翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 例: API のみを使用して AWS Control Tower ランディングゾーンを設定する
この例によるチュートリアルは、付随的なドキュメントです。説明、注意事項、および詳細については、「[Getting started with AWS Control Tower using APIs](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-apis.html)」を参照してください。
**前提条件**
AWS Control Tower ランディングゾーンを作成する前に、組織、2 つの共有アカウント、いくつかの IAM ロールを作成する必要があります。このチュートリアルでは、CLI コマンドと出力の例とともに、これらのステップについて説明します。
**ステップ 1. 組織と 2 つの必要なアカウントを作成します。**
```
aws organizations create-organization --feature-set ALL
aws organizations create-account --email example+log@example.com --account-name "Log archive account"
aws organizations create-account --email example+aud@example.com --account-name "Audit account"
```
**ステップ 2. 必要な IAM ロールを作成します。**
`AWSControlTowerAdmin`
```
cat <controltower_trust.json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
EOF
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://controltower_trust.json
cat <ct_admin_role_policy.json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
EOF
aws iam put-role-policy --role-name AWSControlTowerAdmin --policy-name AWSControlTowerAdminPolicy --policy-document file://ct_admin_role_policy.json
aws iam attach-role-policy --role-name AWSControlTowerAdmin --policy-arn arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy
```
`AWSControlTowerCloudTrailRole`
```
cat <cloudtrail_trust.json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
EOF
aws iam create-role --role-name AWSControlTowerCloudTrailRole --path /service-role/ --assume-role-policy-document file://cloudtrail_trust.json
cat <cloudtrail_role_policy.json
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "logs:CreateLogStream",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
},
{
"Action": "logs:PutLogEvents",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
}
]
}
EOF
aws iam put-role-policy --role-name AWSControlTowerCloudTrailRole --policy-name AWSControlTowerCloudTrailRolePolicy --policy-document file://cloudtrail_role_policy.json
```
`AWSControlTowerStackSetRole`
```
cat <cloudformation_trust.json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
EOF
aws iam create-role --role-name AWSControlTowerStackSetRole --path /service-role/ --assume-role-policy-document file://cloudformation_trust.json
cat <stackset_role_policy.json
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSControlTowerExecution"
],
"Effect": "Allow"
}
]
}
EOF
aws iam put-role-policy --role-name AWSControlTowerStackSetRole --policy-name AWSControlTowerStackSetRolePolicy --policy-document file://stackset_role_policy.json
```
`AWSControlTowerConfigAggregatorRoleForOrganizations`
```
cat <config_trust.json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
EOF
aws iam create-role --role-name AWSControlTowerConfigAggregatorRoleForOrganizations --path /service-role/ --assume-role-policy-document file://config_trust.json
aws iam attach-role-policy --role-name AWSControlTowerConfigAggregatorRoleForOrganizations --policy-arn arn:aws:iam::aws:policy/service-role/AWSConfigRoleForOrganizations
```
**ステップ 3. アカウント ID を取得し、ランディングゾーンのマニフェストファイルを生成します。**
次の例の最初の 2 つのコマンドは、**ステップ 1** で作成したアカウントのアカウント ID を変数に保存します。これらの変数は、ランディングゾーンのマニフェストファイルを生成するのに役立ちます。
```
sec_account_id=$(aws organizations list-accounts | jq -r '.Accounts[] | select(.Name == "Audit account") | .Id')
log_account_id=$(aws organizations list-accounts | jq -r '.Accounts[] | select(.Name == "Log archive account") | .Id')
cat <landing_zone_manifest.json
{
"governedRegions": ["us-west-1", "us-west-2"],
"organizationStructure": {
"security": {
"name": "Security"
},
"sandbox": {
"name": "Sandbox"
}
},
"centralizedLogging": {
"accountId": "$log_account_id",
"configurations": {
"loggingBucket": {
"retentionDays": 60
},
"accessLoggingBucket": {
"retentionDays": 60
}
},
"enabled": true
},
"securityRoles": {
"accountId": "$sec_account_id"
},
"accessManagement": {
"enabled": true
}
}
EOF
```
**Step 4. 最新バージョンでランディングゾーンを作成します。**
マニフェストファイルと最新バージョンでランディングゾーンを設定する必要があります。この例は、バージョン 3.3 を示しています。
```
aws --region us-west-1 controltower create-landing-zone --manifest file://landing_zone_manifest.json --landing-zone-version 3.3
```
次の例に示すように、出力には **arn** と **operationIdentifier** が含まれます。
```
{
"arn": "arn:aws:controltower:us-west-1:0123456789012:landingzone/4B3H0ULNUOL2AXXX",
"operationIdentifier": "16bb47f7-b7a2-4d90-bc71-7df4ca1201xx"
}
```
**ステップ 5. (オプション) ループを設定して、ランディングゾーン作成オペレーションのステータスを追跡します。**
ステータスを追跡するには、前の `create-landing-zone` コマンドの出力にある **operationIdentifier** を使用します。
```
aws --region us-west-1 controltower get-landing-zone-operation --operation-identifier 16bb47f7-b7a2-4d90-bc71-7df4ca1201xx
```
サンプルステータス出力:
```
{
"operationDetails": {
"operationType": "CREATE",
"startTime": "2024-02-28T21:49:31Z",
"status": "IN_PROGRESS"
}
}
```
次のサンプルスクリプトを使用すると、ログファイルのように、オペレーションのステータスを何度もレポートするループを設定できます。こうすれば、コマンドを繰り返し入力する必要はありません。
```
while true; do echo "$(date) $(aws --region us-west-1 controltower get-landing-zone-operation --operation-identifier 16bb47f7-b7a2-4d90-bc71-7df4ca1201xx | jq -r .operationDetails.status)"; sleep 15; done
```
**ランディングゾーンに関する詳細情報を表示するには**
*ステップ 1. ランディングゾーンの ARN を特定する*
```
aws --region us-west-1 controltower list-landing-zones
```
出力には、次の出力例に示すように、ランディングゾーンの識別子が含まれます。
```
{
"landingZones": [
{
"arn": "arn:aws:controltower:us-west-1:123456789012:landingzone/4B3H0ULNUOL2AXXX"
}
]
}
```
*ステップ 2. 情報を取得する*
```
aws --region us-west-1 controltower get-landing-zone --landing-zone-identifier arn:aws:controltower:us-west-1:123456789012:landingzone/4B3H0ULNUOL2AXXX
```
以下は、表示される出力の例です。
```
{
"landingZone": {
"arn": "arn:aws:controltower:us-west-1:123456789012:landingzone/4B3H0ULNUOL2AXXX",
"driftStatus": {
"status": "IN_SYNC"
},
"latestAvailableVersion": "3.3",
"manifest": {
"accessManagement": {
"enabled": true
},
"securityRoles": {
"accountId": "9750XXXX4444"
},
"governedRegions": [
"us-west-1",
"us-west-2"
],
"organizationStructure": {
"sandbox": {
"name": "Sandbox"
},
"security": {
"name": "Security"
}
},
"centralizedLogging": {
"accountId": "012345678901",
"configurations": {
"loggingBucket": {
"retentionDays": 60
},
"accessLoggingBucket": {
"retentionDays": 60
}
},
"enabled": true
}
},
"status": "ACTIVE",
"version": "3.3"
}
}
```
**ステップ 6: (オプション) `ListLandingZoneOperations` API を呼び出して、ランディングゾーンを変更するオペレーションのステータスを表示します。**
ランディングゾーンオペレーションのステータスを追跡するには、[ListLandingZoneOperations](lz-api-examples-short.md#list-lz-operations-api-examples) API を呼び出します。