Fase 1: Configura la tua landing zone

Il processo di configurazione della landing zone AWS del Control Tower prevede diversi passaggi. Alcuni aspetti della landing zone del AWS Control Tower sono configurabili, ma altre scelte non possono essere modificate dopo la configurazione. Per saperne di più su queste importanti considerazioni prima di lanciare la landing zone, consulta. Aspettative per la configurazione delle landing zone

Prima di utilizzare la landing zone AWS Control TowerAPIs, devi prima chiamare APIs altri AWS servizi per configurare la tua landing zone prima del lancio. Il processo prevede tre fasi principali:

creazione di una nuova AWS Organizations organizzazione,
configurazione degli indirizzi e-mail degli account condivisi,
e creando un IAM ruolo o un utente dell'IAMIdentity Center con le autorizzazioni necessarie per chiamare la landing zoneAPIs.

Fase 1: Crea l'organizzazione che conterrà la tua landing zone:

Chiama AWS Organizations CreateOrganization API e abilita tutte le funzionalità per creare l'unità organizzativa Foundational. AWS Control Tower inizialmente la chiama Security OU. Questa unità organizzativa di sicurezza contiene i due account condivisi, che per impostazione predefinita sono denominati account di archiviazione dei registri e account di controllo.
```
aws organizations create-organization --feature-set ALL
```
AWSControl Tower può configurare uno o più componenti aggiuntivi OUs. Ti consigliamo di fornire almeno un'unità organizzativa aggiuntiva nella tua landing zone, oltre all'unità organizzativa di sicurezza. Se questa unità organizzativa aggiuntiva è destinata a progetti di sviluppo, si consiglia di denominarla Sandbox OU, come indicato nellaAWS strategia multi-account per la tua landing zone AWS della Control Tower.

Fase 2. Fornisci account condivisi, se necessario:

Per configurare la landing zone, AWS Control Tower richiede due indirizzi e-mail. Se si utilizza la landing zone APIs per configurare AWS Control Tower per la prima volta, è necessario utilizzare AWS gli account di sicurezza e di archiviazione dei log esistenti. È possibile utilizzare gli indirizzi e-mail correnti di quelli esistenti Account AWS. Ciascuno di questi indirizzi e-mail fungerà da casella di posta collaborativa, un account e-mail condiviso, destinato ai vari utenti dell'azienda che svolgeranno attività specifiche relative a AWS Control Tower.

Per iniziare a configurare una nuova landing zone, se non disponi di AWS account esistenti, puoi fornire gli account di sicurezza e di archiviazione AWS dei log utilizzando AWS Organizations APIs.

Chiamali AWS Organizations CreateAccount API per creare l'account di archiviazione dei log e l'account di controllo nell'unità organizzativa di sicurezza.


aws organizations create-account --email mylog@example.com --account-name "Logging Account"


aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

(Facoltativo) Verificare lo stato dell'CreateAccountoperazione utilizzando il AWS Organizations DescribeAccountAPI.

Fase 3. Creare i ruoli di servizio richiesti

Crea i seguenti ruoli IAM di servizio che consentono a AWS Control Tower di eseguire le API chiamate necessarie per configurare la tua landing zone:

Per ulteriori informazioni su questi ruoli e le relative politiche, vedereUtilizzo di politiche (IAMpolitiche) basate sull'identità per Control Tower AWS.

Per creare un IAM ruolo:

Crea un IAM ruolo con le autorizzazioni necessarie per chiamare tutte le landing zoneAPIs. In alternativa, puoi creare un utente dell'IAMIdentity Center e assegnare le autorizzazioni necessarie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator"
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aspettative per la configurazione della landing zone con APIs

Fase 2: Avvia la landing zone