步驟 1:設定您的登陸區域 - AWS Control Tower
步驟 1. 建立將包含您的登陸區域的組織:步驟 2. 視需要佈建服務整合帳戶:步驟 3。建立所需的服務角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 1:設定您的登陸區域

設定 AWS Control Tower 登陸區域的程序有多個步驟。AWS Control Tower 登陸區域的某些層面是可設定的,但在設定後無法變更其他選擇。若要在啟動登陸區域之前進一步了解這些重要考量,請檢閱登陸區域組態的預期

在使用 AWS Control Tower 登陸區域 APIs 之前,您必須先從其他 AWS 服務呼叫 APIs,以在啟動之前設定您的登陸區域。此程序包含三個主要步驟:

  1. 建立新的 AWS Organizations 組織、

  2. 設定您的服務整合帳戶、

  3. 和 建立具有呼叫登陸區域 APIs 所需許可的 IAM 角色或 IAM Identity Center 使用者。

步驟 1. 建立將包含您的登陸區域的組織:

呼叫 AWS Organizations CreateOrganization API 並啟用所有功能來建立基礎 OU。AWS Control Tower 也建議建立指定的安全 OU。此安全 OU 應包含您的所有服務整合帳戶。這些是日誌封存帳戶和先前登陸區域版本的稽核帳戶。


aws organizations create-organization --feature-set ALL

AWS Control Tower 可以設定一或多個其他 OUs。除了安全 OU 之外,我們建議您在登陸區域中佈建至少一個額外的 OU。如果此額外 OU 適用於開發專案,建議您將其命名為沙盒 OU,如 AWS Control Tower 登陸區域的 AWS 多帳戶策略中所述。

步驟 2. 視需要佈建服務整合帳戶:

若要設定您的登陸區域,AWS Control Tower 可讓客戶設定 AWS 服務整合。這些服務整合可能需要一或多個服務整合中央帳戶。如果您是第一次使用登陸區域 APIs 來設定 AWS Control Tower,則必須為每個啟用的 AWS 服務整合提供中央整合帳戶。您可以使用現有的 AWS 帳戶,或透過 AWS Control Tower 主控台或 AWS Organizations APIs 佈建這些帳戶。確保這些服務整合帳戶位於組織中根層級的指定安全 OU 中。

  1. 呼叫 AWS Organizations CreateAccount API,以在安全 OU 中建立日誌封存帳戶和稽核帳戶。

    
                            aws organizations create-account --email mylog@example.com --account-name "Logging Account"
                            aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

    (選用) 使用 AWS Organizations DescribeAccount API 檢查CreateAccount操作的狀態。

  2. 將佈建的服務整合帳戶移至指定的安全 OU

    
                            aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security

步驟 3。建立所需的服務角色

在 IAM 路徑中建立下列 IAM /service-role/ 服務角色,讓 AWS Control Tower 能夠執行設定登陸區域所需的 API 呼叫:

如需這些角色及其政策的詳細資訊,請參閱 針對 AWS Control Tower 使用身分型政策 (IAM 政策)

若要建立 IAM 角色:

建立具有呼叫所有登陸區域 APIs IAM 角色。或者,您可以建立 IAM Identity Center 使用者並指派必要的許可。


{
    "Version": "2012-10-17",		 	 	                    
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}
注意

在啟用 Config 整合的情況下升級至登陸區域 4.0 AWS 版時,客戶需要擁有 organizations:ListDelegatedAdministrators 許可。