기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
2단계: AWS Control Tower APIs를 사용하여 랜딩 존 시작
AWS Control Tower APIs 사용하여 랜딩 존을 시작할 수 있습니다. 이 섹션에서는 필요한 랜딩 존 매니페스트 파일을 생성하고 CreateLandingZone API 작업과 함께 사용하는 방법을 설명합니다.
매니페스트 파일 생성
매니페스트 파일은 랜딩 존 구성을 지정하는 JSON 문서입니다. 랜딩 존 버전 4.0에서는 이제 많은 구성 요소가 선택 사항이므로 보다 유연한 배포가 가능합니다.
매니페스트 구조
다음은 사용 가능한 모든 구성이 포함된 매니페스트 파일의 전체 구조입니다.
{ "accessManagement": { "enabled": true // Required - Controls IAM Identity Center integration }, "backup": { "enabled": true, // Required - Controls AWS Backup integration "configurations": { "backupAdmin": { "accountId":"111122223333"// Backup administrator account }, "centralBackup": { "accountId":"111122224444"// Central backup account }, "kmsKeyArn":"arn:aws:kms:region:account-id:key/key-id"} }, "centralizedLogging": { "accountId":"111122225555", // Log archive account "enabled": true, // Required - Controls centralized logging "configurations": { "accessLoggingBucket": { "retentionDays": 365 // Minimum value: 1 }, "loggingBucket": { "retentionDays": 365 // Minimum value: 1 }, "kmsKeyArn":"arn:aws:kms:region:account-id:key/key-id"} }, "config": { "accountId":"111122226666", // Config aggregator account "enabled": true, // Required - Controls AWS Config integration "configurations": { "accessLoggingBucket": { "retentionDays": 365 // Minimum value: 1 }, "loggingBucket": { "retentionDays": 365 // Minimum value: 1 }, "kmsKeyArn":"arn:aws:kms:region:account-id:key/key-id"} }, "governedRegions": [ // Optional - List of regions to govern "us-east-1", "us-west-2" ], "securityRoles": { "enabled": true, // Required - Controls security roles creation "accountId": ""111122226666"// Security/Audit account } }
중요 정보
매니페스트에는 모든
enabled플래그가 필요합니다.-
AWS Config 통합(
"config.enabled": false)을 비활성화하는 경우 다음 통합도 비활성화해야 합니다.보안 역할(
"securityRoles.enabled": false)액세스 관리(
"accessManagement.enabled": false)백업(
"backup.enabled": false)
계정 IDs 유효한 12자리AWS계정 IDs여야 합니다.
KMS 키 ARNs 유효한AWS KMS키 ARNs이어야 합니다.
보존 일수는 1 이상이어야 합니다.
CreateLandingZone API 사용
API를 사용하여 랜딩 존을 생성하려면:
aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json
API는 랜딩 존 생성 진행 상황을 추적하는 데 사용할 수 있는 랜딩 존 작업 ID를 반환합니다. 샘플 응답:
{ "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX" }
SUCCEEDED, FAILED또는 상태를 반환하는 GetLandingZoneOperation API를 사용하여 작업 상태를 모니터링할 수 있습니다IN_PROGRESS.
aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"
랜딩 존 버전 4.0의 변경 사항
매니페스트 구조 및 요구 사항에 대한 중요한 변경 사항:
-
조직 구조
organizationStructure매니페스트에서 정의가 제거되었습니다.이제 고객은 자신의 조직 구조를 정의할 수 있습니다.
요구 사항만 해당: 서비스 통합 계정은 루트 바로 아래에 있는 동일한 OU에 있어야 합니다.
-
활성화된 플래그
모든 서비스 통합 구성에는 이제 필수 필드인
enabled플래그가 있습니다.고객은 항상 부울 값을 제공해야 합니다. 기본값은 제공되지 않습니다.
-
고객은 매니페스트에서 각 서비스 통합 구성을 명시적으로 활성화/비활성화해야 합니다.
accessManagementbackupcentralizedLoggingconfigsecurityRoles
-
보안 역할
보안 역할 통합은 이제 선택 사항입니다.
securityRoles배포 관리를 위해 도입된 새enabled플래그비활성화하면 관련 보안 기능이 구현되지 않습니다.
-
AWS구성 통합
-
다음 필드
config와 함께 매니페스트에 새 AWS Config 서비스 통합 섹션이 추가되었습니다.enabled: AWS Config 통합 배포를 관리하는 데 필요한 부울 플래그accountId: AWS Config 애그리게이터의 AWS 계정 ID-
구성:
accessLoggingBucket.retentionDays: 액세스 로그의 보존 기간loggingBucket.retentionDays: AWS Config 로그의 보존 기간kmsKeyArn: 암호화를 위한 KMS 키
-
