查看登录区清单文件的详细信息
AWS Control Tower 登录区清单文件是一种文本文件,用于描述您的 AWS Control Tower 资源。以下各节显示了登录区清单文件中条目的详细定义。
要查看完整的登录区架构示例,请参阅登录区架构。
governedRegions - 要置于监管之下的区域
-
类型:字符串列表
-
必需:否
示例:
"governedRegions": ["us-west-2","us-west-1"]
organizationStructure - 选择要在组织中创建的安全和沙盒 OU 的名称
-
类型:对象
-
必需:是
属性
示例:
security- 具有一个必需属性name的对象,它采用Stringsandbox- 具有一个必需属性name的对象,它采用String
"organizationStructure": { "security": { "name": "CORE" }, "sandbox": { "name": "Sandbox" } }
centralizedLogging - AWS CloudTrail 的配置
-
类型:对象
-
必需:是
属性
-
accountId -
String表示应该部署日志记录资源的 AWS 账户 -
配置 - 具有三个属性的
Object-
loggingBucket- 具有一个属性retentionDays的对象,它采用Number -
accessLoggingBucket- 具有一个属性retentionDays的对象,它采用Number -
kmsKeyArn- 可选的String
-
-
已启用 - 可选的
Boolean
-
示例:
"centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "accessLoggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX" }, "enabled": true }
securityRoles - 选择部署日志记录资源的位置
-
类型:对象
-
必需:是
属性:accountId -
String表示应该部署日志记录资源的 AWS 账户。示例:
"securityRoles": { "accountId": "333333333333" }
accessManagement - 选择是否启用访问管理
-
类型:对象
-
必需:否
属性:已启用 - 布尔值
示例:
"accessManagement": { "enabled": true }
备份 - 使用 AWS Control Tower 进行 AWS Backup 的配置
-
类型:对象
-
必需:否
-
属性
-
配置 - 具有三个属性的
Object-
centralBackup- 具有一个属性accountId的对象,它采用String -
backupAdmin- 具有一个属性accountId的对象,它采用String -
kmsKeyArn- 可选的String
-
-
已启用 -
Boolean
-
-
示例:
"backup": { "configurations": { "centralBackup": { "accountId": "CENTRAL BACKUP ACCOUNT ID" }, "backupAdmin": { "accountId": "BACKUP MANAGER ACCOUNT ID" }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX" }, "enabled": true }
