Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Langkah 2. Konfigurasikan dan luncurkan landing zone Anda
<a name="step-two"></a>

Sebelum meluncurkan landing zone AWS Control Tower, tentukan Wilayah asal yang paling tepat. Untuk informasi selengkapnya, lihat [Kiat administratif untuk pengaturan landing zone](tips-for-admin-setup.md).

**penting**  
Mengubah Wilayah asal Anda setelah menerapkan landing zone AWS Control Tower memerlukan penonaktifan serta bantuan Support. AWS Praktek ini tidak dianjurkan.

Pelajari cara mengonfigurasi dan meluncurkan landing zone Anda menggunakan AWS CLI in[Memulai AWS Control Tower menggunakan APIs](getting-started-apis.md). 

Untuk mengonfigurasi dan meluncurkan landing zone Anda di konsol, lakukan serangkaian langkah berikut.

**Siapkan: Arahkan ke konsol AWS Control Tower**

1. Buka browser web, dan navigasikan ke konsol AWS Control Tower di [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower).

1. Di konsol, verifikasi bahwa Anda bekerja di Wilayah rumah yang Anda inginkan untuk AWS Control Tower. Kemudian pilih **Siapkan landing zone Anda**.

# Langkah 2a. Tinjau dan pilih AWS Wilayah Anda
<a name="pricing-and-regions"></a>

Pastikan Anda telah menetapkan AWS Wilayah yang Anda pilih dengan benar untuk Wilayah asal Anda. Setelah menerapkan AWS Control Tower, Anda tidak dapat mengubah Wilayah beranda.

Di bagian proses penyiapan ini, Anda dapat menambahkan AWS Wilayah tambahan apa pun yang Anda butuhkan. Anda dapat menambahkan lebih banyak Wilayah di lain waktu, jika diperlukan, dan Anda dapat menghapus Wilayah dari tata kelola.

**Untuk memilih AWS Wilayah tambahan untuk diatur**

1. Panel menunjukkan pilihan Wilayah saat ini. Buka menu tarik-turun untuk melihat daftar Wilayah tambahan yang tersedia untuk tata kelola.

1. Centang kotak di samping setiap Wilayah untuk dibawa ke tata kelola oleh AWS Control Tower. Rumah Anda Pilihan wilayah tidak dapat diedit.

**Untuk menolak akses ke Wilayah tertentu**

Untuk menolak akses ke AWS sumber daya dan beban kerja di AWS Wilayah tertentu, pilih **Diaktifkan** di bagian untuk wilayah tolak kontrol. Secara default, pengaturan untuk kontrol ini **Tidak diaktifkan**.

# Langkah 2b. Konfigurasikan unit organisasi Anda (OUs)
<a name="configure-ous"></a>

Jika Anda menerima nama default ini OUs, tidak ada tindakan yang perlu Anda ambil untuk penyiapan untuk melanjutkan. Untuk mengubah nama OUs, masukkan nama baru langsung di bidang formulir.
+ **Foundational OU** **— AWS Control Tower mengandalkan **Foundational OU** yang awalnya bernama Security OU.** Anda dapat mengubah nama OU ini selama pengaturan awal dan sesudahnya, dari halaman detail OU. **OU Keamanan** ini berisi dua akun bersama Anda, yang secara default disebut akun **arsip log** dan akun **audit**.
+ **OU Tambahan** — AWS Control Tower dapat menyiapkan satu atau lebih **Tambahan OUs** untuk Anda. Kami menyarankan Anda menyediakan setidaknya satu **OU Tambahan** di landing zone Anda, selain **Security OU**. Jika OU Tambahan ini ditujukan untuk proyek pengembangan, kami sarankan Anda menamainya **Sandbox OU**, seperti yang diberikan dalam[Pedoman untuk mengatur lingkungan yang dirancang dengan baik](aws-multi-account-landing-zone.md#guidelines-for-multi-account-setup). Jika Anda sudah memiliki OU yang sudah ada AWS Organizations, Anda mungkin melihat opsi untuk melewatkan pengaturan OU Tambahan di AWS Control Tower. 

# Langkah 2c. Konfigurasikan akun bersama, pencatatan, dan enkripsi Anda
<a name="configure-shared-accounts"></a>

Di bagian proses penyiapan ini, panel menampilkan pilihan default untuk nama akun AWS Control Tower bersama Anda. Akun ini adalah bagian penting dari landing zone Anda. **Jangan memindahkan atau menghapus akun bersama ini**. Anda dapat memilih nama yang disesuaikan untuk akun **audit** dan **arsip log** selama penyiapan. Atau, Anda memiliki opsi satu kali untuk menentukan AWS akun yang ada sebagai akun bersama Anda.

Anda harus memberikan alamat email unik untuk arsip log dan akun audit Anda, dan Anda dapat memverifikasi alamat email yang sebelumnya Anda berikan untuk akun manajemen Anda. Pilih tombol **Edit** untuk mengubah nilai default yang dapat diedit.

**Tentang akun bersama**
+ **Akun manajemen — Akun manajemen** AWS Control Tower adalah bagian dari level Root. Akun manajemen memungkinkan penagihan AWS Control Tower. Akun ini juga memiliki izin administrator untuk landing zone Anda. Anda tidak dapat membuat akun terpisah untuk penagihan dan izin administrator di AWS Control Tower.

  Alamat email yang ditampilkan untuk akun manajemen tidak dapat diedit selama fase pengaturan ini. Ini ditampilkan sebagai konfirmasi, sehingga Anda dapat memeriksa apakah Anda mengedit akun manajemen yang benar, jika Anda memiliki beberapa akun.
+  **Dua akun bersama** — Anda dapat memilih nama yang disesuaikan untuk kedua akun ini, atau membawa akun Anda sendiri, dan Anda harus memberikan alamat email unik untuk setiap akun, baik yang baru maupun yang sudah ada. Jika Anda memilih AWS Control Tower membuat akun bersama baru untuk Anda, alamat email tersebut harus belum memiliki AWS akun terkait.

**Untuk mengonfigurasi akun bersama, isi informasi yang diminta.**

1. Di konsol, masukkan nama untuk akun yang awalnya disebut akun **arsip log**. Banyak pelanggan memutuskan untuk menyimpan nama default untuk akun ini.

1. Berikan alamat email unik untuk akun ini.

1. Masukkan nama untuk akun yang awalnya disebut akun **audit**. Banyak pelanggan memilih untuk menyebutnya akun **Keamanan**.

1. Berikan alamat email unik untuk akun ini.

# Konfigurasikan retensi log secara opsional
<a name="configure-log-retention"></a>

Selama fase penyiapan ini, Anda dapat menyesuaikan kebijakan penyimpanan log untuk bucket Amazon S3 yang menyimpan AWS CloudTrail log Anda di AWS Control Tower, dalam beberapa hari atau tahun, hingga maksimal 15 tahun. Jika Anda memilih untuk tidak menyesuaikan retensi log Anda, pengaturan default adalah satu tahun untuk pencatatan akun standar dan 10 tahun untuk pencatatan akses. Fitur ini juga tersedia saat Anda memperbarui atau mengatur ulang landing zone Anda.

# Akses kelola sendiri Akun AWS secara opsional
<a name="select-idp"></a>

Anda dapat memilih apakah AWS Control Tower menyiapkan Akun AWS akses dengan AWS Identity and Access Management (IAM), atau apakah akan mengelola Akun AWS akses sendiri—baik dengan pengguna AWS IAM Identity Center, peran, dan izin yang dapat Anda atur dan sesuaikan sendiri, atau dengan metode lain *seperti iDP eksternal, baik untuk federasi akun langsung atau federasi ke beberapa akun melalui Pusat Identitas* IAM. Anda dapat mengubah pilihan ini nanti.

Secara default, AWS Control Tower menyiapkan Pusat AWS Identitas IAM untuk landing zone Anda, selaras dengan panduan praktik terbaik yang ditentukan dalam [Mengatur AWS lingkungan Anda menggunakan](https://docs.aws.amazon.com//whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) beberapa akun. Sebagian besar pelanggan memilih default. Metode akses alternatif kadang-kadang diperlukan, untuk kepatuhan peraturan di industri atau negara tertentu, atau di Wilayah AWS mana Pusat AWS Identitas IAM tidak tersedia.

Pemilihan penyedia identitas di tingkat akun tidak didukung. Opsi ini hanya berlaku untuk landing zone secara keseluruhan.

Untuk informasi selengkapnya, lihat [Panduan Pusat Identitas IAM](sso-guidance.md).

# Konfigurasikan AWS CloudTrail jalur secara opsional
<a name="configure-org-trails"></a>

Sebagai praktik terbaik, kami menyarankan Anda mengatur pencatatan. Jika Anda ingin mengizinkan AWS Control Tower menyiapkan CloudTrail jejak tingkat organisasi dan mengelolanya untuk Anda, pilih **Opt** in. Jika Anda ingin mengelola pencatatan dengan CloudTrail jalur Anda sendiri atau alat pencatatan pihak ketiga, pilih **Opt out**. Konfirmasikan pilihan Anda saat diminta untuk melakukannya di konsol. Anda dapat mengubah pilihan, dan memilih, atau memilih keluar dari, jalur tingkat organisasi saat memperbarui landing zone.

Anda dapat mengatur dan mengelola CloudTrail jalur Anda sendiri kapan saja, termasuk jalur tingkat organisasi dan tingkat akun. Jika Anda menyiapkan CloudTrail jejak duplikat, Anda mungkin dikenakan biaya duplikat saat CloudTrail peristiwa dicatat.

# Konfigurasikan secara opsional AWS KMS keys
<a name="configure-kms-keys"></a>

Jika Anda ingin mengenkripsi dan mendekripsi sumber daya Anda dengan kunci AWS KMS enkripsi, pilih kotak centang. Jika Anda memiliki kunci yang ada, Anda akan dapat memilihnya dari pengidentifikasi yang ditampilkan di menu tarik-turun. Anda dapat menghasilkan kunci baru dengan memilih **Buat kunci**. Anda dapat menambahkan atau mengubah kunci KMS setiap kali Anda memperbarui landing zone Anda.

Saat Anda memilih **Siapkan landing zone**, AWS Control Tower melakukan pra-pemeriksaan untuk memvalidasi kunci KMS Anda. Kuncinya harus memenuhi persyaratan ini:
+ Diaktifkan
+ Simetris
+ Bukan kunci Multi-wilayah
+ Memiliki izin yang benar ditambahkan ke kebijakan
+ Kunci ada di akun manajemen

Anda mungkin melihat spanduk kesalahan jika kunci tidak memenuhi persyaratan ini. Dalam hal ini, pilih kunci lain atau buat kunci. Pastikan untuk mengedit kebijakan izin kunci, seperti yang dijelaskan di bagian berikutnya.

## Perbarui kebijakan kunci KMS
<a name="kms-key-policy-update"></a>

 Sebelum Anda dapat memperbarui kebijakan kunci KMS, Anda harus membuat kunci KMS. Untuk informasi selengkapnya, lihat [Membuat kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) di *Panduan Developer AWS Key Management Service *. 

 Untuk menggunakan kunci KMS dengan AWS Control Tower, Anda harus memperbarui kebijakan kunci KMS default dengan menambahkan izin minimum yang diperlukan untuk dan. AWS Config AWS CloudTrail Sebagai praktik terbaik, kami menyarankan Anda menyertakan izin minimum yang diperlukan dalam kebijakan apa pun. Saat memperbarui kebijakan kunci KMS, Anda dapat menambahkan izin sebagai grup dalam satu pernyataan JSON atau baris demi baris. 

 Prosedur ini menjelaskan cara memperbarui kebijakan kunci KMS default di AWS KMS konsol dengan menambahkan pernyataan kebijakan yang memungkinkan AWS Config dan digunakan CloudTrail AWS KMS untuk enkripsi. Pernyataan kebijakan mengharuskan Anda menyertakan informasi berikut: 
+  **`YOUR-MANAGEMENT-ACCOUNT-ID`**— ID akun manajemen tempat AWS Control Tower akan disiapkan. 
+  **`YOUR-HOME-REGION`**— Wilayah rumah yang akan Anda pilih saat menyiapkan AWS Control Tower. 
+  **`YOUR-KMS-KEY-ID`**— ID kunci KMS yang akan digunakan dengan kebijakan. 

**Untuk memperbarui kebijakan kunci KMS**

1.  Buka AWS KMS konsol di [https://console.aws.amazon.com//kms](https://console.aws.amazon.com//kms)

1.  Dari panel navigasi, pilih **Kunci yang dikelola pelanggan**. 

1.  Dalam tabel, pilih tombol yang ingin Anda edit. 

1.  Di tab **Kebijakan kunci**, pastikan Anda dapat melihat kebijakan kunci. Jika Anda tidak dapat melihat kebijakan utama, pilih **Beralih ke tampilan kebijakan**. 

1.  Pilih **Edit**, dan perbarui kebijakan kunci KMS default dengan menambahkan pernyataan kebijakan berikut untuk AWS Config dan CloudTrail. 

    **AWS Config pernyataan kebijakan** 

   ```
   {
       "Sid": "Allow Config to use KMS for encryption",
       "Effect": "Allow",
       "Principal": {
           "Service": "config.amazonaws.com"
       },
       "Action": [
           "kms:Decrypt",
           "kms:GenerateDataKey"
       ],
       "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
   }
   ```

    **CloudTrail pernyataan kebijakan** 

   ```
   {
       "Sid": "Allow CloudTrail to use KMS for encryption",
       "Effect": "Allow",
       "Principal": {
           "Service": "cloudtrail.amazonaws.com"
       },
       "Action": [
           "kms:GenerateDataKey*",
           "kms:Decrypt"
       ],
       "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
       "Condition": {
           "StringEquals": {
               "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
           },
           "StringLike": {
               "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
           }
       }
   }
   ```

1.  Pilih **Simpan perubahan**. 

 **Contoh kebijakan kunci KMS** 

 Contoh kebijakan berikut menunjukkan seperti apa kebijakan kunci KMS Anda setelah menambahkan pernyataan kebijakan yang memberikan AWS Config dan izin minimum CloudTrail yang diperlukan. Kebijakan contoh tidak menyertakan kebijakan kunci KMS default Anda. 

```
{
    "Version": "2012-10-17",		 	 	 
    "Id": "CustomKMSPolicy",
    "Statement": [
        {
        ... YOUR-EXISTING-POLICIES ...
        },
        {
            "Sid": "Allow Config to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
        },
        {
            "Sid": "Allow CloudTrail to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
              ],
            "Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:PARTITION:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:PARTITION:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
                }
            }
        }
    ]
}
```

 Untuk melihat contoh kebijakan lainnya, lihat halaman berikut: 
+  [Memberikan izin enkripsi di Panduan](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html#create-kms-key-policy-for-cloudtrail-encrypt) *Pengguna.AWS CloudTrail * 
+  [Izin yang Diperlukan untuk Kunci KMS Saat Menggunakan Pengiriman Bucket Roless3 Tertaut Layanan](https://docs.aws.amazon.com//config/latest/developerguide/s3-kms-key-policy.html#required-permissions-s3-kms-key-using-servicelinkedrole)*) di Panduan Pengembang.AWS Config * 

**Melindungi dari penyerang**  
 Dengan menambahkan kondisi tertentu ke kebijakan Anda, Anda dapat membantu mencegah jenis serangan tertentu, yang dikenal sebagai serangan *wakil bingung*, yang terjadi jika entitas memaksa entitas yang lebih istimewa untuk melakukan tindakan, seperti dengan peniruan identitas lintas layanan. Untuk informasi umum tentang kondisi kebijakan, lihat juga[Menentukan kondisi dalam kebijakan](access-control-overview.md#specifying-conditions).

The AWS Key Management Service (AWS KMS) memungkinkan Anda membuat kunci KMS Multi-region dan kunci asimetris; namun, AWS Control Tower tidak mendukung kunci Multi-region atau kunci asimetris. AWS Control Tower melakukan pra-pemeriksaan kunci yang ada. Anda mungkin melihat pesan galat jika memilih tombol Multi-region atau tombol asimetris. Dalam hal ini, buat kunci lain untuk digunakan dengan sumber daya AWS Control Tower.

Untuk informasi selengkapnya AWS KMS, lihat [Panduan AWS KMS Pengembang.](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)

Perhatikan bahwa data pelanggan di AWS Control Tower dienkripsi saat istirahat, secara default, menggunakan SSE-S3.

# Konfigurasikan pendaftaran otomatis untuk akun secara opsional
<a name="configure-auto-enroll"></a>

Saat Anda mengaktifkan fitur ini selama penyiapan, atau yang lebih baru, akun yang dipindahkan di antara dua yang terdaftar OUs, atau dipindahkan ke lingkungan AWS Control Tower untuk pertama kalinya, tidak lagi menampilkan status penyimpangan warisan. Akun secara otomatis mewarisi garis dasar dan kontrol yang diaktifkan pada OU baru. Kontrol dan garis dasar dari OU sebelumnya dihapus.

Untuk ikut serta dalam pendaftaran otomatis kapan saja setelah penyiapan, buka halaman **Pengaturan** landing zone dan pilih Perbarui landing **zone**, atau hubungi AWS Control Tower API. `UpdateLandingZone`

Anda dapat memindahkan akun OUs melalui AWS Organizations API, atau melalui konsol AWS Control Tower. Jika Anda memindahkan akun di luar OU yang terdaftar, AWS Control Tower menghapus semua garis dasar dan kontrol yang diterapkan, secara otomatis. Ini pada dasarnya membuka pendaftaran akun dari AWS Control Tower.

**catatan**  
Jika Anda memilih untuk mengaktifkan kemampuan pendaftaran otomatis setelah penyiapan awal landing zone, AWS Control Tower tidak secara retroaktif menyelesaikan penyimpangan warisan yang disebabkan oleh pemindahan akun antara OUs sebelum kemampuan pendaftaran otomatis diaktifkan. Resolusi drift otomatis berlaku untuk akun yang dipindahkan setelah Anda mengaktifkan pengaturan ini.

# Konfigurasikan dan buat akun anggota yang disesuaikan secara opsional
<a name="configure-customized-accounts"></a>

Saat Anda mengikuti alur kerja **Buat akun** untuk menambahkan akun anggota, Anda dapat secara opsional menentukan *cetak biru yang telah ditentukan sebelumnya yang akan digunakan untuk menyediakan akun anggota yang disesuaikan dari konsol* AWS Control Tower. Anda dapat menyesuaikan akun nanti jika Anda tidak memiliki cetak biru yang tersedia. Lihat [Kustomisasi akun dengan Kustomisasi Account Factory (AFC)](af-customization-page.md).