Criando o arquivo de manifesto Usando a CreateLandingZone API O que mudou na versão 4.0 do landing zone

Etapa 2: lance sua landing zone usando o AWS Control Tower APIs

Você pode usar o AWS Control Tower APIs para lançar sua landing zone. Esta seção descreve como criar o arquivo de manifesto necessário do landing zone e usá-lo com a operação da CreateLandingZone API.

Criando o arquivo de manifesto

O arquivo de manifesto é um documento JSON que especifica a configuração da sua landing zone. Com a versão 4.0 do landing zone, muitos componentes agora são opcionais, permitindo uma implantação mais flexível.

Estrutura do manifesto

Abaixo está a estrutura completa do arquivo de manifesto com todas as configurações disponíveis:



{
    "accessManagement": {
        "enabled": true    // Required - Controls IAM Identity Center integration
    },
    "backup": {
        "enabled": true,   // Required - Controls AWS Backup integration
        "configurations": {
            "backupAdmin": {
                "accountId": "111122223333"    // Backup administrator account
            },
            "centralBackup": {
                "accountId": "111122224444"    // Central backup account
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "centralizedLogging": {
        "accountId": "111122225555",    // Log archive account
        "enabled": true,                // Required - Controls centralized logging
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "config": {
        "accountId": "111122226666",    // Config aggregator account
        "enabled": true,                // Required - Controls AWS Config integration
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "governedRegions": [               // Optional - List of regions to govern
        "us-east-1",
        "us-west-2"
    ],
    "securityRoles": {
        "enabled": true,               // Required - Controls security roles creation
        "accountId": ""111122226666"    // Security/Audit account
    }
}

Observações importantes

Todas as enabled bandeiras são obrigatórias no manifesto.
Se você desativar a integração do AWS Config ("config.enabled": false), também deverá desativar as seguintes integrações:
- Funções de segurança ("securityRoles.enabled": false)
- Gerenciamento de acesso ("accessManagement.enabled": false)
- Backup ("backup.enabled": false)
A conta IDs deve ser uma conta válida de 12 dígitos.AWS IDs
A chave KMS ARNs deve ser uma AWS KMS chave ARNs válida.
Os dias de retenção devem ser pelo menos 1.

Usando a CreateLandingZone API

Para criar sua landing zone usando a API:



                    aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json

A API retornará um ID de operação da zona de pouso que você pode usar para acompanhar o progresso da criação da sua zona de pouso. Resposta de exemplo:



{
    "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
    "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}

Você pode monitorar o status da operação usando a GetLandingZoneOperation API, que retorna um status de SUCCEEDEDFAILED, ouIN_PROGRESS:



                    aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"

O que mudou na versão 4.0 do landing zone

Mudanças importantes na estrutura e nos requisitos do manifesto:

Estrutura da organização
- organizationStructurea definição foi removida do manifesto
- Agora, os clientes podem definir sua própria estrutura organizacional
- Único requisito: as contas de integração de serviços devem estar na mesma OU diretamente abaixo da raiz
Sinalizadores habilitados
- Todas as configurações de integração de serviços têm um enabled sinalizador que agora é um campo obrigatório.
- Os clientes precisam sempre fornecer um valor booleano. Nenhum valor padrão é fornecido.
- Os clientes precisam explicitamente enable/disable cada configuração de integração de serviços no manifesto:
  - accessManagement
  - backup
  - centralizedLogging
  - config
  - securityRoles
Funções de segurança
- A integração com funções de segurança agora é opcional
- Novo enabled sinalizador introduzido para gerenciar a securityRoles implantação
- Quando desativados, os recursos de segurança relacionados não serão implementados
AWS Config Integration
- Nova seção de integração do serviço AWS Config adicionada ao manifesto config com os seguintes campos:
  - enabled: bandeira booleana necessária para gerenciar a implantação da integração do AWS Config
  - accountId: ID da conta da AWS para o agregador AWS Config
  - configurações:
    
    accessLoggingBucket.retentionDays: Período de retenção para registros de acesso
    loggingBucket.retentionDays: Período de retenção dos registros do AWS Config
    kmsKeyArn: chave KMS para criptografia

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Etapa 1: configure a zona de pouso

Identifique a zona de pouso