Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 2: Starte deine landing zone
Der AWS Control Tower CreateLandingZone API benötigt eine landing zone Zone-Version und eine Manifestdatei als Eingabeparameter. Sie können die Manifestdatei verwenden, um die folgenden Funktionen zu konfigurieren:
Nachdem Sie Ihre Manifestdatei kompiliert haben, können Sie eine neue landing zone erstellen.
Anmerkung
AWSControl Tower unterstützt die Option Region Deny Control nicht, wenn sie APIs zum Konfigurieren und Starten einer landing zone verwendet wird. Nachdem Sie Ihre landing zone erfolgreich gestartet habenAPIs, können Sie die AWS Control Tower Tower-Konsole verwenden, um die Region Deny Control zu konfigurieren.
-
Ruf den AWS Control Tower an
CreateLandingZoneAPI. Dies API erfordert eine Landingzone-Version und eine Manifestdatei als Eingabe.aws controltower create-landing-zone --landing-zone-version 3.3 --manifest "file://LandingZoneManifest.json"Beispiel für ein LandingZoneManifestJSON-Manifest:
{ "governedRegions": ["us-west-2","us-west-1"], "organizationStructure": { "security": { "name": "CORE" }, "sandbox": { "name": "Sandbox" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "accessLoggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX" }, "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "accessManagement": { "enabled": true } }Anmerkung
Wie im Beispiel gezeigt, müssen die SecurityRoles Konten AccountIdfür CentralizedLogging und unterschiedlich sein.
Ausgabe:
{ "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX" } -
Rufen Sie den
GetLandingZoneOperationAPI an, um den Status desCreateLandingZoneVorgangs zu überprüfen. DerGetLandingZoneOperationAPI gibt den StatusSUCCEEDEDFAILED, oder zurückIN_PROGRESS.aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"Ausgabe:
{ "operationDetails": { "operationType": "CREATE", "startTime": "Thu Nov 09 20:39:19 UTC 2023", "endTime": "Thu Nov 09 21:02:01 UTC 2023", "status": "SUCCEEDED" } } -
Wenn der Status wieder als angezeigt wird
SUCCEEDED, können Sie die anrufen,GetLandingZoneAPI um die Konfiguration der landing zone zu überprüfen.aws controltower get-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"Ausgabe:
{ "landingZone": { "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "driftStatus": { "status": "IN_SYNC" }, "latestAvailableVersion": "3.3", "manifest": { "accessManagement": { "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "governedRegions": [ "us-west-1", "eu-west-3", "us-west-2" ], "organizationStructure": { "sandbox": { "name": "Sandbox" }, "security": { "name": "Security" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX", "accessLoggingBucket": { "retentionDays": 60 } }, "enabled": true } }, "status": "PROCESSING", "version": "3.3" } }
