아키텍처 개요

cFCT를 배포하면 클라우드에 다음과 같은 환경이 구축됩니다. AWS

그림 1: AWS 컨트롤 타워 아키텍처의 사용자 지정

CFCT에는 AWS Control Tower 관리 계정에 배포하는 AWS CloudFormation 템플릿이 포함되어 있습니다. 템플릿은 워크플로를 구축하는 데 필요한 모든 구성 요소를 실행하므로 AWS Control Tower 랜딩 존을 사용자 지정할 수 있습니다.

참고

CFCt는 AWS Control Tower 홈 지역 및 AWS Control Tower 관리 계정에 배포해야 합니다. AWS Control Tower 랜딩 존이 배포되는 곳이기 때문입니다. AWS Control Tower 랜딩 존 설정에 대한 자세한 내용은 을 참조하십시오AWS Control Tower 시작하기.

CFCt를 배포하면 Amazon 심플 스토리지 서비스 (Amazon S3) 를 통해 사용자 지정 리소스를 패키징하고 코드 파이프라인 소스에 업로드합니다. 업로드 프로세스는 SCP (서비스 제어 정책) 상태 머신과 상태 머신을 자동으로 호출하여 SCP를 OU 수준에서 배포하거나 OU 또는 계정 수준에서 스택 인스턴스를 배포합니다. AWS CloudFormation StackSets

참고

기본적으로 cFct는 Amazon S3 버킷을 생성하여 파이프라인 소스를 저장하지만 위치를 리포지토리로 변경할 수 있습니다. AWS CodeCommit 자세한 내용은 Amazon S3를 구성 소스로 설정을 참조하십시오.

cFct는 두 가지 워크플로를 배포합니다.

• AWS CodePipeline워크플로우

• 및 AWS Control Tower 수명 주기 이벤트 워크플로.

AWS CodePipeline 워크플로

AWS CodePipeline 워크플로는 조직 내 SCP를 구성하고 AWS CodePipelineAWS Step Functions, AWS CodeBuild프로젝트를 AWS CloudFormation StackSets 구성하고, 이를 오케스트레이션합니다.

구성 패키지를 업로드하면 CFCT는 코드 파이프라인을 호출하여 3단계를 실행합니다.

• 빌드 단계 — CodeBuild AWS를 사용하여 구성 패키지의 콘텐츠를 검증합니다.

• SCP 스테이지 — AWS Organizations API를 호출하여 SCP를 생성하는 서비스 제어 정책 상태 머신을 호출합니다.

• AWS CloudFormation Stage — 스택 세트 상태 머신을 호출하여 매니페스트 파일에 제공한 계정 또는 OU 목록에 지정된 리소스를 배포합니다.

각 단계에서 코드 파이프라인은 스택 세트 및 SCP 단계 함수를 호출하여 사용자 지정 스택 세트와 SCP를 대상 개별 계정이나 전체 조직 단위에 배포합니다.

참고

구성 패키지 사용자 지정에 대한 자세한 내용은 을 참조하십시오. cFCT 커스터마이징 가이드

AWS Control Tower 수명 주기 이벤트 워크플로

AWS Control Tower에서 새 계정을 생성하면 수명 주기 이벤트가 AWS CodePipeline 워크플로를 호출할 수 있습니다. Amazon EventBridge 이벤트 규칙, Amazon 심플 큐 서비스 (Amazon SQS) 선입선출 (FIFO) 대기열 및 함수로 구성된 이 워크플로를 통해 구성 패키지를 사용자 지정할 수 있습니다. AWS Lambda

Amazon EventBridge 이벤트 규칙은 일치하는 수명 주기 이벤트를 감지하면 이벤트를 Amazon SQS FIFO 대기열로 전달하고 함수를 호출하고 코드 파이프라인을 AWS Lambda 호출하여 스택 세트와 SCP의 다운스트림 배포를 수행합니다.