Présentation de l'architecture - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de l'architecture

Le déploiement de CFCT crée l'environnement suivant dans leAWScloud.


                Diagramme de personnalisation pour AWS Control Tower

Figure 1 : Personnalisations pour l'architecture AWS Control Tower

CfCT comprend unAWS CloudFormationmodèle que vous déployez dans votre compte de gestion AWS Control Tower. Le modèle lance tous les composants nécessaires à la création des flux de travail, afin que vous puissiez personnaliser votre landing zone AWS Control Tower.

Remarque

CfCt doit être déployé dans la région d'origine AWS Control Tower et dans le compte de gestion AWS Control Tower, car c'est là que votre landing zone AWS Control Tower est déployée. Pour plus d'informations sur la configuration d'une landing zone AWS Control Tower, reportez-vous àPremiers pas avec AWS Control Tower.

Lorsque vous déployez CFCT, il empaquete et télécharge les ressources personnalisées vers la source du pipeline de code, au moyen deAmazon Simple Storage Service(Amazon S3). Le processus de téléchargement appelle automatiquement la machine d'état des stratégies de contrôle de service (SCP) et leAWS CloudFormation StackSetsmachine d'état pour déployer les SCP au niveau de l'unité d'organisation ou pour déployer des instances de pile au niveau de l'unité d'organisation ou du compte.

Remarque

Par défaut, CFCT crée un compartiment Amazon S3 pour stocker la source du pipeline, mais vous pouvez modifier l'emplacement en unAWS CodeCommitrepository. Pour plus d'informations, consultezConfigurer Amazon S3 en tant que source de configuration.

CfCT déploie deux flux de travail :

  • unAWS CodePipelineflux de travail

  • et un flux de travail d'événements du cycle de vie AWS Control Tower.

LeAWS CodePipelineflux de travail

LeAWS CodePipelineconfiguration du flux de travailAWS CodePipeline,AWS CodeBuildProjets,AWS Step Functionsqui orchestrent la gestion deAWS CloudFormation StackSetset les SCP de votre organisation.

Lorsque vous téléchargez le package de configuration, CFCT appelle le pipeline de code pour exécuter trois étapes.

  • Phase de génération— valide le contenu du package de configuration à l'aide d'AWSCodeBuild.

  • SCP Stage— appelle la machine d'état de la stratégie de contrôle de service, qui appelle leAWS OrganizationsAPI pour créer des SCP.

  • AWSCloudFormationÉtape: appelle la machine d'état de jeu de pile pour déployer les ressources spécifiées dans la liste des comptes ou des unités d'organisation que vous avez fournie dansle fichier manifeste.

À chaque étape, le pipeline de code appelle le jeu de pile et les fonctions d'étape SCP, qui déploient des jeux de pile personnalisés et des SCP sur les comptes individuels ciblés ou vers une unité organisationnelle entière.

Remarque

Pour plus d'informations sur la personnalisation du package de configuration, reportez-vous àGuide de personnalisation CFCT.

Workflow des événements du cycle de vie de la AWS Control Tower

Lorsqu'un nouveau compte est créé dans AWS Control Tower, unévénement du cycle de viepeut invoquer leAWS CodePipelineflux de travail. Vous pouvez personnaliser le package de configuration via ce flux de travail, qui consiste en unAmazonEventBridgerègle d'événement, uneAmazon Simple Queue Service(Amazon SQS) premier entré, premier sorti (FIFO), et une file d'attenteAWS Lambda.

Quand AmazonEventBridgerègle d'événement détecte un événement de cycle de vie correspondant, elle transmet l'événement à la file d'attente FIFO d'Amazon SQS, appelle leAWS Lambda, et appelle le pipeline de code pour effectuer le déploiement en aval des jeux de piles et des SCP.