Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paso 1: configuración de la zona de aterrizaje
El proceso de configuración de la zona de aterrizaje de AWS Control Tower consta de varios pasos. Es posible configurar algunos de los aspectos de la zona de aterrizaje de AWS Control Tower, sin embargo, hay otras opciones no se pueden modificar después de la configuración. Para obtener más información sobre estas importantes consideraciones antes de lanzar tu landing zone, consulta Expectativas para la configuración de la zona de aterrizaje.
Antes de utilizar la zona de aterrizaje de la Torre de Control Tower de AWS APIs, primero debe llamar APIs desde otros AWS servicios para configurar la zona de aterrizaje antes del lanzamiento. El proceso incluye tres pasos principales:
crear una nueva organización de AWS Organizations,
configurar sus cuentas de integración de servicios,
y crear un rol de IAM o un usuario del IAM Identity Center con los permisos necesarios para llamar a la landing zone. APIs
Paso 1. Creación de la organización que contendrá la zona de aterrizaje:
Llame a la CreateOrganization API de AWS Organizations y habilite todas las funciones para crear la OU fundamental. AWS Control Tower también recomienda crear una unidad organizativa de seguridad designada. Esta unidad organizativa de seguridad debe contener todas sus cuentas de integración de servicios. Estas serían la cuenta de archivo de registro y la cuenta de auditoría de las versiones anteriores de Landing Zone.
aws organizations create-organization --feature-set ALL
AWS Control Tower puede configurar uno o más adicionales OUs. Le recomendamos que aprovisione al menos una OU adicional en la zona de aterrizaje, además de la OU de seguridad. Si esta OU adicional está destinada a proyectos de desarrollo, le recomendamos que la nombre como OU Sandbox, tal y como se indica en la estrategia de cuentas múltiples de AWS para su zona de aterrizaje de AWS Control Tower.
Paso 2. Aprovisione cuentas de integración de servicios si es necesario:
Para configurar su landing zone, AWS Control Tower permite a los clientes configurar las integraciones de servicios de AWS. Cada una de estas integraciones de servicios puede requerir una o más cuentas centrales de integración de servicios. Si utiliza landing zone APIs para configurar la Torre de Control de AWS por primera vez, debe proporcionar la cuenta de integración central para cada integración de servicios de AWS habilitada. Puede utilizar las cuentas de AWS existentes o aprovisionar estas cuentas a través de la consola de AWS Control Tower o de AWS Organizations APIs. Asegúrese de que estas cuentas de integración de servicios estén en la unidad organizativa de seguridad designada que se encuentra en el nivel raíz de su organización.
-
Llame a la
CreateAccountAPI de AWS Organizations para crear la cuenta de archivo de registros y la cuenta de auditoría en la unidad organizativa de seguridad.aws organizations create-account --email mylog@example.com --account-name "Logging Account" aws organizations create-account --email mysecurity@example.com --account-name "Security Account"(Opcional) Compruebe el estado de la
CreateAccountoperación mediante laDescribeAccountAPI de AWS Organizations. -
Mueva las cuentas de integración de servicios aprovisionadas a la unidad organizativa de seguridad designada
aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security
Paso 3. Creación de los roles de servicio requeridos
Cree los siguientes roles de servicio de IAM en la ruta de /service-role/ IAM que permiten a AWS Control Tower realizar las llamadas a la API necesarias para configurar la zona de aterrizaje:
Para obtener más información acerca de estos roles y sus políticas, consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS Control Tower.
Para crear un rol de IAM:
Cree un rol de IAM con los permisos necesarios para llamar a todas las zonas de landing zone APIs. Como alternativa, puede crear un usuario de IAM Identity Center y asignar los permisos necesarios.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup:UpdateGlobalSettings", "controltower:CreateLandingZone", "controltower:UpdateLandingZone", "controltower:ResetLandingZone", "controltower:DeleteLandingZone", "controltower:GetLandingZoneOperation", "controltower:GetLandingZone", "controltower:ListLandingZones", "controltower:ListLandingZoneOperations", "controltower:ListTagsForResource", "controltower:TagResource", "controltower:UntagResource", "servicecatalog:*", "organizations:*", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "sso:*", "sso-directory:*", "logs:*", "cloudformation:*", "kms:*", "iam:GetRole", "iam:CreateRole", "iam:GetSAMLProvider", "iam:CreateSAMLProvider", "iam:CreateServiceLinkedRole", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:ListAttachedRolePolicies", "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy" ], "Resource": "*" } ] }
nota
Al actualizar a la versión 4.0 de landing zone con la integración de AWS Config habilitada, los clientes deben tener organizations:ListDelegatedAdministrators permisos.
