Langkah 1: Konfigurasikan landing zone Anda - AWS Control Tower
Langkah 1. Buat organisasi yang akan berisi landing zone Anda:Langkah 2. Penyediaan akun integrasi layanan jika diperlukan:Langkah 3. Buat peran layanan yang diperlukan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 1: Konfigurasikan landing zone Anda

Proses pengaturan zona landing AWS Control Tower Anda memiliki beberapa langkah. Aspek tertentu dari zona landing zone AWS Control Tower Anda dapat dikonfigurasi, tetapi pilihan lain tidak dapat diubah setelah penyiapan. Untuk mempelajari lebih lanjut tentang pertimbangan penting ini sebelum meluncurkan landing zone Anda, tinjau Ekspektasi untuk konfigurasi landing zone.

Sebelum menggunakan landing zone AWS Control Tower APIs, Anda harus terlebih dahulu menelepon APIs dari AWS layanan lain untuk mengonfigurasi landing zone sebelum diluncurkan. Prosesnya mencakup tiga langkah utama:

  1. menciptakan AWS organisasi Organizations baru,

  2. menyiapkan akun integrasi layanan Anda,

  3. dan membuat peran IAM atau pengguna IAM Identity Center dengan izin yang diperlukan untuk memanggil landing zone. APIs

Langkah 1. Buat organisasi yang akan berisi landing zone Anda:

Hubungi AWS Organizations CreateOrganization API dan aktifkan semua fitur untuk membuat Foundational OU. AWS Control Tower juga merekomendasikan pembuatan OU Keamanan yang ditunjuk. Keamanan OU ini harus berisi semua akun integrasi layanan Anda. Ini akan menjadi akun arsip log dan akun audit untuk versi Zona Pendaratan sebelumnya. 


aws organizations create-organization --feature-set ALL

AWS Control Tower dapat menyiapkan satu atau lebih Tambahan OUs. Kami menyarankan Anda menyediakan setidaknya satu OU Tambahan di landing zone Anda, selain Security OU. Jika OU Tambahan ini ditujukan untuk proyek pengembangan, sebaiknya beri nama Sandbox OU, seperti yang diberikan dalam strategi multi-akun AWS untuk landing zone AWS Control Tower Anda.

Langkah 2. Penyediaan akun integrasi layanan jika diperlukan:

Untuk mengatur landing zone Anda, AWS Control Tower memungkinkan pelanggan mengonfigurasi integrasi layanan AWS. Masing-masing integrasi layanan ini mungkin memerlukan satu atau lebih akun pusat integrasi layanan. Jika Anda menggunakan landing zone APIs untuk menyiapkan AWS Control Tower untuk pertama kalinya, Anda harus menyediakan akun integrasi pusat untuk setiap integrasi layanan AWS yang diaktifkan. Anda dapat menggunakan akun AWS yang ada atau menyediakan akun ini melalui konsol AWS Control Tower atau AWS Organizations APIs. Pastikan akun integrasi layanan ini berada di OU Keamanan yang ditunjuk yang berada di tingkat root di organisasi Anda.

  1. Hubungi AWS Organizations CreateAccount API untuk membuat akun arsip Log dan akun Audit di OU Keamanan.

    
                            aws organizations create-account --email mylog@example.com --account-name "Logging Account"
                            aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

    (Opsional) Periksa status CreateAccount operasi menggunakan AWS Organizations DescribeAccount API.

  2. Pindahkan akun integrasi layanan yang disediakan ke dalam OU Keamanan yang ditunjuk

    
                            aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security

Langkah 3. Buat peran layanan yang diperlukan

Buat peran layanan IAM berikut di jalur /service-role/ IAM yang memungkinkan AWS Control Tower menjalankan panggilan API yang diperlukan untuk menyiapkan landing zone Anda:

Untuk informasi selengkapnya tentang peran ini dan kebijakannya, lihatMenggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Control Tower.

Untuk membuat peran IAM:

Buat peran IAM dengan izin yang diperlukan untuk memanggil semua landing zone. APIs Atau, Anda dapat membuat pengguna Pusat Identitas IAM dan menetapkan izin yang diperlukan. 


{
    "Version": "2012-10-17",		 	 	                    
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}
catatan

Saat memutakhirkan ke landing zone versi 4.0 dengan integrasi AWS Config diaktifkan, pelanggan harus organizations:ListDelegatedAdministrators memiliki izin.