아키텍처 개요

CFCT를 배포하면 다음 환경이 빌드됩니다.AWS클라우드.

그림 1: AWS Control Tower 아키텍처의 사용자 지정

CFCT에는 다음이 포함됩니다.AWS CloudFormationAWS Control Tower 관리 계정에 배포하는 템플릿입니다. 이 템플릿은 워크플로 구축에 필요한 모든 구성 요소를 시작하므로 AWS Control Tower landing zone 사용자 지정할 수 있습니다.

참고

CFCT는 AWS Control Tower 홈 리전 및 AWS Control Tower 관리 계정에 배포되어야 합니다. 이는 AWS Control Tower landing zone 존이 배포되기 때문입니다. AWS Control Tower landing zone 설정에 대한 자세한 내용은 을 참조하십시오.AWS Control Tower 시작하기.

CFCT를 배포할 때 사용자 지정 리소스를 패키지 및 코드 파이프라인 소스에 업로드합니다.Amazon Simple Storage Service(Amazon S3). 업로드 프로세스는 서비스 제어 정책 (SCP) 상태 머신을 자동으로 호출합니다.AWS CloudFormation StackSets상태 머신은 OU 수준에서 SCP를 배포하거나 OU 또는 계정 수준에서 스택 인스턴스를 배포합니다.

참고

기본적으로 CFCT는 파이프라인 소스를 저장하기 위해 Amazon S3 버킷을 생성하지만 위치를AWS CodeCommit리포지토리 자세한 정보는 단원을 참조하십시오.Amazon S3 구성 소스로 설정.

CFCT는 두 가지 워크플로우를 배포합니다.

• aAWS CodePipeline작업흐름

• 및 AWS Control Tower 수명 주기 이벤트 워크플로우입니다.

이AWS CodePipeline작업흐름

이AWS CodePipeline워크플로 구성AWS CodePipeline,AWS CodeBuild및 프로젝트AWS Step Functions관리를 오케스트레이션하는AWS CloudFormation StackSets그리고 조직의 SCP를 사용할 수 있습니다.

구성 패키지를 업로드하면 CFCT가 코드 파이프라인을 호출하여 세 단계를 실행합니다.

• 빌드 단계— AWS를 사용하여 구성 패키지의 내용을 검증합니다.CodeBuild.

• SCP 스테이지— 를 호출하는 서비스 제어 정책 상태 머신을 호출합니다.AWS OrganizationsSCP를 생성하는 API입니다.

• AWSCloudFormationStage— 스택 세트 상태 머신을 호출하여 에서 제공한 계정 또는 OU 목록에 지정된 리소스를 배포합니다.매니페스트 파일.

각 단계에서 코드 파이프라인은 스택 집합 및 SCP 단계 함수를 호출하여 사용자 지정 스택 세트와 SCP를 타깃팅된 개별 계정 또는 전체 조직 단위에 배포합니다.

참고

구성 패키지 사용자 지정에 대한 자세한 내용은CFCT 사용자 지정 가이드.

AWS Control Tower 수명 주기 이벤트 워크플로

AWS Control Tower 타워에서 새 계정이 생성되면수명 주기 이벤트를 호출할 수 있습니다.AWS CodePipeline워크플로. 이 워크플로우를 통해 구성 패키지를 사용자 정의할 수 있습니다.아마존EventBridge이벤트 규칙,Amazon Simple Queue Service(Amazon SQS) 선입선출 (FIFO) 대기열 및AWS Lambda함수.

아마존 때EventBridge이벤트 규칙은 일치하는 수명 주기 이벤트를 감지하고 이벤트를 Amazon SQS FIFO 대기열로 전달하고AWS Lambda코드 파이프라인을 호출하여 스택 세트 및 SCP의 다운스트림 배포를 수행합니다.