翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: ランディングゾーンを設定する

AWS Control Tower ランディングゾーンをセットアップするプロセスには、複数のステップがあります。AWS Control Tower ランディングゾーンの特定の要素は設定可能ですが、それ以外はセットアップ後に変更できません。ランディングゾーンを起動する前に、これらの重要な考慮事項の詳細については、ランディングゾーン設定の期待値を参照してください。

AWS Control Tower ランディングゾーン APIs を使用する前に、まず他の AWS サービスから APIs を呼び出して、起動前にランディングゾーンを設定する必要があります。このプロセスには、3 つの主要なステップが含まれます。

ステップ 1. ランディングゾーンを含む組織を作成する:

AWS Organizations CreateOrganization API を呼び出し、すべての機能を有効にして基礎 OU を作成します。AWS Control Tower では、指定されたセキュリティ OU を作成することもお勧めします。このセキュリティ OU には、すべてのサービス統合アカウントが含まれている必要があります。これらは、以前のランディングゾーンバージョンのログアーカイブアカウントと監査アカウントになります。

aws organizations create-organization --feature-set ALL
                

AWS Control Tower では、1 つ以上の追加の OU をセットアップできます。ランディングゾーンに [Security OU] (セキュリティ OU) の他に少なくとも 1 つの [Additional OU] (追加の OU) をプロビジョニングすることをお勧めします。この追加 OU が開発プロジェクトを対象としている場合は、AWS Control Tower ランディングゾーンの AWS マルチアカウント戦略に記載されているように、サンドボックス OU に名前を付けることをお勧めします。

ステップ 2. 必要に応じてサービス統合アカウントをプロビジョニングします。

ランディングゾーンをセットアップするために、AWS Control Tower では AWS サービス統合を設定できます。これらのサービス統合ごとに、1 つ以上のサービス統合中央アカウントが必要になる場合があります。ランディングゾーン APIs を使用して AWS Control Tower を初めてセットアップする場合は、有効な AWS サービス統合ごとに中央統合アカウントを指定する必要があります。既存の AWS アカウントを使用するか、AWS Control Tower コンソールまたは AWS Organizations APIs を使用してこれらのアカウントをプロビジョニングできます。これらのサービス統合アカウントが、組織内のルートレベルの指定されたセキュリティ OU にあることを確認します。

ステップ 3. 必要なサービスロールを作成する

/service-role/ IAM パスの次の IAM サービスロールを作成して、AWS Control Tower がランディングゾーンのセットアップに必要な API コールを実行できるようにします。

これらのロールとポリシーの詳細については、「AWS Control Tower でアイデンティティベースのポリシー (IAM ポリシー) を使用する」を参照してください。

IAM ロールを作成するには:

すべてのランディングゾーン API を呼び出すために必要なアクセス許可を持つ IAM ロールを作成します。または、IAM アイデンティティセンターユーザーを作成して、必要なアクセス許可を割り当てることもできます。

{
    "Version": "2012-10-17",		 	 	                    
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}