Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Fase 2: Avvia la landing zone utilizzando AWS Control Tower APIs
<a name="lz-api-launch"></a>

 Puoi usare AWS Control Tower APIs per avviare la tua landing zone. Questa sezione descrive come creare il *file manifest della landing zone* richiesto e utilizzarlo con l'operazione `CreateLandingZone` API. 

## Creazione del file manifest
<a name="w2aac15c17c17b5"></a>

 Il file manifest è un documento JSON che specifica la configurazione della landing zone. Con la versione 4.0 della landing zone, molti componenti sono ora opzionali, il che consente un'implementazione più flessibile. 

### Struttura del manifesto
<a name="w2aac15c17c17b5b5"></a>

Di seguito è riportata la struttura completa del file manifest con tutte le configurazioni disponibili:

```
{
    "accessManagement": {
        "enabled": true    // Required - Controls IAM Identity Center integration
    },
    "backup": {
        "enabled": true,   // Required - Controls AWS Backup integration
        "configurations": {
            "backupAdmin": {
                "accountId": "111122223333"    // Backup administrator account
            },
            "centralBackup": {
                "accountId": "111122224444"    // Central backup account
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "centralizedLogging": {
        "accountId": "111122225555",    // Log archive account
        "enabled": true,                // Required - Controls centralized logging
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "config": {
        "accountId": "111122226666",    // Config aggregator account
        "enabled": true,                // Required - Controls AWS Config integration
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "governedRegions": [               // Optional - List of regions to govern
        "us-east-1",
        "us-west-2"
    ],
    "securityRoles": {
        "enabled": true,               // Required - Controls security roles creation
        "accountId": ""111122226666"    // Security/Audit account
    }
}
```

### Note importanti
<a name="w2aac15c17c17b5b7"></a>
+ Tutti i `enabled` flag sono obbligatori nel manifesto.
+ Se disabiliti AWS Config integration (`"config.enabled": false`), devi disabilitare anche le seguenti integrazioni:
  + Ruoli di sicurezza () `"securityRoles.enabled": false`
  + Gestione degli accessi (`"accessManagement.enabled": false`)
  + Backup (`"backup.enabled": false`)
+ L'account IDs deve essere valido a 12 cifre AWS . IDs
+ La chiave KMS ARNs deve essere una chiave valida. AWS KMS ARNs
+ I giorni di conservazione devono essere almeno 1.

## Utilizzo dell' CreateLandingZone API
<a name="w2aac15c17c17b7"></a>

Per creare la tua landing zone utilizzando l'API:

```
                    aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json
```

L'API restituirà un Landing Zone Operation ID che potrai utilizzare per monitorare lo stato di avanzamento della creazione della landing zone. Risposta di esempio:

```
{
    "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
    "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```

Puoi monitorare lo stato dell'operazione utilizzando l'`GetLandingZoneOperation`API che restituisce uno **stato** di `SUCCEEDED``FAILED`, oppure`IN_PROGRESS`:

```
                    aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"
```

## Cosa è cambiato nella versione 4.0 della landing zone
<a name="w2aac15c17c17b9"></a>

Modifiche importanti alla struttura e ai requisiti del manifesto:
+ Struttura organizzativa
  + `organizationStructure`la definizione è stata rimossa dal manifesto
  + I clienti possono ora definire la propria struttura organizzativa
  + Unico requisito: gli account di integrazione dei servizi devono trovarsi nella stessa unità organizzativa direttamente sotto root
+ Bandiere abilitate
  + Tutte le configurazioni di integrazione dei servizi hanno un `enabled` flag che ora è un campo obbligatorio.
  + I clienti devono sempre fornire un valore booleano. Non vengono forniti valori predefiniti.
  + I clienti devono specificare esplicitamente enable/disable ogni configurazione di integrazione del servizio nel manifesto:
    + `accessManagement`
    + `backup`
    + `centralizedLogging`
    + `config`
    + `securityRoles`
+ Ruoli di sicurezza
  + L'integrazione dei ruoli di sicurezza è ora facoltativa
  + È stato introdotto un nuovo `enabled` flag per gestire la `securityRoles` distribuzione
  + Se disabilitate, le relative funzionalità di sicurezza non verranno implementate
+ AWS Integrazione Config
  + Nuova sezione di integrazione del servizio AWS Config aggiunta al manifesto `config` con i seguenti campi:
    + `enabled`: flag booleano richiesto per gestire la distribuzione dell'integrazione con AWS Config
    + `accountId`: ID account AWS per AWS Config aggregator
    + configurazioni:
      + `accessLoggingBucket.retentionDays`: Periodo di conservazione dei log di accesso
      + `loggingBucket.retentionDays`: Periodo di conservazione per i log di AWS Config
      + `kmsKeyArn`: chiave KMS per la crittografia