翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 2: AWS Control Tower APIs
AWS Control Tower APIs を使用してランディングゾーンを起動できます。このセクションでは、必要なランディングゾーンマニフェストファイルを作成し、 CreateLandingZone API オペレーションで使用する方法について説明します。
マニフェストファイルの作成
マニフェストファイルは、ランディングゾーン設定を指定する JSON ドキュメントです。ランディングゾーンバージョン 4.0 では、多くのコンポーネントがオプションとなり、より柔軟なデプロイが可能になりました。
マニフェスト構造
以下は、使用可能なすべての設定を含むマニフェストファイルの完全な構造です。
{ "accessManagement": { "enabled": true // Required - Controls IAM Identity Center integration }, "backup": { "enabled": true, // Required - Controls AWS Backup integration "configurations": { "backupAdmin": { "accountId":"111122223333"// Backup administrator account }, "centralBackup": { "accountId":"111122224444"// Central backup account }, "kmsKeyArn":"arn:aws:kms:region:account-id:key/key-id"} }, "centralizedLogging": { "accountId":"111122225555", // Log archive account "enabled": true, // Required - Controls centralized logging "configurations": { "accessLoggingBucket": { "retentionDays": 365 // Minimum value: 1 }, "loggingBucket": { "retentionDays": 365 // Minimum value: 1 }, "kmsKeyArn":"arn:aws:kms:region:account-id:key/key-id"} }, "config": { "accountId":"111122226666", // Config aggregator account "enabled": true, // Required - Controls AWS Config integration "configurations": { "accessLoggingBucket": { "retentionDays": 365 // Minimum value: 1 }, "loggingBucket": { "retentionDays": 365 // Minimum value: 1 }, "kmsKeyArn":"arn:aws:kms:region:account-id:key/key-id"} }, "governedRegions": [ // Optional - List of regions to govern "us-east-1", "us-west-2" ], "securityRoles": { "enabled": true, // Required - Controls security roles creation "accountId": ""111122226666"// Security/Audit account } }
重要な注意事項
マニフェストにはすべての
enabledフラグが必要です。-
AWS Config 統合 (
"config.enabled": false) を無効にする場合は、次の統合も無効にする必要があります。セキュリティロール (
"securityRoles.enabled": false)アクセス管理 (
"accessManagement.enabled": false)バックアップ (
"backup.enabled": false)
アカウント IDsは有効な 12 桁のAWSアカウント IDsである必要があります。
KMS キー ARNs は有効なAWS KMSキー ARNsである必要があります。
保持期間は 1 日以上である必要があります。
CreateLandingZone API の使用
API を使用してランディングゾーンを作成するには:
aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json
API は、ランディングゾーン作成の進行状況を追跡するために使用できるランディングゾーンオペレーション ID を返します。レスポンス例:
{ "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX" }
オペレーションステータスは、SUCCEEDED、、FAILEDまたは のステータスを返す GetLandingZoneOperation API を使用してモニタリングできますIN_PROGRESS。
aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"
ランディングゾーンバージョン 4.0 での変更点
マニフェストの構造と要件の重要な変更:
-
組織構造
organizationStructure定義がマニフェストから削除されました顧客が独自の組織構造を定義できるようになりました
要件のみ: サービス統合アカウントは、ルートの下にある同じ OU 内に存在する必要があります
-
有効なフラグ
すべてのサービス統合設定には、必須フィールドとなる
enabledフラグがあります。お客様は常にブール値を指定する必要があります。デフォルト値は指定されません。
-
お客様は、マニフェストの各サービス統合設定を明示的に有効化/無効化する必要があります。
accessManagementbackupcentralizedLoggingconfigsecurityRoles
-
セキュリティロール
セキュリティロールの統合がオプションになりました
securityRolesデプロイを管理するために導入された新しいenabledフラグ無効にすると、関連するセキュリティ機能は実装されません
-
AWS Config 統合
-
新しい AWS Config サービス統合セクションが、次のフィールド
configで としてマニフェストに追加されました。enabled: AWS Config 統合デプロイを管理するために必要なブールフラグaccountId: AWS Config アグリゲータの AWS アカウント ID-
設定:
accessLoggingBucket.retentionDays: アクセスログの保持期間loggingBucket.retentionDays: AWS Config ログの保持期間kmsKeyArn: 暗号化用の KMS キー
-
