Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Inizia a usare AWS Control Tower utilizzando APIs
Questa procedura introduttiva è destinata agli amministratori di AWS Control Tower. Questa procedura richiede alcuni prerequisiti e include due passaggi principali.
In questa procedura, APIs utilizzerai AWS Control Tower e altri AWS servizi per configurare e avviare una landing zone. Questi APIs consentono di creare un ambiente AWS Control Tower in modo programmatico, [tramite la CloudFormation console](lz-apis-cfn.md) o tramite. AWS CLI
Prima di lanciare la landing zone di AWS Control Tower, esegui queste attività preliminari:
+ Determina la regione d'origine più appropriata. Per ulteriori informazioni, consulta [Suggerimenti amministrativi per la configurazione delle landing zone](tips-for-admin-setup.md).
+ Consulta questa pagina [Prerequisito: controlli automatici prima del lancio per il tuo account di gestione](getting-started-prereqs.md) per scoprire i controlli automatici prima del lancio che assicurano che il tuo account di gestione sia pronto per le modifiche che stabiliscono la tua landing zone.
**Topics**
+ [Aspettative per la configurazione della landing zone con APIs](getting-started-expectations-api.md)
+ [Fase 1: Configura la tua landing zone](lz-api-prereques.md)
+ [Fase 2: Avvia la landing zone utilizzando AWS Control Tower APIs](lz-api-launch.md)
+ [Identifica la tua landing zone](lz-api-list.md)
+ [Aggiorna la tua landing zone](lz-api-update.md)
+ [Reimposta la landing zone per risolvere la deriva](lz-api-reset.md)
+ [Visualizza i dettagli del file manifest della tua landing zone](lz-manifest-file.md)
+ [Visualizza lo stato delle operazioni nelle tue landing zone](lz-api-examples-short.md)
+ [Esempi: configura una landing zone di AWS Control Tower APIs solo con](walkthrough-api-setup.md)
+ [Schemi delle zone di atterraggio](landing-zone-schemas.md)
+ [Avvia una landing zone usando CloudFormation](lz-apis-cfn.md)
# Aspettative per la configurazione della landing zone con APIs
Il processo di configurazione della landing zone di AWS Control Tower prevede diversi passaggi. Alcuni aspetti della landing zone di AWS Control Tower sono configurabili. Le altre scelte non possono essere modificate dopo la configurazione.
**Elementi chiave da configurare durante l'installazione**
+ È possibile selezionare i nomi delle unità organizzative fondamentali durante la configurazione e modificare i nomi delle unità organizzative dopo aver configurato la landing zone. **Per impostazione predefinita, i Foundational OUs sono denominati **Security e Sandbox**.** Per ulteriori informazioni, consulta [Linee guida per configurare un ambiente ben progettato](aws-multi-account-landing-zone.md#guidelines-for-multi-account-setup).
+ Durante la configurazione, puoi selezionare nomi personalizzati per gli account condivisi creati da AWS Control Tower, denominati **log archive** and **audit** per impostazione predefinita, ma non puoi modificare questi nomi dopo la configurazione. (Questa è una selezione una tantum).
+ Durante la configurazione con APIs, è *necessario* specificare AWS gli account esistenti per AWS Control Tower da utilizzare come account di controllo e archiviazione dei log. Per specificare AWS gli account esistenti, se tali account dispongono di AWS Config risorse esistenti, è necessario eliminare o modificare le AWS Config risorse esistenti prima di poter registrare gli account in AWS Control Tower. (Questa è una selezione una tantum).
+ Se stai effettuando la configurazione per la prima volta o se stai effettuando l'aggiornamento alla versione 3.0 di landing zone, puoi scegliere se consentire ad AWS Control Tower di configurare un AWS CloudTrail percorso a livello di organizzazione per la tua organizzazione oppure puoi disattivare i percorsi gestiti da AWS Control Tower e gestire i tuoi percorsi. CloudTrail Puoi attivare o disattivare i percorsi a livello di organizzazione gestiti da AWS Control Tower ogni volta che aggiorni la tua landing zone.
+ Facoltativamente, puoi impostare una politica di conservazione personalizzata per il tuo bucket di log Amazon S3 e il tuo bucket di accesso ai log, quando configuri o aggiorni la landing zone.
**Scelte di configurazione che non possono essere annullate**
+ Non puoi cambiare la tua regione d'origine dopo aver configurato la landing zone.
+ Se esegui il provisioning degli account con VPCs, il CIDRs VPC non può essere modificato dopo la loro creazione.
Le sezioni successive forniscono i prerequisiti e i passaggi di configurazione in dettaglio, con spiegazioni e avvertenze. Per ulteriori esempi di codice, vedere. [Esempi: configura una landing zone di AWS Control Tower APIs solo con](walkthrough-api-setup.md)
# Fase 1: Configura la tua landing zone
Il processo di configurazione della landing zone di AWS Control Tower prevede diversi passaggi. Alcuni aspetti della landing zone di AWS Control Tower sono configurabili, ma altre scelte non possono essere modificate dopo la configurazione. Per ulteriori informazioni su queste importanti considerazioni prima di lanciare la landing zone, consulta [Expectations for landing zone configuration](getting-started-configure.md).
Prima di utilizzare la landing zone di AWS Control Tower APIs, devi prima chiamare APIs da altri AWS servizi per configurare la tua landing zone prima del lancio. Il processo include tre fasi principali:
1. creazione di una nuova organizzazione AWS Organizations,
1. configurazione degli account di integrazione dei servizi,
1. e creando un ruolo IAM o un utente IAM Identity Center con le autorizzazioni richieste per chiamare la landing zone APIs.
## Passaggio 1. Crea l'organizzazione che conterrà la tua landing zone:
Chiama l'`CreateOrganization`API AWS Organizations e abilita tutte le funzionalità per creare l'**unità organizzativa Foundational.** AWS Control Tower consiglia inoltre di creare un'unità organizzativa **di sicurezza designata**. Questa unità organizzativa di sicurezza deve contenere tutti gli account di integrazione del servizio. Questi sarebbero l'account di **archiviazione dei log** e l'account di **controllo** per le versioni precedenti di Landing Zone.
```
aws organizations create-organization --feature-set ALL
```
AWS Control Tower può configurare uno o più componenti **aggiuntivi OUs**. Ti consigliamo di fornire almeno un'unità organizzativa aggiuntiva nella tua landing zone, oltre all'unità organizzativa di sicurezza. Se questa unità organizzativa aggiuntiva è destinata a progetti di sviluppo, ti consigliamo di denominarla **Sandbox OU**, come indicato nella [strategia multi-account AWS per la tua landing zone di AWS Control Tower](aws-multi-account-landing-zone.md).
## Passaggio 2. Fornisci account di integrazione dei servizi, se necessario:
Per configurare la landing zone, AWS Control Tower consente ai clienti di configurare le integrazioni dei servizi AWS. Ciascuna di queste integrazioni di servizi può richiedere uno o più account centrali di integrazione dei servizi. Se utilizzi la landing zone APIs per configurare AWS Control Tower per la prima volta, devi fornire l'account di integrazione centrale per ogni integrazione di servizi AWS abilitata. Puoi utilizzare account AWS esistenti o effettuare il provisioning di tali account tramite la console AWS Control Tower o AWS Organizations APIs. **Assicurati che questi account di integrazione dei servizi si trovino nell'unità organizzativa di sicurezza designata, che si trova al livello principale della tua organizzazione.**
1. Chiama l'`CreateAccount`API AWS Organizations per creare l'account di **archiviazione dei log** e l'account di **audit** nell'**unità organizzativa di sicurezza**.
```
aws organizations create-account --email mylog@example.com --account-name "Logging Account"
aws organizations create-account --email mysecurity@example.com --account-name "Security Account"
```
(Facoltativo) Controlla lo stato dell'`CreateAccount`operazione utilizzando l'`DescribeAccount`API AWS Organizations.
1. Sposta gli account di integrazione del servizio forniti nell'unità organizzativa di **sicurezza** designata
```
aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security
```
## Fase 3. Creare i ruoli di servizio richiesti
Crea i seguenti ruoli di servizio IAM nel percorso `/service-role/` IAM che consentono ad AWS Control Tower di eseguire le chiamate API necessarie per configurare la tua landing zone:
+ [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerAdmin](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerAdmin)
+ [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRole](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRole)
+ [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerStackSetRole](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerStackSetRole)
+ [https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#config-role-for-organizations](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#config-role-for-organizations)
Per ulteriori informazioni su questi ruoli e le relative politiche, consulta[Utilizzo di policy basate sull'identità (policy IAM) per AWS Control Tower](access-control-managing-permissions.md).
### Per creare un ruolo IAM:
Crea un ruolo IAM con le autorizzazioni necessarie per chiamare tutte le landing zone APIs. In alternativa, puoi creare un utente IAM Identity Center e assegnare le autorizzazioni necessarie.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"backup:UpdateGlobalSettings",
"controltower:CreateLandingZone",
"controltower:UpdateLandingZone",
"controltower:ResetLandingZone",
"controltower:DeleteLandingZone",
"controltower:GetLandingZoneOperation",
"controltower:GetLandingZone",
"controltower:ListLandingZones",
"controltower:ListLandingZoneOperations",
"controltower:ListTagsForResource",
"controltower:TagResource",
"controltower:UntagResource",
"servicecatalog:*",
"organizations:*",
"organizations:RegisterDelegatedAdministrator",
"organizations:EnableAWSServiceAccess",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"sso:*",
"sso-directory:*",
"logs:*",
"cloudformation:*",
"kms:*",
"iam:GetRole",
"iam:CreateRole",
"iam:GetSAMLProvider",
"iam:CreateSAMLProvider",
"iam:CreateServiceLinkedRole",
"iam:ListRolePolicies",
"iam:PutRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": "*"
}
]
}
```
**Nota**
Quando si esegue l'aggiornamento alla versione 4.0 della landing zone con l'integrazione di AWS Config abilitata, i clienti devono disporre delle autorizzazioni. `organizations:ListDelegatedAdministrators`
# Fase 2: Avvia la landing zone utilizzando AWS Control Tower APIs
Puoi usare AWS Control Tower APIs per avviare la tua landing zone. Questa sezione descrive come creare il *file manifest della landing zone* richiesto e utilizzarlo con l'operazione `CreateLandingZone` API.
## Creazione del file manifest
Il file manifest è un documento JSON che specifica la configurazione della landing zone. Con la versione 4.0 della landing zone, molti componenti sono ora opzionali, il che consente un'implementazione più flessibile.
### Struttura del manifesto
Di seguito è riportata la struttura completa del file manifest con tutte le configurazioni disponibili:
```
{
"accessManagement": {
"enabled": true // Required - Controls IAM Identity Center integration
},
"backup": {
"enabled": true, // Required - Controls AWS Backup integration
"configurations": {
"backupAdmin": {
"accountId": "111122223333" // Backup administrator account
},
"centralBackup": {
"accountId": "111122224444" // Central backup account
},
"kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
}
},
"centralizedLogging": {
"accountId": "111122225555", // Log archive account
"enabled": true, // Required - Controls centralized logging
"configurations": {
"accessLoggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"loggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
}
},
"config": {
"accountId": "111122226666", // Config aggregator account
"enabled": true, // Required - Controls AWS Config integration
"configurations": {
"accessLoggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"loggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
}
},
"governedRegions": [ // Optional - List of regions to govern
"us-east-1",
"us-west-2"
],
"securityRoles": {
"enabled": true, // Required - Controls security roles creation
"accountId": ""111122226666" // Security/Audit account
}
}
```
### Note importanti
+ Tutti i `enabled` flag sono obbligatori nel manifesto.
+ Se disabiliti AWS Config integration (`"config.enabled": false`), devi disabilitare anche le seguenti integrazioni:
+ Ruoli di sicurezza () `"securityRoles.enabled": false`
+ Gestione degli accessi (`"accessManagement.enabled": false`)
+ Backup (`"backup.enabled": false`)
+ L'account IDs deve essere valido a 12 cifre AWS . IDs
+ La chiave KMS ARNs deve essere una chiave valida. AWS KMS ARNs
+ I giorni di conservazione devono essere almeno 1.
## Utilizzo dell' CreateLandingZone API
Per creare la tua landing zone utilizzando l'API:
```
aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json
```
L'API restituirà un Landing Zone Operation ID che potrai utilizzare per monitorare lo stato di avanzamento della creazione della landing zone. Risposta di esempio:
```
{
"arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
"operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```
Puoi monitorare lo stato dell'operazione utilizzando l'`GetLandingZoneOperation`API che restituisce uno **stato** di `SUCCEEDED``FAILED`, oppure`IN_PROGRESS`:
```
aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"
```
## Cosa è cambiato nella versione 4.0 della landing zone
Modifiche importanti alla struttura e ai requisiti del manifesto:
+ Struttura organizzativa
+ `organizationStructure`la definizione è stata rimossa dal manifesto
+ I clienti possono ora definire la propria struttura organizzativa
+ Unico requisito: gli account di integrazione dei servizi devono trovarsi nella stessa unità organizzativa direttamente sotto root
+ Bandiere abilitate
+ Tutte le configurazioni di integrazione dei servizi hanno un `enabled` flag che ora è un campo obbligatorio.
+ I clienti devono sempre fornire un valore booleano. Non vengono forniti valori predefiniti.
+ I clienti devono specificare esplicitamente enable/disable ogni configurazione di integrazione del servizio nel manifesto:
+ `accessManagement`
+ `backup`
+ `centralizedLogging`
+ `config`
+ `securityRoles`
+ Ruoli di sicurezza
+ L'integrazione dei ruoli di sicurezza è ora facoltativa
+ È stato introdotto un nuovo `enabled` flag per gestire la `securityRoles` distribuzione
+ Se disabilitate, le relative funzionalità di sicurezza non verranno implementate
+ AWS Integrazione Config
+ Nuova sezione di integrazione del servizio AWS Config aggiunta al manifesto `config` con i seguenti campi:
+ `enabled`: flag booleano richiesto per gestire la distribuzione dell'integrazione con AWS Config
+ `accountId`: ID account AWS per AWS Config aggregator
+ configurazioni:
+ `accessLoggingBucket.retentionDays`: Periodo di conservazione dei log di accesso
+ `loggingBucket.retentionDays`: Periodo di conservazione per i log di AWS Config
+ `kmsKeyArn`: chiave KMS per la crittografia
# Identifica la tua landing zone
`ListLandingZones`Le chiamate possono aiutarti a determinare se il tuo account è già configurato con AWS Control Tower. Questa API restituisce un identificatore di zona di atterraggio (ARN) in **qualsiasi** regione commerciale, indipendentemente dalla regione di origine della landing zone. ARNs Le zone di atterraggio sono uniche a livello regionale.
```
aws controltower list-landing-zones --region us-east-1
```
Per [le regioni opt-in](https://docs.aws.amazon.com/controltower/latest/userguide/opt-in-region-considerations.html), l'`ListLandingZones`API restituisce l'identificatore della landing zone solo *se si chiama l'API nella stessa regione della regione principale dell'API*. Ad esempio, se la tua landing zone è configurata in af-south-1 e chiami af-south-1, l'API restituisce l'`ListLandingZones`*identificatore* della zona di atterraggio. **Se la tua landing zone è configurata in af-south-1 e chiami *ap-east-1, l'API non `ListLandingZones` restituisce* l'identificatore della zona di atterraggio.**
**Output:**
```
{
"landingZones" [
"arn": "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"
]
}
```
# Aggiorna la tua landing zone
Quando è disponibile una nuova versione della landing zone o per apportare altri aggiornamenti alla configurazione della landing zone, puoi chiamare l'`UpdateLandingZone`API e fare riferimento a un file manifest della zona di atterraggio aggiornato. Questa API restituisce un `OperationIdentifier` file, che puoi quindi utilizzare quando chiami l'`GetLandingZoneOperation`API per verificare lo stato dell'operazione di aggiornamento.
**Per aggiornare la landing zone**
1. Chiama l'`UpdateLandingZone`API AWS Control Tower e fai riferimento alla **versione aggiornata della landing zone** o al **file manifest della zona di atterraggio aggiornato**.
```
aws controltower update-landing-zone --landing-zone-version 3.3 --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H" --manifest file://LandingZoneManifest.json
```
**Esempio di LandingZoneManifest file.json**, con regioni e registrazione centralizzata:
```
{
"governedRegions": ["us-west-2","us-west-1"],
"organizationStructure": {
"security": {
"name": "Security"
},
"sandbox": {
"name": "Sandbox"
}
},
"centralizedLogging": {
"accountId": "LOG ARCHIVE ACCOUNT ID",
"configurations": {
"loggingBucket": {
"retentionDays":2555
},
"accessLoggingBucket": {
"retentionDays": 2555
},
"kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX"
},
"enabled": true
},
"securityRoles": {
"accountId": "SECURITY ACCOUNT ID"
},
"accessManagement": {
"enabled": true
}
}
```
**Output:**
```
{
"operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```
**Facoltativamente, registrare nuovamente l'unità organizzativa per aggiornare gli account**
Per le AWS Control Tower registrate OUs con meno di 1000 account, puoi utilizzare la console AWS Control Tower, accedere alla **pagina OU** nella dashboard e selezionare **Re-register OU** per aggiornare gli account in quell'unità organizzativa.
# Reimposta la landing zone per risolvere la deriva
Quando crei la landing zone, la landing zone e tutte le unità organizzative (OUs), gli account e le risorse sono conformi alle regole di governance applicate dai controlli scelti. Man mano che tu e i membri della tua organizzazione utilizzate la landing zone, potrebbero verificarsi cambiamenti in questo stato di conformità. Queste modifiche sono chiamate *deriva*.
Per sapere se la tua landing zone è alla deriva, puoi chiamare l'`GetLandingZone`API. Questa API restituisce lo **stato di deriva** della zona di atterraggio pari a o. `DRIFTED` `IN_SYNC`
Per risolvere la deriva all'interno della tua landing zone, puoi utilizzare l'`ResetLandingZone`API per ripristinare la configurazione originale della landing zone. Ad esempio, AWS Control Tower abilita IAM Identity Center per impostazione predefinita per aiutarti a gestire i tuoi Account AWS, ma se configuri i parametri originali della landing zone con IAM Identity Center disabilitato, Calling `ResetLandingZone` mantiene la configurazione IAM Identity Center disabilitata.
Puoi utilizzare l'`ResetLandingZone`API solo se utilizzi l'ultima versione di landing zone disponibile. Puoi chiamare l'`GetLandingZone`API e confrontare la versione della tua landing zone con l'**ultima versione disponibile**. Se necessario, puoi fare [Aggiorna la tua landing zone](lz-api-update.md) in modo che la tua landing zone utilizzi l'ultima versione disponibile. In questi esempi, utilizziamo la versione 3.3 come versione più recente.
1. Chiamata dell'API `GetLandingZone`. Se l'API restituisce uno **stato di deriva** di`DRIFTED`, la tua landing zone è in deriva.
1. Chiama l'`ResetLandingZone`API per ripristinare la configurazione originale della landing zone.
```
aws controltower reset-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"
```
**Output:**
```
{
"operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```
**Nota**
La reimpostazione della landing zone non aggiorna la versione della landing zone. Leggi [Aggiorna la tua landing zone](lz-api-update.md) i dettagli sull'aggiornamento della versione landing zone.
# Visualizza i dettagli del file manifest della tua landing zone
Il file manifest della landing zone di AWS Control Tower è un file di testo che descrive le risorse di AWS Control Tower. Le sezioni seguenti mostrano le definizioni dettagliate delle voci nel file manifesto delle landing zone.
Per vedere un esempio completo di schema di landing zone, vedi [Schemi delle zone di atterraggio](https://docs.aws.amazon.com//controltower/latest/userguide/landing-zone-schemas.html).
Regioni **governate: regioni** da sottoporre a governance
+ **Tipo**: List of Strings
+ **Obbligatorio:** no
+ **Esempio**:
```
"governedRegions": ["us-west-2","us-west-1"]
```
**Struttura organizzativa**: seleziona i nomi della sicurezza e della sandbox OUs da creare nell'organizzazione
+ **Tipo:** oggetto
+ **Obbligatorio:** sì
+ **Proprietà:**
+ **Esempio**:
+ `security`- un oggetto con una proprietà obbligatoria`name`, che richiede un `String`
+ `sandbox`- un oggetto con una proprietà obbligatoria`name`, che richiede un `String`
```
"organizationStructure": {
"security": {
"name": "CORE"
},
"sandbox": {
"name": "Sandbox"
}
}
```
**CentralizedLogging** — Configurazione per AWS CloudTrail
+ **Tipo:** oggetto
+ **Obbligatorio:** sì
+ **Proprietà:**
+ *AccountId* - a rappresenta `String` l' AWS account in cui deve essere distribuita la risorsa di registrazione
+ *configurazioni*: un uomo con tre proprietà `Object`
+ `loggingBucket`- un oggetto con una proprietà`retentionDays`, che richiede un `Number`
+ `accessLoggingBucket`- un oggetto con una proprietà`retentionDays`, che richiede un `Number`
+ `kmsKeyArn`- un opzionale `String`
+ *abilitato*: un opzionale `Boolean`
+ **Esempio**:
```
"centralizedLogging": {
"accountId": "222222222222",
"configurations": {
"loggingBucket": {
"retentionDays": 60
},
"accessLoggingBucket": {
"retentionDays": 60
},
"kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX"
},
"enabled": true
}
```
**SecurityRoles**: scegli dove distribuire la risorsa di registrazione
+ **Tipo:** oggetto
+ **Obbligatorio:** sì
+ **Proprietà:** *accountId* - un `String` che rappresenta l' AWS account in cui deve essere distribuita la risorsa di registrazione
+ **Esempio**:
```
"securityRoles": {
"accountId": "333333333333"
}
```
**Gestione degli accessi**: scegli se abilitare la gestione degli accessi
+ **Tipo:** oggetto
+ **Obbligatorio:** no
+ **Proprietà:** *abilitato* - un valore booleano
+ **Esempio**:
```
"accessManagement": {
"enabled": true
}
```
**backup** — Configurazione per il AWS backup con AWS Control Tower
+ **Tipo:** oggetto
+ **Obbligatorio:** no
+ **Proprietà:**
+ *configurazioni*: un uomo `Object` con tre proprietà
+ `centralBackup`- un oggetto con una proprietà`accountId`, che richiede un `String`
+ `backupAdmin`- un oggetto con una proprietà`accountId`, che richiede un `String`
+ `kmsKeyArn`- un opzionale `String`
+ *abilitato* - a `Boolean`
+ **Esempio**:
```
"backup": {
"configurations": {
"centralBackup": {
"accountId": "CENTRAL BACKUP ACCOUNT ID"
},
"backupAdmin": {
"accountId": "BACKUP MANAGER ACCOUNT ID"
},
"kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX"
},
"enabled": true
}
```
# Visualizza lo stato delle operazioni nelle tue landing zone
L'`ListLandingZoneOperations`API consente di visualizzare lo stato delle operazioni di AWS Control Tower che eseguono azioni sulla landing zone.
Per ulteriori informazioni su questo funzionamento dell'API, consulta [ListLandingZoneOperations](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html).
## ListLandingZoneOperations
**Esempio di input e output per `ListLandingZoneOperations`**.
Questo esempio mostra come chiamare l'API senza parametri.
```
aws controltower --region us-east-1 list-landing-zone-operations
{
"landingZoneOperations": [
{
"operationIdentifier": "873fe98d-1ecc-4154-b593-86e4a95ebfXX",
"operationType": "CREATE",
"status": "FAILED"
},
{
"operationIdentifier": "0016d43d-a307-4ad8-a2a2-b427b8eb1cXX",
"operationType": "DELETE",
"status": "SUCCEEDED"
},
{
"operationIdentifier": "002b8b5a-6bb7-4c40-89cd-5822a73d13XX",
"operationType": "CREATE",
"status": "SUCCEEDED"
},
{
"operationIdentifier": "008886a0-f7a2-4df3-90e8-6e9f936507XX",
"operationType": "CREATE",
"status": "FAILED"
}
]
}
```
Questo esempio mostra come chiamare l'API e specificare il numero massimo di risultati.
```
aws controltower --region us-east-1 list-landing-zone-operations --max-results 1
{
"landingZoneOperations": [
{
"operationIdentifier": "873fe98d-1ecc-4154-b593-86e4a95ebfXX",
"operationType": "CREATE",
"status": "FAILED"
}
],
"nextToken": "AAMAATFMzwP0QysYY8npWgstfcHGQBj-XCC18ISyd9mkQmzLR7ZFMket4F0aWv8tUTtnsTWOnfblUp_Q9U-nX9_6lEsLHs0RlhceDKskHr0_3fm8KdPTa6ofxMt5SPw8WF7-Jsvw2rJVvhj4DHDipo-y1HVK_eZ__Z3-OzInm403cIHxhbjGPgqCX6FeKr8lwgTDKOejkLYZ9w7J5aqPAKLfVP8KKNda5g0VfMj1wdl4J2nwnHI-UuCTIZ5nUEgXgUHaFq6Ma1pLDfGefZQJn5HmDhhgd5yvqzSRH1BtrHpdV_N1EVP8u3JJr3eWQHe9jNB02lihD4Mdcbm3SJg1tWWw2bxp0cgClepI-1Dxt3FAZ5XMVjDxHQHxdKkrazHunMgBFvwfzauC3Ah0WqJg9dkEP22l5HI9qZ7LtDbYZEb5hCskVmjxFsbbwia_OrL2X8ZDeHZStJkxbC3CPIjFMQuldBlzF6L19GSpHE7XIMlTBzzwWtg92sGlpz0An1Smh12jZDe__u2rx8NSkAT97B0bKtmI2TKjutOx7NYUxOhc5qio8dAJbcMgDkf1m5BjK9R7GKdrVv5EDY5Q6uE8gxM2wGnUr_NkpGqR1aEjLIRfZYKN9so_x4vZZPhwtp1NIv256mIGvMYzNivLZ4FE9RPJFh7rSNwFvWnRSVwFLDkOoqXZV9OUYsXdn3W3FMqBzbG6g2KvMXKrKdbrnJHxGgyNYSbS3ogkQYGeuz-VXRwTUIBInrit4HslNtPE8-IC1gxCjGoYPGtuWBPumK-pUPE="
}
```
Questo esempio mostra come chiamare l'API e ottenere un risultato impaginato con. `nextToken`
```
aws controltower --region us-east-1 list-landing-zone-operations --next-token AAMAATFMzwP0QysYY8npWgstfcHGQBj-XCC18ISyd9mkQmzLR7ZFMket4F0aWv8tUTtnsTWOnfblUp_Q9U-nX9_6lEsLHs0RlhceDKskHr0_3fm8KdPTa6ofxMt5SPw8WF7-Jsvw2rJVvhj4DHDipo-y1HVK_eZ__Z3-OzInm403cIHxhbjGPgqCX6FeKr8lwgTDKOejkLYZ9w7J5aqPAKLfVP8KKNda5g0VfMj1wdl4J2nwnHI-UuCTIZ5nUEgXgUHaFq6Ma1pLDfGefZQJn5HmDhhgd5yvqzSRH1BtrHpdV_N1EVP8u3JJr3eWQHe9jNB02lihD4Mdcbm3SJg1tWWw2bxp0cgClepI-1Dxt3FAZ5XMVjDxHQHxdKkrazHunMgBFvwfzauC3Ah0WqJg9dkEP22l5HI9qZ7LtDbYZEb5hCskVmjxFsbbwia_OrL2X8ZDeHZStJkxbC3CPIjFMQuldBlzF6L19GSpHE7XIMlTBzzwWtg92sGlpz0An1Smh12jZDe__u2rx8NSkAT97B0bKtmI2TKjutOx7NYUxOhc5qio8dAJbcMgDkf1m5BjK9R7GKdrVv5EDY5Q6uE8gxM2wGnUr_NkpGqR1aEjLIRfZYKN9so_x4vZZPhwtp1NIv256mIGvMYzNivLZ4FE9RPJFh7rSNwFvWnRSVwFLDkOoqXZV9OUYsXdn3W3FMqBzbG6g2KvMXKrKdbrnJHxGgyNYSbS3ogkQYGeuz-VXRwTUIBInrit4HslNtPE8-IC1gxCjGoYPGtuWBPumK-pUPE=
{
"landingZoneOperations": [
{
"operationIdentifier": "0016d43d-a307-4ad8-a2a2-b427b8eb1cXX",
"operationType": "DELETE",
"status": "SUCCEEDED"
},
{
"operationIdentifier": "002b8b5a-6bb7-4c40-89cd-5822a73d13XX",
"operationType": "CREATE",
"status": "SUCCEEDED"
},
{
"operationIdentifier": "008886a0-f7a2-4df3-90e8-6e9f936507XX",
"operationType": "CREATE",
"status": "FAILED"
}
]
}
```
Questo esempio mostra come chiamare l'API con un filtro.
```
aws controltower --region us-east-1 list-landing-zone-operations --filter '{"types":["CREATE"],"statuses":["FAILED"]}'
{
"landingZoneOperations": [
{
"operationIdentifier": "873fe98d-1ecc-4154-b593-86e4a95ebfXX",
"operationType": "CREATE",
"status": "FAILED"
},
{
"operationIdentifier": "008886a0-f7a2-4df3-90e8-6e9f936507XX",
"operationType": "CREATE",
"status": "FAILED"
}
]
}
```
# Esempi: configura una landing zone di AWS Control Tower APIs solo con
Questa guida dettagliata di esempi è un documento complementare. Per spiegazioni, avvertenze e ulteriori informazioni, consulta [Getting started with AWS Control](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-apis.html) Tower using. APIs
**Prerequisiti**
Prima di creare una landing zone di AWS Control Tower, devi creare un'organizzazione, due account condivisi e alcuni ruoli IAM. Questo tutorial dettagliato include questi passaggi, con esempi di comandi e output CLI.
**Fase 1: Crea l'organizzazione e i due account obbligatori.**
```
aws organizations create-organization --feature-set ALL
aws organizations create-account --email example+log@example.com --account-name "Log archive account"
aws organizations create-account --email example+aud@example.com --account-name "Audit account"
```
**Fase 2. Crea i ruoli IAM richiesti.**
`AWSControlTowerAdmin`
```
cat <controltower_trust.json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
EOF
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://controltower_trust.json
cat <ct_admin_role_policy.json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
EOF
aws iam put-role-policy --role-name AWSControlTowerAdmin --policy-name AWSControlTowerAdminPolicy --policy-document file://ct_admin_role_policy.json
aws iam attach-role-policy --role-name AWSControlTowerAdmin --policy-arn arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy
```
`AWSControlTowerCloudTrailRole`
```
cat <cloudtrail_trust.json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
EOF
aws iam create-role --role-name AWSControlTowerCloudTrailRole --path /service-role/ --assume-role-policy-document file://cloudtrail_trust.json
cat <cloudtrail_role_policy.json
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "logs:CreateLogStream",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
},
{
"Action": "logs:PutLogEvents",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
}
]
}
EOF
aws iam put-role-policy --role-name AWSControlTowerCloudTrailRole --policy-name AWSControlTowerCloudTrailRolePolicy --policy-document file://cloudtrail_role_policy.json
```
`AWSControlTowerStackSetRole`
```
cat <cloudformation_trust.json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
EOF
aws iam create-role --role-name AWSControlTowerStackSetRole --path /service-role/ --assume-role-policy-document file://cloudformation_trust.json
cat <stackset_role_policy.json
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSControlTowerExecution"
],
"Effect": "Allow"
}
]
}
EOF
aws iam put-role-policy --role-name AWSControlTowerStackSetRole --policy-name AWSControlTowerStackSetRolePolicy --policy-document file://stackset_role_policy.json
```
`AWSControlTowerConfigAggregatorRoleForOrganizations`
```
cat <config_trust.json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
EOF
aws iam create-role --role-name AWSControlTowerConfigAggregatorRoleForOrganizations --path /service-role/ --assume-role-policy-document file://config_trust.json
aws iam attach-role-policy --role-name AWSControlTowerConfigAggregatorRoleForOrganizations --policy-arn arn:aws:iam::aws:policy/service-role/AWSConfigRoleForOrganizations
```
**Fase 3. Crea un account IDs e genera il file manifest delle landing zone.**
I primi due comandi dell'esempio seguente memorizzano l'account IDs per gli account creati nel **passaggio 1** in variabili. Queste variabili aiutano quindi a generare il file manifest delle landing zone.
```
sec_account_id=$(aws organizations list-accounts | jq -r '.Accounts[] | select(.Name == "Audit account") | .Id')
log_account_id=$(aws organizations list-accounts | jq -r '.Accounts[] | select(.Name == "Log archive account") | .Id')
cat <landing_zone_manifest.json
{
"governedRegions": ["us-west-1", "us-west-2"],
"organizationStructure": {
"security": {
"name": "Security"
},
"sandbox": {
"name": "Sandbox"
}
},
"centralizedLogging": {
"accountId": "$log_account_id",
"configurations": {
"loggingBucket": {
"retentionDays": 60
},
"accessLoggingBucket": {
"retentionDays": 60
}
},
"enabled": true
},
"securityRoles": {
"accountId": "$sec_account_id"
},
"accessManagement": {
"enabled": true
}
}
EOF
```
**Fase 4. Crea la landing zone con l'ultima versione.**
È necessario configurare la landing zone con il file manifest e la versione più recente. Questo esempio mostra la versione 3.3.
```
aws --region us-west-1 controltower create-landing-zone --manifest file://landing_zone_manifest.json --landing-zone-version 3.3
```
L'output conterrà un **arn** e un **OperationIdentifier**, come mostrato nell'esempio che segue.
```
{
"arn": "arn:aws:controltower:us-west-1:0123456789012:landingzone/4B3H0ULNUOL2AXXX",
"operationIdentifier": "16bb47f7-b7a2-4d90-bc71-7df4ca1201xx"
}
```
**Fase 5: (Facoltativo) Tieni traccia dello stato dell'operazione di creazione della landing zone impostando un loop.**
Per tenere traccia dello stato, utilizzate l'**OperationIdentifier** dall'output del `create-landing-zone` comando precedente.
```
aws --region us-west-1 controltower get-landing-zone-operation --operation-identifier 16bb47f7-b7a2-4d90-bc71-7df4ca1201xx
```
Esempio di output sullo stato:
```
{
"operationDetails": {
"operationType": "CREATE",
"startTime": "2024-02-28T21:49:31Z",
"status": "IN_PROGRESS"
}
}
```
È possibile utilizzare il seguente script di esempio per configurare un ciclo, che riporta lo stato dell'operazione più e più volte, come un file di registro. Quindi non è necessario continuare a immettere il comando.
```
while true; do echo "$(date) $(aws --region us-west-1 controltower get-landing-zone-operation --operation-identifier 16bb47f7-b7a2-4d90-bc71-7df4ca1201xx | jq -r .operationDetails.status)"; sleep 15; done
```
**Per mostrare informazioni dettagliate sulla tua landing zone**
*Fase 1: Trova l'ARN della landing zone*
```
aws --region us-west-1 controltower list-landing-zones
```
L'output includerà l'identificatore della landing zone, come mostrato nel seguente esempio di output.
```
{
"landingZones": [
{
"arn": "arn:aws:controltower:us-west-1:123456789012:landingzone/4B3H0ULNUOL2AXXX"
}
]
}
```
*Fase 2. Ottieni le informazioni*
```
aws --region us-west-1 controltower get-landing-zone --landing-zone-identifier arn:aws:controltower:us-west-1:123456789012:landingzone/4B3H0ULNUOL2AXXX
```
Ecco un esempio del tipo di output che potresti vedere:
```
{
"landingZone": {
"arn": "arn:aws:controltower:us-west-1:123456789012:landingzone/4B3H0ULNUOL2AXXX",
"driftStatus": {
"status": "IN_SYNC"
},
"latestAvailableVersion": "3.3",
"manifest": {
"accessManagement": {
"enabled": true
},
"securityRoles": {
"accountId": "9750XXXX4444"
},
"governedRegions": [
"us-west-1",
"us-west-2"
],
"organizationStructure": {
"sandbox": {
"name": "Sandbox"
},
"security": {
"name": "Security"
}
},
"centralizedLogging": {
"accountId": "012345678901",
"configurations": {
"loggingBucket": {
"retentionDays": 60
},
"accessLoggingBucket": {
"retentionDays": 60
}
},
"enabled": true
}
},
"status": "ACTIVE",
"version": "3.3"
}
}
```
**Fase 6: (Facoltativo) Chiama l'`ListLandingZoneOperations`API per visualizzare lo stato di tutte le operazioni che modificano la tua landing zone.**
Per monitorare lo stato di qualsiasi operazione di landing zone, puoi chiamare l'[ListLandingZoneOperations](lz-api-examples-short.md#list-lz-operations-api-examples)API.
# Schemi delle zone di atterraggio
Una landing zone è una AWS risorsa creata mediante schemi. Ogni versione della landing zone di AWS Control Tower ha uno schema unico.
Gli schemi per le zone di atterraggio di AWS Control Tower, versione 3.1 e successive, sono pubblicati in questa sezione di riferimento per aiutarti a scegliere una versione compatibile.
**Nota**
Un problema noto relativo alla *registrazione degli accessi non necessari è presente nella versione 3.0* della landing zone. Il problema è stato risolto nella versione 3.1 della landing zone. Per ulteriori informazioni sulle modifiche, vedere[Landing zone di AWS Control Tower versione 3.1](2023-all.md#lz-3-1).
## Schema della zona di atterraggio 4.0
```
{
"type": "object",
"required": [],
"properties": {
"accessManagement": {
"$ref": "#/definitions/AccessManagement"
},
"backup": {
"$ref": "#/definitions/Backup"
},
"centralizedLogging": {
"$ref": "#/definitions/CentralizedLogging"
},
"governedRegions": {
"type": "array",
"items": {
"type": "string",
"maxLength": 24,
"minLength": 1,
"pattern": "^[a-z]{2}-[a-z\\-]*-[0-9]{1}$",
"additionalProperties": false
},
"additionalProperties": false
},
"securityRoles": {
"$ref": "#/definitions/SecurityRoles"
},
"config": {
"$ref": "#/definitions/Config"
}
},
"additionalProperties": false,
"definitions": {
"AccessManagement": {
"type": "object",
"required": [
"enabled"
],
"properties": {
"enabled": {
"type": "boolean",
"additionalProperties": false
}
},
"additionalProperties": false
},
"Backup": {
"type": "object",
"required": [
"enabled"
],
"properties": {
"configurations": {
"$ref": "#/definitions/BackupConfigurations"
},
"enabled": {
"type": "boolean",
"additionalProperties": false
}
},
"additionalProperties": false,
"if": {
"properties": {
"enabled": {
"const": true
}
}
},
"then": {
"required": [
"configurations"
]
}
},
"BackupAdminConfigurations": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
}
},
"additionalProperties": false
},
"BackupConfigurations": {
"type": "object",
"required": [
"backupAdmin",
"centralBackup",
"kmsKeyArn"
],
"properties": {
"backupAdmin": {
"$ref": "#/definitions/BackupAdminConfigurations"
},
"centralBackup": {
"$ref": "#/definitions/CentralBackupConfigurations"
},
"kmsKeyArn": {
"type": "string",
"maxLength": 2048,
"minLength": 1,
"additionalProperties": false
}
},
"additionalProperties": false
},
"CentralBackupConfigurations": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
}
},
"additionalProperties": false
},
"CentralizedLogging": {
"type": "object",
"required": [
"enabled"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
},
"configurations": {
"$ref": "#/definitions/LoggingConfigurations"
},
"enabled": {
"type": "boolean",
"additionalProperties": false
}
},
"additionalProperties": false,
"if": {
"properties": {
"enabled": {
"const": true
}
}
},
"then": {
"required": [
"accountId"
]
}
},
"LoggingConfigurations": {
"type": "object",
"properties": {
"accessLoggingBucket": {
"$ref": "#/definitions/S3BucketConfiguration"
},
"kmsKeyArn": {
"type": "string",
"maxLength": 2048,
"minLength": 1,
"additionalProperties": false
},
"loggingBucket": {
"$ref": "#/definitions/S3BucketConfiguration"
}
},
"additionalProperties": false
},
"S3BucketConfiguration": {
"type": "object",
"properties": {
"retentionDays": {
"type": "number",
"minimum": 1,
"additionalProperties": false
}
},
"additionalProperties": false
},
"SecurityRoles": {
"type": "object",
"required": [
"enabled"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
},
"enabled": {
"type": "boolean",
"additionalProperties": false
}
},
"additionalProperties": false,
"if": {
"properties": {
"enabled": {
"const": true
}
}
},
"then": {
"required": [
"accountId"
]
}
},
"Config": {
"type": "object",
"required": [
"enabled"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
},
"configurations": {
"$ref": "#/definitions/ConfigConfiguration"
},
"enabled": {
"type": "boolean",
"additionalProperties": false
}
},
"additionalProperties": false,
"if": {
"properties": {
"enabled": {
"const": true
}
}
},
"then": {
"required": [
"accountId"
]
}
},
"ConfigConfiguration": {
"type": "object",
"required": [],
"properties": {
"loggingBucket": {
"$ref": "#/definitions/S3BucketConfiguration"
},
"accessLoggingBucket": {
"$ref": "#/definitions/S3BucketConfiguration"
},
"kmsKeyArn": {
"type": "string",
"maxLength": 2048,
"minLength": 1,
"additionalProperties": false
}
}
}
}
}
```
## Schema della zona di atterraggio 3.3
```
{
"type": "object",
"required": [
"centralizedLogging",
"organizationStructure",
"securityRoles"
],
"properties": {
"accessManagement": {
"$ref": "#/definitions/AccessManagement"
},
"backup": {
"$ref": "#/definitions/Backup"
},
"centralizedLogging": {
"$ref": "#/definitions/CentralizedLogging"
},
"governedRegions": {
"type": "array",
"items": {
"type": "string",
"maxLength": 24,
"minLength": 1,
"pattern": "^[a-z]{2}-[a-z\\-]*-[0-9]{1}$",
"additionalProperties": false
},
"additionalProperties": false
},
"organizationStructure": {
"$ref": "#/definitions/OrganizationStructure"
},
"securityRoles": {
"$ref": "#/definitions/SecurityRoles"
}
},
"additionalProperties": false,
"definitions": {
"AccessManagement": {
"type": "object",
"required": [
"enabled"
],
"properties": {
"enabled": {
"type": "boolean",
"additionalProperties": false,
"default": true
}
},
"additionalProperties": false
},
"Backup": {
"type": "object",
"properties": {
"configurations": {
"$ref": "#/definitions/BackupConfigurations"
},
"enabled": {
"type": "boolean",
"additionalProperties": false,
"default": false
}
},
"additionalProperties": false,
"if": {
"properties": {
"enabled": {
"const": true
}
}
},
"then": {
"required": [
"configurations"
]
}
},
"BackupAdminConfigurations": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
}
},
"additionalProperties": false
},
"BackupConfigurations": {
"type": "object",
"required": [
"backupAdmin",
"centralBackup",
"kmsKeyArn"
],
"properties": {
"backupAdmin": {
"$ref": "#/definitions/BackupAdminConfigurations"
},
"centralBackup": {
"$ref": "#/definitions/CentralBackupConfigurations"
},
"kmsKeyArn": {
"type": "string",
"maxLength": 2048,
"minLength": 1,
"additionalProperties": false
}
},
"additionalProperties": false
},
"CentralBackupConfigurations": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
}
},
"additionalProperties": false
},
"CentralizedLogging": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
},
"configurations": {
"$ref": "#/definitions/LoggingConfigurations"
},
"enabled": {
"type": "boolean",
"additionalProperties": false,
"default": true
}
},
"additionalProperties": false
},
"LoggingConfigurations": {
"type": "object",
"properties": {
"accessLoggingBucket": {
"$ref": "#/definitions/S3BucketConfiguration"
},
"kmsKeyArn": {
"type": "string",
"maxLength": 2048,
"minLength": 1,
"additionalProperties": false
},
"loggingBucket": {
"$ref": "#/definitions/S3BucketConfiguration"
}
},
"additionalProperties": false
},
"OrganizationalUnit": {
"type": "object",
"required": [
"name"
],
"properties": {
"name": {
"type": "string",
"maxLength": 120,
"minLength": 1,
"pattern": "^[\\s\\S]*$",
"additionalProperties": false
}
},
"additionalProperties": false
},
"OrganizationStructure": {
"type": "object",
"required": [
"security"
],
"properties": {
"sandbox": {
"$ref": "#/definitions/OrganizationalUnit"
},
"security": {
"$ref": "#/definitions/OrganizationalUnit"
}
},
"additionalProperties": false
},
"S3BucketConfiguration": {
"type": "object",
"properties": {
"retentionDays": {
"type": "number",
"minimum": 1,
"additionalProperties": false
}
},
"additionalProperties": false
},
"SecurityRoles": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
}
},
"additionalProperties": false
}
}
}
```
## Schema della zona di atterraggio 3.2
```
{
"type": "object",
"required": [
"centralizedLogging",
"organizationStructure",
"securityRoles"
],
"properties": {
"accessManagement": {
"$ref": "#/definitions/AccessManagement"
},
"backup": {
"$ref": "#/definitions/Backup"
},
"centralizedLogging": {
"$ref": "#/definitions/CentralizedLogging"
},
"governedRegions": {
"type": "array",
"items": {
"type": "string",
"maxLength": 24,
"minLength": 1,
"pattern": "^[a-z]{2}-[a-z\\-]*-[0-9]{1}$",
"additionalProperties": false
},
"additionalProperties": false
},
"organizationStructure": {
"$ref": "#/definitions/OrganizationStructure"
},
"securityRoles": {
"$ref": "#/definitions/SecurityRoles"
}
},
"additionalProperties": false,
"definitions": {
"AccessManagement": {
"type": "object",
"required": [
"enabled"
],
"properties": {
"enabled": {
"type": "boolean",
"additionalProperties": false,
"default": true
}
},
"additionalProperties": false
},
"Backup": {
"type": "object",
"properties": {
"configurations": {
"$ref": "#/definitions/BackupConfigurations"
},
"enabled": {
"type": "boolean",
"additionalProperties": false,
"default": false
}
},
"additionalProperties": false,
"if": {
"properties": {
"enabled": {
"const": true
}
}
},
"then": {
"required": [
"configurations"
]
}
},
"BackupAdminConfigurations": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
}
},
"additionalProperties": false
},
"BackupConfigurations": {
"type": "object",
"required": [
"backupAdmin",
"centralBackup",
"kmsKeyArn"
],
"properties": {
"backupAdmin": {
"$ref": "#/definitions/BackupAdminConfigurations"
},
"centralBackup": {
"$ref": "#/definitions/CentralBackupConfigurations"
},
"kmsKeyArn": {
"type": "string",
"maxLength": 2048,
"minLength": 1,
"additionalProperties": false
}
},
"additionalProperties": false
},
"CentralBackupConfigurations": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
}
},
"additionalProperties": false
},
"CentralizedLogging": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
},
"configurations": {
"$ref": "#/definitions/LoggingConfigurations"
},
"enabled": {
"type": "boolean",
"additionalProperties": false,
"default": true
}
},
"additionalProperties": false
},
"LoggingConfigurations": {
"type": "object",
"properties": {
"accessLoggingBucket": {
"$ref": "#/definitions/S3BucketConfiguration"
},
"kmsKeyArn": {
"type": "string",
"maxLength": 2048,
"minLength": 1,
"additionalProperties": false
},
"loggingBucket": {
"$ref": "#/definitions/S3BucketConfiguration"
}
},
"additionalProperties": false
},
"OrganizationalUnit": {
"type": "object",
"required": [
"name"
],
"properties": {
"name": {
"type": "string",
"maxLength": 120,
"minLength": 1,
"pattern": "^[\\s\\S]*$",
"additionalProperties": false
}
},
"additionalProperties": false
},
"OrganizationStructure": {
"type": "object",
"required": [
"security"
],
"properties": {
"sandbox": {
"$ref": "#/definitions/OrganizationalUnit"
},
"security": {
"$ref": "#/definitions/OrganizationalUnit"
}
},
"additionalProperties": false
},
"S3BucketConfiguration": {
"type": "object",
"properties": {
"retentionDays": {
"type": "number",
"minimum": 1,
"additionalProperties": false
}
},
"additionalProperties": false
},
"SecurityRoles": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
}
},
"additionalProperties": false
}
}
}
```
## Schema della zona di atterraggio 3.1
```
{
"type": "object",
"required": [
"centralizedLogging",
"organizationStructure",
"securityRoles"
],
"properties": {
"accessManagement": {
"$ref": "#/definitions/AccessManagement"
},
"backup": {
"$ref": "#/definitions/Backup"
},
"centralizedLogging": {
"$ref": "#/definitions/CentralizedLogging"
},
"governedRegions": {
"type": "array",
"items": {
"type": "string",
"maxLength": 24,
"minLength": 1,
"pattern": "^[a-z]{2}-[a-z\\-]*-[0-9]{1}$",
"additionalProperties": false
},
"additionalProperties": false
},
"organizationStructure": {
"$ref": "#/definitions/OrganizationStructure"
},
"securityRoles": {
"$ref": "#/definitions/SecurityRoles"
}
},
"additionalProperties": false,
"definitions": {
"AccessManagement": {
"type": "object",
"required": [
"enabled"
],
"properties": {
"enabled": {
"type": "boolean",
"additionalProperties": false,
"default": true
}
},
"additionalProperties": false
},
"Backup": {
"type": "object",
"properties": {
"configurations": {
"$ref": "#/definitions/BackupConfigurations"
},
"enabled": {
"type": "boolean",
"additionalProperties": false,
"default": false
}
},
"additionalProperties": false,
"if": {
"properties": {
"enabled": {
"const": true
}
}
},
"then": {
"required": [
"configurations"
]
}
},
"BackupAdminConfigurations": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
}
},
"additionalProperties": false
},
"BackupConfigurations": {
"type": "object",
"required": [
"backupAdmin",
"centralBackup",
"kmsKeyArn"
],
"properties": {
"backupAdmin": {
"$ref": "#/definitions/BackupAdminConfigurations"
},
"centralBackup": {
"$ref": "#/definitions/CentralBackupConfigurations"
},
"kmsKeyArn": {
"type": "string",
"maxLength": 2048,
"minLength": 1,
"additionalProperties": false
}
},
"additionalProperties": false
},
"CentralBackupConfigurations": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
}
},
"additionalProperties": false
},
"CentralizedLogging": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
},
"configurations": {
"$ref": "#/definitions/LoggingConfigurations"
},
"enabled": {
"type": "boolean",
"additionalProperties": false,
"default": true
}
},
"additionalProperties": false
},
"LoggingConfigurations": {
"type": "object",
"properties": {
"accessLoggingBucket": {
"$ref": "#/definitions/S3BucketConfiguration"
},
"kmsKeyArn": {
"type": "string",
"maxLength": 2048,
"minLength": 1,
"additionalProperties": false
},
"loggingBucket": {
"$ref": "#/definitions/S3BucketConfiguration"
}
},
"additionalProperties": false
},
"OrganizationalUnit": {
"type": "object",
"required": [
"name"
],
"properties": {
"name": {
"type": "string",
"maxLength": 120,
"minLength": 1,
"pattern": "^[\\s\\S]*$",
"additionalProperties": false
}
},
"additionalProperties": false
},
"OrganizationStructure": {
"type": "object",
"required": [
"security"
],
"properties": {
"sandbox": {
"$ref": "#/definitions/OrganizationalUnit"
},
"security": {
"$ref": "#/definitions/OrganizationalUnit"
}
},
"additionalProperties": false
},
"S3BucketConfiguration": {
"type": "object",
"properties": {
"retentionDays": {
"type": "number",
"minimum": 1,
"additionalProperties": false
}
},
"additionalProperties": false
},
"SecurityRoles": {
"type": "object",
"required": [
"accountId"
],
"properties": {
"accountId": {
"type": "string",
"maxLength": 12,
"minLength": 12,
"pattern": "^\\d{12}$",
"additionalProperties": false
}
},
"additionalProperties": false
}
}
}
```
# Avvia una landing zone usando CloudFormation
Puoi configurare e avviare una landing zone CloudFormation tramite la CloudFormation console, o tramite AWS CLI. Questa sezione fornisce istruzioni ed esempi per avviare una landing zone utilizzando APIs through CloudFormation.
**Topics**
+ [Prerequisiti per il lancio di una landing zone utilizzando CloudFormation](lz-apis-cfn-setup.md)
+ [Crea una nuova landing zone usando CloudFormation](lz-apis-cfn-launch.md)
+ [Gestisci una landing zone esistente usando CloudFormation](lz-apis-cfn-launch-existing.md)
# Prerequisiti per il lancio di una landing zone utilizzando CloudFormation
1. Da AWS CLI, utilizza l' AWS Organizations `CreateOrganization`API per creare un'organizzazione e abilitare tutte le funzionalità.
Per istruzioni più dettagliate, consulta[Fase 1: Configura la tua landing zone](lz-api-prereques.md).
1. Dalla CloudFormation console o utilizzando il AWS CLI, distribuisci un CloudFormation modello che crei le seguenti risorse nell'account di gestione:
+ Account Log Archive (a volte chiamato account «Logging»)
+ Account di controllo (a volte chiamato account «Security»)
+ I ruoli **AWSControlTowerAdmin**AWSControlTowerCloudTrailRole****, **AWSControlTowerConfigAggregatorRoleForOrganizations**, e **AWSControlTowerStackSetRole**di servizio.
Per informazioni su come AWS Control Tower utilizza questi ruoli per eseguire chiamate API di landing zone, consulta [Fase 1: Configurazione della landing zone](lz-api-prereques.md).
```
Parameters:
LoggingAccountEmail:
Type: String
Description: The email Id for centralized logging account
LoggingAccountName:
Type: String
Description: Name for centralized logging account
SecurityAccountEmail:
Type: String
Description: The email Id for security roles account
SecurityAccountName:
Type: String
Description: Name for security roles account
Resources:
MyOrganization:
Type: 'AWS::Organizations::Organization'
Properties:
FeatureSet: ALL
LoggingAccount:
Type: 'AWS::Organizations::Account'
Properties:
AccountName: !Ref LoggingAccountName
Email: !Ref LoggingAccountEmail
SecurityAccount:
Type: 'AWS::Organizations::Account'
Properties:
AccountName: !Ref SecurityAccountName
Email: !Ref SecurityAccountEmail
AWSControlTowerAdmin:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSControlTowerAdmin
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service: controltower.amazonaws.com
Action: 'sts:AssumeRole'
Path: '/service-role/'
ManagedPolicyArns:
- !Sub >-
arn:${AWS::Partition}:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy
AWSControlTowerAdminPolicy:
Type: 'AWS::IAM::Policy'
Properties:
PolicyName: AWSControlTowerAdminPolicy
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action: 'ec2:DescribeAvailabilityZones'
Resource: '*'
Roles:
- !Ref AWSControlTowerAdmin
AWSControlTowerCloudTrailRole:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSControlTowerCloudTrailRole
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service: cloudtrail.amazonaws.com
Action: 'sts:AssumeRole'
Path: '/service-role/'
AWSControlTowerCloudTrailRolePolicy:
Type: 'AWS::IAM::Policy'
Properties:
PolicyName: AWSControlTowerCloudTrailRolePolicy
PolicyDocument:
Version: 2012-10-17
Statement:
- Action:
- 'logs:CreateLogStream'
- 'logs:PutLogEvents'
Resource: !Sub >-
arn:${AWS::Partition}:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*
Effect: Allow
Roles:
- !Ref AWSControlTowerCloudTrailRole
AWSControlTowerConfigAggregatorRoleForOrganizations:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSControlTowerConfigAggregatorRoleForOrganizations
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service: config.amazonaws.com
Action: 'sts:AssumeRole'
Path: '/service-role/'
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/service-role/AWSConfigRoleForOrganizations
AWSControlTowerStackSetRole:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSControlTowerStackSetRole
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service: cloudformation.amazonaws.com
Action: 'sts:AssumeRole'
Path: '/service-role/'
AWSControlTowerStackSetRolePolicy:
Type: 'AWS::IAM::Policy'
Properties:
PolicyName: AWSControlTowerStackSetRolePolicy
PolicyDocument:
Version: 2012-10-17
Statement:
- Action: 'sts:AssumeRole'
Resource: !Sub 'arn:${AWS::Partition}:iam::*:role/AWSControlTowerExecution'
Effect: Allow
Roles:
- !Ref AWSControlTowerStackSetRole
Outputs:
LogAccountId:
Value:
Fn::GetAtt: LoggingAccount.AccountId
Export:
Name: LogAccountId
SecurityAccountId:
Value:
Fn::GetAtt: SecurityAccount.AccountId
Export:
Name: SecurityAccountId
```
# Crea una nuova landing zone usando CloudFormation
Dalla CloudFormation console o utilizzando il AWS CLI, implementa il seguente CloudFormation modello per creare una landing zone.
```
Parameters:
Version:
Type: String
Description: The version number of Landing Zone
GovernedRegions:
Type: Array
Description: List of governed regions
SecurityOuName:
Type: String
Description: The security Organizational Unit name
SandboxOuName:
Type: String
Description: The sandbox Organizational Unit name
CentralizedLoggingAccountId:
Type: String
Description: The AWS account ID for centralized logging
SecurityAccountId:
Type: String
Description: The AWS account ID for security roles
LoggingBucketRetentionPeriod:
Type: Number
Description: Retention period for centralized logging bucket
AccessLoggingBucketRetentionPeriod:
Type: Number
Description: Retention period for access logging bucket
KMSKey:
Type: String
Description: KMS key ARN used by CloudTrail and Config service to encrypt data in logging bucket
Resources:
MyLandingZone:
Type: 'AWS::ControlTower::LandingZone'
Properties:
Version:
Ref: Version
Tags:
- Key: "keyname1"
Value: "value1"
- Key: "keyname2"
Value: "value2"
Manifest:
governedRegions:
Ref: GovernedRegions
organizationStructure:
security:
name:
Ref: SecurityOuName
sandbox:
name:
Ref: SandboxOuName
centralizedLogging:
accountId:
Ref: CentralizedLoggingAccountId
configurations:
loggingBucket:
retentionDays:
Ref: LoggingBucketRetentionPeriod
accessLoggingBucket:
retentionDays:
Ref: AccessLoggingBucketRetentionPeriod
kmsKeyArn:
Ref: KMSKey
enabled: true
securityRoles:
accountId:
Ref: SecurityAccountId
accessManagement:
enabled: true
```
# Gestisci una landing zone esistente usando CloudFormation
Puoi utilizzarla CloudFormation per gestire una landing zone che hai già lanciato importando la landing zone in uno CloudFormation stack nuovo o esistente. Per dettagli [e istruzioni, consulta CloudFormation la sezione Gestione delle risorse esistenti](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/resource-import.html).
Per [rilevare e risolvere la deriva all'interno di una landing zone](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html), puoi utilizzare la console AWS Control Tower AWS CLI, o l'[`ResetLandingZone`API](lz-api-reset.md).