Fase 2: Avvia la landing zone utilizzando AWS Control Tower APIs - AWS Control Tower
Creazione del file manifestUtilizzo dell' CreateLandingZone APICosa è cambiato nella versione 4.0 della landing zone

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 2: Avvia la landing zone utilizzando AWS Control Tower APIs

Puoi usare AWS Control Tower APIs per avviare la tua landing zone. Questa sezione descrive come creare il file manifest della landing zone richiesto e utilizzarlo con l'operazione CreateLandingZone API.

Creazione del file manifest

Il file manifest è un documento JSON che specifica la configurazione della landing zone. Con la versione 4.0 della landing zone, molti componenti sono ora opzionali, il che consente un'implementazione più flessibile.

Struttura del manifesto

Di seguito è riportata la struttura completa del file manifest con tutte le configurazioni disponibili:


{
    "accessManagement": {
        "enabled": true    // Required - Controls IAM Identity Center integration
    },
    "backup": {
        "enabled": true,   // Required - Controls AWS Backup integration
        "configurations": {
            "backupAdmin": {
                "accountId": "111122223333"    // Backup administrator account
            },
            "centralBackup": {
                "accountId": "111122224444"    // Central backup account
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "centralizedLogging": {
        "accountId": "111122225555",    // Log archive account
        "enabled": true,                // Required - Controls centralized logging
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "config": {
        "accountId": "111122226666",    // Config aggregator account
        "enabled": true,                // Required - Controls AWS Config integration
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "governedRegions": [               // Optional - List of regions to govern
        "us-east-1",
        "us-west-2"
    ],
    "securityRoles": {
        "enabled": true,               // Required - Controls security roles creation
        "accountId": ""111122226666"    // Security/Audit account
    }
}

Note importanti

  • Tutti i enabled flag sono obbligatori nel manifesto.

  • Se disabiliti AWS Config integration ("config.enabled": false), devi disabilitare anche le seguenti integrazioni:

    • Ruoli di sicurezza () "securityRoles.enabled": false

    • Gestione degli accessi ("accessManagement.enabled": false)

    • Backup ("backup.enabled": false)

  • L'account IDs deve essere valido a 12 cifre AWS . IDs

  • La chiave KMS ARNs deve essere una chiave valida. AWS KMS ARNs

  • I giorni di conservazione devono essere almeno 1.

Utilizzo dell' CreateLandingZone API

Per creare la tua landing zone utilizzando l'API:


                    aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json

L'API restituirà un Landing Zone Operation ID che potrai utilizzare per monitorare lo stato di avanzamento della creazione della landing zone. Risposta di esempio:


{
    "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
    "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}

Puoi monitorare lo stato dell'operazione utilizzando l'GetLandingZoneOperationAPI che restituisce uno stato di SUCCEEDEDFAILED, oppureIN_PROGRESS:


                    aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"

Cosa è cambiato nella versione 4.0 della landing zone

Modifiche importanti alla struttura e ai requisiti del manifesto:

  • Struttura organizzativa

    • organizationStructurela definizione è stata rimossa dal manifesto

    • I clienti possono ora definire la propria struttura organizzativa

    • Unico requisito: gli account di integrazione dei servizi devono trovarsi nella stessa unità organizzativa direttamente sotto root

  • Bandiere abilitate

    • Tutte le configurazioni di integrazione dei servizi hanno un enabled flag che ora è un campo obbligatorio.

    • I clienti devono sempre fornire un valore booleano. Non vengono forniti valori predefiniti.

    • I clienti devono specificare esplicitamente enable/disable ogni configurazione di integrazione del servizio nel manifesto:

      • accessManagement

      • backup

      • centralizedLogging

      • config

      • securityRoles

  • Ruoli di sicurezza

    • L'integrazione dei ruoli di sicurezza è ora facoltativa

    • È stato introdotto un nuovo enabled flag per gestire la securityRoles distribuzione

    • Se disabilitate, le relative funzionalità di sicurezza non verranno implementate

  • AWS Integrazione Config

    • Nuova sezione di integrazione del servizio AWS Config aggiunta al manifesto config con i seguenti campi:

      • enabled: flag booleano richiesto per gestire la distribuzione dell'integrazione con AWS Config

      • accountId: ID account AWS per AWS Config aggregator

      • configurazioni:

        • accessLoggingBucket.retentionDays: Periodo di conservazione dei log di accesso

        • loggingBucket.retentionDays: Periodo di conservazione per i log di AWS Config

        • kmsKeyArn: chiave KMS per la crittografia