翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 2: ランディングゾーンを起動する
AWS Control Tower CreateLandingZone API では、入力パラメータとしてランディングゾーンバージョンとランディングゾーンマニフェストファイルが必要です。AWS Control Tower ランディングゾーンマニフェストファイルを使用して、次の機能を設定できます。
マニフェストファイルをコンパイルすると、新しいランディングゾーンを作成する準備が整います。
マニフェストファイルの内容の詳細については、「ランディングゾーンマニフェストファイルの詳細を表示する」を参照してください。
ランディングゾーンマニフェストファイルに適用されるランディングゾーンスキーマの詳細については、「ランディングゾーンスキーマ」を参照してください。
注記
AWS Control Tower は、API を使用してランディングゾーンの設定と起動を行う場合に、リージョン拒否コントロールをサポートしません。API を使用してランディングゾーンを正常に起動した後で、AWS Control Tower コンソールを使用してリージョン拒否コントロールを設定できます。
-
AWS Control Tower の
CreateLandingZoneAPI を呼び出します。この API では、入力としてランディングゾーンバージョンとランディングゾーンマニフェストファイルが必要です。aws controltower create-landing-zone --landing-zone-version 3.3 --manifest "file://LandingZoneManifest.json"ランディングゾーンマニフェストファイルの内容の詳細については、「」を参照してくださいランディングゾーンマニフェストファイルの詳細を表示する。
次の例は、LandingZoneManifest.json マニフェストを示しています。これには、管理対象リージョンの設定と一元的なログ記録が含まれます。
{ "governedRegions": ["us-west-2","us-west-1"], "organizationStructure": { "security": { "name": "CORE" }, "sandbox": { "name": "Sandbox" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "accessLoggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX" }, "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "accessManagement": { "enabled": true } }注記
この例に示すように、 アカウント
CentralizedLoggingとSecurityRolesアカウントの AccountId は異なる必要があります。次の例は、バックアップと集中ログ記録の設定を含む LandingZoneManifest.json マニフェストファイルを示しています。
{ "landingZoneIdentifier": "LANDING ZONE ARN", "manifest": { "accessManagement": { "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "backup": { "configurations": { "centralBackup": { "accountId": "CENTRAL BACKUP ACCOUNT ID" }, "backupAdmin": { "accountId": "BACKUP MANAGER ACCOUNT ID" }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX" }, "enabled": true }, "governedRegions": [ "us-west-1" ], "organizationStructure": { "sandbox": { "name": "Sandbox" }, "security": { "name": "Security" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 365 }, "accessLoggingBucket": { "retentionDays": 3650 } }, "enabled": true } }, "version": "3.3" }出力:
{ "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX" } -
GetLandingZoneOperationAPI を呼び出して、CreateLandingZoneオペレーションのステータスを確認します。GetLandingZoneOperationAPI は、SUCCEEDED、FAILED、またはIN_PROGRESSの ステータスを返します。aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"出力:
{ "operationDetails": { "operationType": "CREATE", "startTime": "Thu Nov 09 20:39:19 UTC 2023", "endTime": "Thu Nov 09 21:02:01 UTC 2023", "status": "SUCCEEDED" } } -
ステータスが
SUCCEEDEDとして返されたら、GetLandingZoneAPI を呼び出してランディングゾーンの設定を確認できます。aws controltower get-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"出力:
{ "landingZone": { "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "driftStatus": { "status": "IN_SYNC" }, "latestAvailableVersion": "3.3", "manifest": { "accessManagement": { "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "governedRegions": [ "us-west-1", "eu-west-3", "us-west-2" ], "organizationStructure": { "sandbox": { "name": "Sandbox" }, "security": { "name": "Security" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX", "accessLoggingBucket": { "retentionDays": 60 } }, "enabled": true } }, "status": "PROCESSING", "version": "3.3" } }
