Etapa 2: inicie a zona de pouso - AWS Control Tower

Etapa 2: inicie a zona de pouso

A API CreateLandingZone do AWS Control Tower exige uma versão da zona de pouso e um arquivo de manifesto da zona de pouso como parâmetros de entrada. É possível usar o arquivo de manifesto da zona de pouso do AWS Control Tower para configurar os seguintes atributos:

Após compilar seu arquivo de manifesto, estará tudo pronto para criar uma zona de pouso.

Para obter mais informações sobre o que está no arquivo de manifesto, consulte Exibir os detalhes do arquivo de manifesto da sua zona de pouso.

Para obter mais informações sobre os esquemas da zona de pouso que se aplicam ao arquivo de manifesto da zona de pouso, consulte Esquemas da zona de pouso.

nota

O AWS Control Tower não permite o controle de negação da região ao usar APIs para configurar e iniciar uma zona de pouso. Depois de iniciar com sucesso a zona de pouso usando APIs, você pode usar o console do AWS Control Tower para configurar o controle de negação de região.

  1. Chame a API CreateLandingZone do AWS Control Tower. Essa API requer uma versão da zona de pouso e um arquivo de manifesto da zona de pouso como entrada. 

    aws controltower create-landing-zone --landing-zone-version 3.3 --manifest "file://LandingZoneManifest.json"

    Para obter mais detalhes sobre o conteúdo do arquivo de manifesto da zona de pouso, consulte Visualizar os detalhes do arquivo de manifesto da zona de pouso.

    O exemplo a seguir mostra um manifesto LandingZoneManifest.json, que inclui configurações para regiões governadas e registro centralizado: 

    {
   "governedRegions": ["us-west-2","us-west-1"],
   "organizationStructure": {
       "security": {
           "name": "CORE"
       },
       "sandbox": {
           "name": "Sandbox"
       }
   },
   "centralizedLogging": {
        "accountId": "222222222222",
        "configurations": {
            "loggingBucket": {
                "retentionDays": 60
            },
            "accessLoggingBucket": {
                "retentionDays": 60
            },
            "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX"
        },
        "enabled": true
   },
   "securityRoles": {
        "accountId": "333333333333"
   },
   "accessManagement": {
        "enabled": true
   }
}
    nota

    Conforme mostrado no exemplo, o AccountId das contas CentralizedLogging e SecurityRoles deve ser diferente.

    O exemplo a seguir mostra um arquivo de manifesto LandingZoneManifest.json, que inclui configurações para backup e registro centralizado: 

    {
        "landingZoneIdentifier": "LANDING ZONE ARN",
        "manifest": {
            "accessManagement": {
                "enabled": true
            },
            "securityRoles": {
                "accountId": "333333333333"
            },
            "backup": {
                "configurations": {
                    "centralBackup": {
                        "accountId": "CENTRAL BACKUP ACCOUNT ID"
                    },
                    "backupAdmin": {
                        "accountId": "BACKUP MANAGER ACCOUNT ID"
                    },
                    "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX"
                },
                "enabled": true
            },
            "governedRegions": [
                "us-west-1"
            ],
            "organizationStructure": {
                "sandbox": {
                    "name": "Sandbox"
                },
                "security": {
                    "name": "Security"
                }
            },
            "centralizedLogging": {
                "accountId": "222222222222",
                "configurations": {
                    "loggingBucket": {
                        "retentionDays": 365
                    },
                    "accessLoggingBucket": {
                        "retentionDays": 3650
                    }
                },
                "enabled": true
            }
        },
        "version": "3.3"
}

    Saída: 

    {
   "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
   "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}

  2. Chame a API GetLandingZoneOperation para conferir o status da operação CreateLandingZone. A API GetLandingZoneOperation retorna um status de SUCCEEDED, FAILED ou IN_PROGRESS. 

    aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"

    Saída: 

    {
    "operationDetails": {
        "operationType": "CREATE",
        "startTime": "Thu Nov 09 20:39:19 UTC 2023",
        "endTime": "Thu Nov 09 21:02:01 UTC 2023",
        "status": "SUCCEEDED"
    }
}

  3. Quando o status retornar como SUCCEEDED, você poderá chamar a API GetLandingZone para revisar a configuração da zona de pouso. 

    aws controltower get-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"

    Saída: 

    {
    "landingZone": {
        "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
        "driftStatus": {
            "status": "IN_SYNC"
        },
        "latestAvailableVersion": "3.3",
        "manifest": {
            "accessManagement": {
                "enabled": true
            },
            "securityRoles": {
                "accountId": "333333333333"
            },
            "governedRegions": [
                "us-west-1",
                "eu-west-3",
                "us-west-2"
            ],
            "organizationStructure": {
                "sandbox": {
                    "name": "Sandbox"
                },
                "security": {
                    "name": "Security"
                }
            },
            "centralizedLogging": {
                "accountId": "222222222222",
                "configurations": {
                    "loggingBucket": {
                        "retentionDays": 60
                    },
                    "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX",
                    "accessLoggingBucket": {
                        "retentionDays": 60
                    }
                },
                "enabled": true
            }
        },
        "status": "PROCESSING",
        "version": "3.3"
    }
}