戶,而無需維護管道。
適用於 Terraform (AFT) 的 AWS Control Tower Account Factory 遵循 GitOps 模型,自動化 AWS Control Tower 中的帳戶佈建和帳戶更新程序。如需詳細資訊,請參閱 使用 AWS Control Tower Account Factory 為地形 (AFT) 佈建帳戶 。
AWS Control Tower (CFCT) 的自訂可協助您自訂 AWS Control Tower landing zone,並與 AWS 最佳實務保持一致。自訂是透過 AWS CloudFormation 範本和服務控制原則 (SCP) 來實作。如需詳細資訊,請參閱 AWSControl Tower (CFCT) 的自訂設定概觀 。
如需有關自動化帳戶佈建的詳細資訊和影片,請參閱逐步解說:AWS Control Tower 中的自動化帳戶佈建和使用 IAM 角色自動佈建。
另請參閱透過指令碼更新帳戶。
帳戶的程序化審計
如需有關以程式設計方式稽核帳戶的詳細資訊,請參閱 AWS Control Tower 稽核帳戶的程式設計角色和信任關係。
自動化其他工作
如需如何使用自動請求方法增加特定 AWS Control Tower 服務配額的相關資訊,請觀看此影片:自動增加服務限
如需涵蓋自動化與整合使用案例的技術部落格,請參閱自動化與整合。
有兩個開放原始碼範例可協 GitHub 助您處理與安全性相關的特定自動化工作。
-
名為 aws-control-tower-org-setup-sample 的範例
顯示如何自動將稽核帳戶設定為安全性相關服務的委派系統管理員。 -
名為 aws-control-tower-account-setup-using-step-functions
示範如何在佈建和設定新帳戶時,使用 Step Functions 自動執行安全性最佳作法。此範例包括將主參與者新增至組織共用的產品組合,以及將整個 AWS Service Catalog 組織的 AWS IAM 身分中心群組自動關聯至新帳戶。同時也說明如何刪除每個區域中的預設 VPC。
AWS 安全參考架構包含自動化與 AWS Control Tower 相關任務的程式碼範例。如需詳細資訊,請參閱AWS
規定指引頁面和相關的 GitHub 存放庫
如需將 AWS Control Tower 搭配 AWS CloudShell使用有助於在 AWS CLI 中工作的 AWS 服務的詳細資訊,請參閱AWS CloudShell 和 AWS CLI。
由於 AWS Control Tower 是的協調流程層 AWS Organizations,因此許多其他 AWS 服務都可以透過 API 和 AWS CLI 取得。如需詳細資訊,請參閱相關 AWS 服務。