部署考量 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

部署考量

請務必在部署 AWSControl Tower landing zone 區域的相同帳戶和區域中啟動 AWS Control Tower (CFCT) 的自訂功能;也就是說,您必須將其部署到 AWS Control Tower 所在地區的AWS控制中心管理帳戶中。依預設,CFCT 會透過在該帳戶和區域中設定組態管線來建立和執行 landing zone 規劃套件。

準備部署

當您準備 AWS CloudFormation 範本以進行初始部署時,您有一些選項。您可以選擇組態來源,也可以允許手動核准管線部署。接下來兩節將詳細說明這些選項。

選擇您的組態來源

依預設,範本會建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體,將範例組態套件存放為名為的.zip檔案_custom-control-tower-configuration.zip。Amazon S3 儲存貯體受版本控制,您可以視需要更新組態套件。如需更新組態套件的詳細資訊,請參閱使用 Amazon S3 做為組態來源

記得刪除下劃線

範例組態套件檔案名稱以底線 (_) 開頭,因此 AWS CodePipeline 不會自動啟動。完成自訂規劃套件後,請務必上傳custom-control-tower-configuration.zip不帶底線 (_) 的,以便在中開始部署 AWS CodePipeline。

如果您有現有的 AWS CodeCommit Git 儲存庫,則可以將組態套件的儲存位置從 Amazon S3 儲存貯體變更為 AWS CodeCommit Git 儲存庫。若要執行此操作,請CodeCommit選取 AWS CloudFormation 參數中的選項。

拉鍊,還是不拉鍊?

當您使用預設 S3 儲存貯體時,請確定組態套件以.zip檔案形式提供。如果您使用的是存放 AWS CodeCommit 庫,請務必將組態套件放在儲存庫中,而不壓縮檔案。如需在中建立和儲存組態套件的詳細資訊 AWS CodeCommit,請參閱CFCT 定制指南

您可以使用範例組態套件來建立您自己的自訂組態來源。當您準備好部署自訂組態時,請手動將組態套件上傳到 Amazon S3 儲存貯體或 AWS CodeCommit 儲存庫。當您上載組態檔案時,管線會自動開始。

選擇管道組態核准參數

AWS CloudFormation 範本提供手動核准組態變更部署的選項。依預設,不會啟用手動核准。如需詳細資訊,請參閱步驟 1。啟動堆棧

啟用手動核准時,組態管線會驗證對 AWS Control Tower 檔案資訊清單和範本所做的自訂,然後暫停程序,直到授予手動核准為止。核准之後,部署會依需要繼續執行剩餘的管線階段,以實作 AWSControl Tower (CFCT) 功能的自訂

您可以使用手動核准參數拒絕第一次嘗試在管線中執行,以防止 AWS Control Tower 組態的自訂執行。此參數也可讓您手動驗證 AWS Control Tower 組態變更的自訂項目,做為實作前的最終控制項。

更新 AWS Control Tower 的自訂

如果您之前已部署 CFCT,則必須更新 AWS CloudFormation 堆疊以取得最新版本的 CFCT 架構。如需詳細資訊,請參閱更新堆疊