Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paso 1: configuración de la zona de aterrizaje
El proceso de configurar la zona de aterrizaje AWS de la Torre de Control Tower consta de varios pasos. Algunos aspectos de la zona de aterrizaje de la Torre de AWS Control Tower son configurables, pero otras opciones no se pueden cambiar después de la configuración. Para obtener más información sobre estas importantes consideraciones antes del lanzamiento de la zona de aterrizaje, consulte Expectativas para la configuración de la zona de aterrizaje .
Antes de usar la zona de aterrizaje de la Torre de AWS ControlAPIs, primero debes llamar APIs desde otros AWS servicios para configurar tu zona de aterrizaje antes del lanzamiento. El proceso incluye tres pasos principales:
crear una nueva AWS Organizations organización,
configurar las direcciones de correo electrónico de las cuentas compartidas;
y crear un IAM rol o un usuario de IAM Identity Center con los permisos necesarios para llamar a la landing zoneAPIs.
Paso 1. Creación de la organización que contendrá la zona de aterrizaje:
-
Llama al AWS Organizations
CreateOrganization
API y activa todas las funciones para crear la unidad organizativa fundamental. AWS Control Tower inicialmente la denominó Security OU. Esta OU de seguridad contiene las dos cuentas compartidas, que de forma predeterminada se denominan cuenta de archivo de registro y cuenta de auditoría.aws organizations create-organization --feature-set ALL
AWSLa Torre de Control puede configurar uno o más adicionales OUs. Le recomendamos que aprovisione al menos una OU adicional en la zona de aterrizaje, además de la OU de seguridad. Si esta OU adicional está destinada a proyectos de desarrollo, le recomendamos que la denomine OU de entorno de pruebas, tal y como se indica en las AWS estrategia de múltiples cuentas para su zona de aterrizaje de AWS Control Tower.
Paso 2. Aprovisionamiento de cuentas compartidas si es necesario:
Para configurar tu landing zone, AWS Control Tower requiere dos direcciones de correo electrónico. Si utilizas landing zone APIs para configurar la Torre de AWS Control Tower por primera vez, debes usar las AWS cuentas de seguridad y de archivo de registros existentes. Puede usar las direcciones de correo electrónico actuales de las existentes Cuentas de AWS. Cada una de estas direcciones de correo electrónico servirá como bandeja de entrada colaborativa (una cuenta de correo electrónico compartida) destinada a los distintos usuarios de su empresa que realizarán trabajos específicos relacionados con la Torre de AWS Control.
Para empezar a configurar una nueva landing zone, si no tienes AWS cuentas existentes, puedes aprovisionar las AWS cuentas de seguridad y archivar registros mediante AWS Organizations APIs.
-
Llame al AWS Organizations
CreateAccount
API para crear la cuenta de archivo de registros y la cuenta de auditoría en la unidad organizativa de seguridad.aws organizations create-account --email mylog@example.com --account-name "Logging Account"
aws organizations create-account --email mysecurity@example.com --account-name "Security Account"
-
(Opcional) Compruebe el estado de la
CreateAccount
operación mediante el AWS OrganizationsDescribeAccount
API.
Paso 3. Creación de los roles de servicio requeridos
Crea las siguientes funciones de IAM servicio que permitan a AWS Control Tower realizar las API llamadas necesarias para configurar tu landing zone:
Para obtener más información acerca de estos roles y sus políticas, consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS Control Tower.
Para crear un IAM rol:
-
Crea un IAM rol con los permisos necesarios para llamar a todas las landing zoneAPIs. Como alternativa, puede crear un usuario del Centro de IAM Identidad y asignar los permisos necesarios.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup:UpdateGlobalSettings", "controltower:CreateLandingZone", "controltower:UpdateLandingZone", "controltower:ResetLandingZone", "controltower:DeleteLandingZone", "controltower:GetLandingZoneOperation", "controltower:GetLandingZone", "controltower:ListLandingZones", "controltower:ListLandingZoneOperations", "controltower:ListTagsForResource", "controltower:TagResource", "controltower:UntagResource", "servicecatalog:*", "organizations:*", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:DeregisterDelegatedAdministrator" "sso:*", "sso-directory:*", "logs:*", "cloudformation:*", "kms:*", "iam:GetRole", "iam:CreateRole", "iam:GetSAMLProvider", "iam:CreateSAMLProvider", "iam:CreateServiceLinkedRole", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:ListAttachedRolePolicies", "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy" ], "Resource": "*" } ] }