Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 1: Configura la tua landing zone
Il processo di configurazione della landing zone di AWS Control Tower prevede diversi passaggi. Alcuni aspetti della landing zone di AWS Control Tower sono configurabili, ma altre scelte non possono essere modificate dopo la configurazione. Per ulteriori informazioni su queste importanti considerazioni prima di lanciare la landing zone, consulta Expectations for landing zone configuration.
Prima di utilizzare la landing zone di AWS Control Tower APIs, devi prima chiamare APIs da altri AWS servizi per configurare la tua landing zone prima del lancio. Il processo include tre fasi principali:
creazione di una nuova organizzazione AWS Organizations,
configurazione degli account di integrazione dei servizi,
e creando un ruolo IAM o un utente IAM Identity Center con le autorizzazioni richieste per chiamare la landing zone APIs.
Passaggio 1. Crea l'organizzazione che conterrà la tua landing zone:
Chiama l'CreateOrganizationAPI AWS Organizations e abilita tutte le funzionalità per creare l'unità organizzativa Foundational. AWS Control Tower consiglia inoltre di creare un'unità organizzativa di sicurezza designata. Questa unità organizzativa di sicurezza deve contenere tutti gli account di integrazione del servizio. Questi sarebbero l'account di archiviazione dei log e l'account di controllo per le versioni precedenti di Landing Zone.
aws organizations create-organization --feature-set ALL
AWS Control Tower può configurare uno o più componenti aggiuntivi OUs. Ti consigliamo di fornire almeno un'unità organizzativa aggiuntiva nella tua landing zone, oltre all'unità organizzativa di sicurezza. Se questa unità organizzativa aggiuntiva è destinata a progetti di sviluppo, ti consigliamo di denominarla Sandbox OU, come indicato nella strategia multi-account AWS per la tua landing zone di AWS Control Tower.
Passaggio 2. Fornisci account di integrazione dei servizi, se necessario:
Per configurare la landing zone, AWS Control Tower consente ai clienti di configurare le integrazioni dei servizi AWS. Ciascuna di queste integrazioni di servizi può richiedere uno o più account centrali di integrazione dei servizi. Se utilizzi la landing zone APIs per configurare AWS Control Tower per la prima volta, devi fornire l'account di integrazione centrale per ogni integrazione di servizi AWS abilitata. Puoi utilizzare account AWS esistenti o effettuare il provisioning di tali account tramite la console AWS Control Tower o AWS Organizations APIs. Assicurati che questi account di integrazione dei servizi si trovino nell'unità organizzativa di sicurezza designata, che si trova al livello principale della tua organizzazione.
-
Chiama l'
CreateAccountAPI AWS Organizations per creare l'account di archiviazione dei log e l'account di audit nell'unità organizzativa di sicurezza.aws organizations create-account --email mylog@example.com --account-name "Logging Account" aws organizations create-account --email mysecurity@example.com --account-name "Security Account"(Facoltativo) Controlla lo stato dell'
CreateAccountoperazione utilizzando l'DescribeAccountAPI AWS Organizations. -
Sposta gli account di integrazione del servizio forniti nell'unità organizzativa di sicurezza designata
aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security
Fase 3. Creare i ruoli di servizio richiesti
Crea i seguenti ruoli di servizio IAM nel percorso /service-role/ IAM che consentono ad AWS Control Tower di eseguire le chiamate API necessarie per configurare la tua landing zone:
Per ulteriori informazioni su questi ruoli e le relative politiche, consultaUtilizzo di policy basate sull'identità (policy IAM) per AWS Control Tower.
Per creare un ruolo IAM:
Crea un ruolo IAM con le autorizzazioni necessarie per chiamare tutte le landing zone APIs. In alternativa, puoi creare un utente IAM Identity Center e assegnare le autorizzazioni necessarie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup:UpdateGlobalSettings", "controltower:CreateLandingZone", "controltower:UpdateLandingZone", "controltower:ResetLandingZone", "controltower:DeleteLandingZone", "controltower:GetLandingZoneOperation", "controltower:GetLandingZone", "controltower:ListLandingZones", "controltower:ListLandingZoneOperations", "controltower:ListTagsForResource", "controltower:TagResource", "controltower:UntagResource", "servicecatalog:*", "organizations:*", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "sso:*", "sso-directory:*", "logs:*", "cloudformation:*", "kms:*", "iam:GetRole", "iam:CreateRole", "iam:GetSAMLProvider", "iam:CreateSAMLProvider", "iam:CreateServiceLinkedRole", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:ListAttachedRolePolicies", "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy" ], "Resource": "*" } ] }
Nota
Quando si esegue l'aggiornamento alla versione 4.0 della landing zone con l'integrazione di AWS Config abilitata, i clienti devono disporre delle autorizzazioni. organizations:ListDelegatedAdministrators
