기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 2단계: AWS Control Tower APIs를 사용하여 랜딩 존 시작
AWS Control Tower APIs 사용하여 랜딩 존을 시작할 수 있습니다. 이 섹션에서는 필요한 *랜딩 존 매니페스트 파일을* 생성하고 `CreateLandingZone` API 작업과 함께 사용하는 방법을 설명합니다.
## 매니페스트 파일 생성
매니페스트 파일은 랜딩 존 구성을 지정하는 JSON 문서입니다. 랜딩 존 버전 4.0에서는 이제 많은 구성 요소가 선택 사항이므로 보다 유연한 배포가 가능합니다.
### 매니페스트 구조
다음은 사용 가능한 모든 구성이 포함된 매니페스트 파일의 전체 구조입니다.
```
{
"accessManagement": {
"enabled": true // Required - Controls IAM Identity Center integration
},
"backup": {
"enabled": true, // Required - Controls AWS Backup integration
"configurations": {
"backupAdmin": {
"accountId": {{"111122223333"}} // Backup administrator account
},
"centralBackup": {
"accountId": {{"111122224444"}} // Central backup account
},
"kmsKeyArn": {{"arn:aws:kms:region:account-id:key/key-id"}}
}
},
"centralizedLogging": {
"accountId": {{"111122225555"}}, // Log archive account
"enabled": true, // Required - Controls centralized logging
"configurations": {
"accessLoggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"loggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"kmsKeyArn": {{"arn:aws:kms:region:account-id:key/key-id"}}
}
},
"config": {
"accountId": {{"111122226666"}}, // Config aggregator account
"enabled": true, // Required - Controls AWS Config integration
"configurations": {
"accessLoggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"loggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"kmsKeyArn": {{"arn:aws:kms:region:account-id:key/key-id"}}
}
},
"governedRegions": [ // Optional - List of regions to govern
"us-east-1",
"us-west-2"
],
"securityRoles": {
"enabled": true, // Required - Controls security roles creation
"accountId": "{{"111122226666"}} // Security/Audit account
}
}
```
### 중요 정보
+ 매니페스트에는 모든 `enabled` 플래그가 필요합니다.
+ AWS Config 통합(`"config.enabled": false`)을 비활성화하는 경우 다음 통합도 비활성화해야 합니다.
+ 보안 역할(`"securityRoles.enabled": false`)
+ 액세스 관리(`"accessManagement.enabled": false`)
+ 백업(`"backup.enabled": false`)
+ 계정 IDs 유효한 12자리 AWS 계정 IDs여야 합니다.
+ KMS 키 ARNs 유효한 AWS KMS 키 ARNs이어야 합니다.
+ 보존 일수는 1 이상이어야 합니다.
## CreateLandingZone API 사용
API를 사용하여 랜딩 존을 생성하려면:
```
aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json
```
API는 랜딩 존 생성 진행 상황을 추적하는 데 사용할 수 있는 랜딩 존 작업 ID를 반환합니다. 샘플 응답:
```
{
"arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
"operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```
`SUCCEEDED`, `FAILED`또는 상태를 반환하는 `GetLandingZoneOperation` API를 사용하여 작업 **상태를** 모니터링할 수 있습니다`IN_PROGRESS`.
```
aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"
```
## 랜딩 존 버전 4.0의 변경 사항
매니페스트 구조 및 요구 사항에 대한 중요한 변경 사항:
+ 조직 구조
+ `organizationStructure` 매니페스트에서 정의가 제거되었습니다.
+ 이제 고객은 자신의 조직 구조를 정의할 수 있습니다.
+ 요구 사항만 해당: 서비스 통합 계정은 루트 바로 아래에 있는 동일한 OU에 있어야 합니다.
+ 활성화된 플래그
+ 모든 서비스 통합 구성에는 이제 필수 필드인 `enabled` 플래그가 있습니다.
+ 고객은 항상 부울 값을 제공해야 합니다. 기본값은 제공되지 않습니다.
+ 고객은 매니페스트에서 각 서비스 통합 구성을 명시적으로 활성화/비활성화해야 합니다.
+ `accessManagement`
+ `backup`
+ `centralizedLogging`
+ `config`
+ `securityRoles`
+ 보안 역할
+ 보안 역할 통합은 이제 선택 사항입니다.
+ `securityRoles` 배포 관리를 위해 도입된 새 `enabled` 플래그
+ 비활성화하면 관련 보안 기능이 구현되지 않습니다.
+ AWS 구성 통합
+ 다음 필드`config`와 함께 매니페스트에 새 AWS Config 서비스 통합 섹션이 추가되었습니다.
+ `enabled`: AWS Config 통합 배포를 관리하는 데 필요한 부울 플래그
+ `accountId`: AWS Config 애그리게이터의 AWS 계정 ID
+ 구성:
+ `accessLoggingBucket.retentionDays`: 액세스 로그의 보존 기간
+ `loggingBucket.retentionDays`: AWS Config 로그의 보존 기간
+ `kmsKeyArn`: 암호화를 위한 KMS 키