本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 步驟 1：設定您的登陸區域
<a name="lz-api-prereques"></a>

 設定 AWS Control Tower 登陸區域的程序有多個步驟。AWS Control Tower 登陸區域的某些層面是可設定的，但在設定後無法變更其他選擇。若要在啟動登陸區域之前進一步了解這些重要考量，請檢閱[登陸區域組態的預期](getting-started-configure.md)。

 在使用 AWS Control Tower 登陸區域 APIs之前，您必須先從其他 AWS 服務呼叫 APIs，以在啟動之前設定您的登陸區域。此程序包含三個主要步驟：

1. 建立新的 AWS Organizations 組織、

1. 設定您的服務整合帳戶、

1. 和 建立具有呼叫登陸區域 APIs 所需許可的 IAM 角色或 IAM Identity Center 使用者。

## 步驟 1. 建立將包含您的登陸區域的組織：
<a name="w2aac15c17c15b9"></a>

 呼叫 AWS Organizations `CreateOrganization` API 並啟用所有功能來建立**基礎 OU**。AWS Control Tower 也建議建立指定的**安全 OU**。此安全 OU 應包含您的所有服務整合帳戶。這些是**日誌封存**帳戶和先前登陸區域版本的**稽核**帳戶。

```
aws organizations create-organization --feature-set ALL
```

 AWS Control Tower 可以設定一或多個**其他 OUs**。除了安全 OU 之外，建議您在登陸區域中佈建至少一個其他 OU。如果此額外 OU 適用於開發專案，建議您將其命名為**沙盒 OU**，如 [AWS Control Tower 登陸區域的 AWS 多帳戶策略](aws-multi-account-landing-zone.md)中所述。

## 步驟 2. 視需要佈建服務整合帳戶：
<a name="w2aac15c17c15c11"></a>

 若要設定您的登陸區域，AWS Control Tower 可讓客戶設定 AWS 服務整合。每個這些服務整合可能需要一或多個服務整合中央帳戶。如果您是第一次使用登陸區域 APIs 來設定 AWS Control Tower，則必須為每個啟用的 AWS 服務整合提供中央整合帳戶。您可以使用現有的 AWS 帳戶，或透過 AWS Control Tower 主控台或 AWS Organizations APIs 佈建這些帳戶。**確保這些服務整合帳戶位於組織中根層級的指定安全 OU 中。**

1. 呼叫 AWS Organizations `CreateAccount` API，以在**安全 OU **中建立**日誌封存**帳戶和**稽核**帳戶。

   ```
                               aws organizations create-account --email mylog@example.com --account-name "Logging Account"
                               aws organizations create-account --email mysecurity@example.com --account-name "Security Account"
   ```

    （選用） 使用 AWS Organizations `DescribeAccount` API 檢查`CreateAccount`操作的狀態。

1. 將佈建的服務整合帳戶移至指定的**安全 OU**

   ```
                               aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security
   ```

## 步驟 3。建立所需的服務角色
<a name="w2aac15c17c15c13"></a>

 在 IAM 路徑中建立下列 IAM `/service-role/` 服務角色，讓 AWS Control Tower 能夠執行設定登陸區域所需的 API 呼叫：
+  [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerAdmin](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerAdmin) 
+  [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRole](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRole) 
+  [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerStackSetRole](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerStackSetRole) 
+  [https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#config-role-for-organizations](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#config-role-for-organizations) 

 如需這些角色及其政策的詳細資訊，請參閱 [針對 AWS Control Tower 使用身分型政策 (IAM 政策）](access-control-managing-permissions.md)。

### 若要建立 IAM 角色：
<a name="w2aac15c17c15c13b9"></a>

 建立具有呼叫所有登陸區域 APIs IAM 角色。或者，您可以建立 IAM Identity Center 使用者並指派必要的許可。

```
{
    "Version": "2012-10-17",		 	 	                    
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}
```

**注意**  
 在啟用 Config AWS 整合的情況下升級至登陸區域 4.0 版時，客戶需要擁有 `organizations:ListDelegatedAdministrators` 許可。