Paso 1: Configura tu landing zone

El proceso de configuración de la zona de aterrizaje de la AWS Control Tower consta de varios pasos. Algunos aspectos de la zona de aterrizaje de la AWS Control Tower son configurables, pero otras opciones no se pueden cambiar después de la configuración. Para obtener más información sobre estas importantes consideraciones antes de lanzar tu landing zone, consulta Expectativas para la configuración de la zona de aterrizaje .

Antes de usar las API de zona de landing zone de AWS Control Tower, primero debe llamar a las API de otros AWS servicios para configurar la zona de aterrizaje antes del lanzamiento. El proceso incluye tres pasos principales:

crear una nueva AWS Organizations organización,
configurar las direcciones de correo electrónico de sus cuentas compartidas,
y crear un rol de IAM o un usuario del IAM Identity Center con los permisos necesarios para llamar a las API de landing zone.

Paso 1. Crea la organización que contendrá tu landing zone:

Llame a la AWS Organizations CreateOrganization API y habilite todas las funciones para crear la OU fundamental. Inicialmente, AWS Control Tower lo denominó Security OU. Esta OU de seguridad contiene sus dos cuentas compartidas, que de forma predeterminada se denominan cuenta de archivo de registros y cuenta de auditoría.
```
aws organizations create-organization --feature-set ALL
```
AWS Control Tower puede configurar una o más unidades organizativas adicionales. Te recomendamos que aprovisiones al menos una unidad organizativa adicional en tu landing zone, además de la unidad organizativa de seguridad. Si esta OU adicional está destinada a proyectos de desarrollo, le recomendamos que la nombre OU Sandbox, tal y como se indica en laAWS estrategia de múltiples cuentas para su zona de aterrizaje de AWS Control Tower.

Paso 2. Aprovisione cuentas compartidas si es necesario:

Para configurar su landing zone, AWS Control Tower necesita dos direcciones de correo electrónico. Si utiliza las API de landing zone para configurar AWS Control Tower por primera vez, debe utilizar las AWS cuentas de seguridad y de archivo de registros existentes. Puede utilizar las direcciones de correo electrónico actuales de las existentes Cuentas de AWS. Cada una de estas direcciones de correo electrónico servirá como bandeja de entrada colaborativa (una cuenta de correo electrónico compartida) destinada a los distintos usuarios de su empresa que realizarán trabajos específicos relacionados con AWS Control Tower.

Para empezar a configurar una nueva landing zone, si no tienes AWS cuentas existentes, puedes aprovisionar las cuentas de seguridad y archivar registros mediante AWS las AWS Organizations API.

Llame a la AWS Organizations CreateAccount API para crear la cuenta de archivo de registros y la cuenta de auditoría en la unidad organizativa de seguridad.


aws organizations create-account --email mylog@example.com --account-name "Logging Account"


aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

(Opcional) Compruebe el estado de la CreateAccount operación mediante la AWS Organizations DescribeAccount API.

Paso 3. Cree las funciones de servicio requeridas

Cree las siguientes funciones de servicio de IAM que permitan a AWS Control Tower realizar las llamadas a la API necesarias para configurar su landing zone:

Para obtener más información sobre estas funciones y sus políticas, consulteUso de políticas basadas en identidad (políticas de IAM) para AWS Control Tower.

Para crear un rol de IAM:

Crea un rol de IAM con los permisos necesarios para llamar a todas las API de landing zone. Como alternativa, puede crear un usuario del centro de identidad de IAM y asignar los permisos necesarios.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Expectativas para la configuración de la zona de aterrizaje con API

Paso 2: Lanza tu landing zone