將 Amazon S3 設置為組態來源 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 Amazon S3 設置為組態來源

當您為 AWS Control Tower 設定自訂時,它會在 Amazon Simple Storage Service (Amazon S3) 儲存貯體中存放一個名為_custom-control-tower-configuration.zip檔案的初始組態檔案custom-control-tower-configuration-account-ID-region

注意

如果您選擇下載並修改此檔案,請記得壓縮變更、儲存為名為的新檔案custom-control-tower-configuration.zip,然後將其上傳回相同的 Amazon S3 儲存貯體。

Amazon S3 儲存貯體是管道的預設來源。設定預設設定後,將檔案名稱中不含底線前置詞的組態 zip 檔案上傳至 S3 儲存貯體,將會自動啟動管道。

zip 檔案受到伺服器端加密 (SSE) 與 AWS Key Management Service (AWS KMS) 保護,並拒絕使用 KMS 金鑰。若要存取 zip 檔案,您必須更新 KMS 金鑰原則,以指定應授與存取權的角色。角色可以是系統管理員角色、使用者或兩者。請遵循以下程序:

  1. 導覽至 AWS Key Management Service 主控台

  2. 客戶管理的金鑰中,選取 CustomControlTowerKMSKey

  3. 選取金鑰原則索引標籤。然後,選取「編輯」。

  4. 在 [編輯金鑰原則] 頁面中,找到程式碼中的 [允許使用金鑰] 區段,然後新增下列其中一個權限:

    • 若要新增管理角色:

      arn:aws:iam::<account-ID>:role/<administrator-role>

    • 若要新增使用者:

      arn:aws:iam::<account-ID>:user/<username>

  5. 選取 Save Changes (儲存變更)。

  6. 導覽至 Amazon S3 主控台,尋找包含組態壓縮檔案的 S3 儲存貯體,然後選取下載。

  7. 對資訊清單檔案和範本檔案進行必要的組態變更。如需有關自訂資訊清單和範本檔案的資訊,請參閱CFCT 定制指南

  8. 上傳您的變更:

    1. 壓縮修改後的組態檔案,並將檔案命名為:custom-control-tower-configuration.zip

    2. 使用具有 AWS KMS 主金鑰的 SSE 將檔案上傳到 Amazon S3:。CustomControlTowerKMSKey