本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 步驟 2:使用 AWS Control Tower APIs啟動登陸區域
您可以使用 AWS Control Tower APIs來啟動您的登陸區域。本節說明如何建立所需的*登陸區域資訊清單檔案*,並將其與 `CreateLandingZone` API 操作搭配使用。
## 建立資訊清單檔案
資訊清單檔案是 JSON 文件,可指定您的登陸區域組態。使用登陸區域 4.0 版,許多元件現在是選用的,允許更靈活的部署。
### 資訊清單結構
以下是具有所有可用組態的資訊清單檔案的完整結構:
```
{
"accessManagement": {
"enabled": true // Required - Controls IAM Identity Center integration
},
"backup": {
"enabled": true, // Required - Controls AWS Backup integration
"configurations": {
"backupAdmin": {
"accountId": {{"111122223333"}} // Backup administrator account
},
"centralBackup": {
"accountId": {{"111122224444"}} // Central backup account
},
"kmsKeyArn": {{"arn:aws:kms:region:account-id:key/key-id"}}
}
},
"centralizedLogging": {
"accountId": {{"111122225555"}}, // Log archive account
"enabled": true, // Required - Controls centralized logging
"configurations": {
"accessLoggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"loggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"kmsKeyArn": {{"arn:aws:kms:region:account-id:key/key-id"}}
}
},
"config": {
"accountId": {{"111122226666"}}, // Config aggregator account
"enabled": true, // Required - Controls AWS Config integration
"configurations": {
"accessLoggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"loggingBucket": {
"retentionDays": 365 // Minimum value: 1
},
"kmsKeyArn": {{"arn:aws:kms:region:account-id:key/key-id"}}
}
},
"governedRegions": [ // Optional - List of regions to govern
"us-east-1",
"us-west-2"
],
"securityRoles": {
"enabled": true, // Required - Controls security roles creation
"accountId": "{{"111122226666"}} // Security/Audit account
}
}
```
### 重要說明
+ 資訊清單中需要所有`enabled`旗標。
+ 如果您停用 AWS Config 整合 (`"config.enabled": false`),您還必須停用下列整合:
+ 安全角色 (`"securityRoles.enabled": false`)
+ 存取管理 (`"accessManagement.enabled": false`)
+ 備份 (`"backup.enabled": false`)
+ 帳戶 IDs必須是有效的 12 位數 AWS 帳戶 IDs。
+ KMS 金鑰 ARNs 必須是有效的 AWS KMS 金鑰 ARNs。
+ 保留天數必須至少為 1。
## 使用 CreateLandingZone API
若要使用 API 建立登陸區域:
```
aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json
```
API 會傳回登陸區域操作 ID,您可用來追蹤登陸區域建立的進度。回應範例:
```
{
"arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
"operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```
您可以使用傳回狀態為 `SUCCEEDED`、 `FAILED`或 的 `GetLandingZoneOperation` API 來監控操作**狀態**`IN_PROGRESS`:
```
aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"
```
## 登陸區域 4.0 版中的變更內容
資訊清單結構和要求的重要變更:
+ 組織結構
+ `organizationStructure` 定義已從資訊清單中移除
+ 客戶現在可以定義自己的組織結構
+ 僅限需求:服務整合帳戶必須直接在根目錄下的相同 OU 中
+ 啟用的旗標
+ 所有服務整合組態都有 `enabled`旗標,現在是必要欄位。
+ 客戶需要一律提供布林值。未提供預設值。
+ 客戶需要明確啟用/停用資訊清單中的每個服務整合組態:
+ `accessManagement`
+ `backup`
+ `centralizedLogging`
+ `config`
+ `securityRoles`
+ 安全角色
+ 安全角色整合現在是選用的
+ 引入用於管理`securityRoles`部署的新`enabled`旗標
+ 停用時,將不會實作相關的安全功能
+ AWS 組態整合
+ 新增 AWS Config 服務整合區段至資訊清單,`config`如下列欄位所示:
+ `enabled`:管理 AWS Config 整合部署所需的布林值旗標
+ `accountId`:AWS Config 彙總工具的 AWS 帳戶 ID
+ 組態:
+ `accessLoggingBucket.retentionDays`:存取日誌的保留期間
+ `loggingBucket.retentionDays`:AWS Config 日誌的保留期間
+ `kmsKeyArn`:用於加密的 KMS 金鑰