Panoramica dell'architettura

L'implementazione di cFCT crea il seguente ambiente nel cloud. AWS

Personalizzazioni per il diagramma dell'architettura AWS Control Tower

Figura 1: Personalizzazioni per l'architettura AWS Control Tower

cFct include un AWS CloudFormation modello da distribuire nel tuo account di gestione AWS Control Tower. Il modello avvia tutti i componenti necessari per creare i flussi di lavoro, in modo da poter personalizzare la landing zone di AWS Control Tower.

Nota

cFct deve essere distribuito nella regione principale di AWS Control Tower e nell'account di gestione AWS Control Tower, perché è lì che viene distribuita la landing zone di AWS Control Tower. Per informazioni sulla configurazione di una landing zone di AWS Control Tower, consultaGuida introduttiva a AWS Control Tower.

Durante la distribuzione, cFct impacchetta e carica le risorse personalizzate nel codice sorgente della pipeline, tramite Amazon Simple Storage Service (Amazon S3). Il processo di caricamento richiama automaticamente la macchina a stati delle politiche di controllo dei servizi (SCP) e la macchina a stati per distribuire gli AWS CloudFormation StackSetsSCP a livello di unità organizzativa o per distribuire istanze stack a livello di unità organizzativa o di account.

Nota

Per impostazione predefinita, cFct crea un bucket Amazon S3 per archiviare l'origine della pipeline, ma puoi modificare la posizione in un repository. AWS CodeCommit Per ulteriori informazioni, consulta Configurare Amazon S3 come origine di configurazione.

cFCT implementa due flussi di lavoro:

AWS CodePipelineun flusso di lavoro
e un flusso di lavoro relativo agli eventi del ciclo di vita di AWS Control Tower.

Il flusso di lavoro AWS CodePipeline

Il AWS CodePipeline flusso di lavoro configura AWS CodePipeline, AWS CodeBuildprogetta e AWS Step Functionscoordina la gestione degli SCP all' AWS CloudFormation StackSets interno dell'organizzazione.

Quando caricate il pacchetto di configurazione, cFct richiama la pipeline di codice per eseguire tre fasi.

Build Stage: convalida il contenuto del pacchetto di configurazione utilizzando AWS CodeBuild.
SCP Stage: richiama la macchina a stati della policy di controllo del servizio, che chiama l' AWS Organizations API per creare SCP.
AWS CloudFormation Stage: richiama lo stack set state machine per distribuire le risorse specificate nell'elenco di account o unità organizzative, che hai fornito nel file manifest.

In ogni fase, la pipeline di codice richiama le funzioni stack set e SCP step, che distribuiscono set di stack e SCP personalizzati ai singoli account interessati o a un'intera unità organizzativa.

Nota

Per informazioni dettagliate sulla personalizzazione del pacchetto di configurazione, fare riferimento a. Guida alla personalizzazione cFCT

Il flusso di lavoro degli eventi del ciclo di vita di AWS Control Tower

Quando viene creato un nuovo account in AWS Control Tower, un evento del ciclo di vita può richiamare il flusso di lavoro. AWS CodePipeline Puoi personalizzare il pacchetto di configurazione tramite questo flusso di lavoro, che consiste in una regola di EventBridge eventi Amazon, una coda FIFO (First-in First-Out) di Amazon Simple Queue Service (Amazon SQS) e una funzione. AWS Lambda

Quando la regola EventBridge degli eventi di Amazon rileva un evento del ciclo di vita corrispondente, passa l'evento alla coda FIFO di Amazon SQS, richiama la AWS Lambda funzione e richiama la pipeline di codice per eseguire la distribuzione a valle di set di stack e SCP.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Panoramica sulle personalizzazioni per AWS Control Tower (cFCT)

Costo