Gambaran umum arsitektur - AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gambaran umum arsitektur

Menerapkan CFCT membangun lingkungan berikut di AWS Cloud, dengan bucket Amazon S3 sebagai sumber konfigurasi.

Kustomisasi untuk diagram arsitektur AWS Control Tower

Gambar 1: Kustomisasi untuk arsitektur AWS Control Tower

CFCT menyertakan AWS CloudFormation template yang Anda terapkan di akun manajemen AWS Control Tower Anda. Template meluncurkan semua komponen yang diperlukan untuk membangun alur kerja, sehingga Anda dapat menyesuaikan landing zone AWS Control Tower Anda.

Catatan

CFCT harus diterapkan di Wilayah home AWS Control Tower dan di akun manajemen AWS Control Tower, karena di situlah zona landing zone AWS Control Tower Anda digunakan. Untuk informasi tentang menyiapkan zona landing zone AWS Control Tower, lihatMemulai AWS Control Tower.

Saat Anda menerapkan CFCT, ia mengemas dan mengunggah sumber daya khusus ke sumber pipeline kode, melalui Amazon Simple Storage Service (Amazon S3). Proses upload secara otomatis memanggil mesin status kebijakan kontrol layanan (SCPs) dan mesin AWS CloudFormation StackSetsstatus untuk menerapkan SCPs di tingkat OU, atau untuk menerapkan instance tumpukan di tingkat OU atau akun.

Catatan

Secara default, CFCT membuat bucket Amazon S3 untuk menyimpan sumber pipeline. Jika Anda memiliki AWS CodeCommit repositori yang ada, Anda dapat mengubah lokasi ke repositori. CodeCommit Untuk informasi selengkapnya, lihat Mengatur Amazon S3 sebagai sumber konfigurasi.

CFCT menyebarkan dua alur kerja:

  • AWS CodePipelinealur kerja

  • dan alur kerja peristiwa siklus hidup AWS Control Tower.

AWS CodePipeline Alur kerja

AWS CodePipeline Alur kerja mengkonfigurasi AWS CodePipeline, AWS CodeBuildmemproyeksikan, dan AWS Step Functionsyang mengatur pengelolaan dan di organisasi Anda. AWS CloudFormation StackSets SCPs

Saat Anda mengunggah paket konfigurasi, CFCT memanggil pipeline kode untuk menjalankan tiga tahap.

  • Build Stage — memvalidasi konten paket konfigurasi menggunakan AWS CodeBuild.

  • SCP Stage — memanggil mesin status kebijakan kontrol layanan, yang memanggil AWS Organizations API untuk membuat. SCPs

  • AWS CloudFormation Tahap - memanggil mesin status set tumpukan untuk menyebarkan sumber daya yang ditentukan dalam daftar akun atau OUs, yang telah Anda berikan dalam file manifes.

Pada setiap tahap, pipeline kode memanggil fungsi stack set dan SCP step, yang menyebarkan set tumpukan kustom dan SCPs ke akun individual yang ditargetkan, atau ke seluruh unit organisasi.

Catatan

Untuk informasi rinci tentang menyesuaikan paket konfigurasi, lihat. Panduan kustomisasi CFCT

Alur kerja peristiwa siklus hidup AWS Control Tower

Saat akun baru dibuat di AWS Control Tower, peristiwa siklus hidup dapat memanggil alur kerja. AWS CodePipeline Anda dapat menyesuaikan paket konfigurasi melalui alur kerja ini, yang terdiri dari aturan EventBridge peristiwa Amazon, antrian Amazon Simple Queue Service (Amazon SQS) first-in first-out (FIFO), dan fungsi. AWS Lambda

Saat aturan EventBridge peristiwa Amazon mendeteksi peristiwa siklus hidup yang cocok, aturan tersebut meneruskan peristiwa tersebut ke antrean Amazon SQS FIFO, memanggil AWS Lambda fungsi, dan memanggil pipeline kode untuk melakukan penerapan hilir kumpulan tumpukan dan. SCPs