Schritt 1: Konfiguriere deine landing zone - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Konfiguriere deine landing zone

Die Einrichtung Ihrer AWS Control Tower Tower-Landezone landing zone aus mehreren Schritten. Bestimmte Aspekte deiner AWS Kontrollturm-Landezone sind konfigurierbar, aber andere Optionen können nach der Einrichtung nicht mehr geändert werden. Weitere Informationen zu diesen wichtigen Überlegungen vor dem Start Ihrer landing zone finden Sie unterErwartungen an die Konfiguration der landing zone .

Bevor Sie die landing zone des AWS Control Tower nutzen könnenAPIs, müssen Sie zuerst APIs von anderen AWS Diensten aus anrufen, um Ihre landing zone vor dem Start zu konfigurieren. Der Prozess umfasst drei Hauptschritte:

  • Schaffung einer neuen AWS Organizations Organisation,

  • die E-Mail-Adressen für Ihr gemeinsames Konto einrichten,

  • und erstellen Sie eine IAM Rolle oder einen IAM Identity Center-Benutzer mit den erforderlichen Berechtigungen, um die landing zone anzurufenAPIs.

Schritt 1. Erstellen Sie die Organisation, die Ihre landing zone enthalten soll:

  1. Rufen Sie die auf AWS Organizations CreateOrganization API und aktivieren Sie alle Funktionen, um die Foundational OU zu erstellen. AWS Control Tower nennt dies zunächst Security OU. Diese Sicherheits-OU enthält Ihre beiden gemeinsam genutzten Konten, die standardmäßig als Protokollarchivkonto und Auditkonto bezeichnet werden. 

    aws organizations create-organization --feature-set ALL

    AWSDer Control Tower kann einen oder mehrere zusätzliche einrichtenOUs. Wir empfehlen Ihnen, neben der Sicherheits-OU mindestens eine zusätzliche Organisationseinheit in Ihrer landing zone bereitzustellen. Wenn diese zusätzliche Organisationseinheit für Entwicklungsprojekte vorgesehen ist, empfehlen wir, sie als Sandbox-Organisationseinheit zu bezeichnen, wie in der AWS Strategie für mehrere Konten für Ihre AWS Control Tower Tower-Landezone angegeben.

Schritt 2. Stellen Sie bei Bedarf gemeinsame Konten bereit:

Um Ihre landing zone einzurichten, benötigt AWS Control Tower zwei E-Mail-Adressen. Wenn Sie die landing zone verwendenAPIs, um AWS Control Tower zum ersten Mal einzurichten, müssen Sie vorhandene Sicherheits- und AWS Protokollarchivkonten verwenden. Sie können die aktuellen E-Mail-Adressen der vorhandenen verwenden AWS-Konten. Jede dieser E-Mail-Adressen dient als kollaborativer Posteingang — ein gemeinsames E-Mail-Konto —, das für die verschiedenen Benutzer in Ihrem Unternehmen bestimmt ist, die spezifische Aufgaben im Zusammenhang mit AWS Control Tower erledigen.

Um mit der Einrichtung einer neuen landing zone zu beginnen und noch keine AWS Konten vorhanden zu haben, können Sie die Sicherheits- und AWS Protokollarchivkonten mithilfe von einrichten AWS Organizations APIs.

  1. Rufen Sie den AWS Organizations CreateAccount API auf, um das Protokollarchiv-Konto und das Audit-Konto in der Security OU zu erstellen. 

    aws organizations create-account --email mylog@example.com --account-name "Logging Account"
    aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

  2. (Optional) Überprüfen Sie den Status des CreateAccount Vorgangs mit dem AWS Organizations DescribeAccountAPI.

Schritt 3. Erstellen Sie die erforderlichen Servicerollen

Erstellen Sie die folgenden IAM Servicerollen, die es AWS Control Tower ermöglichen, die für die Einrichtung Ihrer landing zone erforderlichen API Anrufe durchzuführen:

Weitere Informationen zu diesen Rollen und ihren Richtlinien finden Sie unterVerwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Control Tower.

Um eine IAM Rolle zu erstellen:

  1. Erstellen Sie eine IAM Rolle mit den erforderlichen Berechtigungen, um die gesamte landing zone aufzurufenAPIs. Alternativ können Sie einen IAM Identity Center-Benutzer erstellen und ihm die erforderlichen Berechtigungen zuweisen. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator"
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}