Übersicht über die Architektur - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übersicht über die Architektur

Durch die Bereitstellung von CfCT wird die folgende Umgebung in der AWS Cloud erstellt.

Diagramm der Architektur von Anpassungen für AWS Control Tower

Abbildung 1: Anpassungen für die AWS Control Tower-Architektur

CfCT enthält eine - AWS CloudFormation Vorlage, die Sie in Ihrem AWS Control Tower-Verwaltungskonto bereitstellen. Die Vorlage startet alle Komponenten, die zum Erstellen der Workflows erforderlich sind, sodass Sie Ihre Landing Zone von AWS Control Tower anpassen können.

Hinweis

CfCT muss in der Heimatregion von AWS Control Tower und im Verwaltungskonto von AWS Control Tower bereitgestellt werden, da dort Ihre Landing Zone von AWS Control Tower bereitgestellt wird. Informationen zum Einrichten einer Landing Zone von AWS Control Tower finden Sie unter Erste Schritte mit AWS Control Tower.

Wenn Sie CfCT bereitstellen, werden die benutzerdefinierten Ressourcen mithilfe von Amazon Simple Storage Service (Amazon S3) verpackt und in die Code-Pipeline-Quelle hochgeladen. Der Upload-Prozess ruft automatisch den Zustandsautomaten für Service-Kontrollrichtlinien (SCPs) und den AWS CloudFormation StackSets Zustandsautomaten auf, um die SCPs auf Organisationseinheitsebene bereitzustellen oder Stack-Instances auf Organisationseinheits- oder Kontoebene bereitzustellen.

Hinweis

Standardmäßig erstellt CfCT einen Amazon S3-Bucket zum Speichern der Pipeline-Quelle, Sie können jedoch den Speicherort in ein -AWS CodeCommitRepository ändern. Weitere Informationen finden Sie unter Einrichten von Amazon S3 als Konfigurationsquelle.

CfCT stellt zwei Workflows bereit:

  • einen -AWS CodePipelineWorkflow

  • und ein AWS Control Tower-Lebenszyklusereignis-Workflow.

Der AWS CodePipeline Workflow

Der AWS CodePipeline Workflow konfiguriert AWS CodePipeline, AWS CodeBuild Projekte und , AWS Step Functions die die Verwaltung von AWS CloudFormation StackSets und SCPs in Ihrer Organisation orchestrieren.

Wenn Sie das Konfigurationspaket hochladen, ruft CfCT die Code-Pipeline auf, um drei Phasen auszuführen.

  • Build-Phase – validiert den Inhalt des Konfigurationspakets mit AWS CodeBuild.

  • SCP-Stufe – ruft den Zustandsautomaten der Service-Kontrollrichtlinie auf, der die AWS Organizations -API aufruft, um SCPs zu erstellen.

  • AWS CloudFormation Stage – ruft den Stack-Set-Zustandsautomaten auf, um die in der Liste der Konten oder OUs angegebenen Ressourcen bereitzustellen, die Sie in der Manifestdatei angegeben haben.

In jeder Phase ruft die Code-Pipeline die Stack-Set- und SCP-Schrittfunktionen auf, die benutzerdefinierte Stack-Sets und SCPs für die einzelnen Zielkonten oder für eine gesamte Organisationseinheit bereitstellen.

Hinweis

Ausführliche Informationen zum Anpassen des Konfigurationspakets finden Sie unter Leitfaden zur cFcT-Anpassung.

Der Lebenszyklusereignis-Workflow von AWS Control Tower

Wenn ein neues Konto in AWS Control Tower erstellt wird, kann ein Lebenszyklusereignis den AWS CodePipeline Workflow aufrufen. Sie können das Konfigurationspaket über diesen Workflow anpassen, der aus einer Amazon EventBridge-Ereignisregel, einer Amazon Simple Queue Service (Amazon SQS) First-In First-Out (FIFO)-Warteschlange und einer -AWS LambdaFunktion besteht.

Wenn die Amazon- EventBridge Ereignisregel ein übereinstimmendes Lebenszyklusereignis erkennt, übergibt sie das Ereignis an die Amazon SQS-FIFO-Warteschlange, ruft die AWS Lambda Funktion auf und ruft die Code-Pipeline auf, um eine nachgelagerte Bereitstellung von Stack-Sets und SCPs durchzuführen.