此 AWS 解决方案实施有何用途?

AWS Control Tower 的自定义选项解决方案结合 AWS Control Tower 和其他可信的高可用性 AWS 服务,以帮助客户更加快速地使用 AWS 最佳实践设置安全的多账户 AWS 环境。部署此解决方案之前,您必须在账户中部署 AWS Control Tower 登录区。

您可以使用 AWS CloudFormation 模板和服务控制策略 (SCP),轻松地将自定义选项添加到您的 AWS Control Tower 登录区。您可以将自定义模板和策略部署到您组织内的各个账户和组织单元 (OU)。该解决方案与 AWS Control Tower 生命周期事件集成,以确保资源部署与您的登录区保持同步。例如,当使用 AWS Control Tower 账户工厂创建新账户时,该解决方案确保与账户的 OU 连接的所有资源均被自动部署。

AWS 解决方案实施概览

下图显示了您可以使用该解决方案实施指南和随附的 AWS CloudFormation 模板自动部署的架构。

AWS Control Tower 的自定义选项 | 架构图
 单击可放大

AWS Control Tower 的自定义选项解决方案架构

此解决方案包括您在部署了 AWS Control Tower 登录区的账户中部署的 AWS CloudFormation 模板。该模板会启动 AWS CodePipelineAWS CodeBuild 项目,AWS Step FunctionsAWS Lambda 函数,Amazon EventBridge 事件规则,AWS Simple Queue Service (Amazon SQS) 队列和包含示例配置包的 Amazon Simple Storage Service (Amazon S3) 存储桶。该解决方案还可以创建一个 AWS CodeCommit 存储库以包含示例配置包,而不是 Amazon S3 存储桶。

解决方案部署完成后,使用 Amazon S3 将自定义资源打包并上传到代码管道源中,并触发服务控制策略 (SCP) 状态机和 AWS CloudFormation StackSets 状态机,以部署组织单位 (OU) 级的 SCP 或 OU 和/或账户级的堆栈实例。

该解决方案将部署两个工作流:AWS CodePipeline 工作流和 AWS Control Tower 生命周期事件工作流。AWS CodePipeline 工作流将配置 AWS CodePipeline、AWS CodeBuild 项目及 AWS Step Functions 以在您的组织中编排 AWS CloudFormation StackSets 和 SCP 的管理。 在 AWS Control Tower 中创建新的托管账户后,AWS Control Tower 声明周期事件将触发 AWS CodePipeline 工作流。您可以使用由 Amazon EventBridge 事件规则、Amazon SQS 先进先出队列和 AWS Lambda 函数组成的该工作流自定义配置包。

AWS Control Tower 的自定义选项

版本 1.2.1
上次更新日期:2020 年 10 月
作者:AWS

预计部署时间:15 分钟

使用下面的按钮订阅解决方案更新。

注意:要订阅 RSS 更新,您必须为您正在使用的浏览器启用 RSS 插件。 

此解决方案实施是否能为您提供帮助?
提供反馈 

功能

自定义选项

使用包含的 AWS CloudFormation 模板和服务控制策略来轻松自定义 AWS Control Tower 登录区。

与 AWS Control Tower 生命周期事件集成

验证资源部署与客户的登录区保持同步,且与账户的组织单位连接的所有资源均被自动部署。

设置安全多账户 AWS 环境

利用 AWS Control Tower 和其他可信的高可用性 AWS 服务,以更加快速地使用 AWS 最佳实践设置安全的多账户 AWS 环境。

使用 AWS 解决方案解决:Control Tower 的自定义选项
构建图标
自己部署解决方案

浏览我们的 AWS 解决方案实施库,以获取常见架构问题的答案。

了解更多 
查找 APN 合作伙伴
查找 APN 合作伙伴

寻找 AWS 认证的咨询和技术合作伙伴,以帮助您入门。

了解更多 
探索图标
了解解决方案咨询服务

浏览我们的咨询服务组合,以获取经过 AWS 审查的解决方案部署帮助。

了解更多