Gambaran umum arsitektur - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gambaran umum arsitektur

Menerapkan CFCT membangun lingkungan berikut di AWS Cloud, dengan bucket Amazon S3 sebagai sumber konfigurasi.

Kustomisasi untuk diagram arsitektur AWS Control Tower

Gambar 1: Kustomisasi untuk arsitektur AWS Control Tower

CFCT menyertakan AWS CloudFormation template yang Anda gunakan di akun manajemen AWS Control Tower Anda. Template meluncurkan semua komponen yang diperlukan untuk membangun alur kerja, sehingga Anda dapat menyesuaikan landing zone AWS Control Tower Anda.

Catatan

CFCT harus digunakan di Wilayah rumah AWS Control Tower dan di akun manajemen AWS Control Tower, karena di situlah zona pendaratan AWS Control Tower Anda ditempatkan. Untuk informasi tentang pengaturan zona landing AWS Control Tower, lihatMemulai AWS Control Tower.

Saat Anda menerapkan CFCT, ia mengemas dan mengunggah sumber daya khusus ke sumber pipeline kode, melalui Amazon Simple Storage Service (Amazon S3). Proses upload secara otomatis memanggil mesin status kebijakan kontrol layanan (SCPs) dan mesin AWS CloudFormation StackSetsstatus untuk menerapkan SCPs di tingkat OU, atau untuk menerapkan instance tumpukan di tingkat OU atau akun.

Catatan

Secara default, CFCT membuat bucket Amazon S3 untuk menyimpan sumber pipeline. Jika Anda memiliki AWS CodeCommit repositori yang ada, Anda dapat mengubah lokasi ke repositori. CodeCommit Untuk informasi selengkapnya, lihat Mengatur Amazon S3 sebagai sumber konfigurasi.

CFCT menyebarkan dua alur kerja:

  • AWS CodePipelinealur kerja

  • dan alur kerja peristiwa siklus hidup AWS Control Tower.

AWS CodePipeline Alur kerja

AWS CodePipeline Alur kerja mengkonfigurasi AWS CodePipeline, AWS CodeBuildmemproyeksikan, dan AWS Step Functionsyang mengatur pengelolaan dan di organisasi Anda. AWS CloudFormation StackSets SCPs

Saat Anda mengunggah paket konfigurasi, CFCT memanggil pipeline kode untuk menjalankan tiga tahap.

  • Build Stage - memvalidasi isi paket konfigurasi menggunakan AWS CodeBuild.

  • SCPTahap — memanggil mesin status kebijakan kontrol layanan, yang memanggil AWS Organizations API untuk membuatSCPs.

  • AWS CloudFormation Tahap - memanggil mesin status set tumpukan untuk menyebarkan sumber daya yang ditentukan dalam daftar akun atauOUs, yang telah Anda berikan dalam file manifes.

Pada setiap tahap, pipeline kode memanggil fungsi stack set dan SCP step, yang menyebarkan kumpulan tumpukan khusus dan SCPs ke akun individual yang ditargetkan, atau ke seluruh unit organisasi.

Catatan

Untuk informasi rinci tentang menyesuaikan paket konfigurasi, lihat. Panduan kustomisasi CFCT

AWSAlur kerja acara siklus hidup Control Tower

Ketika akun baru dibuat di AWS Control Tower, peristiwa siklus hidup dapat memanggil alur kerja. AWS CodePipeline Anda dapat menyesuaikan paket konfigurasi melalui alur kerja ini, yang terdiri dari aturan EventBridge peristiwa Amazon, antrean Amazon Simple Queue Service (AmazonSQS) first-in first-in first-out (FIFO), dan fungsi. AWS Lambda

Saat aturan EventBridge peristiwa Amazon mendeteksi peristiwa siklus hidup yang cocok, aturan tersebut meneruskan peristiwa ke SQS FIFO antrian Amazon, memanggil AWS Lambda fungsi, dan memanggil pipeline kode untuk melakukan penerapan hilir set tumpukan dan. SCPs