Schritt 1: Konfiguriere deine landing zone - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Konfiguriere deine landing zone

Die Einrichtung Ihrer AWS Control Tower Tower-Landezone landing zone aus mehreren Schritten. Bestimmte Aspekte Ihrer AWS Control Tower Tower-Landezone sind konfigurierbar, andere Optionen können jedoch nach der Einrichtung nicht geändert werden. Weitere Informationen zu diesen wichtigen Überlegungen vor dem Start Ihrer landing zone finden Sie unter Erwartungen an die Konfiguration der landing zone .

Bevor Sie die AWS Control Tower landing zone Zone-APIs verwenden können, müssen Sie zunächst APIs von anderen AWS Services aufrufen, um Ihre landing zone vor dem Start zu konfigurieren. Der Prozess umfasst drei Hauptschritte:

  • Schaffung einer neuen AWS Organizations Organisation,

  • die E-Mail-Adressen für Ihr gemeinsames Konto einrichten,

  • und eine IAM-Rolle oder einen IAM Identity Center-Benutzer mit den erforderlichen Berechtigungen zum Aufrufen der Landingzone-APIs zu erstellen.

Schritt 1. Erstellen Sie die Organisation, die Ihre landing zone enthalten soll:

  1. Rufen Sie die AWS Organizations CreateOrganization API auf und aktivieren Sie alle Funktionen, um die Foundational OU zu erstellen. AWS Control Tower nennt dies zunächst Security OU. Diese Sicherheits-OU enthält Ihre beiden gemeinsamen Konten, die standardmäßig als Protokollarchiv-Konto und Audit-Konto bezeichnet werden. 

    aws organizations create-organization --feature-set ALL

    AWS Control Tower kann eine oder mehrere zusätzliche Organisationseinheiten einrichten. Wir empfehlen Ihnen, neben der Sicherheits-OU mindestens eine zusätzliche Organisationseinheit in Ihrer landing zone bereitzustellen. Wenn diese zusätzliche Organisationseinheit für Entwicklungsprojekte vorgesehen ist, empfehlen wir, sie als Sandbox-Organisationseinheit zu bezeichnen, wie in der AWS Strategie für mehrere Konten für Ihre Landing Zone von AWS Control Tower angegeben.

Schritt 2. Stellen Sie bei Bedarf gemeinsame Konten bereit:

Um Ihre landing zone einzurichten, benötigt AWS Control Tower zwei E-Mail-Adressen. Wenn Sie landing zone Zone-APIs verwenden, um AWS Control Tower zum ersten Mal einzurichten, müssen Sie vorhandene Sicherheits- und AWS Protokollarchivkonten verwenden. Sie können die aktuellen E-Mail-Adressen der vorhandenen verwenden AWS-Konten. Jede dieser E-Mail-Adressen dient als kollaborativer Posteingang — ein gemeinsames E-Mail-Konto — für die verschiedenen Benutzer in Ihrem Unternehmen, die spezifische Aufgaben im Zusammenhang mit AWS Control Tower ausführen.

Wenn Sie noch keine Konten haben, können Sie die Sicherheits- und AWS AWS Protokollarchivkonten mithilfe von AWS Organizations APIs bereitstellen, um mit der Einrichtung einer neuen landing zone zu beginnen.

  1. Rufen Sie die AWS Organizations CreateAccount API auf, um das Protokollarchiv-Konto und das Audit-Konto in der Security OU zu erstellen. 

    aws organizations create-account --email mylog@example.com --account-name "Logging Account"
    aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

  2. (Optional) Überprüfen Sie den Status des CreateAccount Vorgangs mithilfe der AWS Organizations DescribeAccount API.

Schritt 3. Erstellen Sie die erforderlichen Servicerollen

Erstellen Sie die folgenden IAM-Servicerollen, mit denen AWS Control Tower die API-Aufrufe ausführen kann, die für die Einrichtung Ihrer landing zone erforderlich sind:

Weitere Informationen zu diesen Rollen und ihren Richtlinien finden Sie unterVerwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Control Tower.

So erstellen Sie eine IAM-Rolle:

  1. Erstellen Sie eine IAM-Rolle mit den erforderlichen Berechtigungen, um alle Landingzone-APIs aufzurufen. Alternativ können Sie einen IAM Identity Center-Benutzer erstellen und ihm die erforderlichen Berechtigungen zuweisen. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}