Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 2: Avvia la landing zone
La AWS Control Tower CreateLandingZone API richiede una versione di landing zone e un file manifest come parametri di input. È possibile utilizzare il file manifest per configurare le seguenti funzionalità:
Dopo aver compilato il file manifest, sei pronto per creare una nuova landing zone.
Nota
AWSControl Tower non supporta il Region deny control quando si utilizza APIs per configurare e lanciare una landing zone. Dopo aver avviato con successo la tua landing zone utilizzandoAPIs, puoi utilizzare la console AWS Control Tower per configurare la regione deny control.
-
Chiama la AWS Control Tower
CreateLandingZoneAPI. Ciò API richiede una versione della landing zone e un file manifest come input.aws controltower create-landing-zone --landing-zone-version 3.3 --manifest "file://LandingZoneManifest.json"Esempio di manifesto in LandingZoneManifestformato.json:
{ "governedRegions": ["us-west-2","us-west-1"], "organizationStructure": { "security": { "name": "CORE" }, "sandbox": { "name": "Sandbox" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "accessLoggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX" }, "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "accessManagement": { "enabled": true } }Nota
Come mostrato nell'esempio, gli SecurityRoles account AccountIdfor the CentralizedLogging and devono essere diversi.
Output:
{ "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX" } -
Chiama il
GetLandingZoneOperationAPI per verificare lo stato dell'CreateLandingZoneoperazione.GetLandingZoneOperationAPIRestituisce lo stato diSUCCEEDEDFAILED, oIN_PROGRESS.aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"Output:
{ "operationDetails": { "operationType": "CREATE", "startTime": "Thu Nov 09 20:39:19 UTC 2023", "endTime": "Thu Nov 09 21:02:01 UTC 2023", "status": "SUCCEEDED" } } -
Quando lo stato ritorna come
SUCCEEDED, puoi chiamare ilGetLandingZoneAPI per rivedere la configurazione della landing zone.aws controltower get-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"Output:
{ "landingZone": { "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "driftStatus": { "status": "IN_SYNC" }, "latestAvailableVersion": "3.3", "manifest": { "accessManagement": { "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "governedRegions": [ "us-west-1", "eu-west-3", "us-west-2" ], "organizationStructure": { "sandbox": { "name": "Sandbox" }, "security": { "name": "Security" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX", "accessLoggingBucket": { "retentionDays": 60 } }, "enabled": true } }, "status": "PROCESSING", "version": "3.3" } }
