Langkah 2: Luncurkan landing zone Anda menggunakan AWS Control Tower APIs - AWS Control Tower
Membuat file manifesMenggunakan CreateLandingZone APIApa yang Diubah di landing zone versi 4.0

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 2: Luncurkan landing zone Anda menggunakan AWS Control Tower APIs

Anda dapat menggunakan AWS Control Tower APIs untuk meluncurkan landing zone. Bagian ini menjelaskan cara membuat file manifes landing zone yang diperlukan dan menggunakannya dengan operasi CreateLandingZone API.

Membuat file manifes

File manifes adalah dokumen JSON yang menentukan konfigurasi landing zone Anda. Dengan landing zone versi 4.0, banyak komponen sekarang opsional, memungkinkan penerapan yang lebih fleksibel.

Struktur Manifes

Di bawah ini adalah struktur lengkap file manifes dengan semua konfigurasi yang tersedia:


{
    "accessManagement": {
        "enabled": true    // Required - Controls IAM Identity Center integration
    },
    "backup": {
        "enabled": true,   // Required - Controls AWS Backup integration
        "configurations": {
            "backupAdmin": {
                "accountId": "111122223333"    // Backup administrator account
            },
            "centralBackup": {
                "accountId": "111122224444"    // Central backup account
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "centralizedLogging": {
        "accountId": "111122225555",    // Log archive account
        "enabled": true,                // Required - Controls centralized logging
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "config": {
        "accountId": "111122226666",    // Config aggregator account
        "enabled": true,                // Required - Controls AWS Config integration
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "governedRegions": [               // Optional - List of regions to govern
        "us-east-1",
        "us-west-2"
    ],
    "securityRoles": {
        "enabled": true,               // Required - Controls security roles creation
        "accountId": ""111122226666"    // Security/Audit account
    }
}

Catatan Penting

  • Semua enabled bendera diperlukan dalam manifes.

  • Jika Anda menonaktifkan integrasi AWS Config ("config.enabled": false), Anda juga harus menonaktifkan integrasi berikut:

    • Peran Keamanan ("securityRoles.enabled": false)

    • Manajemen Akses ("accessManagement.enabled": false)

    • Cadangan ("backup.enabled": false)

  • Akun IDs harus berupa AWS akun IDs 12 digit yang valid.

  • Kunci KMS ARNs harus merupakan AWS KMS kunci ARNs yang valid.

  • Hari retensi harus minimal 1.

Menggunakan CreateLandingZone API

Untuk membuat landing zone menggunakan API:


                    aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json

API akan mengembalikan ID operasi landing zone yang dapat Anda gunakan untuk melacak kemajuan pembuatan landing zone Anda. Contoh respons:


{
    "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
    "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}

Anda dapat memantau status operasi menggunakan GetLandingZoneOperation API yang mengembalikan statusSUCCEEDED,FAILED, atauIN_PROGRESS:


                    aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"

Apa yang Diubah di landing zone versi 4.0

Perubahan penting pada struktur dan persyaratan manifes:

  • Struktur Organisasi

    • organizationStructuredefinisi telah dihapus dari manifes

    • Pelanggan sekarang dapat menentukan struktur organisasi mereka sendiri

    • Satu-satunya persyaratan: Akun integrasi layanan harus berada di OU yang sama langsung di bawah root

  • Bendera yang Diaktifkan

    • Semua konfigurasi integrasi layanan memiliki enabled bendera yang sekarang menjadi bidang wajib.

    • Pelanggan harus selalu memberikan nilai boolean. Tidak ada nilai default yang disediakan.

    • Pelanggan perlu secara eksplisit enable/disable setiap konfigurasi integrasi layanan dalam manifes:

      • accessManagement

      • backup

      • centralizedLogging

      • config

      • securityRoles

  • Peran Keamanan

    • Integrasi Peran Keamanan sekarang opsional

    • enabledBendera baru diperkenalkan untuk mengelola securityRoles penyebaran

    • Saat dinonaktifkan, fitur keamanan terkait tidak akan diterapkan

  • AWS Integrasi Config

    • Bagian integrasi layanan AWS Config baru ditambahkan ke manifes seperti pada config bidang berikut:

      • enabled: Bendera boolean yang diperlukan untuk mengelola penerapan integrasi AWS Config

      • accountId: ID akun AWS untuk agregator AWS Config

      • konfigurasi:

        • accessLoggingBucket.retentionDays: Periode retensi untuk log akses

        • loggingBucket.retentionDays: Periode retensi untuk log AWS Config

        • kmsKeyArn: Kunci KMS untuk enkripsi