Información general de la arquitectura - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general de la arquitectura

La implementación de cFCT crea el siguiente entorno en la AWS nube.

Diagrama de personalizaciones para la arquitectura de la Torre de Control de AWS

Figura 1: Personalizaciones de la arquitectura de la Torre de Control de AWS

cFCT incluye una AWS CloudFormation plantilla que puede implementar en su cuenta de administración de AWS Control Tower. La plantilla incluye todos los componentes necesarios para crear los flujos de trabajo, de forma que pueda personalizar su zona de aterrizaje de AWS Control Tower.

Nota

cFCT debe implementarse en la región de origen de la Torre de Control de AWS y en la cuenta de administración de la Torre de Control de AWS, ya que ahí es donde se implementa la zona de aterrizaje de la Torre de Control de AWS. Para obtener información sobre la configuración de una zona de aterrizaje de la Torre de Control de AWS, consulteIntroducción a AWS Control Tower.

A medida que se implementa cFCT, este empaqueta y carga los recursos personalizados en el código fuente de la canalización, mediante Amazon Simple Storage Service (Amazon S3). El proceso de carga invoca automáticamente la máquina de estado de las políticas de control de servicios (SCP) y la máquina de AWS CloudFormation StackSetsestados para implementar las SCP a nivel de unidad organizativa o para implementar instancias apiladas a nivel de unidad organizativa o de cuenta.

Nota

De forma predeterminada, cFct crea un bucket de Amazon S3 para almacenar la fuente de la canalización, pero puede cambiar la ubicación a un AWS CodeCommitrepositorio. Para obtener más información, consulte Configurar Amazon S3 como fuente de configuración.

cFCT implementa dos flujos de trabajo:

  • un flujo de trabajo AWS CodePipeline

  • y un flujo de trabajo de eventos del ciclo de vida de AWS Control Tower.

El AWS CodePipeline flujo de trabajo

El AWS CodePipeline flujo de trabajo configura AWS CodePipeline, AWS CodeBuildproyecta y organiza AWS Step Functionsla administración y los SCP de AWS CloudFormation StackSets su organización.

Al cargar el paquete de configuración, cFCT invoca la canalización de código para ejecutar tres etapas.

  • Fase de compilación: valida el contenido del paquete de configuración mediante AWS CodeBuild.

  • Fase SCP: invoca la máquina de estados de la política de control de servicios, que llama a la AWS Organizations API para crear los SCP.

  • AWS CloudFormation Stage: invoca la máquina de estados del conjunto de pilas para implementar los recursos especificados en la lista de cuentas u OU, que ha proporcionado en el archivo de manifiesto.

En cada etapa, la canalización de códigos invoca el conjunto de pilas y las funciones de paso de SCP, que implementan conjuntos de pilas y SCP personalizados en las cuentas individuales de destino o en toda una unidad organizativa.

Nota

Para obtener información detallada sobre la personalización del paquete de configuración, consulte. Guía de personalización de cFCT

El flujo de trabajo de eventos del ciclo de vida de AWS Control Tower

Cuando se crea una cuenta nueva en AWS Control Tower, un evento del ciclo de vida puede invocar el AWS CodePipeline flujo de trabajo. Puede personalizar el paquete de configuración a través de este flujo de trabajo, que consiste en una regla de EventBridge eventos de Amazon, una cola de primera entrada, primera salida (FIFO) de Amazon Simple Queue Service (Amazon SQS) y una función. AWS Lambda

Cuando la regla de EventBridge eventos de Amazon detecta un evento del ciclo de vida coincidente, pasa el evento a la cola FIFO de Amazon SQS, invoca la AWS Lambda función e invoca la canalización de código para realizar un despliegue descendente de conjuntos de pilas y SCP.