Die Manifestdatei wird erstellt Verwenden der CreateLandingZone API Was hat sich in landing zone Version 4.0 geändert

Schritt 2: Starten Sie Ihre landing zone mit dem AWS Control Tower APIs

Sie können AWS Control Tower verwenden APIs , um Ihre landing zone zu starten. In diesem Abschnitt wird beschrieben, wie Sie die erforderliche Landingzone-Manifestdatei erstellen und sie mit dem CreateLandingZone API-Vorgang verwenden.

Die Manifestdatei wird erstellt

Die Manifestdatei ist ein JSON-Dokument, das Ihre Landezonenkonfiguration spezifiziert. Mit landing zone Version 4.0 sind viele Komponenten jetzt optional, was einen flexibleren Einsatz ermöglicht.

Manifeste Struktur

Im Folgenden finden Sie die vollständige Struktur der Manifestdatei mit allen verfügbaren Konfigurationen:



{
    "accessManagement": {
        "enabled": true    // Required - Controls IAM Identity Center integration
    },
    "backup": {
        "enabled": true,   // Required - Controls AWS Backup integration
        "configurations": {
            "backupAdmin": {
                "accountId": "111122223333"    // Backup administrator account
            },
            "centralBackup": {
                "accountId": "111122224444"    // Central backup account
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "centralizedLogging": {
        "accountId": "111122225555",    // Log archive account
        "enabled": true,                // Required - Controls centralized logging
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "config": {
        "accountId": "111122226666",    // Config aggregator account
        "enabled": true,                // Required - Controls AWS Config integration
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "governedRegions": [               // Optional - List of regions to govern
        "us-east-1",
        "us-west-2"
    ],
    "securityRoles": {
        "enabled": true,               // Required - Controls security roles creation
        "accountId": ""111122226666"    // Security/Audit account
    }
}

Wichtige Hinweise

Alle enabled Flags sind im Manifest erforderlich.
Wenn Sie die AWS Config-Integration ("config.enabled": false) deaktivieren, müssen Sie auch die folgenden Integrationen deaktivieren:
- Sicherheitsrollen () "securityRoles.enabled": false
- Zugriffsverwaltung ("accessManagement.enabled": false)
- Backup ("backup.enabled": false)
Das Konto IDs muss ein gültiges 12-stelliges AWS Konto IDs sein.
Der KMS-Schlüssel ARNs muss ein gültiger AWS KMS Schlüssel ARNs sein.
Die Aufbewahrungszeit muss mindestens 1 Tage betragen.

Verwenden der CreateLandingZone API

So erstellen Sie Ihre landing zone mithilfe der API:



                    aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json

Die API gibt eine Betriebs-ID für die landing zone zurück, mit der Sie den Fortschritt der Erstellung Ihrer landing zone verfolgen können. Beispielantwort:



{
    "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
    "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}

Sie können den Betriebsstatus mithilfe der GetLandingZoneOperation API überwachen, die einen Status von SUCCEEDEDFAILED, oder zurückgibtIN_PROGRESS:



                    aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"

Was hat sich in landing zone Version 4.0 geändert

Wichtige Änderungen an der Manifeststruktur und den Anforderungen:

Struktur der Organisation
- organizationStructureDie Definition wurde aus dem Manifest entfernt
- Kunden können jetzt ihre eigene Organisationsstruktur definieren
- Einzige Voraussetzung: Serviceintegrationskonten müssen sich in derselben Organisationseinheit direkt unter Root befinden
Flags aktiviert
- Alle Konfigurationen der Serviceintegration haben ein enabled Flag, das jetzt ein Pflichtfeld ist.
- Kunden müssen immer einen booleschen Wert angeben. Es werden keine Standardwerte angegeben.
- Kunden müssen enable/disable jede Serviceintegrationskonfiguration im Manifest explizit angeben:
  - accessManagement
  - backup
  - centralizedLogging
  - config
  - securityRoles
Sicherheitsrollen
- Die Integration von Sicherheitsrollen ist jetzt optional
- Es wurde eine neue enabled Flagge zur Verwaltung der securityRoles Bereitstellung eingeführt
- Wenn diese Option deaktiviert ist, werden die entsprechenden Sicherheitsfunktionen nicht implementiert
AWS Config
- Dem Manifest wurde ein neuer Abschnitt zur AWS-Config-Serviceintegration hinzugefügt, der die folgenden Felder enthält: config
  - enabled: Boolesches Flag erforderlich, um die Bereitstellung der AWS Config-Integration zu verwalten
  - accountId: AWS-Konto-ID für den AWS Config-Aggregator
  - Konfigurationen:
    
    accessLoggingBucket.retentionDays: Aufbewahrungsfrist für Zugriffsprotokolle
    loggingBucket.retentionDays: Aufbewahrungszeitraum für AWS Config-Protokolle
    kmsKeyArn: KMS-Schlüssel für die Verschlüsselung

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schritt 1: Konfiguriere deine landing zone

Identifizieren Sie Ihre landing zone