Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Übersicht über die Architektur
Durch die Bereitstellung von CfCT wird die folgende Umgebung in der AWS Cloud erstellt.
![Diagramm der Architektur von Anpassungen für AWS Control Tower](images/customizations-for-aws-control-tower-architecture-diagram.png)
Abbildung 1: Anpassungen für die AWS Control Tower-Architektur
CfCT enthält eine - AWS CloudFormation Vorlage, die Sie in Ihrem AWS Control Tower-Verwaltungskonto bereitstellen. Die Vorlage startet alle Komponenten, die zum Erstellen der Workflows erforderlich sind, sodass Sie Ihre Landing Zone von AWS Control Tower anpassen können.
Hinweis
CfCT muss in der Heimatregion von AWS Control Tower und im Verwaltungskonto von AWS Control Tower bereitgestellt werden, da dort Ihre Landing Zone von AWS Control Tower bereitgestellt wird. Informationen zum Einrichten einer Landing Zone von AWS Control Tower finden Sie unter Erste Schritte mit AWS Control Tower.
Wenn Sie CfCT bereitstellen, werden die benutzerdefinierten Ressourcen mithilfe von Amazon Simple Storage Service
Hinweis
Standardmäßig erstellt CfCT einen Amazon S3-Bucket zum Speichern der Pipeline-Quelle, Sie können jedoch den Speicherort in ein -AWS CodeCommit
CfCT stellt zwei Workflows bereit:
-
einen -AWS CodePipeline
Workflow -
und ein AWS Control Tower-Lebenszyklusereignis-Workflow.
Der AWS CodePipeline Workflow
Der AWS CodePipeline Workflow konfiguriert AWS CodePipeline, AWS CodeBuild
Wenn Sie das Konfigurationspaket hochladen, ruft CfCT die Code-Pipeline auf, um drei Phasen auszuführen.
-
Build-Phase – validiert den Inhalt des Konfigurationspakets mit AWS CodeBuild.
-
SCP-Stufe – ruft den Zustandsautomaten der Service-Kontrollrichtlinie auf, der die AWS Organizations -API aufruft, um SCPs zu erstellen.
-
AWS CloudFormation Stage – ruft den Stack-Set-Zustandsautomaten auf, um die in der Liste der Konten oder OUs angegebenen Ressourcen bereitzustellen, die Sie in der Manifestdatei angegeben haben.
In jeder Phase ruft die Code-Pipeline die Stack-Set- und SCP-Schrittfunktionen auf, die benutzerdefinierte Stack-Sets und SCPs für die einzelnen Zielkonten oder für eine gesamte Organisationseinheit bereitstellen.
Hinweis
Ausführliche Informationen zum Anpassen des Konfigurationspakets finden Sie unter Leitfaden zur cFcT-Anpassung.
Der Lebenszyklusereignis-Workflow von AWS Control Tower
Wenn ein neues Konto in AWS Control Tower erstellt wird, kann ein Lebenszyklusereignis den AWS CodePipeline Workflow aufrufen. Sie können das Konfigurationspaket über diesen Workflow anpassen, der aus einer Amazon EventBridge
Wenn die Amazon- EventBridge Ereignisregel ein übereinstimmendes Lebenszyklusereignis erkennt, übergibt sie das Ereignis an die Amazon SQS-FIFO-Warteschlange, ruft die AWS Lambda Funktion auf und ruft die Code-Pipeline auf, um eine nachgelagerte Bereitstellung von Stack-Sets und SCPs durchzuführen.