元件服務 - AWS Control Tower
AWS CodeCommitAWS CodePipelineAWS Key Management ServiceAWS LambdaAmazon Simple Notification ServiceAmazon Simple Storage ServiceAmazon Simple Queue ServiceAWS Step FunctionsAWS Systems Manager 參數存放區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

元件服務

下列 AWS 服務是 Customizations for AWS Control Tower (CfCT) 的元件。

AWS CodeCommit

如果您有現有的 AWS CodeCommit 儲存庫,您可以將它設定為管道的來源,作為 Amazon S3 的替代方案。

根據您對 AWS CloudFormation 範本的輸入,CfCT 可以建立具有相同範例組態的AWS CodeCommit儲存庫,如 Amazon Simple Storage Service 一節所述。

若要將 CfCT AWS CodeCommit 儲存庫複製到本機電腦,您必須建立登入資料,讓您暫時存取儲存庫,如 AWS CodeCommit 使用者指南所述。如需版本相容性的相關資訊,請參閱設定 AWS CodeCommit

注意

如果您尚未使用 CodeCommit,唯一的選項是將 Amazon S3 儲存貯體設定為組態套件的儲存位置。如果您是第一次部署 CfCT,則無法使用 CodeCommit。

AWS CodePipeline

AWS CodePipeline 會根據組態套件的更新來驗證、測試和實作變更,您將在預設 Amazon S3 儲存貯體或 AWS CodeCommit 儲存庫中進行這些更新。如需組態來源控制的詳細資訊,請參閱使用 Amazon S3 做為組態來源。管道包含驗證和管理組態檔案和範本、核心帳戶、 AWS Organizations 服務控制政策和 AWS CloudFormation StackSets 的階段。如需管道階段的詳細資訊,請參閱 CfCT 自訂指南

AWS Key Management Service

CfCT 會建立 AWS Key Management Service(AWS KMS) CustomControlTowerKMSKey加密金鑰。此金鑰用於加密 AWS Systems Manager 參數存放區中 Amazon S3 組態儲存貯體、Amazon SQS 佇列和敏感參數中的物件。根據預設,只有 CfCT 佈建的角色才具有使用此金鑰執行加密或解密操作的許可。若要存取組態檔案、FIFO 佇列或參數存放區SecureString值,必須將管理員新增至CustomControlTowerKMSKey政策。預設會啟用自動金鑰輪換。

AWS Lambda

CfCT 在 AWS Control Tower 生命週期事件的初始安裝和部署 AWS CloudFormation StackSets 或 AWS Organizations SCPs 期間,使用 AWS Lambda 函數來叫用安裝元件。

Amazon Simple Notification Service

CfCT 可能會發佈通知,例如工作流程期間管道核准 Amazon Simple Notification Service (Amazon SNS) 主題。只有在您選擇接收管道核准通知時,才會啟動 Amazon SNS。

Amazon Simple Storage Service

部署 CfCT 時,CfCT 會建立具有唯一名稱的 Amazon Simple Storage Service (Amazon S3) 儲存貯體:

範例:Amazon S3 儲存貯體名稱

custom-control-tower-configuration-accountID-region

儲存貯體包含名為 的範例組態檔案 _custom-control-tower-configuration.zip

請注意檔案名稱中的前導底線。

此 zip 檔案提供範例資訊清單,以及描述必要資料夾結構的相關範例範本。這些範例可協助您開發組態套件,以自訂您的 AWS Control Tower 登陸區域。範例資訊清單會識別您在實作自訂時所需堆疊集和服務控制政策 (SCPs) 的必要組態。

您可以使用此範例組態套件做為模型,來開發和上傳自訂套件,這會自動觸發 CfCT 組態管道。

如需自訂組態檔案的詳細資訊,請參閱CfCT 自訂指南

Amazon Simple Queue Service

CfCT 使用 Amazon Simple Queue Service (Amazon SQS) FIFO 佇列從 Amazon EventBridge 擷取生命週期事件。它會觸發 AWS Lambda 函數,其會叫 AWS CodePipeline 用 來部署 AWS CloudFormation StackSets 或 SCPs。如需 SCPs的詳細資訊,請參閱 AWS Organizations

AWS Step Functions

CfCT 會建立 Step Functions 來協調自訂部署。這些 Step Functions 會轉譯組態檔案,以視需要跨環境部署自訂。

AWS Systems Manager 參數存放區

AWS Systems Manager 參數存放區會存放 CfCT 組態參數。這些參數可讓您整合相關的組態範本。例如,您可以設定每個帳戶,將 AWS CloudTrail 資料記錄到集中式 Amazon S3 儲存貯體。此外,Systems Manager 參數存放區提供集中位置,管理員可以檢視 CfCT 輸入和參數。