Serviços de componentes - AWS Control Tower
AWS CodeCommitAWS CodePipelineAWS Key Management ServiceAWS LambdaAmazon Simple Notification ServiceAmazon Simple Storage ServiceAmazon Simple Queue ServiceAWS Step FunctionsAWS Armazenamento de parâmetros do Systems Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Serviços de componentes

Os AWS serviços a seguir são componentes das personalizações do AWS Control Tower (cFct).

AWS CodeCommit

Se você tiver um AWS CodeCommit repositório existente, poderá configurá-lo como uma fonte para seu pipeline, como alternativa ao Amazon S3.

Com base na sua entrada no AWS CloudFormation modelo, o cFct pode criar um AWS CodeCommitrepositório com o mesmo exemplo de configuração explicado na seção Amazon Simple Storage Service.

Para clonar o AWS CodeCommit repositório cFCT em seu computador local, você deve criar credenciais que forneçam acesso temporário ao repositório, conforme explicado no Guia do usuário.AWS CodeCommit Consulte informações sobre compatibilidade de versões em Setting up for AWS CodeCommit.

nota

Se você ainda não usa CodeCommit, sua única opção é configurar o bucket do Amazon S3 como o local de armazenamento do seu pacote de configuração. CodeCommit não está disponível se você estiver implantando o cFCT pela primeira vez.

AWS CodePipeline

AWS CodePipeline valida, testa e implementa alterações com base nas atualizações do pacote de configuração, que você fará no bucket padrão do Amazon S3 ou no repositório. AWS CodeCommit Consulte mais informações sobre o controle da fonte de configuração em Usar o Amazon S3 como fonte de configuração. O pipeline inclui estágios para validar e gerenciar os arquivos e modelos de configuração, contas principais, políticas AWS Organizations de controle de serviços e. AWS CloudFormation StackSets Consulte mais informações sobre os estágios do pipeline em Guia de personalização do CfCT.

AWS Key Management Service

O CfCT cria uma chave de criptografia CustomControlTowerKMSKey do AWS Key Management Service (AWS KMS). Essa chave é usada para criptografar objetos no bucket de configuração do Amazon S3, na fila do Amazon SQS e em parâmetros confidenciais no repositório de parâmetros do AWS Systems Manager. Por padrão, somente perfis provisionados pelo CfCT têm permissão para realizar operações de criptografia ou descriptografia com essa chave. Para acessar o arquivo de configuração, a fila FIFO ou os valores SecureString do Parameter Store, os administradores devem ser adicionados à política CustomControlTowerKMSKey. A rotação automática de chaves está habilitada por padrão.

AWS Lambda

O cFct usa AWS Lambda funções para invocar os componentes de instalação durante a instalação e implantação iniciais AWS CloudFormation StackSets ou AWS Organizations SCPs durante um evento de ciclo de vida do AWS Control Tower.

Amazon Simple Notification Service

O CfCT pode publicar notificações, como aprovação de pipeline para tópicos do Amazon Simple Notification Service (Amazon SNS) durante o fluxo de trabalho. O Amazon SNS é lançado somente quando você escolhe receber notificações de aprovação do pipeline.

Amazon Simple Storage Service

Quando você implanta o CfCT, ele cria um bucket do Amazon Simple Storage Service (Amazon S3) com um nome exclusivo:

Exemplo: o nome do bucket do Amazon S3

custom-control-tower-configuration-accountID-region

O bucket contém um arquivo de amostra de configuração chamado _custom-control-tower-configuration.zip

Observe o sublinhado inicial no nome do arquivo.

Esse arquivo zip fornece um exemplo de manifesto e os modelos de amostra relacionados que descrevem a estrutura de pastas necessária. Esses exemplos ajudam você a desenvolver um pacote de configuração para personalizar sua zona de pouso do AWS Control Tower. O exemplo de manifesto identifica as configurações necessárias para conjuntos de pilhas e políticas de controle de serviço (SCPs) que você precisará ao implementar suas personalizações.

Você pode usar esse pacote de configuração de amostra como modelo para desenvolver e carregar seu pacote personalizado, que aciona o pipeline de configuração do CfCT automaticamente.

Consulte informações sobre a personalização do arquivo de configuração em Guia de personalização do CfCT.

Amazon Simple Queue Service

O cFct usa uma fila FIFO do Amazon Simple Queue Service (Amazon SQS) para capturar eventos de ciclo de vida da Amazon. EventBridge Ele aciona uma AWS Lambda função, que invoca AWS CodePipeline para implantar ou. AWS CloudFormation StackSets SCPs Para obter mais informações sobre SCPs, consulte AWS Organizations.

AWS Step Functions

O CfCT cria Step Functions para orquestrar implantações de personalização. Essas Step Functions convertem arquivos de configuração para implantar as personalizações conforme necessário em todos os ambientes.

AWS Armazenamento de parâmetros do Systems Manager

O AWS Systems Manager Parameter Store armazena os parâmetros de configuração do CfCT. Esses parâmetros permitem que você integre modelos de configuração relacionados. Por exemplo, você pode configurar cada conta para registrar AWS CloudTrail dados em um bucket centralizado do Amazon S3. Além disso, o Systems Manager Parameter Store fornece um local centralizado onde os administradores podem visualizar as entradas e os parâmetros do CfCT.