Schritt 1: Konfiguriere deine landing zone - AWS Control Tower
Schritt 1. Erstellen Sie die Organisation, die Ihre landing zone enthalten soll:Schritt 2. Stellen Sie bei Bedarf Konten für die Serviceintegration bereit:Schritt 3. Erstellen Sie die erforderlichen Servicerollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Konfiguriere deine landing zone

Die Einrichtung Ihrer AWS Control Tower Tower-Landezone landing zone aus mehreren Schritten. Bestimmte Aspekte Ihrer AWS Control Tower Tower-Landezone sind konfigurierbar, andere Optionen können jedoch nach der Einrichtung nicht geändert werden. Weitere Informationen zu diesen wichtigen Überlegungen vor dem Start Ihrer landing zone finden Sie unter Erwartungen an die Konfiguration der landing zone.

Bevor Sie die AWS Control Tower Tower-Landezone nutzen können APIs, müssen Sie zunächst APIs von anderen AWS Services aus anrufen, um Ihre landing zone vor dem Start zu konfigurieren. Der Prozess umfasst drei Hauptschritte:

  1. Gründung einer neuen AWS Organisationsorganisation,

  2. Einrichtung Ihrer Serviceintegrationskonten,

  3. und eine IAM-Rolle oder einen IAM Identity Center-Benutzer mit den erforderlichen Berechtigungen zum Aufrufen der landing zone erstellen. APIs

Schritt 1. Erstellen Sie die Organisation, die Ihre landing zone enthalten soll:

Rufen Sie die AWS Organizations CreateOrganization API auf und aktivieren Sie alle Funktionen, um die Foundational OU zu erstellen. AWS Control Tower empfiehlt außerdem, eine spezielle Sicherheits-OU zu erstellen. Diese Sicherheits-OU sollte alle Ihre Service-Integrationskonten enthalten. Dies wären das Protokollarchivkonto und das Auditkonto für frühere Landing Zone-Versionen. 


aws organizations create-organization --feature-set ALL

AWS Control Tower kann eine oder mehrere zusätzliche einrichten OUs. Wir empfehlen Ihnen, neben der Sicherheits-OU mindestens eine zusätzliche Organisationseinheit in Ihrer landing zone bereitzustellen. Wenn diese zusätzliche Organisationseinheit für Entwicklungsprojekte vorgesehen ist, empfehlen wir Ihnen, sie Sandbox-Organisationseinheit zu nennen, wie es in der AWS-Strategie für mehrere Konten für Ihre AWS Control Tower-Landing landing zone angegeben ist.

Schritt 2. Stellen Sie bei Bedarf Konten für die Serviceintegration bereit:

Um Ihre landing zone einzurichten, ermöglicht AWS Control Tower Kunden die Konfiguration von AWS-Serviceintegrationen. Für jede dieser Serviceintegrationen sind möglicherweise ein oder mehrere zentrale Konten für die Serviceintegration erforderlich. Wenn Sie die landing zone verwenden APIs , um AWS Control Tower zum ersten Mal einzurichten, müssen Sie das zentrale Integrationskonto für jede aktivierte AWS-Serviceintegration angeben. Sie können bestehende AWS-Konten verwenden oder diese Konten über die AWS Control Tower-Konsole oder AWS Organizations bereitstellen APIs. Stellen Sie sicher, dass sich diese Serviceintegrationskonten in der angegebenen Sicherheits-OU befinden, die sich auf der Stammebene in Ihrer Organisation befindet.

  1. Rufen Sie die AWS Organizations CreateAccount API auf, um das Protokollarchiv-Konto und das Audit-Konto in der Sicherheits-OU zu erstellen.

    
                            aws organizations create-account --email mylog@example.com --account-name "Logging Account"
                            aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

    (Optional) Überprüfen Sie den Status des CreateAccount Vorgangs mithilfe der AWS Organizations DescribeAccount API.

  2. Verschieben Sie die bereitgestellten Serviceintegrationskonten in die angegebene Sicherheits-OU

    
                            aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security

Schritt 3. Erstellen Sie die erforderlichen Servicerollen

Erstellen Sie die folgenden IAM-Servicerollen im /service-role/ IAM-Pfad, die es AWS Control Tower ermöglichen, die API-Aufrufe durchzuführen, die für die Einrichtung Ihrer landing zone erforderlich sind:

Weitere Informationen zu diesen Rollen und ihren Richtlinien finden Sie unter. Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Control Tower

So erstellen Sie eine IAM-Rolle:

Erstellen Sie eine IAM-Rolle mit den erforderlichen Berechtigungen, um alle landing zone APIs aufzurufen. Alternativ können Sie einen IAM Identity Center-Benutzer erstellen und ihm die erforderlichen Berechtigungen zuweisen. 


{
    "Version": "2012-10-17",		 	 	                    
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}
Anmerkung

Beim Upgrade auf landing zone Version 4.0 mit aktivierter AWS Config-Integration benötigen Kunden organizations:ListDelegatedAdministrators Berechtigungen.