Visão geral da arquitetura - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral da arquitetura

A implantação do cFCT cria o seguinte ambiente na nuvem. AWS

Personalizações para o diagrama de arquitetura do AWS Control Tower

Figura 1: Personalizações para a arquitetura do AWS Control Tower

O cFct inclui um AWS CloudFormation modelo que você implanta na sua conta de gerenciamento do AWS Control Tower. O modelo inicia todos os componentes necessários para criar os fluxos de trabalho, para que você possa personalizar sua landing zone do AWS Control Tower.

Observação

O cFct deve ser implantado na região de origem da AWS Control Tower e na conta de gerenciamento da AWS Control Tower, porque é aí que sua landing zone da AWS Control Tower é implantada. Para obter informações sobre como configurar uma landing zone do AWS Control Tower, consulteComece a usar o AWS Control Tower.

Conforme você implanta o cFct, ele empacota e carrega os recursos personalizados na fonte do pipeline de código, por meio do Amazon Simple Storage Service (Amazon S3). O processo de upload invoca automaticamente a máquina de estado das políticas de controle de serviço (SCPs) e a máquina de AWS CloudFormation StackSetsestado para implantar as SCPs no nível da OU ou para implantar instâncias de pilha no nível da OU ou da conta.

Observação

Por padrão, o cFct cria um bucket do Amazon S3 para armazenar a fonte do pipeline, mas você pode alterar a localização para AWS CodeCommitum repositório. Para obter mais informações, consulte Configurar o Amazon S3 como fonte de configuração.

O cFct implanta dois fluxos de trabalho:

  • um AWS CodePipelinefluxo de trabalho

  • e um fluxo de trabalho de eventos do ciclo de vida do AWS Control Tower.

O AWS CodePipeline fluxo de trabalho

O AWS CodePipeline fluxo de trabalho configura AWS CodePipeline, AWS CodeBuildprojeta e AWS Step Functionsorquestra o gerenciamento AWS CloudFormation StackSets e os SCPs em sua organização.

Quando você carrega o pacote de configuração, o cFct invoca o pipeline de código para executar três estágios.

  • Build Stage — valida o conteúdo do pacote de configuração usando a AWS CodeBuild.

  • Estágio SCP — invoca a máquina de estado da política de controle de serviços, que chama a AWS Organizations API para criar SCPs.

  • AWS CloudFormation Stage — invoca a máquina de estado do conjunto de pilhas para implantar os recursos especificados na lista de contas ou OUs, que você forneceu no arquivo de manifesto.

Em cada estágio, o pipeline de código invoca o conjunto de pilhas e as funções de etapas do SCP, que implantam conjuntos de pilhas e SCPs personalizados nas contas individuais de destino ou em uma unidade organizacional inteira.

Observação

Para obter informações detalhadas sobre a personalização do pacote de configuração, consulte. Guia de personalização do cFct

O fluxo de trabalho do evento de ciclo de vida do AWS Control Tower

Quando uma nova conta é criada no AWS Control Tower, um evento de ciclo de vida pode invocar o fluxo de trabalho. AWS CodePipeline Você pode personalizar o pacote de configuração por meio desse fluxo de trabalho, que consiste em uma regra de EventBridge evento da Amazon, uma fila de primeiro a entrar, primeiro a sair (FIFO) do Amazon Simple Queue Service (Amazon SQS) e uma função. AWS Lambda

Quando a regra de eventos da Amazon detecta um EventBridge evento de ciclo de vida correspondente, ela passa o evento para a fila FIFO do Amazon SQS, invoca a AWS Lambda função e invoca o pipeline de código para realizar a implantação posterior de conjuntos de pilhas e SCPs.