ステップ 2: ランディングゾーンを起動する - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 2: ランディングゾーンを起動する

AWS Control Tower には、入力パラメータとしてランディングゾーンバージョンとマニフェストファイルCreateLandingZoneAPIが必要です。マニフェストファイルを使用して、以下の機能を設定できます。

マニフェストファイルをコンパイルすると、新しいランディングゾーンを作成する準備が整います。

注記

AWS Control Tower は、 APIsを使用してランディングゾーンを設定および起動するときにリージョン拒否コントロールをサポートしていません。を使用してランディングゾーンを正常に起動したらAPIs、AWSControl Tower コンソールを使用してリージョン拒否コントロールを設定できます

  1. AWS Control Tower CreateLandingZone を呼び出しますAPI。これには、ランディングゾーンバージョンとマニフェストファイルを入力としてAPI必要です。

    aws controltower create-landing-zone --landing-zone-version 3.3 --manifest "file://LandingZoneManifest.json"

    LandingZoneManifest.json マニフェストの例:

    {
   "governedRegions": ["us-west-2","us-west-1"],
   "organizationStructure": {
       "security": {
           "name": "CORE"
       },
       "sandbox": {
           "name": "Sandbox"
       }
   },
   "centralizedLogging": {
        "accountId": "222222222222",
        "configurations": {
            "loggingBucket": {
                "retentionDays": 60
            },
            "accessLoggingBucket": {
                "retentionDays": 60
            },
            "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX"
        },
        "enabled": true
   },
   "securityRoles": {
        "accountId": "333333333333"
   },
   "accessManagement": {
        "enabled": true
   }
}
    注記

    この例では、 アカウントの CentralizedLogging と AccountId SecurityRoles アカウントの は異なる必要があります。

    出力: 

    {
   "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
   "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}

  2. を呼び出しGetLandingZoneOperationAPIて、CreateLandingZoneオペレーションのステータスを確認します。は、SUCCEEDED、、FAILEDまたは のステータスGetLandingZoneOperationAPIを返しますIN_PROGRESS

    aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"

    出力: 

    {
    "operationDetails": {
        "operationType": "CREATE",
        "startTime": "Thu Nov 09 20:39:19 UTC 2023",
        "endTime": "Thu Nov 09 21:02:01 UTC 2023",
        "status": "SUCCEEDED"
    }
}

  3. ステータスが として返ったらSUCCEEDEDGetLandingZoneAPIを呼び出してランディングゾーン設定を確認できます。

    aws controltower get-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"

    出力: 

    {
    "landingZone": {
        "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
        "driftStatus": {
            "status": "IN_SYNC"
        },
        "latestAvailableVersion": "3.3",
        "manifest": {
            "accessManagement": {
                "enabled": true
            },
            "securityRoles": {
                "accountId": "333333333333"
            },
            "governedRegions": [
                "us-west-1",
                "eu-west-3",
                "us-west-2"
            ],
            "organizationStructure": {
                "sandbox": {
                    "name": "Sandbox"
                },
                "security": {
                    "name": "Security"
                }
            },
            "centralizedLogging": {
                "accountId": "222222222222",
                "configurations": {
                    "loggingBucket": {
                        "retentionDays": 60
                    },
                    "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX",
                    "accessLoggingBucket": {
                        "retentionDays": 60
                    }
                },
                "enabled": true
            }
        },
        "status": "PROCESSING",
        "version": "3.3"
    }
}