将 Amazon S3 设置为配资源 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon S3 设置为配资源

设置 AWS Control Tower 自定义项时,它会在一个名为 custom-control-tower-configuration-account-ID-region 的 Amazon Simple Storage Service(Amazon S3)存储桶中存储一个初始配置文件,该文件名为 _custom-control-tower-configuration.zip

注意

如果您选择下载并修改此文件,请记得将更改内容压缩,另存为名为 custom-control-tower-configuration.zip 的新文件,然后将其上传回同一个 Amazon S3 存储桶。

Amazon S3 存储桶是管道的默认源。完成默认设置后,在将文件名中不带下划线前缀的 zip 配置文件上传到 S3 存储桶时,将自动启动管道。

该 zip 文件受采用 AWS Key Management Service(AWS KMS)的服务器端加密(SSE)以及对 KMS 密钥的禁用措施的保护。要访问该 zip 文件,必须更新 KMS 密钥策略以指定应被授予访问权限的角色。该角色可以是管理员、用户或两者兼而有之。请按照以下过程操作:

  1. 导航至 AWS Key Management Service 控制台

  2. 客户托管密钥中,选择 CustomControlTowerKMSKey

  3. 选择密钥策略选项卡。然后,选择编辑

  4. 编辑密钥策略页面中,找到代码中的 Allow Use of the key 部分,然后添加以下权限之一:

    • 添加管理角色:

      arn:aws:iam::<account-ID>:role/<administrator-role>

    • 添加用户:

      arn:aws:iam::<account-ID>:user/<username>

  5. 选择保存更改

  6. 导航到 Amazon S3 控制台,找到包含 zip 配置文件的 S3 存储桶,然后选择“下载”。

  7. 对清单文件和模板文件进行必要的配置更改。有关自定义清单和模板文件的信息,请参阅 CfCT 自定义指南

  8. 上传更改:

    1. 压缩修改后的配置文件,并将文件命名为:custom-control-tower-configuration.zip

    2. 使用带有 AWS KMS 主密钥(CustomControlTowerKMSKey)的 SSE,将该文件上传到 Amazon S3。