Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 1 : Configurez votre zone de landing zone
Le processus de configuration de votre zone de landing AWS Control Tower comporte plusieurs étapes. Certains aspects de votre zone de landing zone AWS Control Tower sont configurables, mais les autres choix ne peuvent pas être modifiés après la configuration. Pour en savoir plus sur ces considérations importantes avant de lancer votre zone d'atterrissage, consultez les attentes relatives à la configuration de la zone d'atterrissage.
Avant d'utiliser la zone d'atterrissage d'AWS Control Tower APIs, vous devez d'abord appeler APIs d'autres AWS services pour configurer votre zone d'atterrissage avant le lancement. Le processus comprend trois étapes principales :
créer une nouvelle organisation AWS Organizations,
configurer vos comptes d'intégration de services,
et en créant un rôle IAM ou un utilisateur de l'IAM Identity Center disposant des autorisations requises pour appeler la zone d'atterrissage. APIs
Étape 1. Créez l'organisation qui contiendra votre zone de landing zone :
Appelez l'CreateOrganizationAPI AWS Organizations et activez toutes les fonctionnalités nécessaires pour créer l'unité d'organisation fondamentale. AWS Control Tower recommande également de créer une unité d'organisation de sécurité désignée. Cette unité d'organisation de sécurité doit contenir tous vos comptes d'intégration de services. Il s'agirait du compte d'archivage du journal et du compte d'audit pour les versions précédentes de Landing Zone.
aws organizations create-organization --feature-set ALL
AWS Control Tower peut configurer un ou plusieurs modules supplémentaires OUs. Nous vous recommandons de prévoir au moins une unité d'organisation supplémentaire dans votre zone de landing, en plus de l'unité d'organisation de sécurité. Si cette unité d'organisation supplémentaire est destinée à des projets de développement, nous vous recommandons de la nommer unité d'organisation Sandbox, comme indiqué dans la stratégie multi-comptes AWS pour votre zone de landing zone AWS Control Tower.
Étape 2. Fournissez des comptes d'intégration des services si nécessaire :
Pour configurer votre zone de landing zone, AWS Control Tower permet aux clients de configurer des intégrations de services AWS. Chacune de ces intégrations de services peut nécessiter un ou plusieurs comptes centraux d'intégration de services. Si vous utilisez la zone de landing zone APIs pour configurer AWS Control Tower pour la première fois, vous devez fournir le compte d'intégration central pour chaque intégration de service AWS activée. Vous pouvez utiliser des comptes AWS existants ou provisionner ces comptes via la console AWS Control Tower ou AWS Organizations APIs. Assurez-vous que ces comptes d'intégration de services se trouvent dans l'unité d'organisation de sécurité désignée située au niveau racine de votre organisation.
-
Appelez l'
CreateAccountAPI AWS Organizations pour créer le compte d'archivage du journal et le compte d'audit dans l'unité d'organisation de sécurité.aws organizations create-account --email mylog@example.com --account-name "Logging Account" aws organizations create-account --email mysecurity@example.com --account-name "Security Account"(Facultatif) Vérifiez le statut de l'
CreateAccountopération à l'aide de l'DescribeAccountAPI AWS Organizations. -
Déplacez les comptes d'intégration des services fournis vers l'unité d'organisation de sécurité désignée
aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security
Étape 3. Créez les rôles de service requis
Créez les rôles de service IAM suivants dans le chemin /service-role/ IAM pour permettre à AWS Control Tower d'effectuer les appels d'API nécessaires à la configuration de votre zone de landing zone :
Pour plus d'informations sur ces rôles et leurs politiques, consultezUtilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower.
Pour créer un rôle IAM :
Créez un rôle IAM avec les autorisations nécessaires pour appeler toutes les zones de landing zone APIs. Vous pouvez également créer un utilisateur IAM Identity Center et lui attribuer les autorisations nécessaires.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup:UpdateGlobalSettings", "controltower:CreateLandingZone", "controltower:UpdateLandingZone", "controltower:ResetLandingZone", "controltower:DeleteLandingZone", "controltower:GetLandingZoneOperation", "controltower:GetLandingZone", "controltower:ListLandingZones", "controltower:ListLandingZoneOperations", "controltower:ListTagsForResource", "controltower:TagResource", "controltower:UntagResource", "servicecatalog:*", "organizations:*", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "sso:*", "sso-directory:*", "logs:*", "cloudformation:*", "kms:*", "iam:GetRole", "iam:CreateRole", "iam:GetSAMLProvider", "iam:CreateSAMLProvider", "iam:CreateServiceLinkedRole", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:ListAttachedRolePolicies", "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy" ], "Resource": "*" } ] }
Note
Lors de la mise à niveau vers la version 4.0 de landing zone avec l'intégration de AWS Config activée, les clients doivent disposer organizations:ListDelegatedAdministrators d'autorisations.
