翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ステップ 1: ランディングゾーンを設定する
<a name="lz-api-prereques"></a>

 AWS Control Tower ランディングゾーンをセットアップするプロセスには、複数のステップがあります。AWS Control Tower ランディングゾーンの特定の要素は設定可能ですが、それ以外はセットアップ後に変更できません。ランディングゾーンを起動する前に、これらの重要な考慮事項の詳細については、[ランディングゾーン設定の期待値](getting-started-configure.md)を参照してください。

 AWS Control Tower ランディングゾーン APIs を使用する前に、まず他の AWS サービスから APIs を呼び出して、起動前にランディングゾーンを設定する必要があります。このプロセスには、3 つの主要なステップが含まれます。

1. 新しい AWS Organizations 組織の作成

1. サービス統合アカウントの設定

1. ランディングゾーン API の呼び出しに必要なアクセス許可を持つ IAM ロールまたは IAM アイデンティティセンターユーザーを作成する。

## ステップ 1. ランディングゾーンを含む組織を作成する:
<a name="w2aac15c17c15b9"></a>

 AWS Organizations `CreateOrganization` API を呼び出し、すべての機能を有効にして**基礎 OU **を作成します。AWS Control Tower では、指定された**セキュリティ OU **を作成することもお勧めします。このセキュリティ OU には、すべてのサービス統合アカウントが含まれている必要があります。これらは、以前のランディングゾーンバージョンの**ログアーカイブ**アカウントと**監査**アカウントになります。

```
aws organizations create-organization --feature-set ALL
```

 AWS Control Tower では、1 つ以上の追加の OU をセットアップできます。ランディングゾーンに [Security OU] (セキュリティ OU) の他に少なくとも 1 つの [Additional OU] (追加の OU) をプロビジョニングすることをお勧めします。この追加 OU が開発プロジェクトを対象としている場合は、[AWS Control Tower ランディングゾーンの AWS マルチアカウント戦略](aws-multi-account-landing-zone.md)に記載されているように、**サンドボックス OU** に名前を付けることをお勧めします。

## ステップ 2. 必要に応じてサービス統合アカウントをプロビジョニングします。
<a name="w2aac15c17c15c11"></a>

 ランディングゾーンをセットアップするために、AWS Control Tower では AWS サービス統合を設定できます。これらのサービス統合ごとに、1 つ以上のサービス統合中央アカウントが必要になる場合があります。ランディングゾーン APIs を使用して AWS Control Tower を初めてセットアップする場合は、有効な AWS サービス統合ごとに中央統合アカウントを指定する必要があります。既存の AWS アカウントを使用するか、AWS Control Tower コンソールまたは AWS Organizations APIs を使用してこれらのアカウントをプロビジョニングできます。**これらのサービス統合アカウントが、組織内のルートレベルの指定されたセキュリティ OU にあることを確認します。**

1. AWS Organizations `CreateAccount` API を呼び出して、**セキュリティ OU **に**ログアーカイブ**アカウントと**監査**アカウントを作成します。

   ```
                               aws organizations create-account --email mylog@example.com --account-name "Logging Account"
                               aws organizations create-account --email mysecurity@example.com --account-name "Security Account"
   ```

    (オプション) AWS Organizations `DescribeAccount` API を使用して`CreateAccount`オペレーションのステータスを確認します。

1. プロビジョニングされたサービス統合アカウントを指定された**セキュリティ OU **に移動する

   ```
                               aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security
   ```

## ステップ 3. 必要なサービスロールを作成する
<a name="w2aac15c17c15c13"></a>

 `/service-role/` IAM パスの次の IAM サービスロールを作成して、AWS Control Tower がランディングゾーンのセットアップに必要な API コールを実行できるようにします。
+  [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerAdmin](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerAdmin) 
+  [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRole](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRole) 
+  [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerStackSetRole](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerStackSetRole) 
+  [https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#config-role-for-organizations](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#config-role-for-organizations) 

 これらのロールとポリシーの詳細については、「[AWS Control Tower でアイデンティティベースのポリシー (IAM ポリシー) を使用する](access-control-managing-permissions.md)」を参照してください。

### IAM ロールを作成するには:
<a name="w2aac15c17c15c13b9"></a>

 すべてのランディングゾーン API を呼び出すために必要なアクセス許可を持つ IAM ロールを作成します。または、IAM アイデンティティセンターユーザーを作成して、必要なアクセス許可を割り当てることもできます。

```
{
    "Version": "2012-10-17",		 	 	                    
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}
```

**注記**  
 Config 統合を有効にしてランディングゾーンバージョン 4.0 AWS にアップグレードする場合は、 アクセス`organizations:ListDelegatedAdministrators`許可が必要です。