Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Schritt 2: Starten Sie Ihre landing zone mit dem AWS Control Tower APIs
Sie können AWS Control Tower verwenden APIs , um Ihre landing zone zu starten. In diesem Abschnitt wird beschrieben, wie Sie die erforderliche *Landingzone-Manifestdatei* erstellen und sie mit dem `CreateLandingZone` API-Vorgang verwenden.
## Die Manifestdatei wird erstellt
Die Manifestdatei ist ein JSON-Dokument, das Ihre Landezonenkonfiguration spezifiziert. Mit landing zone Version 4.0 sind viele Komponenten jetzt optional, was einen flexibleren Einsatz ermöglicht.
### Manifeste Struktur
Im Folgenden finden Sie die vollständige Struktur der Manifestdatei mit allen verfügbaren Konfigurationen:
```
{
"accessManagement": {
"enabled": true // Required - Controls IAM Identity Center integration
},
"backup": {
"enabled": true, // Required - Controls AWS Backup integration
"configurations": {
"backupAdmin": {
"accountId": "111122223333" // Backup administrator account
},
"centralBackup": {
"accountId": "111122224444" // Central backup account
},
"kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
}
},
"centralizedLogging": {
"accountId": "111122225555", // Log archive account
"enabled": true, // Required - Controls centralized logging
"configurations": {
"accessLoggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"loggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
}
},
"config": {
"accountId": "111122226666", // Config aggregator account
"enabled": true, // Required - Controls AWS Config integration
"configurations": {
"accessLoggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"loggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
}
},
"governedRegions": [ // Optional - List of regions to govern
"us-east-1",
"us-west-2"
],
"securityRoles": {
"enabled": true, // Required - Controls security roles creation
"accountId": ""111122226666" // Security/Audit account
}
}
```
### Wichtige Hinweise
+ Alle `enabled` Flags sind im Manifest erforderlich.
+ Wenn Sie die AWS Config-Integration (`"config.enabled": false`) deaktivieren, müssen Sie auch die folgenden Integrationen deaktivieren:
+ Sicherheitsrollen () `"securityRoles.enabled": false`
+ Zugriffsverwaltung (`"accessManagement.enabled": false`)
+ Backup (`"backup.enabled": false`)
+ Das Konto IDs muss ein gültiges 12-stelliges AWS Konto IDs sein.
+ Der KMS-Schlüssel ARNs muss ein gültiger AWS KMS Schlüssel ARNs sein.
+ Die Aufbewahrungszeit muss mindestens 1 Tage betragen.
## Verwenden der CreateLandingZone API
So erstellen Sie Ihre landing zone mithilfe der API:
```
aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json
```
Die API gibt eine Betriebs-ID für die landing zone zurück, mit der Sie den Fortschritt der Erstellung Ihrer landing zone verfolgen können. Beispielantwort:
```
{
"arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
"operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```
Sie können den Betriebsstatus mithilfe der `GetLandingZoneOperation` API überwachen, die einen **Status** von `SUCCEEDED``FAILED`, oder zurückgibt`IN_PROGRESS`:
```
aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"
```
## Was hat sich in landing zone Version 4.0 geändert
Wichtige Änderungen an der Manifeststruktur und den Anforderungen:
+ Struktur der Organisation
+ `organizationStructure`Die Definition wurde aus dem Manifest entfernt
+ Kunden können jetzt ihre eigene Organisationsstruktur definieren
+ Einzige Voraussetzung: Serviceintegrationskonten müssen sich in derselben Organisationseinheit direkt unter Root befinden
+ Flags aktiviert
+ Alle Konfigurationen der Serviceintegration haben ein `enabled` Flag, das jetzt ein Pflichtfeld ist.
+ Kunden müssen immer einen booleschen Wert angeben. Es werden keine Standardwerte angegeben.
+ Kunden müssen enable/disable jede Serviceintegrationskonfiguration im Manifest explizit angeben:
+ `accessManagement`
+ `backup`
+ `centralizedLogging`
+ `config`
+ `securityRoles`
+ Sicherheitsrollen
+ Die Integration von Sicherheitsrollen ist jetzt optional
+ Es wurde eine neue `enabled` Flagge zur Verwaltung der `securityRoles` Bereitstellung eingeführt
+ Wenn diese Option deaktiviert ist, werden die entsprechenden Sicherheitsfunktionen nicht implementiert
+ AWS Config
+ Dem Manifest wurde ein neuer Abschnitt zur AWS-Config-Serviceintegration hinzugefügt, der die folgenden Felder enthält: `config`
+ `enabled`: Boolesches Flag erforderlich, um die Bereitstellung der AWS Config-Integration zu verwalten
+ `accountId`: AWS-Konto-ID für den AWS Config-Aggregator
+ Konfigurationen:
+ `accessLoggingBucket.retentionDays`: Aufbewahrungsfrist für Zugriffsprotokolle
+ `loggingBucket.retentionDays`: Aufbewahrungszeitraum für AWS Config-Protokolle
+ `kmsKeyArn`: KMS-Schlüssel für die Verschlüsselung