Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Passaggio 2. Configura e avvia la tua landing zone
Prima di lanciare la landing zone di AWS Control Tower, determina la regione di residenza più appropriata. Per ulteriori informazioni, consulta [Suggerimenti amministrativi per la configurazione delle landing zone](tips-for-admin-setup.md).
**Importante**
La modifica della regione di residenza dopo aver implementato la landing zone di AWS Control Tower richiede la disattivazione e l'assistenza di Support. AWS Questa pratica non è consigliata.
Scopri come configurare e avviare la tua landing zone utilizzando AWS CLI in[Inizia a usare AWS Control Tower utilizzando APIs](getting-started-apis.md).
Per configurare e avviare la landing zone nella console, esegui la seguente serie di passaggi.
**Preparazione: accedi alla console AWS Control Tower**
1. Apri un browser Web e accedi alla console AWS Control Tower all'indirizzo [https://console.aws.amazon.com/controltower.](https://console.aws.amazon.com/controltower)
1. Nella console, verifica di lavorare nella regione di residenza desiderata per AWS Control Tower. Quindi scegli **Configura la tua landing zone**.
# Fase 2a. Controlla e seleziona le tue AWS regioni
Assicurati di aver designato correttamente la AWS regione selezionata per la tua regione d'origine. Dopo aver distribuito AWS Control Tower, non puoi cambiare la regione di residenza.
In questa sezione del processo di configurazione, puoi aggiungere qualsiasi AWS regione aggiuntiva di cui hai bisogno. Puoi aggiungere altre regioni in un secondo momento, se necessario, e rimuovere le regioni dalla governance.
**Per selezionare altre AWS regioni da governare**
1. Il pannello mostra le attuali selezioni delle regioni. Apri il menu a discesa per visualizzare un elenco di regioni aggiuntive disponibili per la governance.
1. Seleziona la casella accanto a ciascuna regione per passare alla governance da parte di AWS Control Tower. La selezione della tua regione d'origine non è modificabile.
**Per negare l'accesso a determinate regioni**
Per negare l'accesso alle AWS risorse e ai carichi di lavoro in determinate AWS regioni, seleziona **Abilitato** nella sezione relativa alla regione nega il controllo. **Per impostazione predefinita, l'impostazione per questo controllo è Non abilitata.**
# Fase 2b. Configura le tue unità organizzative (OUs)
Se ne accetti i nomi predefiniti OUs, non devi intraprendere alcuna azione per continuare la configurazione. Per modificare i nomi di OUs, inserisci i nuovi nomi direttamente nel campo del modulo.
+ **Unità organizzativa fondamentale****: AWS Control Tower si basa su un'**unità organizzativa di base inizialmente denominata Security OU**.** È possibile modificare il nome di questa unità organizzativa durante la configurazione iniziale e successivamente, dalla pagina dei dettagli dell'unità organizzativa. Questa **unità organizzativa di sicurezza** contiene i due account condivisi, che per impostazione predefinita sono denominati account di **archivio dei registri** e account di **controllo**.
+ **Unità organizzative aggiuntive**: AWS Control Tower può configurare una o più unità **organizzative aggiuntive OUs** per te. Ti consigliamo di fornire almeno un'**unità organizzativa aggiuntiva** nella tua landing zone, oltre all'**unità organizzativa di sicurezza**. Se questa unità organizzativa aggiuntiva è destinata a progetti di sviluppo, si consiglia di denominarla **Sandbox OU**, come indicato nella[Linee guida per configurare un ambiente ben progettato](aws-multi-account-landing-zone.md#guidelines-for-multi-account-setup). Se disponi già di un'unità organizzativa esistente in AWS Organizations, potresti visualizzare l'opzione per saltare la configurazione di un'unità organizzativa aggiuntiva in AWS Control Tower.
# Fase 2c. Configura gli account condivisi, la registrazione e la crittografia
In questa sezione del processo di configurazione, il pannello mostra le selezioni predefinite per i nomi degli account AWS Control Tower condivisi. Questi account sono una parte essenziale della tua landing zone. **Non spostate o eliminate questi account condivisi**. È possibile scegliere nomi personalizzati per gli account di **controllo** e di **archiviazione dei registri** durante la configurazione. In alternativa, è disponibile un'unica opzione per specificare AWS gli account esistenti come account condivisi.
È necessario fornire indirizzi e-mail univoci per l'archivio dei registri e gli account di controllo e verificare l'indirizzo e-mail fornito in precedenza per l'account di gestione. Scegli il pulsante **Modifica** per modificare i valori predefiniti modificabili.
**Informazioni sugli account condivisi**
+ **L'account di gestione**: l'account di gestione AWS Control Tower fa parte del livello Root. L'account di gestione consente la fatturazione di AWS Control Tower. L'account dispone anche delle autorizzazioni di amministratore per la tua landing zone. Non è possibile creare account separati per la fatturazione e per le autorizzazioni di amministratore in AWS Control Tower.
L'indirizzo e-mail mostrato per l'account di gestione non è modificabile durante questa fase di configurazione. Viene visualizzato come conferma, in modo da poter verificare che si stia modificando l'account di gestione corretto, nel caso in cui si disponga di più account.
+ **I due account condivisi**: puoi scegliere nomi personalizzati per questi due account o creare i tuoi account e devi fornire un indirizzo email univoco per ogni account, nuovo o esistente. Se scegli di fare in modo che AWS Control Tower crei nuovi account condivisi per te, gli indirizzi e-mail non devono già avere AWS account associati.
**Per configurare gli account condivisi, inserisci le informazioni richieste.**
1. Nella console, inserisci un nome per l'account chiamato inizialmente account di **archiviazione dei log**. Molti clienti decidono di mantenere il nome predefinito per questo account.
1. Fornisci un indirizzo email univoco per questo account.
1. Inserisci un nome per l'account chiamato inizialmente account **di controllo**. Molti clienti scelgono di chiamarlo account **di sicurezza**.
1. Fornisci un indirizzo email univoco per questo account.
# Configura facoltativamente la conservazione dei registri
Durante questa fase di configurazione, puoi personalizzare la politica di conservazione dei log per i bucket Amazon S3 che archiviano i AWS CloudTrail log in AWS Control Tower, in incrementi di giorni o anni, fino a un massimo di 15 anni. Se scegli di non personalizzare la conservazione dei log, le impostazioni predefinite sono un anno per la registrazione standard dell'account e 10 anni per la registrazione degli accessi. Questa funzionalità è disponibile anche quando aggiorni o ripristini la landing zone.
# Facoltativamente, gestisci automaticamente l'accesso Account AWS
Puoi scegliere se AWS Control Tower configurare Account AWS l'accesso con AWS Identity and Access Management (IAM) o se gestirlo automaticamente Account AWS , con utenti, ruoli e autorizzazioni di AWS IAM Identity Center che puoi configurare e personalizzare da solo, o con un altro metodo *come un IdP esterno, per la federazione diretta degli account o la federazione su più account tramite IAM* Identity Center. Puoi modificare questa selezione in un secondo momento.
Per impostazione predefinita, AWS Control Tower configura AWS IAM Identity Center per la tua landing zone, in linea con le linee guida sulle best practice definite in [Organizzazione AWS dell'ambiente utilizzando più account](https://docs.aws.amazon.com//whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html). La maggior parte dei clienti sceglie l'impostazione predefinita. Talvolta sono necessari metodi di accesso alternativi, per la conformità alle normative in settori o paesi specifici o Regioni AWS laddove AWS IAM Identity Center non è disponibile.
La selezione di provider di identità a livello di account non è supportata. Questa opzione si applica solo alla landing zone nel suo insieme.
Per ulteriori informazioni, consulta [Linee guida per IAM Identity Center](sso-guidance.md).
# Configura facoltativamente i percorsi AWS CloudTrail
Come procedura consigliata, si consiglia di configurare la registrazione. **Se desideri consentire ad AWS Control Tower di configurare un CloudTrail percorso a livello di organizzazione e gestirlo per te, scegli Opt in.** **Se desideri gestire la registrazione con i tuoi CloudTrail percorsi o uno strumento di registrazione di terze parti, scegli Opt out.** Conferma la selezione quando richiesto nella console. Puoi modificare la selezione e attivare o disattivare i percorsi a livello di organizzazione quando aggiorni la landing zone.
Puoi configurare e gestire i tuoi CloudTrail percorsi in qualsiasi momento, inclusi i percorsi a livello di organizzazione e account. Se imposti CloudTrail percorsi duplicati, potresti incorrere in costi duplicati quando gli eventi vengono registrati. CloudTrail
# Configurare facoltativamente AWS KMS keys
Se desideri crittografare e decrittografare le tue risorse con una chiave di AWS KMS crittografia, seleziona la casella di controllo. Se disponi di chiavi esistenti, potrai selezionarle dagli identificatori visualizzati in un menu a discesa. Puoi generare una nuova chiave scegliendo **Crea una** chiave. Puoi aggiungere o modificare una chiave KMS ogni volta che aggiorni la tua landing zone.
Quando selezioni **Set up landing zone**, AWS Control Tower esegue un controllo preliminare per convalidare la tua chiave KMS. La chiave deve soddisfare questi requisiti:
+ Abilitato
+ Simmetria
+ Non è una chiave multiregionale
+ Alla politica sono state aggiunte le autorizzazioni corrette
+ La chiave è nell'account di gestione
È possibile che venga visualizzato un banner di errore se la chiave non soddisfa questi requisiti. In tal caso, scegli un'altra chiave o genera una chiave. Assicurati di modificare la politica di autorizzazione della chiave, come descritto nella sezione successiva.
## Aggiorna la politica delle chiavi KMS
Prima di poter aggiornare una politica delle chiavi KMS, devi creare una chiave KMS. Per ulteriori informazioni, consulta [Creazione di una policy delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Per utilizzare una chiave KMS con AWS Control Tower, devi aggiornare la policy delle chiavi KMS predefinita aggiungendo le autorizzazioni minime richieste per e. AWS Config AWS CloudTrail Come best practice, ti consigliamo di includere le autorizzazioni minime richieste in qualsiasi policy. Quando aggiorni una policy chiave KMS, puoi aggiungere le autorizzazioni come gruppo in una singola istruzione JSON o riga per riga.
La procedura descrive come aggiornare la politica delle chiavi KMS predefinita nella AWS KMS console aggiungendo istruzioni di policy che consentono AWS Config e utilizzano CloudTrail per la crittografia. AWS KMS Le dichiarazioni politiche richiedono l'inclusione delle seguenti informazioni:
+ **`YOUR-MANAGEMENT-ACCOUNT-ID`**— l'ID dell'account di gestione in cui verrà configurato AWS Control Tower.
+ **`YOUR-HOME-REGION`**— la regione di residenza che selezionerai durante la configurazione di AWS Control Tower.
+ **`YOUR-KMS-KEY-ID`**— l'ID della chiave KMS che verrà utilizzata con la policy.
**Per aggiornare la politica delle chiavi KMS**
1. Apri la AWS KMS console all'indirizzo [https://console.aws.amazon.com//kms](https://console.aws.amazon.com//kms)
1. Dal riquadro di navigazione, scegli **Customer managed keys**.
1. Nella tabella, seleziona la chiave che desideri modificare.
1. Nella scheda **Politica chiave**, assicurati di poter visualizzare la politica chiave. Se non riesci a visualizzare la politica principale, scegli **Passa alla visualizzazione della politica**.
1. Scegli **Modifica** e aggiorna la politica chiave KMS predefinita aggiungendo le seguenti dichiarazioni politiche per AWS Config e CloudTrail.
**AWS Config dichiarazione politica**
```
{
"Sid": "Allow Config to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}
```
**CloudTrail dichiarazione politica**
```
{
"Sid": "Allow CloudTrail to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
}
}
}
```
1. Scegli **Save changes** (Salva modifiche).
**Esempio di politica chiave KMS**
La seguente politica di esempio mostra come potrebbe apparire la politica delle chiavi KMS dopo aver aggiunto le dichiarazioni di policy che concedono e le autorizzazioni AWS Config minime CloudTrail richieste. La politica di esempio non include la politica delle chiavi KMS predefinita.
```
{
"Version": "2012-10-17",
"Id": "CustomKMSPolicy",
"Statement": [
{
... YOUR-EXISTING-POLICIES ...
},
{
"Sid": "Allow Config to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
},
{
"Sid": "Allow CloudTrail to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:PARTITION:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:PARTITION:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
}
}
}
]
}
```
Per visualizzare altre politiche di esempio, consulta le seguenti pagine:
+ [Concessione delle autorizzazioni di crittografia nella Guida](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html#create-kms-key-policy-for-cloudtrail-encrypt) *per l'AWS CloudTrail utente.*
+ [Autorizzazioni richieste per la chiave KMS (quando si utilizza il servizio Roless3 Bucket Delivery) nella Guida](https://docs.aws.amazon.com//config/latest/developerguide/s3-kms-key-policy.html#required-permissions-s3-kms-key-using-servicelinkedrole) *per gli sviluppatori.AWS Config *
**Proteggiti dagli aggressori**
Aggiungendo determinate condizioni alle politiche, è possibile contribuire a prevenire un tipo specifico di attacco, noto come attacco *secondario confuso*, che si verifica se un'entità costringe un'entità con più privilegi a eseguire un'azione, ad esempio con l'impersonificazione tra servizi diversi. Per informazioni generali sulle condizioni delle polizze, consulta anche. [Specifica delle condizioni in una policy](access-control-overview.md#specifying-conditions)
La AWS Key Management Service (AWS KMS) consente di creare chiavi KMS multiregione e chiavi asimmetriche; tuttavia, AWS Control Tower non supporta chiavi multiregione o chiavi asimmetriche. AWS Control Tower esegue un controllo preliminare delle chiavi esistenti. Potresti visualizzare un messaggio di errore se selezioni una chiave multiregionale o una chiave asimmetrica. In tal caso, genera un'altra chiave da utilizzare con le risorse AWS Control Tower.
Per ulteriori informazioni in merito AWS KMS, consulta [la AWS KMS Developer Guide.](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)
Tieni presente che i dati dei clienti in AWS Control Tower sono crittografati a riposo, per impostazione predefinita, utilizzando SSE-S3.
# Configurare facoltativamente la registrazione automatica per gli account
Quando abiliti questa funzionalità durante la configurazione o successivamente, gli account che vengono spostati tra due account registrati OUs o spostati nel tuo ambiente AWS Control Tower per la prima volta, non mostrano più uno stato di deriva ereditaria. Gli account ereditano automaticamente le linee di base e i controlli abilitati sulla nuova unità organizzativa. I controlli e le linee di base dell'unità organizzativa precedente vengono rimossi.
Per attivare la registrazione automatica in qualsiasi momento dopo la configurazione, vai alla pagina **delle impostazioni** della landing zone e scegli Update landing **zone** o chiama l'API AWS Control Tower. `UpdateLandingZone`
Puoi spostare un account OUs da un account all'altro tramite l' AWS Organizations API o tramite la console AWS Control Tower. Se sposti un account all'esterno di un'unità organizzativa registrata, AWS Control Tower rimuove automaticamente tutte le linee di base e i controlli distribuiti. In sostanza annulla la registrazione dell'account da AWS Control Tower.
**Nota**
Se scegli di abilitare la funzionalità di registrazione automatica dopo la configurazione iniziale della landing zone, AWS Control Tower non risolve retroattivamente la deriva ereditaria causata dallo spostamento di account da un'altra OUs prima che la funzionalità di registrazione automatica fosse abilitata. La risoluzione automatica della deriva entra in vigore per gli account che vengono spostati dopo aver abilitato questa impostazione.
# Facoltativamente, configura e crea account utente personalizzati
Quando segui il flusso di lavoro **Crea account** per aggiungere i tuoi account membro, puoi facoltativamente specificare un *blueprint* definito in precedenza da utilizzare per il provisioning di account membri personalizzati dalla console AWS Control Tower. Puoi personalizzare gli account in un secondo momento se non disponi di un blueprint disponibile. Per informazioni, consulta [Personalizza gli account con Account Factory Customization (AFC)](af-customization-page.md).