建立資訊清單檔案使用 CreateLandingZone API 登陸區域 4.0 版中的變更內容

步驟 2：使用 AWS Control Tower APIs啟動登陸區域

您可以使用 AWS Control Tower APIs來啟動您的登陸區域。本節說明如何建立所需的登陸區域資訊清單檔案，並將其與 CreateLandingZone API 操作搭配使用。

建立資訊清單檔案

資訊清單檔案是 JSON 文件，可指定您的登陸區域組態。使用登陸區域 4.0 版，許多元件現在是選用的，允許更靈活的部署。

資訊清單結構

以下是具有所有可用組態的資訊清單檔案的完整結構：



{
    "accessManagement": {
        "enabled": true    // Required - Controls IAM Identity Center integration
    },
    "backup": {
        "enabled": true,   // Required - Controls AWS Backup integration
        "configurations": {
            "backupAdmin": {
                "accountId": "111122223333"    // Backup administrator account
            },
            "centralBackup": {
                "accountId": "111122224444"    // Central backup account
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "centralizedLogging": {
        "accountId": "111122225555",    // Log archive account
        "enabled": true,                // Required - Controls centralized logging
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "config": {
        "accountId": "111122226666",    // Config aggregator account
        "enabled": true,                // Required - Controls AWS Config integration
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "governedRegions": [               // Optional - List of regions to govern
        "us-east-1",
        "us-west-2"
    ],
    "securityRoles": {
        "enabled": true,               // Required - Controls security roles creation
        "accountId": ""111122226666"    // Security/Audit account
    }
}

重要說明

資訊清單中需要所有enabled旗標。
如果您停用 AWS Config 整合 ("config.enabled": false)，您還必須停用下列整合：
- 安全角色 ("securityRoles.enabled": false)
- 存取管理 ("accessManagement.enabled": false)
- 備份 ("backup.enabled": false)
帳戶 IDs必須是有效的 12 位數 AWS 帳戶 IDs。
KMS 金鑰 ARNs 必須是有效的 AWS KMS 金鑰 ARNs。
保留天數必須至少為 1。

使用 CreateLandingZone API

若要使用 API 建立登陸區域：



                    aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json

API 會傳回登陸區域操作 ID，您可用來追蹤登陸區域建立的進度。回應範例：



{
    "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
    "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}

您可以使用傳回狀態為 SUCCEEDED、 FAILED或的 GetLandingZoneOperation API 來監控操作狀態IN_PROGRESS：



                    aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"

登陸區域 4.0 版中的變更內容

資訊清單結構和要求的重要變更：

組織結構
- organizationStructure 定義已從資訊清單中移除
- 客戶現在可以定義自己的組織結構
- 僅限需求：服務整合帳戶必須直接在根目錄下的相同 OU 中
啟用的旗標
- 所有服務整合組態都有 enabled旗標，現在是必要欄位。
- 客戶需要一律提供布林值。未提供預設值。
- 客戶需要明確啟用/停用資訊清單中的每個服務整合組態：
  - accessManagement
  - backup
  - centralizedLogging
  - config
  - securityRoles
安全角色
- 安全角色整合現在是選用的
- 引入用於管理securityRoles部署的新enabled旗標
- 停用時，將不會實作相關的安全功能
AWS 組態整合
- 新增 AWS Config 服務整合區段至資訊清單，config如下列欄位所示：
  - enabled：管理 AWS Config 整合部署所需的布林值旗標
  - accountId：AWS Config 彙總工具的 AWS 帳戶 ID
  - 組態：
    
    accessLoggingBucket.retentionDays：存取日誌的保留期間
    loggingBucket.retentionDays：AWS Config 日誌的保留期間
    kmsKeyArn：用於加密的 KMS 金鑰

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

步驟 1：設定您的登陸區域

識別您的登陸區域