组件服务 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

组件服务

部署时AFT,这些 AWS 服务中的每项服务都会将组件添加到您的 AWS 环境中。

  • AWSCont@@ rol Tower — AFT 使用AWS控制塔管理账户中的 Cont AWS rol Tower Account Factory 来配置账户。

  • Amazon DynamoDB AFT — 在管理账户中AFT创建亚马逊 DynamoDB 表,用于存储账户请求、账户更新的审计历史记录、账户元数据和 Control Tower 生命周期事件。AWSAFT还会创建 DynamoDB Lambda 触发器来启动下游流程,例如AFT启动账户配置工作流程。

  • Amazon Simple St orage Service — 在管理账户和 Control AWS Tower 日志存档账户中AFTAFT创建亚马逊简单存储服务 (S3) 存储桶,用于存储管道所需服务生成的AWS日志。AFTAFT还在主要和次要AWS区域中创建一个 Terraform 后端 S3 存储桶,用于存储在管道工作流程期间生成的 Terraform 状态。AFT

  • Amazon Sim ple Notification Service — 在AFT管理账户中AFT创建亚马逊简单通知服务 (SNS) 主题,管理账户在处理每个AFT账户请求后存储成功和失败通知。您可以使用您选择的协议来接收这些消息。

  • 亚马逊简单队列服务-在AFT管理账户中AFT创建亚马逊简单队列服务 (AmazonSQS) FIFO 队列。该队列允许您并行提交多个账户请求,但它一次只能向 Cont AWS rol Tower Account Factory 发送一个请求进行顺序处理。

  • AWS CodeBuild— 在AFT管理账户中AFT创建AWS CodeBuild 构建项目,以便在各个生成阶段初始化、编译、测试和应用AFT源代码的 Terraform 计划。

  • AWS CodePipeline— 在AFT管理账户中AFT创建AWS CodePipeline 管道,以便与所选的、支持的AFT源代码AWS CodeStar 连接提供程序集成,并在中触发构建作业AWS CodeBuild。

  • AWSLamb AFT d a — 在AFT管理账户中创建 AWS Lambda 函数和层,以便在账户请求、账户配置和AFT账户自定义过程中执行步骤。

  • AWSSystems Manager 参数存储 — 在AFT管理账户中AFT设置 S AWS ystems Manager 参数存储,以存储AFT管道进程所需的配置参数。

  • 亚马逊 CloudWatch — 在AFT管理账户中AFT创建亚马逊 CloudWatch 日志组,以存储AFT管道使用的AWS服务生成的日志。 CloudWatch 日志的保留期设置为Never Expire

  • 亚马逊 VPC — AFT 创建 Amazon Virtual Private Cloud (VPC),将AFT管理账户中的服务和资源隔离到单独的网络环境中,从而增强安全性。

  • AWSKMS— 在管理账户和 Cont AWS rol Tower 日志存档账户中AFT使用AWS密钥AFT管理服务 (KMS)。AFT创建密钥来加密 Terraform 状态、存储在 DynamoDB 表中的数据和主题。SNS这些日志和项目是在部署AWS资源和服务时生成的AFT。KMS默认情况下AFT,由创建的密钥会启用年度轮换。

  • AWS Ident@@ ity and Access Management (IAM) — AFT 遵循推荐的最低权限模型。它根据需要在管理账户、Cont AWS rol Tower 账户和AFT预配置账户中创建 Ident AWS ity and Access Man AFT agement (IAM) 角色和策略,以执行AFT管道工作流程期间所需的操作。

  • AWS Step Fun c AFT tions — 在AFT管理账户中创建 AWS Step Functions 状态机。这些状态机协调和自动化AFT账户配置框架和自定义的流程和步骤。

  • 亚马逊 EventBridge — 在AFT和 Cont AWS rol Tower 管理账户中AFT创建亚马逊 EventBridge事件总线,用于在管理账户的 DynamoDB 表中长期捕获和存储AWS控制塔生命周期事件。AFTAFT在管理账户和 Cont AWS rol Tower AFT 管理账户中创建 Amazon CloudWatch 事件规则,这些规则会触发AFT管道工作流程运行期间所需的多个步骤

  • AWS CloudTrail (可选)— 启用此功能后,将在 Cont AWS rol Tower 管理账户中AFT创建 AWS CloudTrail 组织跟踪,用于记录 Amazon S3 存储桶和 Lamb AWS da 函数的数据事件。AFT将这些日志发送到 Cont AWS rol Tower 日志存档账户中的中央 S3 存储桶。

  • AWS Su@@ pport(可选)— 启用此功能后,AFT将为由AFT配置的账户开启 AWS 企业支持计划。默认情况下,创建 AWS 账户时会启用 B AWS asic Support 计划。