아키텍처 개요

CfCT를 배포하면 Amazon S3 버킷을 구성 소스로 사용하여 AWS 클라우드에 다음 환경이 빌드됩니다.

그림 1: Customizations for AWS Control Tower 아키텍처

CfCT에는 AWS Control Tower 관리 계정에 배포하는 AWS CloudFormation 템플릿이 포함되어 있습니다. 이 템플릿은 워크플로를 구축하는 데 필요한 모든 구성 요소를 시작하므로 AWS Control Tower 랜딩 존을 사용자 지정할 수 있습니다.

Note

CfCT는 AWS Control Tower 홈 리전과 AWS Control Tower 관리 계정에 배포해야 합니다. 여기에 AWS Control Tower 랜딩 존이 배포되기 때문입니다. AWS Control Tower 랜딩 존 설정에 대한 자세한 내용은 AWS Control Tower 시작하기 섹션을 참조하세요.

CfCT를 배포하면 Amazon Simple Storage Service(Amazon S3)를 통해 사용자 지정 리소스가 패키징되고 코드 파이프라인 소스에 업로드됩니다. 업로드 프로세스는 서비스 제어 정책(SCP) 상태 시스템 및 AWS CloudFormation StackSets 상태 시스템을 자동으로 호출하여 OU 수준에서 SCP를 배포하거나 OU 또는 계정 수준에서 스택 인스턴스를 배포합니다.

Note

기본적으로 CfCT는 파이프라인 소스를 저장할 Amazon S3 버킷을 생성합니다. 기존 AWS CodeCommit 리포지토리가 있는 경우 위치를 CodeCommit 리포지토리로 변경할 수 있습니다. 자세한 내용은 구성 소스로 Amazon S3 설정을 참조하세요.

CfCT는 두 가지 워크플로를 배포합니다.

• AWS CodePipeline 워크플로

• 및 AWS Control Tower 수명 주기 이벤트 워크플로.

AWS CodePipeline 워크플로

AWS CodePipeline 워크플로는 조직의 AWS CloudFormation StackSets 및 SCP 관리를 오케스트레이션AWS Step Functions하는 , AWS CodePipelineAWS CodeBuild 프로젝트 및를 구성합니다. SCPs

구성 패키지를 업로드하면 CfCT에서 코드 파이프라인을 호출하여 다음과 같은 3개 스테이지를 실행합니다.

• 빌드 스테이지 - AWS CodeBuild를 사용하여 구성 패키지의 내용을 검증합니다.

• SCP 단계 - API를 호출 AWS Organizations 하여 SCPs.

• AWS CloudFormation 단계 - 스택 세트 상태 시스템을 호출하여 매니페스트 파일에 제공한 계정 또는 OUs 목록에 지정된 리소스를 배포합니다.

각 스테이지에서 코드 파이프라인은 스택 세트 및 SCP Step Functions를 호출하여 사용자 지정 스택 세트와 SCP를 대상 개별 계정 또는 전체 조직 단위에 배포합니다.

Note

구성 패키지 사용자 지정에 대한 자세한 내용은 CfCT 사용자 지정 가이드 섹션을 참조하세요.

AWS Control Tower 수명 주기 이벤트 워크플로

AWS Control Tower에서 새 계정이 생성되면 수명 주기 이벤트가 AWS CodePipeline 워크플로를 호출할 수 있습니다. Amazon EventBridge 이벤트 규칙, Amazon Simple Queue Service(Amazon SQS) 선입선출(FIFO) 대기열 및 AWS Lambda 함수로 구성된 이 워크플로를 통해 구성 패키지를 사용자 지정할 수 있습니다.

Amazon EventBridge 이벤트 규칙은 일치하는 수명 주기 이벤트를 감지하면 이벤트를 Amazon SQS FIFO 대기열에 전달하고, AWS Lambda 함수를 호출하고, 코드 파이프라인을 호출하여 스택 세트 및 SCPs의 다운스트림 배포를 수행합니다.