本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 第 2 步:使用 AWS Control Tower 启动您的着陆区 APIs
您可以使用 AWS Control Tower APIs 启动您的着陆区。本节介绍如何创建所需的 land *ing zone 清单文件*并将其用于 `CreateLandingZone` API 操作。
## 创建清单文件
清单文件是一个 JSON 文档,用于指定您的着陆区配置。在 landing zone 4.0 版本中,许多组件现在都是可选的,因此可以更灵活地部署。
### 清单结构
以下是包含所有可用配置的清单文件的完整结构:
```
{
"accessManagement": {
"enabled": true // Required - Controls IAM Identity Center integration
},
"backup": {
"enabled": true, // Required - Controls AWS Backup integration
"configurations": {
"backupAdmin": {
"accountId": {{"111122223333"}} // Backup administrator account
},
"centralBackup": {
"accountId": {{"111122224444"}} // Central backup account
},
"kmsKeyArn": {{"arn:aws:kms:region:account-id:key/key-id"}}
}
},
"centralizedLogging": {
"accountId": {{"111122225555"}}, // Log archive account
"enabled": true, // Required - Controls centralized logging
"configurations": {
"accessLoggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"loggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"kmsKeyArn": {{"arn:aws:kms:region:account-id:key/key-id"}}
}
},
"config": {
"accountId": {{"111122226666"}}, // Config aggregator account
"enabled": true, // Required - Controls AWS Config integration
"configurations": {
"accessLoggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"loggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"kmsKeyArn": {{"arn:aws:kms:region:account-id:key/key-id"}}
}
},
"governedRegions": [ // Optional - List of regions to govern
"us-east-1",
"us-west-2"
],
"securityRoles": {
"enabled": true, // Required - Controls security roles creation
"accountId": "{{"111122226666"}} // Security/Audit account
}
}
```
### 重要提示
+ 清单中必须包含所有`enabled`标志。
+ 如果您禁用 AWS Config 集成 (`"config.enabled": false`),则还必须禁用以下集成:
+ 安全角色 (`"securityRoles.enabled": false`)
+ 访问管理 (`"accessManagement.enabled": false`)
+ Backup (`"backup.enabled": false`)
+ 账户 IDs 必须是有效的 12 位数 AWS 账户 IDs。
+ KMS 密钥 ARNs 必须是有效的 AWS KMS 密钥 ARNs。
+ 保留天数必须至少为 1。
## 使用 CreateLandingZone API
要使用 API 创建您的着陆区,请执行以下操作:
```
aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json
```
API 将返回一个着陆区操作 ID,您可以使用它来跟踪着陆区的创建进度。示例响应:
```
{
"arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
"operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```
您可以使用 `GetLandingZoneOperation` API 监控操作状态,API 返回的**状态为**`SUCCEEDED``FAILED`、或`IN_PROGRESS`:
```
aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"
```
## landing zone 版本 4.0 中有什么变化
清单结构和要求的重要更改:
+ 组织结构
+ `organizationStructure`定义已从清单中删除
+ 客户现在可以定义自己的组织结构
+ 唯一要求:服务集成账户必须位于同一 OU 中 root
+ 已启用的标志
+ 所有服务集成配置都有一个`enabled`标志,该标志现在是必填字段。
+ 客户需要始终提供布尔值。未提供默认值。
+ 客户需要在清单中明确说明 enable/disable 每项服务集成配置:
+ `accessManagement`
+ `backup`
+ `centralizedLogging`
+ `config`
+ `securityRoles`
+ 安全角色
+ 安全角色集成现在是可选的
+ 引入了用于管理`securityRoles`部署的新`enabled`标志
+ 禁用后,将无法实现相关的安全功能
+ AWS Config 集成
+ 清单中添加了新的 AWS Config 服务集成部分,`config`与以下字段相同:
+ `enabled`: 管理 AWS Config 集成部署所需的布尔标志
+ `accountId`: AWS Config 聚合器的 AWS 账户 ID
+ 配置:
+ `accessLoggingBucket.retentionDays`: 访问日志的保留期
+ `loggingBucket.retentionDays`: AWS Config 日志的保留期
+ `kmsKeyArn`: 用于加密的 KMS 密钥