Services de composants - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Services de composants

Procédez comme suit :AWSles services sont des composants dePersonnalisations pour AWS Control Tower(CFC).

Amazon Simple Storage Service

Lorsque vous déployez CFCT, il crée un compartiment Amazon Simple Storage Service (Amazon S3) avec un nom unique de ce formulaire :

custom-control-tower-configuration-accountID-region

Le compartiment contient un exemple de fichier de configuration appelé :

_custom-control-tower-configuration.zip

Notez le trait de soulignement principal dans le nom du fichier.

Ce fichier zip fournit un exemple de manifeste et les exemples de modèles associés qui décrivent la structure de dossiers nécessaire. Ces exemples vous aident à développer un package de configuration pour personnaliser votre landing zone AWS Control Tower. L'exemple de manifeste identifie les configurations requises pour les jeux de piles et les stratégies de contrôle de service (SCP) dont vous aurez besoin lorsque vous implémentez vos personnalisations.

Vous pouvez utiliser cet exemple de package de configuration comme modèle pour développer et charger votre package personnalisé, ce qui déclenche automatiquement le pipeline de configuration CFCT.

Pour plus d'informations sur la personnalisation du fichier de configuration, consultez la sectionGuide de personnalisation CFCT.

AWS CodeCommit

Sur la base de vos commentaires sur leAWS CloudFormation, CFCT peut créer unAWS CodeCommitavec le même exemple de configuration que celui expliqué dans la section Amazon Simple Storage Service.

Pour cloner le CFCAWS CodeCommitsur votre ordinateur local, vous devez créer des informations d'identification qui vous donnent un accès temporaire au référentiel, comme expliqué dans leAWS CodeCommitGuide de l'utilisateur. Pour plus d'informations sur la compatibilité des versions, consultez.Configuration d'AWS CodeCommit.

Amazon Simple Queue Service

CfCT utilise une file d'attente FIFO Amazon Simple Queue Service (Amazon SQS) pour capturer les événements du cycle de vie d'AmazonEventBridge. Il déclenche un événementAWS Lambdafonction, qui invoqueAWS CodePipelineà déployerAWS CloudFormation StackSetsou SCP. Pour plus d'informations sur les SCP, consultez la sectionAWS Organizations.

AWS CodePipeline

AWS CodePipelinevalide, teste et implémente les modifications en fonction des mises à jour du package de configuration, que vous effectuerez soit dans le compartiment Amazon S3 par défaut, soit dans leAWS CodeCommitrepository. Pour plus d'informations sur la modification du contrôle source de configuration parAWS CodeCommit, veuillez consulterUtilisation d'Amazon S3 comme source de configuration. Le pipeline comprend des étapes permettant de valider et de gérer les fichiers de configuration et les modèles, les comptes principaux,AWS Organizationsstratégies de contrôle des services, etAWS CloudFormation StackSets. Pour plus d'informations sur les étapes du pipeline, consultez la sectionGuide de personnalisation CFCT

AWS Key Management Service

CfCT crée unAWS Key Management Service(AWS KMS)CustomControlTowerKMSKeyclé de chiffrement. Cette clé est utilisée pour chiffrer des objets dans le compartiment de configuration Amazon S3, la file d'attente Amazon SQS et les paramètres sensibles dans leAWSSystems Manager Parameter Store. Par défaut, seuls les rôles provisionnés par CFCT sont autorisés à effectuer des opérations de chiffrement ou de déchiffrement avec cette clé. Pour accéder au fichier de configuration, à la file d'attente FIFO ou au magasin de paramètresSecureString, les administrateurs doivent être ajoutés à laCustomControlTowerKMSKeypolitique. La rotation automatique des clés est activée par défaut.

AWS Lambda

Utilisations CFCAWS Lambdafonctions permettant d'appeler les composants d'installation lors de l'installation et du déploiement initiaux deAWS CloudFormation StackSetsouAWS OrganizationsSCP lors d'un événement du cycle de vie de la AWS Control Tower.

AWSSystems Manager Parameter Store

AWS Systems Manager Parameter Storestocke les paramètres de configuration CFCT. Ces paramètres vous permettent d'intégrer des modèles de configuration associés. Par exemple, vous pouvez configurer chaque compte pour qu'il se connecte.AWS CloudTraildonnées dans un compartiment Amazon S3 centralisé. De plus, le magasin de paramètres Systems Manager fournit un emplacement centralisé où les administrateurs peuvent afficher les entrées et les paramètres CfCT.

Amazon Simple Notification Service

CfCT peut publier des notifications, telles que l'approbation du pipeline, àAmazon Simple Notification Service(Amazon SNS) pendant le flux de travail. Amazon SNS est lancé uniquement lorsque vous choisissez de recevoir des notifications d'approbation de pipeline.