本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 步骤 1：配置登录区
<a name="lz-api-prereques"></a>

 设置 AWS Control Tower 登录区的过程分为多个步骤。AWS Control Tower 登录区的某些方面是可配置的，但其他选项一经设置便无法更改。要在启动着陆区之前详细了解这些重要注意事项，请查看[对着陆区配置的期望](getting-started-configure.md)。

 在使用 AWS Control Tower 着陆区之前 APIs，您必须先 APIs 从其他 AWS 服务处致电以配置您的着陆区，然后才能启动。该过程包括三个主要步骤：

1. 创建一个新的 Organizations AWS 组织，

1. 设置您的服务集成账户，

1. 并创建具有调用 landing zone 所需权限的 IAM 角色或 IAM Identity Center 用户 APIs。

## 步骤 1：创建将包含您的登录区的组织：
<a name="w2aac15c17c15b9"></a>

 调用 AWS Org `CreateOrganization` anizations API 并启用所有功能以创建**基础 OU**。AWS Control Tower 还建议创建指定的**安全 OU**。此安全 OU 应包含您的所有服务集成帐户。这些账户将是**日志存档**账户和先前 Landing Zone 版本的**审计**账户。

```
aws organizations create-organization --feature-set ALL
```

 AWS Control Tower 可以设置一个或多个**额外**设置 OUs。除了安全 OU 之外，我们建议您在登录区内至少预置一个其他 OU。如果此额外 OU 用于开发项目，我们建议您将其命名为**沙盒 OU**，如您的 AWS Cont [rol Tower 着陆区的 AWS 多账户策略](aws-multi-account-landing-zone.md)中所述。

## 步骤 2：如果需要，可配置服务集成账户：
<a name="w2aac15c17c15c11"></a>

 为了设置您的着陆区，AWS Control Tower 允许客户配置 AWS 服务集成。这些服务集成中的每一个都可能需要一个或多个服务集成中央账户。如果您是首次使用着陆区 APIs 设置 AWS Control Tower，则必须为每个启用的 AWS 服务集成提供中央集成账户。您可以使用现有的 AWS 账户，也可以通过 AWS Control Tower 控制台或 AWS Organizations 配置这些账户 APIs。**确保这些服务集成帐户位于组织根级别的指定安全 OU 中。**

1. 调用 AWS Organizations `CreateAccount` API 在**安全 OU** 中创建**日志存档**账户和**审计**账户。

   ```
                               aws organizations create-account --email mylog@example.com --account-name "Logging Account"
                               aws organizations create-account --email mysecurity@example.com --account-name "Security Account"
   ```

    （可选）使用 Organizations `DescribeAccount` API 检查`CreateAccount` AWS 操作的状态。

1. 将已配置的服务集成账户移至指定的**安全** OU

   ```
                               aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security
   ```

## 步骤 3：创建所需的服务角色。
<a name="w2aac15c17c15c13"></a>

 在 `/service-role/` IAM 路径中创建以下 IAM 服务角色，让 AWS Control Tower 能够执行设置登录区所需的 API 调用：
+  [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerAdmin](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerAdmin) 
+  [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRole](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRole) 
+  [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerStackSetRole](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerStackSetRole) 
+  [https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#config-role-for-organizations](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#config-role-for-organizations) 

 有关这些角色及其策略的更多信息，请参阅[在 AWS Control Tower 中使用基于身份的策略（IAM 策略）](access-control-managing-permissions.md)。

### 要创建 IAM 角色，请执行以下操作：
<a name="w2aac15c17c15c13b9"></a>

 创建具有调用所有 landing zone 所需权限的 IAM 角色 APIs。或者，您可以创建 IAM Identity Center 用户并分配必要的权限。

```
{
    "Version": "2012-10-17",		 	 	                    
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}
```

**注意**  
 在启用了 AWS Config 集成的情况下升级到 landing zone 版本 4.0 时，客户需要拥有`organizations:ListDelegatedAdministrators`权限。