Étape 1 : Configurez votre zone de landing zone

Le processus de configuration de la zone d'atterrissage de votre AWS Control Tower comporte plusieurs étapes. Certains aspects de la zone d'atterrissage de votre AWS Control Tower sont configurables, mais les autres choix ne peuvent pas être modifiés après la configuration. Pour en savoir plus sur ces considérations importantes avant de lancer votre zone d'atterrissage, consultezAttentes relatives à la configuration de la zone d'atterrissage .

Avant d'utiliser la zone d'atterrissage de la AWS Control TowerAPIs, vous devez APIs d'abord appeler d'autres AWS services pour configurer votre zone d'atterrissage avant le lancement. Le processus comprend trois étapes principales :

créer une nouvelle AWS Organizations organisation,
configurer les adresses e-mail de votre compte partagé,
et en créant un IAM rôle ou un utilisateur du centre d'IAMidentité disposant des autorisations requises pour appeler la zone de landing zoneAPIs.

Étape 1. Créez l'organisation qui contiendra votre zone de landing zone :

Appelez le AWS Organizations CreateOrganization API et activez toutes les fonctionnalités pour créer l'unité d'organisation fondamentale. AWSControl Tower l'appelle initialement Security OU. Cette unité d'organisation de sécurité contient vos deux comptes partagés, appelés par défaut compte d'archivage du journal et compte d'audit.
```
aws organizations create-organization --feature-set ALL
```
AWSControl Tower peut configurer un ou plusieurs modules supplémentaires OUs. Nous vous recommandons de prévoir au moins une unité d'organisation supplémentaire dans votre zone de landing, en plus de l'unité d'organisation de sécurité. Si cette unité d'organisation supplémentaire est destinée à des projets de développement, nous vous recommandons de la nommer unité d'organisation Sandbox, comme indiqué dans leAWS stratégie multi-comptes pour votre zone de landing AWS zone de Control Tower.

Étape 2. Provisionnez des comptes partagés si nécessaire :

Pour configurer votre zone de landing zone, AWS Control Tower a besoin de deux adresses e-mail. Si vous utilisez la zone d'atterrissage APIs pour configurer AWS Control Tower pour la première fois, vous devez utiliser les AWS comptes de sécurité et d'archivage des journaux existants. Vous pouvez utiliser les adresses e-mail actuelles des adresses e-mail existantes Comptes AWS. Chacune de ces adresses e-mail servira de boîte de réception collaborative (un compte e-mail partagé) destinée aux différents utilisateurs de votre entreprise chargés de tâches spécifiques liées à AWS Control Tower.

Pour commencer à configurer une nouvelle zone de landing zone, si vous n'avez pas de AWS compte existant, vous pouvez configurer les comptes de sécurité et d'archivage AWS des journaux à l'aide de AWS Organizations APIs.

Appelez le AWS Organizations CreateAccount API pour créer le compte d'archivage du journal et le compte d'audit dans l'unité d'organisation de sécurité.


aws organizations create-account --email mylog@example.com --account-name "Logging Account"


aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

(Facultatif) Vérifiez l'état de l'CreateAccountopération à l'aide du AWS Organizations DescribeAccountAPI.

Étape 3. Créez les rôles de service requis

Créez les rôles de IAM service suivants qui permettent à AWS Control Tower d'effectuer les API appels nécessaires à la configuration de votre zone de landing zone :

Pour plus d'informations sur ces rôles et leurs politiques, consultezUtilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower.

Pour créer un IAM rôle, procédez comme suit :

Créez un IAM rôle doté des autorisations nécessaires pour appeler toutes les zones de landing zoneAPIs. Vous pouvez également créer un utilisateur IAM Identity Center et lui attribuer les autorisations nécessaires.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Attentes relatives à la configuration de la zone d'atterrissage avec APIs

Étape 2 : Lancez votre zone de landing zone