Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Información general de la arquitectura
La implementación de cFCT crea el siguiente entorno en la AWS nube.
cFCT incluye una AWS CloudFormation plantilla que puede implementar en su cuenta de administración de AWS Control Tower. La plantilla incluye todos los componentes necesarios para crear los flujos de trabajo, de forma que pueda personalizar su zona de aterrizaje de AWS Control Tower.
Nota
cFCT debe implementarse en la región de origen de la Torre de Control de AWS y en la cuenta de administración de la Torre de Control de AWS, ya que ahí es donde se implementa la zona de aterrizaje de la Torre de Control de AWS. Para obtener información sobre la configuración de una zona de aterrizaje de la Torre de Control de AWS, consulteIntroducción a AWS Control Tower.
A medida que se implementa cFCT, este empaqueta y carga los recursos personalizados en el código fuente de la canalización, mediante Amazon Simple Storage Service
Nota
De forma predeterminada, cFct crea un bucket de Amazon S3 para almacenar la fuente de la canalización, pero puede cambiar la ubicación a un AWS CodeCommit
cFCT implementa dos flujos de trabajo:
-
un flujo de trabajo AWS CodePipeline
-
y un flujo de trabajo de eventos del ciclo de vida de AWS Control Tower.
El AWS CodePipeline flujo de trabajo
El AWS CodePipeline flujo de trabajo configura AWS CodePipeline, AWS CodeBuild
Al cargar el paquete de configuración, cFCT invoca la canalización de código para ejecutar tres etapas.
-
Fase de compilación: valida el contenido del paquete de configuración mediante AWS CodeBuild.
-
Fase SCP: invoca la máquina de estados de la política de control de servicios, que llama a la AWS Organizations API para crear los SCP.
-
AWS CloudFormation Stage: invoca la máquina de estados del conjunto de pilas para implementar los recursos especificados en la lista de cuentas u OU, que ha proporcionado en el archivo de manifiesto.
En cada etapa, la canalización de códigos invoca el conjunto de pilas y las funciones de paso de SCP, que implementan conjuntos de pilas y SCP personalizados en las cuentas individuales de destino o en toda una unidad organizativa.
Nota
Para obtener información detallada sobre la personalización del paquete de configuración, consulte. Guía de personalización de cFCT
El flujo de trabajo de eventos del ciclo de vida de AWS Control Tower
Cuando se crea una cuenta nueva en AWS Control Tower, un evento del ciclo de vida puede invocar el AWS CodePipeline flujo de trabajo. Puede personalizar el paquete de configuración a través de este flujo de trabajo, que consiste en una regla de EventBridge eventos de Amazon
Cuando la regla de EventBridge eventos de Amazon detecta un evento del ciclo de vida coincidente, pasa el evento a la cola FIFO de Amazon SQS, invoca la AWS Lambda función e invoca la canalización de código para realizar un despliegue descendente de conjuntos de pilas y SCP.