自定义 AWS Control Tower 登录区
AWS Control Tower 登录区的某些方面可以在控制台中进行配置,例如区域选择和可选控件。其他更改则可以通过自动化方式在控制台之外进行。
例如,您可以使用 AWS Control Tower 自定义项功能对登录区进行更广泛的自定义,该功能是一种 GitOps 风格的自定义框架,可以与 AWS CloudFormation 模板和 AWS Control Tower 生命周期事件协同工作。
Customizations for AWS Control Tower(CfCT)的优势
我们称为 Customizations for AWS Control Tower(CfCT)的功能包可帮助您为登录区创建自定义项,而且比在 AWS Control Tower 控制台中所能创建的自定义项更广泛。它提供 GitOps 风格的自动化流程。您可以重塑登录区以满足业务需求。
此基础设施即代码自定义流程将 AWS CloudFormation 模板与 AWS 服务控制策略(SCP)和 AWS Control Tower 生命周期事件集成在一起,因此您的资源部署将与登录区保持同步。例如,当您使用 Account Factory 创建新账户时,可以自动部署附加到该账户和 OU 的资源。
注意
与 Account Factory 和 AFT 不同的是,CfCT 并非专门用于创建新账户,而是通过部署您指定的资源来自定义登录区中的账户和 OU。
优势
-
扩展安全的自定义 AWS 环境 - 您可以更快地扩展您的多账户 AWS Control Tower 环境,并将 AWS 最佳实践整合到可重复的自定义工作流中。
-
实例化您的需求 - 您可以使用表达您的策略意图的 AWS CloudFormation 模板和服务控制策略,根据业务需求自定义 AWS Control Tower 登录区。
-
利用 AWS Control Tower 生命周期事件进一步实现自动化 - 生命周期事件允许您根据之前一系列事件的完成情况部署资源。可以依靠生命周期事件来帮助您将资源自动部署到账户和 OU。
-
扩展网络架构 - 您可以部署自定义的网络架构,以改善和保护连接,例如中转网关。
其他 CfCT 示例
-
有关 Customizations for AWS Control Tower(CfCT)的网络用例示例,请参阅 AWS 架构博客:Deploy consistent DNS with Service Catalog and AWS Control Tower customizations
。 -
有关 CfCT 和 Amazon GuardDuty
的具体示例,请参阅 GitHub 上的 aws-samples存储库。 -
有关 CfCT 的其他代码示例,请参阅
aws-samples存储库中的“AWS 安全参考架构”部分。其中许多示例都在名为 customizations_for_aws_control_tower的目录中包含示例manifest.yaml文件。
有关 AWS 安全参考架构的更多信息,请参阅“AWS Prescriptive Guidance”页面。
