Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Paso 2. Configuración y lanzamiento de la zona de aterrizaje
Antes de lanzar la zona de aterrizaje de AWS Control Tower, determine la región de origen más adecuada. Para obtener más información, consulte [Consejos administrativos para la configuración de la zona de aterrizaje](tips-for-admin-setup.md).
**importante**
Para cambiar la región de origen después de implementar la zona de aterrizaje de la AWS Control Tower, es necesario retirarla del servicio y contar con la asistencia de AWS Support. No se recomienda esta práctica.
Aprenda a configurar y lanzar su landing zone con el AWS CLI in[Comience a utilizar AWS Control Tower con APIs](getting-started-apis.md).
Para configurar y lanzar la zona de aterrizaje en la consola, realice la siguiente serie de pasos.
**Preparación: navegación a la consola de AWS Control Tower**
1. Abra un navegador web y diríjase a la consola de la Torre de Control de AWS en [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower).
1. En la consola, compruebe que está trabajando en la región de origen de AWS Control Tower que desea. A continuación seleccione **Configurar la zona de almacenamiento**.
# Paso 2a. Revise y seleccione sus regiones AWS
Asegúrese de haber designado correctamente la AWS región que ha seleccionado para su región de origen. Después de implementar AWS Control Tower, no puede cambiar la región de origen.
En esta sección del proceso de configuración, puedes añadir AWS las regiones adicionales que necesites. Si es necesario, puede añadir más regiones más adelante y puede eliminar regiones de la gobernanza.
**Para seleccionar AWS regiones adicionales para gobernarlas**
1. El panel muestra las regiones seleccionadas actualmente. Abra el menú desplegable para ver una lista de regiones adicionales disponibles para la gobernanza.
1. Marque la casilla situada junto a cada región para incorporarla a la gobernanza de AWS Control Tower. La selección de la región de origen no se puede editar.
**Denegación del acceso a determinadas regiones**
Para denegar el acceso a AWS los recursos y las cargas de trabajo en determinadas AWS regiones, seleccione **Activado** en la sección correspondiente a la región para denegar el control. De forma predeterminada, la configuración de este control es **No habilitado**.
# Paso 2b. Configura tus unidades organizativas () OUs
Si aceptas sus nombres predeterminados OUs, no tendrás que realizar ninguna acción para que la configuración continúe. Para cambiar los nombres de OUs, introduzca los nuevos nombres directamente en el campo del formulario.
+ **OU fundamental**: AWS Control Tower se basa en una **OU fundamental** que inicialmente se denomina **OU de seguridad**. Puede cambiar el nombre de esta OU durante la configuración inicial y, posteriormente, desde la página de detalles de la OU. Esta **OU de seguridad** contiene las dos cuentas compartidas, que de forma predeterminada se denominan cuenta de **archivo de registro** y cuenta de **auditoría**.
+ **OU adicional**: AWS Control Tower puede configurar una o más unidades **adicionales OUs** para usted. Le recomendamos que aprovisione al menos una **OU adicional** en la zona de aterrizaje, además de la **OU de seguridad**. Si esta OU adicional está destinada a proyectos de desarrollo, le recomendamos que la denomine **OU de entorno de pruebas**, tal y como se indica en las [Directrices para configurar un entorno bien diseñado](aws-multi-account-landing-zone.md#guidelines-for-multi-account-setup). Si ya tiene una unidad organizativa existente AWS Organizations, es posible que vea la opción de omitir la configuración de una unidad organizativa adicional en AWS Control Tower.
# Paso 2c. Configuración de cuentas compartidas, registro y cifrado
En esta sección del proceso de configuración, el panel muestra las selecciones predeterminadas para los nombres de las cuentas compartidas de AWS Control Tower. Estas cuentas son una parte esencial de la zona de aterrizaje. **No traslade ni elimine estas cuentas compartidas**. Puede elegir nombres personalizados para las cuentas de **auditoría** y de **archivo de registro** durante la configuración. Como alternativa, tiene la opción de especificar cuentas de AWS existentes como cuentas compartidas.
Debe proporcionar direcciones de correo electrónico únicas para las cuentas de auditoría y de archivo de registro, y puede verificar la dirección de correo electrónico que ha proporcionado anteriormente para la cuenta de administración. Seleccione el botón **Editar** para cambiar los valores editables predeterminados.
**Acerca de las cuentas compartidas**
+ **La cuenta de administración**: la cuenta de administración de AWS Control Tower forma parte del nivel raíz. La cuenta de administración permite la facturación de AWS Control Tower. La cuenta también tiene permisos de administrador para la zona de aterrizaje. No puede crear cuentas independientes para la facturación y para los permisos de administrador en AWS Control Tower.
La dirección de correo electrónico que se muestra para la cuenta de administración no se puede editar durante esta fase de la configuración. Se muestra como una confirmación para que pueda comprobar que está editando la cuenta de administración correcta, en caso de que tenga varias cuentas.
+ **Las dos cuentas compartidas**: puede elegir nombres personalizados para estas dos cuentas o incorporar cuentas propias, y debe proporcionar una dirección de correo electrónico única para cada cuenta, ya sea nueva o existente. Si decide que AWS Control Tower cree nuevas cuentas compartidas para usted, las direcciones de correo electrónico no deben tener ya AWS cuentas asociadas.
**Rellene la información solicitada para configurar las cuentas compartidas.**
1. En la consola, introduzca un nombre para la cuenta denominada inicialmente cuenta de **archivo de registro**. Muchos clientes deciden mantener el nombre predeterminado de esta cuenta.
1. Proporcione una dirección de correo electrónico única para esta cuenta.
1. Introduzca un nombre para la cuenta denominada inicialmente cuenta de **auditoría**. Muchos clientes optan por llamarla cuenta de **seguridad**.
1. Proporcione una dirección de correo electrónico única para esta cuenta.
# Configuración opcional de la retención de registros
Durante esta fase de configuración, puede personalizar la política de retención de registros para los buckets de Amazon S3 que almacenan sus AWS CloudTrail registros en la Torre de Control Tower de AWS, en incrementos de días o años, hasta un máximo de 15 años. Si decide no personalizar la retención de registros, la configuración predeterminada es de un año para el registro de cuenta estándar y de 10 años para el registro de acceso. Esta característica también está disponible cuando actualiza o restablece la zona de aterrizaje.
# Opcionalmente, autoadministre el acceso Cuenta de AWS
Puede seleccionar si AWS Control Tower configura el Cuenta de AWS acceso con AWS Identity and Access Management (IAM) o si desea autogestionarlo, Cuenta de AWS ya sea con usuarios, roles y permisos del AWS IAM Identity Center que puede configurar y personalizar por su cuenta, o con otro método, *como un IdP externo, ya sea para la federación directa de cuentas o la federación de varias cuentas a* través del IAM Identity Center. Puede cambiar esta selección más adelante.
De forma predeterminada, AWS Control Tower configura el centro de identidad de AWS IAM para su landing zone, de acuerdo con las recomendaciones de prácticas recomendadas definidas en [Organizar su AWS entorno con varias cuentas](https://docs.aws.amazon.com//whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html). La mayoría de los clientes eligen la opción predeterminada. A veces, se requieren métodos de acceso alternativos para cumplir con la normativa en sectores o países específicos, o Regiones de AWS cuando el Centro de Identidad de AWS IAM no está disponible.
No se admite la selección de proveedores de identidades en la cuenta. Esta opción solo se aplica a la zona de aterrizaje en su conjunto.
Para obtener más información, consulte [Guía de IAM Identity Center](sso-guidance.md).
# Opcionalmente, configure AWS CloudTrail las rutas
Como práctica recomendada, le sugerimos que configure el registro. Si desea permitir que AWS Control Tower configure un CloudTrail registro a nivel de organización y lo administre por usted, elija **Optar por participar**. Si desea gestionar el registro con sus propios CloudTrail senderos o con una herramienta de registro de terceros, elija **Excluirse**. Confirme esta opción cuando se le solicite en la consola. Puede cambiar esta selección y activar o desactivar los registros de seguimiento por organización cuando actualice la zona de aterrizaje.
Puedes configurar y gestionar tus propias CloudTrail rutas en cualquier momento, incluidas las rutas a nivel de organización y de cuenta. Si configuras CloudTrail rutas duplicadas, puedes incurrir en costes duplicados cuando se registren los eventos. CloudTrail
# Opcionalmente, configure AWS KMS keys
Si desea cifrar y descifrar sus recursos con una clave de AWS KMS cifrado, seleccione la casilla de verificación. Si ya dispone de claves, podrá seleccionarlas entre los identificadores que aparecen en un menú desplegable. Para generar una clave nueva, seleccione **Crear una clave**. Puede añadir o cambiar una clave de KMS cada vez que actualice la zona de aterrizaje.
Al seleccionar **Configurar la zona de aterrizaje**, AWS Control Tower realiza una comprobación previa para validar la clave de KMS. La clave debe cumplir los requisitos siguientes:
+ Habilitado
+ Simétrica
+ No ser una clave de varias regiones
+ Tener los permisos correctos añadidos a la política
+ La clave está en la cuenta de administración
Es posible que aparezca un banner de error si la clave no cumple estos requisitos. En ese caso, elija otra clave o genere una. Asegúrese de editar la política de permisos de la clave, tal y como se describe en la sección siguiente.
## Actualización de la política de claves de KMS
Antes de poder actualizar una política de claves de KMS, debe crear una clave de KMS. Para obtener más información, consulte [Creating a key policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) en la *Guía del desarrollador de AWS Key Management Service *.
Para usar una clave de KMS con AWS Control Tower, debe actualizar la política de claves de KMS predeterminada añadiendo los permisos mínimos necesarios para AWS Config y AWS CloudTrail. Como práctica recomendada, le sugerimos que incluya los permisos mínimos necesarios en cualquier política. Al actualizar una política de claves de KMS, puede añadir permisos como grupo en una única instrucción JSON o línea por línea.
El procedimiento describe cómo actualizar la política de claves de KMS predeterminada en la AWS KMS consola añadiendo declaraciones de política que permitan el cifrado AWS Config y se utilicen CloudTrail AWS KMS para ello. Las instrucciones de política requieren que incluya la siguiente información:
+ **`YOUR-MANAGEMENT-ACCOUNT-ID`**: el ID de la cuenta de administración en la que se configurará AWS Control Tower.
+ **`YOUR-HOME-REGION`**: la región de origen que seleccionará al configurar AWS Control Tower.
+ **`YOUR-KMS-KEY-ID`**: el ID de la clave de KMS que se utilizará con la política.
**Actualización de la política de claves de KMS**
1. Abra la AWS KMS consola en [https://console.aws.amazon.com//kms](https://console.aws.amazon.com//kms)
1. En el panel de navegación, seleccione **Claves administradas por el cliente**.
1. En la tabla, seleccione la clave que desee editar.
1. En la pestaña **Política de claves**, asegúrese de que puede ver la política de claves. Si no puede ver la política de claves, seleccione **Cambiar a la vista de política**.
1. Seleccione **Editar** y actualice la política clave de KMS predeterminada añadiendo las siguientes declaraciones de política para AWS Config y CloudTrail.
**AWS Config declaración de política**
```
{
"Sid": "Allow Config to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}
```
**CloudTrail declaración de política**
```
{
"Sid": "Allow CloudTrail to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
}
}
}
```
1. Seleccione **Save changes (Guardar cambios)**.
** Ejemplo de política de claves de KMS **
El siguiente ejemplo de política muestra el aspecto que tendría su política de claves de KMS después de agregar las declaraciones de política que otorgan AWS Config y CloudTrail los permisos mínimos requeridos. La política de ejemplo no incluye la política de claves de KMS predeterminada.
```
{
"Version": "2012-10-17",
"Id": "CustomKMSPolicy",
"Statement": [
{
... YOUR-EXISTING-POLICIES ...
},
{
"Sid": "Allow Config to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
},
{
"Sid": "Allow CloudTrail to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:PARTITION:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:PARTITION:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
}
}
}
]
}
```
Para ver otros ejemplos de políticas, consulte las páginas siguientes:
+ [Granting encrypt permissions](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html#create-kms-key-policy-for-cloudtrail-encrypt) en la *Guía del usuario de AWS CloudTrail *.
+ [Required Permissions for the KMS Key When Using Service-Linked RolesS3 Bucket Delivery)](https://docs.aws.amazon.com//config/latest/developerguide/s3-kms-key-policy.html#required-permissions-s3-kms-key-using-servicelinkedrole) en la *Guía para desarrolladores de AWS Config *.
**Protección contra atacantes**
Al añadir determinadas condiciones a las políticas, puede ayudar a prevenir un tipo específico de ataque, conocido como ataque del *suplente confuso*, que se produce cuando una entidad coacciona a otra con más privilegios para que lleve a cabo una acción, como la suplantación entre servicios. Para obtener información general sobre las condiciones de las políticas, consulte también [Especificación de las condiciones de una política](access-control-overview.md#specifying-conditions).
El AWS Key Management Service (AWS KMS) le permite crear claves KMS multirregionales y claves asimétricas; sin embargo, AWS Control Tower no admite claves multirregionales ni claves asimétricas. AWS Control Tower realiza una comprobación previa de las claves existentes. Es posible que aparezca un mensaje de error si selecciona una clave de varias regiones o una clave asimétrica. En ese caso, genere otra clave para utilizarla con los recursos de AWS Control Tower.
[Para obtener más información al respecto AWS KMS, consulte la Guía para desarrolladores. AWS KMS](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)
Tenga en cuenta que los datos de los clientes en AWS Control Tower se cifran en reposo, de forma predeterminada, mediante SSE-S3.
# Si lo desea, configure la inscripción automática de cuentas
Si habilita esta función durante la configuración, o posteriormente, las cuentas que se mueven entre dos cuentas registradas OUs o que se trasladan a su entorno de la Torre de Control Tower de AWS por primera vez dejan de mostrar un estado de deriva hereditaria. Las cuentas heredan automáticamente las líneas de base y los controles que están habilitados en la nueva UO. Se eliminan los controles y las líneas de base de la UO anterior.
Para optar por inscripción automática en cualquier momento después de la configuración, diríjase a la página **Configuración** de la zona de aterrizaje y elija **Actualizar** zona de aterrizaje o llame a la API `UpdateLandingZone` de AWS Control Tower.
Puede mover una cuenta de un sitio a otro OUs mediante la AWS Organizations API o mediante la consola de la Torre de Control de AWS. Si mueve una cuenta fuera de una UO que esté registrada, AWS Control Tower elimina automáticamente todas las líneas de base y los controles implementados. Básicamente, anula la inscripción de la cuenta en AWS Control Tower.
**nota**
Si decide habilitar la función de inscripción automática después de la configuración inicial de la landing zone, AWS Control Tower no resuelve retroactivamente el problema de herencia provocado por el traslado de cuentas de un lugar a otro OUs antes de que se habilitara la función de registro automático. La resolución automática de desviaciones se aplica a cuentas que se mueven después de habilitar esta configuración.
# Configuración y creación opcionales de cuentas de miembro personalizadas
Si sigue el flujo de trabajo **Crear cuenta** para añadir las cuentas de miembro, puede especificar, si lo desea, un *esquema* previamente definido para utilizarlo en el aprovisionamiento de cuentas de miembro personalizadas desde la consola de AWS Control Tower. Puede personalizar las cuentas más adelante si no dispone de un esquema. Consulte [Personalización de cuentas con la personalización del generador de cuentas (AFC)](af-customization-page.md).