Crear el archivo de manifiesto Uso de la CreateLandingZone API Qué ha cambiado en la versión 4.0 de landing zone

Paso 2: Lanza tu landing zone con la Torre de Control de AWS APIs

Puede usar AWS Control Tower APIs para lanzar su landing zone. En esta sección se describe cómo crear el archivo de manifiesto de landing zone necesario y utilizarlo con la operación de la CreateLandingZone API.

Crear el archivo de manifiesto

El archivo de manifiesto es un documento JSON que especifica la configuración de tu landing zone. Con la versión 4.0 de landing zone, muchos componentes ahora son opcionales, lo que permite un despliegue más flexible.

Estructura del manifiesto

A continuación se muestra la estructura completa del archivo de manifiesto con todas las configuraciones disponibles:



{
    "accessManagement": {
        "enabled": true    // Required - Controls IAM Identity Center integration
    },
    "backup": {
        "enabled": true,   // Required - Controls AWS Backup integration
        "configurations": {
            "backupAdmin": {
                "accountId": "111122223333"    // Backup administrator account
            },
            "centralBackup": {
                "accountId": "111122224444"    // Central backup account
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "centralizedLogging": {
        "accountId": "111122225555",    // Log archive account
        "enabled": true,                // Required - Controls centralized logging
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "config": {
        "accountId": "111122226666",    // Config aggregator account
        "enabled": true,                // Required - Controls AWS Config integration
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "governedRegions": [               // Optional - List of regions to govern
        "us-east-1",
        "us-west-2"
    ],
    "securityRoles": {
        "enabled": true,               // Required - Controls security roles creation
        "accountId": ""111122226666"    // Security/Audit account
    }
}

Notas importantes

Todos los enabled indicadores son obligatorios en el manifiesto.
Si inhabilita la integración de AWS Config ("config.enabled": false), también debe deshabilitar las siguientes integraciones:
- Funciones de seguridad () "securityRoles.enabled": false
- Administración de acceso ("accessManagement.enabled": false)
- Backup ("backup.enabled": false)
La cuenta IDs debe ser una AWS cuenta IDs válida de 12 dígitos.
La clave KMS ARNs debe ser una AWS KMS clave ARNs válida.
El día de retención debe ser de al menos 1.

Uso de la CreateLandingZone API

Para crear tu landing zone mediante la API:



                    aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json

La API devolverá un identificador de operación de la zona de aterrizaje que podrás usar para hacer un seguimiento del progreso de la creación de la zona de aterrizaje. Respuesta de ejemplo:



{
    "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
    "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}

Puedes supervisar el estado de la operación mediante una GetLandingZoneOperation API que devuelve un estado de SUCCEEDEDFAILED, oIN_PROGRESS:



                    aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"

Qué ha cambiado en la versión 4.0 de landing zone

Cambios importantes en la estructura y los requisitos del manifiesto:

Estructura de la organización
- organizationStructurela definición se ha eliminado del manifiesto
- Los clientes ahora pueden definir su propia estructura organizativa
- Único requisito: las cuentas de integración de servicios deben estar en la misma OU directamente debajo de la raíz
Indicadores habilitados
- Todas las configuraciones de integración de servicios tienen una enabled marca que ahora es un campo obligatorio.
- Los clientes deben proporcionar siempre un valor booleano. No se proporcionan valores predeterminados.
- Los clientes deben especificar de forma explícita enable/disable cada configuración de integración de servicios del manifiesto:
  - accessManagement
  - backup
  - centralizedLogging
  - config
  - securityRoles
Funciones de seguridad
- La integración de los roles de seguridad ahora es opcional
- Se ha introducido una nueva enabled bandera para gestionar la securityRoles implementación
- Si está deshabilitada, no se implementarán las funciones de seguridad relacionadas
AWS Config Integration
- Se agregó una nueva sección de integración del servicio AWS Config a manifest as config con los siguientes campos:
  - enabled: Indicador booleano obligatorio para gestionar la implementación de la integración de AWS Config
  - accountId: ID de cuenta de AWS para el agregador AWS Config
  - configuraciones:
    
    accessLoggingBucket.retentionDays: Periodo de retención de los registros de acceso
    loggingBucket.retentionDays: Periodo de retención de los registros de AWS Config
    kmsKeyArn: clave KMS para cifrado

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Paso 1: configuración de la zona de aterrizaje

Identificación de la zona de aterrizaje