Servicios de componentes - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Servicios de componentes

Al implementar AFT, se agregan componentes a su AWS entorno desde cada uno de estos AWS servicios.

  • AWS Control Tower: AFT utiliza AWS Control Tower Account Factory en la cuenta de administración de AWS Control Tower para aprovisionar cuentas.

  • Amazon DynamoDB: AFT crea tablas de Amazon DynamoDB en la cuenta de administración de AFT, que almacenan las solicitudes de cuentas, el historial de auditorías de las actualizaciones de las cuentas, los metadatos de las cuentas y los eventos del ciclo de vida de AWS Control Tower. AFT también crea activadores Lambda de DynamoDB para iniciar procesos posteriores, como iniciar el flujo de trabajo de aprovisionamiento de cuentas AFT.

  • Amazon Simple Storage Service: AFT crea depósitos de Amazon Simple Storage Service (S3) en la cuenta de administración de AFT y en la cuenta de archivo de registros de la Torre de Control de AWS, que almacenan los registros generados por los servicios de AWS que requiere la canalización de AFT. AFT también crea un depósito S3 del backend de Terraform, en las regiones de AWS principales y secundarias, para almacenar los estados de Terraform generados durante los flujos de trabajo de AFT.

  • Amazon Simple Notification Service: AFT crea temas del Amazon Simple Notification Service (SNS) en la cuenta de administración de AFT, que almacena las notificaciones de éxito y fracaso después de procesar cada solicitud de cuenta AFT. Puede recibir estos mensajes utilizando el protocolo que elija.

  • Amazon Simple Queuing Service: AFT crea una cola FIFO de Amazon Simple Queuing Service (Amazon SQS) en la cuenta de administración de AFT. La cola le permite enviar varias solicitudes de cuentas en paralelo, pero envía una solicitud a la vez a AWS Control Tower Account Factory para su procesamiento secuencial.

  • AWS CodeBuild: AFT crea proyectos de CodeBuild compilación de AWS en la cuenta de administración de AFT para inicializar, compilar, probar y aplicar los planes de Terraform para el código fuente de AFT en varias etapas de compilación.

  • AWS CodePipeline: AFT crea CodePipeline canalizaciones de AWS en la cuenta de administración de AFT para integrarlas con el proveedor de CodeStar conexiones de AWS que haya seleccionado y compatible para el código fuente de AFT y activar trabajos de creación en AWS CodeBuild.

  • AWS Lambda: AFT crea funciones y capas de AWS Lambda en la cuenta de administración de AFT para realizar los pasos durante los procesos de solicitud de cuenta, aprovisionamiento de cuentas AFT y personalización de cuentas.

  • AWS Systems Manager Parameter Store: AFT configura el AWS Systems Manager Parameter Store en la cuenta de administración de AFT para almacenar los parámetros de configuración necesarios para los procesos de canalización de AFT.

  • Amazon CloudWatch: AFT crea grupos de CloudWatch registros de Amazon en la cuenta de administración de AFT para almacenar los registros generados por los servicios de AWS empleados por la canalización de AFT. El período de retención de CloudWatch los registros está establecido enNever Expire.

  • Amazon VPC: AFT crea una Amazon Virtual Private Cloud (VPC) para aislar los servicios y recursos de la cuenta de administración de AFT en un entorno de red independiente, a fin de mejorar la seguridad.

  • AWS KMS: AFT utiliza el AWS Key Management Service (KMS) en la cuenta de administración de AFT y en la cuenta de archivo de registros de AWS Control Tower. AFT crea claves para cifrar los estados de Terraform, los datos almacenados en las tablas de DynamoDB y los temas de SNS. Estos registros y artefactos se generan cuando AFT implementa los recursos y servicios de AWS. Las claves de KMS creadas por AFT tienen habilitada la rotación anual de forma predeterminada.

  • AWS Identity and Access Management (IAM): AFT sigue el modelo de privilegios mínimos recomendado. Crea funciones y políticas de AWS Identity and Access Management (IAM) en la cuenta de administración de la AFT, en las cuentas de la Torre de Control de AWS y en las cuentas aprovisionadas por la AFT, según sea necesario, para realizar las acciones necesarias durante el flujo de trabajo de la canalización de AFT.

  • AWS Step Functions: AFT crea máquinas de estado de AWS Step Functions en la cuenta de administración de AFT. Estas máquinas de estado organizan y automatizan el proceso y los pasos del marco de aprovisionamiento y las personalizaciones de las cuentas AFT.

  • Amazon EventBridge: AFT crea un bus de EventBridge eventos de Amazon en la cuenta de administración de AFT y AWS Control Tower para capturar y almacenar los eventos del ciclo de vida de la Torre de Control de AWS a largo plazo en la tabla DynamoDB de la cuenta de administración de AFT. AFT crea reglas de CloudWatch eventos de AWS en las cuentas de administración de AFT y de administración de AWS Control Tower, que activan varios pasos necesarios durante la ejecución del flujo de trabajo de la canalización de AFT

  • AWS CloudTrail (opcional): cuando esta función está habilitada, AFT crea un registro de la CloudTrail organización de AWS en la cuenta de administración de la Torre de Control Tower de AWS para registrar los eventos de datos de los buckets de Amazon S3 y las funciones de AWS Lambda. AFT envía estos registros a un depósito S3 central en la cuenta de archivo de registros de AWS Control Tower.

  • AWS Support (opcional): cuando esta función está habilitada, AFT activa el plan AWS Enterprise Support para las cuentas aprovisionadas por AFT. De forma predeterminada, las cuentas de AWS se crean con el plan AWS Basic Support activado.