本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
自訂您的 AWS Control Tower 登陸區域
AWS Control Tower 登陸區域的某些層面可在 主控台中設定,例如選擇區域和選用控制項。其他變更可能會在 主控台外部進行,並搭配自動化。
例如,您可以使用 Customizations for AWS Control Tower 功能建立更廣泛的登陸區域自訂,這是 GitOps 樣式的自訂架構,可與 AWS CloudFormation 範本和 AWS Control Tower 生命週期事件搭配使用。
AWS Control Tower (CfCT) 自訂的優點
我們稱為 Customizations for AWS Control Tower (CfCT) 的功能套件可協助您為登陸區域建立比 AWS Control Tower 主控台中建立更廣泛的自訂。它提供 GitOps 樣式的自動化程序。您可以重塑登陸區域,以符合您的業務需求。
此infrastructure-as-code自訂程序會將 AWS CloudFormation 範本與服務 AWS 控制政策 (SCPs) 和 AWS Control Tower 生命週期事件整合,讓您的資源部署與您的登陸區域保持同步。例如,當您使用 Account Factory 建立新帳戶時,可以自動部署連接到帳戶和 OU 的資源。
注意
與 Account Factory 和 AFT 不同,CfCT 並非專門用來建立新帳戶,而是透過部署您指定的資源來自訂登陸區域中的帳戶和 OUs。
優勢
-
擴展自訂且安全 AWS 的環境 – 您可以更快速地擴展多帳戶 AWS Control Tower 環境,並將 AWS 最佳實務納入可重複的自訂工作流程。
-
具體化您的需求 – 您可以使用範本 AWS CloudFormation 和服務控制政策來表達您的政策意圖,為您的業務需求自訂 AWS Control Tower 登陸區域。
-
使用 AWS Control Tower 生命週期事件進一步自動化 – 生命週期事件可讓您根據先前一系列事件的完成情況部署資源。您可以依賴生命週期事件,協助您自動將資源部署到帳戶和 OUs。
-
擴展您的網路架構 – 您可以部署自訂網路架構,以改善和保護您的連線,例如傳輸閘道。
其他 CfCT 範例
-
AWS 架構部落格文章提供具有 Customizations for AWS Control Tower (CfCT) 的聯網使用案例,並使用 Service Catalog 和 AWS Control Tower 自訂部署一致的 DNS
。 -
與 CfCT 和 Amazon GuardDuty 相關的
特定範例可在 aws-samples儲存庫中的 GitHub 上取得。 -
有關 CfCT 的其他程式碼範例可在
aws-samples儲存庫中做為安全參考架構的一部分 AWS 。其中許多範例包含名為 目錄中的範例 manifest.yaml檔案customizations_for_aws_control_tower。
如需 AWS 安全參考架構的詳細資訊,請參閱 AWS 規範指南頁面。
