Información general de la arquitectura - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general de la arquitectura

Al implementar cFCT, se crea el siguiente entorno en la AWS nube, con un bucket de Amazon S3 como fuente de configuración.

Diagrama de la arquitectura de Personalizaciones de AWS Control Tower

Figura 1: Arquitectura de Personalizaciones de AWS Control Tower

cFCT incluye una AWS CloudFormation plantilla que puede implementar en su cuenta de administración de AWS Control Tower. La plantilla lanza todos los componentes necesarios para crear los flujos de trabajo, de forma que pueda personalizar su zona de aterrizaje de AWS Control Tower.

Nota

CfCT debe implementarse en la región de origen de AWS Control Tower y en la cuenta de administración de AWS Control Tower, ya que ahí es donde se implementa la zona de aterrizaje de AWS Control Tower. Para obtener información acerca de la configuración de una zona de aterrizaje de AWS Control Tower, consulte Introducción a AWS Control Tower.

A medida que se implementa CfCT, este empaqueta y carga los recursos personalizados en el origen de la canalización del código por medio de Amazon Simple Storage Service (Amazon S3). El proceso de carga invoca automáticamente la máquina de estado de las políticas de control de servicios (SCPs) y la máquina de AWS CloudFormation StackSetsestados para implementarlas a nivel de unidad organizativa o para implementar instancias apiladas a nivel de unidad organizativa o de cuenta. SCPs

Nota

De forma predeterminada, CfCT crea un bucket de Amazon S3 para almacenar el origen de la canalización. Si tiene un AWS CodeCommit repositorio existente, puede cambiar la ubicación a un CodeCommitrepositorio. Para obtener más información, consulte Set up Amazon S3 as the configuration source.

CfCT implementa dos flujos de trabajo:

  • un flujo de trabajo de AWS CodePipeline

  • y un flujo de trabajo de eventos del ciclo de vida de AWS Control Tower.

El AWS CodePipeline flujo de trabajo

El AWS CodePipeline flujo de trabajo configura AWS CodePipeline, AWS CodeBuildproyecta y organiza AWS Step Functionsla administración de AWS CloudFormation StackSets y SCPs dentro de su organización.

Al cargar el paquete de configuración, CfCT invoca la canalización de código para ejecutar tres etapas.

  • Fase de compilación: valida el contenido del paquete de configuración mediante AWS CodeBuild.

  • SCP Stage: invoca la máquina de estados de la política de control del servicio, que llama a la AWS Organizations API para crearla. SCPs

  • AWS CloudFormation Etapa: invoca la máquina de estados del conjunto de pilas para implementar los recursos especificados en la lista de cuentas o OUs que hayas proporcionado en el archivo de manifiesto.

En cada etapa, la canalización de códigos invoca las funciones de conjunto de pilas y pasos SCP, que despliegan conjuntos de pilas personalizados en las cuentas individuales de destino o en toda una unidad organizativa. SCPs

Nota

Para obtener información detallada sobre la personalización del paquete de configuración, consulte Guía de personalización de CfCT.

El flujo de trabajo del eventos de ciclo de vida de AWS Control Tower

Cuando se crea una cuenta nueva en AWS Control Tower, un evento del ciclo de vida puede invocar el AWS CodePipeline flujo de trabajo. Puede personalizar el paquete de configuración a través de este flujo de trabajo, que consiste en una regla de EventBridge eventos de Amazon, una cola de primera entrada, primera salida (FIFO) de Amazon Simple Queue Service (Amazon SQS) y una función. AWS Lambda

Cuando la regla de EventBridge eventos de Amazon detecta un evento del ciclo de vida coincidente, lo pasa a la cola FIFO de Amazon SQS, invoca la AWS Lambda función e invoca la canalización de código para realizar un despliegue descendente de conjuntos de pilas y. SCPs