組件服務 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

組件服務

當您部署 AFT 時,元件會從這些 AWS 服務新增至您的 AWS 環境中。

  • AWS Control Tower — AFT 使用 AWS Control Tower 管理帳戶中的 AWS Control Tower Account Factory 佈建帳戶。

  • Amazon DynamoDB — AFT 會在後端管理帳戶中建立 Amazon DynamoDB 表格,用於存放帳戶請求、帳戶更新的稽核歷史記錄、帳戶中繼資料和 AWS Control Tower 生命週期事件。AFT 也會建立 DynamoDB Lambda 觸發程序來啟動下游程序,例如啟動 AFT 帳戶佈建工作流程。

  • 亞馬遜簡單儲存服務 — AFT 在 AFT 管理帳戶和 AWS Control Tower 日誌存檔帳戶中建立 Amazon 簡易儲存服務 (S3) 儲存貯體,這些帳戶會存放由 AFT 管道所需的 AWS 服務產生的日誌。AFT 也會在主要和次要 AWS 區域建立 Terraform 後端 S3 儲存貯體,以存放在 AFT 管道工作流程期間產生的 Terraform 狀態。

  • Amazon 簡易通知服務 — AFT 會在 AFT 管理帳戶中建立 Amazon Simple Notification Service (SNS) 主題,該主題會在處理每個 AFT 帳戶請求後儲存成功和失敗通知。您可以使用您選擇的協議收到這些消息。

  • Amazon 簡單排隊服務 — AFT 在 AFT 管理帳戶中創建一個 Amazon 簡單排隊服務(Amazon SQS)FIFO 隊列。佇列可讓您 parallel 提交多個帳戶請求,但會一次傳送一個請求至 AWS Control Tower Account Factory,以進行順序處理。

  • AWS CodeBuild — AFT 在 AFT 管理帳戶中 CodeBuild 建立 AWS 建置專案,以便在各個建置階段針對 AFT 原始程式碼初始化、編譯、測試和套用 Terraform 計劃。

  • AWS CodePipeline — AFT 在 AFT 管理帳戶中建立 AWS 管 CodePipeline 道,以與您選定且受支援的 AWS CodeStar 連線供應商整合 AFT 原始程式碼,並在 AWS 中觸發建置任務。 CodeBuild

  • AWS Lambda — AFT 會在後端管理帳戶中建立 AWS Lambda 函數和層,以便在帳戶請求、AFT 帳戶佈建和帳戶自訂程序期間執行步驟。

  • AWS Systems Manager Parameter Store — AFT 在 AFT 管理帳戶中設定 AWS Systems Manager Parameter Store,以存放 AFT 管道程序所需的組態參數。

  • Amazon CloudWatch — AFT 在 AFT 管理帳戶中建立 Amazon 日 CloudWatch 誌群組,以存放 AFT 管道使用的 AWS 服務所產生的日誌。 CloudWatch 記錄檔的保留期間設定為Never Expire

  • Amazon VPC — AFT 建立 Amazon Virtual Private Cloud (VPC),將 AFT 管理帳戶中的服務和資源隔離到單獨的網路環境中,以增強安全性。

  • AWS KMS — AFT 在 AFT 管理帳戶和 AWS Control Tower 日誌存檔帳戶中使用 AWS Key Management Service (KMS) (KMS)。AFT 會建立金鑰來加密地形狀態、DynamoDB 資料表中儲存的資料,以及 SNS 主題。AFT 部署 AWS 資源和服務時,會產生這些日誌和成品。AFT 建立的 KMS 金鑰預設會啟用每年輪替。

  • AWS Identity and Access Management (IAM) — AFT 遵循建議的最低權限模型。它會在 AFT 管理帳戶、AWS Control Tower 帳戶和 AFT 佈建帳戶中建立 AWS Identity and Access Management (IAM) 角色和政策,視需要在 AFT 管道工作流程期間執行所需的動作。

  • AWS Step Functions — AFT 會在 AFT 管理帳戶中建立 AWS Step Functions 狀態機器。這些狀態機器可協調並自動化 AFT 帳戶佈建架構和自訂的程序和步驟。

  • Amazon EventBridge — AFT 在 AFT 和 AWS Control Tower 管理帳戶中建立 Amazon EventBridge 事件匯流排,以便在後端管理帳戶的 DynamoDB 表中長期擷取和存放 AWS Control Tower 生命週期事件。AFT 會在 AFT 管理和 AWS 控制塔管理帳戶中建立 AWS CloudWatch 事件規則,這會觸發執行 AFT 管道工作流程期間所需的多個步驟

  • AWS CloudTrail (選用) — 啟用此功能時,AFT 會在 AWS 控制塔管理帳戶中建立 AWS CloudTrail 組織追蹤,以記錄 Amazon S3 儲存貯體和 AWS Lambda 函數的資料事件。AFT 會將這些日誌傳送到 AWS Control Tower 日誌存檔帳戶中的中央 S3 儲存貯體。

  • AWS Support (選用) — 啟用此功能時,AFT 會為 AFT 佈建的帳戶開啟 AWS 企業 Support 計劃。根據預設,AWS 帳戶是在啟用 AWS 基本 Support 計劃的情況下建立的。