Présentation de l'architecture - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de l'architecture

Le déploiement de CfCT crée l'environnement suivant dans le AWS cloud.

Personnalisations pour le schéma d'architecture d'AWS Control Tower

Figure 1 : Personnalisations pour l'architecture AWS Control Tower

CfCT inclut un AWS CloudFormation modèle que vous déployez dans votre compte de gestion AWS Control Tower. Le modèle lance tous les composants nécessaires à la création des flux de travail, afin que vous puissiez personnaliser votre zone de landing zone AWS Control Tower.

Remarque

Le CfCT doit être déployé dans la région d'origine d'AWS Control Tower et dans le compte de gestion de la tour de contrôle AWS, car c'est là que votre zone d'atterrissage AWS Control Tower est déployée. Pour plus d'informations sur la configuration d'une zone d'atterrissage AWS Control Tower, reportez-vous àCommencer à utiliser AWS Control Tower.

Lorsque vous déployez CfCT, il empaquète et télécharge les ressources personnalisées vers la source du pipeline de code, au moyen d'Amazon Simple Storage Service (Amazon S3). Le processus de téléchargement appelle automatiquement la machine d'état des politiques de contrôle des services (SCP) et la machine d'AWS CloudFormation StackSetsétat pour déployer les SCP au niveau de l'unité d'organisation ou pour déployer des instances de pile au niveau de l'unité d'organisation ou du compte.

Remarque

Par défaut, CfCT crée un compartiment Amazon S3 pour stocker la source du pipeline, mais vous pouvez modifier l'emplacement pour en faire un AWS CodeCommitréférentiel. Pour plus d'informations, consultez Configurer Amazon S3 en tant que source de configuration.

CfCT déploie deux flux de travail :

  • un AWS CodePipelineflux de travail

  • et un flux de travail relatif aux événements liés au cycle de vie d'AWS Control Tower.

Le AWS CodePipeline flux de travail

Le AWS CodePipeline flux de travail configure AWS CodePipeline, AWS CodeBuildprojette et AWS Step Functionsorchestre la gestion des SCP au AWS CloudFormation StackSets sein de votre organisation.

Lorsque vous téléchargez le package de configuration, CFct invoque le pipeline de code pour exécuter trois étapes.

  • Étape de construction : valide le contenu du package de configuration à l'aide d'AWS CodeBuild.

  • SCP Stage — invoque la machine d'état des politiques de contrôle des services, qui appelle l' AWS Organizations API pour créer des SCP.

  • AWS CloudFormation Stage : invoque la machine d'état du stack set pour déployer les ressources spécifiées dans la liste des comptes ou des unités d'organisation, que vous avez fournie dans le fichier manifeste.

À chaque étape, le pipeline de code invoque les fonctions stack set et SCP step, qui déploient des ensembles de piles et des SCP personnalisés sur les comptes individuels ciblés ou sur une unité organisationnelle complète.

Remarque

Pour obtenir des informations détaillées sur la personnalisation du package de configuration, reportez-vous àGuide de personnalisation du CfCT.

Le flux de travail des événements liés au cycle de vie d'AWS Control Tower

Lorsqu'un nouveau compte est créé dans AWS Control Tower, un événement du cycle de vie peut appeler le AWS CodePipeline flux de travail. Vous pouvez personnaliser le package de configuration via ce flux de travail, qui comprend une règle d' EventBridgeévénement Amazon, une file d'attente « premier entré, premier sorti » (FIFO) Amazon Simple Queue Service (Amazon SQS) et une fonction. AWS Lambda

Lorsque la règle d' EventBridge événement Amazon détecte un événement du cycle de vie correspondant, elle transmet l'événement à la file d'attente FIFO Amazon SQS, invoque la AWS Lambda fonction et invoque le pipeline de code pour effectuer le déploiement en aval des stack sets et des SCP.