Etapa 1: configure a zona de pouso - AWS Control Tower
Etapa 1. Crie a organização que conterá a zona de pouso:Etapa 2. Provisione contas de integração de serviços, se necessário:Etapa 3. Crie os perfis de serviço necessários

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 1: configure a zona de pouso

O processo de configuração da zona de pouso do AWS Control Tower tem várias etapas. Certos aspectos da zona de pouso do AWS Control Tower são configuráveis, mas outras opções não podem ser alteradas após a configuração. Para saber mais sobre essas considerações importantes antes de lançar sua zona de pouso, consulte Expectativas para a configuração da zona de pouso.

Antes de usar a zona de pouso do AWS Control Tower APIs, você deve primeiro ligar APIs de outros AWS serviços para configurar sua zona de pouso antes do lançamento. O processo inclui três etapas principais:

  1. criando uma nova organização AWS Organizations,

  2. configurando suas contas de integração de serviços,

  3. e criar uma função do IAM ou um usuário do IAM Identity Center com as permissões necessárias para chamar a landing zone APIs.

Etapa 1. Crie a organização que conterá a zona de pouso:

Chame a CreateOrganization API do AWS Organizations e habilite todos os recursos para criar a OU Foundational. O AWS Control Tower também recomenda a criação de uma OU de segurança designada. Essa OU de segurança deve conter todas as suas contas de integração de serviços. Essas seriam a conta de arquivamento de registros e a conta de auditoria das versões anteriores do Landing Zone. 


aws organizations create-organization --feature-set ALL

O AWS Control Tower pode configurar um ou mais adicionais OUs. Recomendamos que você provisione pelo menos uma UO adicional na zona de pouso, além da UO de segurança. Se essa OU adicional for destinada a projetos de desenvolvimento, recomendamos que você a nomeie como OU Sandbox, conforme indicado na estratégia de várias contas da AWS para sua landing zone do AWS Control Tower.

Etapa 2. Provisione contas de integração de serviços, se necessário:

Para configurar sua landing zone, o AWS Control Tower permite que os clientes configurem integrações de serviços da AWS. Cada uma dessas integrações de serviços pode exigir uma ou mais contas centrais de integração de serviços. Se você estiver usando o landing zone APIs para configurar o AWS Control Tower pela primeira vez, deverá fornecer a conta de integração central para cada integração de serviços da AWS habilitada. Você pode usar contas existentes da AWS ou provisionar essas contas por meio do console do AWS Control Tower ou do AWS Organizations APIs. Certifique-se de que essas contas de integração de serviços estejam na OU de segurança designada que esteja no nível raiz da sua organização.

  1. Chame a CreateAccount API do AWS Organizations para criar a conta de arquivamento de registros e a conta de auditoria na OU de segurança.

    
                            aws organizations create-account --email mylog@example.com --account-name "Logging Account"
                            aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

    (Opcional) Verifique o status da CreateAccount operação usando a DescribeAccount API AWS Organizations.

  2. Mova as contas de integração de serviços provisionados para a OU de segurança designada

    
                            aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security

Etapa 3. Crie os perfis de serviço necessários

Crie os seguintes perfis de serviço do IAM no caminho do IAM /service-role/ que permitem que o AWS Control Tower realize as chamadas de API necessárias para configurar a zona de pouso:

Consulte mais informações sobre essas políticas e suas permissões em Uso de políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower.

Para criar uma função do IAM:

Crie uma função do IAM com as permissões necessárias para chamar toda a landing zone APIs. Como alternativa, você pode criar um usuário do Centro de Identidade do IAM e atribuir as permissões necessárias. 


{
    "Version": "2012-10-17",		 	 	                    
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}
nota

Ao atualizar para a versão 4.0 do landing zone com a integração AWS Config ativada, os clientes precisam organizations:ListDelegatedAdministrators ter permissões.