第 2 步:使用 AWS Control Tower 启动您的着陆区 APIs - AWS Control Tower
创建清单文件使用 CreateLandingZone APIlanding zone 版本 4.0 中有什么变化

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 2 步:使用 AWS Control Tower 启动您的着陆区 APIs

您可以使用 AWS Control Tower APIs 启动您的着陆区。本节介绍如何创建所需的 land ing zone 清单文件并将其用于 CreateLandingZone API 操作。

创建清单文件

清单文件是一个 JSON 文档,用于指定您的着陆区配置。在 landing zone 4.0 版本中,许多组件现在都是可选的,因此可以更灵活地部署。

清单结构

以下是包含所有可用配置的清单文件的完整结构:


{
    "accessManagement": {
        "enabled": true    // Required - Controls IAM Identity Center integration
    },
    "backup": {
        "enabled": true,   // Required - Controls AWS Backup integration
        "configurations": {
            "backupAdmin": {
                "accountId": "111122223333"    // Backup administrator account
            },
            "centralBackup": {
                "accountId": "111122224444"    // Central backup account
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "centralizedLogging": {
        "accountId": "111122225555",    // Log archive account
        "enabled": true,                // Required - Controls centralized logging
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "config": {
        "accountId": "111122226666",    // Config aggregator account
        "enabled": true,                // Required - Controls AWS Config integration
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "governedRegions": [               // Optional - List of regions to govern
        "us-east-1",
        "us-west-2"
    ],
    "securityRoles": {
        "enabled": true,               // Required - Controls security roles creation
        "accountId": ""111122226666"    // Security/Audit account
    }
}

重要提示

  • 清单中必须包含所有enabled标志。

  • 如果您禁用 AWS Config 集成 ("config.enabled": false),则还必须禁用以下集成:

    • 安全角色 ("securityRoles.enabled": false)

    • 访问管理 ("accessManagement.enabled": false)

    • Backup ("backup.enabled": false)

  • 账户 IDs 必须是有效的 12 位数AWS账户 IDs。

  • KMS 密钥 ARNs 必须是有效的AWS KMS密钥 ARNs。

  • 保留天数必须至少为 1。

使用 CreateLandingZone API

要使用 API 创建您的着陆区,请执行以下操作:


                    aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json

API 将返回一个着陆区操作 ID,您可以使用它来跟踪着陆区的创建进度。示例响应:


{
    "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
    "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}

您可以使用 GetLandingZoneOperation API 监控操作状态,API 返回的状态为SUCCEEDEDFAILED、或IN_PROGRESS


                    aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"

landing zone 版本 4.0 中有什么变化

清单结构和要求的重要更改:

  • 组织结构

    • organizationStructure定义已从清单中删除

    • 客户现在可以定义自己的组织结构

    • 唯一要求:服务集成账户必须位于同一 OU 中 root

  • 已启用的标志

    • 所有服务集成配置都有一个enabled标志,该标志现在是必填字段。

    • 客户需要始终提供布尔值。未提供默认值。

    • 客户需要在清单中明确说明 enable/disable 每项服务集成配置:

      • accessManagement

      • backup

      • centralizedLogging

      • config

      • securityRoles

  • 安全角色

    • 安全角色集成现在是可选的

    • 引入了用于管理securityRoles部署的新enabled标志

    • 禁用后,将无法实现相关的安全功能

  • AWS Config 集成

    • 清单中添加了新的 AWS Config 服务集成部分,config与以下字段相同:

      • enabled: 管理 AWS Config 集成部署所需的布尔标志

      • accountId: AWS Config 聚合器的 AWS 账户 ID

      • 配置:

        • accessLoggingBucket.retentionDays: 访问日志的保留期

        • loggingBucket.retentionDays: AWS Config 日志的保留期

        • kmsKeyArn: 用于加密的 KMS 密钥