Übersicht über die Architektur - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übersicht über die Architektur

Durch die Bereitstellung von CfCT wird die folgende Umgebung in der AWS Cloud mit einem Amazon S3 S3-Bucket als Konfigurationsquelle erstellt.

Anpassungen für das AWS Control Tower Tower-Architekturdiagramm

Abbildung 1: Anpassungen für die AWS Control Tower Tower-Architektur

CfCT enthält eine AWS CloudFormation Vorlage, die Sie in Ihrem AWS Control Tower Tower-Managementkonto bereitstellen. Die Vorlage startet alle Komponenten, die für die Erstellung der Workflows erforderlich sind, sodass Sie Ihre AWS Control Tower Tower-Landezone anpassen können.

Hinweis

CfCT muss in der AWS Control Tower Tower-Heimatregion und im AWS Control Tower Tower-Managementkonto bereitgestellt werden, da dort Ihre AWS Control Tower Tower-Landezone bereitgestellt wird. Informationen zur Einrichtung einer AWS Control Tower Tower-Landezone finden Sie unterErste Schritte mit AWS Control Tower.

Bei der Bereitstellung von CfCT werden die benutzerdefinierten Ressourcen mithilfe von Amazon Simple Storage Service (Amazon S3) verpackt und in die Code-Pipeline-Quelle hochgeladen. Beim Upload werden automatisch die Zustandsmaschine der Service Control Policies (SCPs) und die AWS CloudFormation StackSetsZustandsmaschine aufgerufen, um die SCPs auf der OU-Ebene oder die Stack-Instances auf OU- oder Kontoebene bereitzustellen.

Hinweis

Standardmäßig erstellt CfCT einen Amazon S3 S3-Bucket zum Speichern der Pipeline-Quelle. Wenn Sie über ein vorhandenes AWS CodeCommit Repository verfügen, können Sie den Speicherort in ein CodeCommitRepository ändern. Weitere Informationen finden Sie unter Amazon S3 als Konfigurationsquelle einrichten.

CfCT stellt zwei Workflows bereit:

  • ein Workflow AWS CodePipeline

  • und ein AWS Control Tower Tower-Lifecycle-Event-Workflow.

Der AWS CodePipeline Arbeitsablauf

Der AWS CodePipeline Workflow konfiguriert AWS CodePipeline, AWS CodeBuildprojektiert und orchestriert AWS Step Functionsdie Verwaltung von AWS CloudFormation StackSets und SCPs in Ihrer Organisation.

Wenn Sie das Konfigurationspaket hochladen, ruft CfCT die Code-Pipeline auf, um drei Phasen auszuführen.

  • Build Stage — validiert den Inhalt des Konfigurationspakets mithilfe von AWS CodeBuild.

  • SCP Stage — ruft den Service Control Policy State Machine auf, der die AWS Organizations API zur Erstellung aufruft. SCPs

  • AWS CloudFormation Stage — ruft die Stackset-Zustandsmaschine auf, um die Ressourcen bereitzustellen OUs, die in der Kontenliste angegeben sind oder die Sie in der Manifestdatei angegeben haben.

In jeder Phase ruft die Code-Pipeline die Stack-Set- und SCP-Step-Funktionen auf, die benutzerdefinierte Stack-Sets für einzelne Zielkonten oder für eine gesamte Organisationseinheit bereitstellen. SCPs

Hinweis

Ausführliche Informationen zum Anpassen des Konfigurationspakets finden Sie unter. Leitfaden zur cFcT-Anpassung

Der Workflow für Lebenszyklusereignisse von AWS Control Tower

Wenn ein neues Konto in AWS Control Tower erstellt wird, kann ein Lebenszyklusereignis den AWS CodePipeline Workflow aufrufen. Sie können das Konfigurationspaket über diesen Workflow anpassen, der aus einer EventBridgeAmazon-Ereignisregel, einer First-in-First-Out-Warteschlange (FIFO) von Amazon Simple Queue Service (Amazon SQS) und einer Funktion besteht. AWS Lambda

Wenn die EventBridge Amazon-Ereignisregel ein entsprechendes Lebenszyklusereignis erkennt, leitet sie das Ereignis an die Amazon SQS-FIFO-Warteschlange weiter, ruft die AWS Lambda Funktion auf und ruft die Code-Pipeline auf, um die nachgelagerte Bereitstellung von Stack-Sets und durchzuführen. SCPs