本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 Amazon S3 设置为配资源
<a name="cfct-s3-source"></a>

设置 *AWS Control Tower 自定义项*时，它会在一个名为 `custom-control-tower-configuration-{{account-ID}}-{{region}}` 的 Amazon Simple Storage Service（Amazon S3）存储桶中存储一个初始配置文件，该文件名为 `_custom-control-tower-configuration.zip`。

**注意**  
如果您选择下载并修改此文件，请记得将更改内容压缩，另存为名为 `custom-control-tower-configuration.zip` 的新文件，然后将其上传回同一个 Amazon S3 存储桶。  
Amazon S3 存储桶是管道的默认源。完成默认设置后，在将文件名中不带下划线前缀的 zip 配置文件上传到 S3 存储桶时，将自动启动管道。

该 zip 文件受采用 AWS Key Management Service（AWS KMS）的[服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html)（SSE）以及对 KMS 密钥的[禁用](https://docs.aws.amazon.com/kms/latest/developerguide/determining-access.html)措施的保护。要访问该 zip 文件，必须更新 KMS 密钥策略以指定应被授予访问权限的角色。该角色可以是管理员、用户或两者兼而有之。请按照以下过程操作：

1. 导航至 [AWS Key Management Service 控制台](https://console.aws.amazon.com/kms/home)。

1. 在**客户托管密钥**中，选择 **CustomControlTowerKMSKey**。

1. 选择**密钥策略**选项卡。然后，选择**编辑**。

1. 在**编辑密钥策略**页面中，找到代码中的 **Allow Use of the key** 部分，然后添加以下权限之一：
   + 添加管理角色：

     `arn:aws:iam::{{<account-ID>}}:role/{{<administrator-role>}}`
   + 添加用户：

     `arn:aws:iam::{{<account-ID>}}:user/{{<username>}}`

1. 选择**保存更改**。

1. 导航到 [Amazon S3 控制台](https://console.aws.amazon.com/s3/home)，找到包含 zip 配置文件的 S3 存储桶，然后选择“下载”。

1. 对清单文件和模板文件进行必要的配置更改。有关自定义清单和模板文件的信息，请参阅 [CfCT 自定义指南](cfct-customizations-dev-guide.md)。

1. 上传更改：

   1. 压缩修改后的配置文件，并将文件命名为：`custom-control-tower-configuration.zip`。

   1. 使用带有 AWS KMS 主密钥（`CustomControlTowerKMSKey`）的 SSE，将该文件上传到 Amazon S3。