步骤 1:配置登录区 - AWS Control Tower
步骤 1:创建将包含您的登录区的组织:步骤 2:如果需要,可配置服务集成账户:步骤 3:创建所需的服务角色。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 1:配置登录区

设置 AWS Control Tower 登录区的过程分为多个步骤。AWS Control Tower 登录区的某些方面是可配置的,但其他选项一经设置便无法更改。要在启动着陆区之前详细了解这些重要注意事项,请查看对着陆区配置的期望

在使用 AWS Control Tower 着陆区之前 APIs,您必须先 APIs 从其他AWS服务处致电以配置您的着陆区,然后才能启动。该过程包括三个主要步骤:

  1. 创建一个新的 Organizations AWS组织,

  2. 设置您的服务集成账户,

  3. 并创建具有调用 landing zone 所需权限的 IAM 角色或 IAM Identity Center 用户 APIs。

步骤 1:创建将包含您的登录区的组织:

调用 AWS Org CreateOrganization anizations API 并启用所有功能以创建基础 OU。AWS Control Tower 还建议创建指定的安全 OU。此安全 OU 应包含您的所有服务集成帐户。这些账户将是日志存档账户和先前 Landing Zone 版本的审计账户。


aws organizations create-organization --feature-set ALL

AWS Control Tower 可以设置一个或多个额外设置 OUs。除了安全 OU 之外,我们建议您在登录区内至少预置一个其他 OU。如果此额外 OU 用于开发项目,我们建议您将其命名为沙盒 OU,如您的 AWS Cont rol Tower 着陆区的 AWS 多账户策略中所述。

步骤 2:如果需要,可配置服务集成账户:

为了设置您的着陆区,AWS Control Tower 允许客户配置 AWS 服务集成。这些服务集成中的每一个都可能需要一个或多个服务集成中央账户。如果您是首次使用着陆区 APIs 设置 AWS Control Tower,则必须为每个启用的 AWS 服务集成提供中央集成账户。您可以使用现有的 AWS 账户,也可以通过 AWS Control Tower 控制台或AWS Organizations 配置这些账户 APIs。确保这些服务集成帐户位于组织根级别的指定安全 OU 中。

  1. 调用 AWS Organizations CreateAccount API 在安全 OU 中创建日志存档账户和审计账户。

    
                            aws organizations create-account --email mylog@example.com --account-name "Logging Account"
                            aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

    (可选)使用 Organizations DescribeAccount API 检查CreateAccountAWS操作的状态。

  2. 将已配置的服务集成账户移至指定的安全 OU

    
                            aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security

步骤 3:创建所需的服务角色。

/service-role/ IAM 路径中创建以下 IAM 服务角色,让 AWS Control Tower 能够执行设置登录区所需的 API 调用:

有关这些角色及其策略的更多信息,请参阅在 AWS Control Tower 中使用基于身份的策略(IAM 策略)

要创建 IAM 角色,请执行以下操作:

创建具有调用所有 landing zone 所需权限的 IAM 角色 APIs。或者,您可以创建 IAM Identity Center 用户并分配必要的权限。


{
    "Version": "2012-10-17",		 	 	                    
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}
注意

在启用了AWS Config 集成的情况下升级到 landing zone 版本 4.0 时,客户需要拥有organizations:ListDelegatedAdministrators权限。