ステップ 1: ランディングゾーンを設定する - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: ランディングゾーンを設定する

AWS Control Tower ランディングゾーンを設定するプロセスには、複数のステップがあります。AWS Control Tower ランディングゾーンの特定の側面は設定可能ですが、他の選択肢は設定後に変更できません。ランディングゾーンを起動する前に、これらの重要な考慮事項について確認するには、「ランディングゾーン設定に対する想定 」を参照してください。

AWS Control Tower ランディングゾーン を使用する前にAPIs、まず他の AWS のサービスAPIsから を呼び出してランディングゾーンを設定する必要があります。このプロセスには、次の 3 つの主要なステップが含まれます。

  • 新しい AWS Organizations 組織の作成

  • 共有アカウントの E メールアドレスの設定

  • ランディングゾーン を呼び出すために必要なアクセス許可を持つIAMロールまたは IAM Identity Center ユーザーを作成しますAPIs。

Step 1. ランディングゾーン を含む組織を作成します

  1. を AWS Organizations CreateOrganization呼び出しAPI、すべての機能を有効にして基礎 OU を作成します。AWS Control Tower は当初、これを Security OU と命名しました。このセキュリティ OU には、2 つの共有アカウントが含まれます。デフォルトでは、ログアーカイブアカウントと監査アカウントです。

    aws organizations create-organization --feature-set ALL

    AWS Control Tower は、1 つ以上の追加の OUsをセットアップできます。ランディングゾーンに [Security OU] (セキュリティ OU) の他に少なくとも 1 つの [Additional OU] (追加の OU) をプロビジョニングすることをお勧めします。この追加の OU が開発プロジェクトを対象としている場合は、「AWS AWS Control Tower ランディングゾーンのマルチアカウント戦略」で示すように、サンドボックス OU という名前にすることをお勧めします。

Step 2. 必要に応じて共有アカウントをプロビジョニングします

ランディングゾーンを設定するには、AWSControl Tower に 2 つの E メールアドレスが必要です。ランディングゾーンを使用して AWS Control Tower を初めてAPIsセットアップする場合は、既存のセキュリティアカウントとログアーカイブ AWS アカウントを使用する必要があります。既存の の現在の E メールアドレスを使用できます AWS アカウント。これらの各 E メールアドレスは、AWSControl Tower に関連する特定の作業を行う企業内のさまざまなユーザー向けのコラボレーション受信トレイ -- 共有 E メールアカウント - として機能します。

新しいランディングゾーンの設定を開始するには、既存の AWS アカウントがない場合は、 を使用してセキュリティとログアーカイブ AWS アカウントをプロビジョニングできます AWS Organizations APIs。

  1. API を呼び出し AWS Organizations CreateAccountて、セキュリティ OU ログアーカイブアカウントと監査アカウントを作成します。

    aws organizations create-account --email mylog@example.com --account-name "Logging Account"
    aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

  2. (オプション) を使用してCreateAccountオペレーションのステータスを確認します AWS Organizations DescribeAccountAPI。

ステップ 3 必要なサービスロールを作成する

AWS Control Tower がランディングゾーンの設定に必要なAPI呼び出しを実行できるようにする次のIAMサービスロールを作成します。

これらのロールとポリシーの詳細については、「AWS Control Tower でアイデンティティベースのポリシー (IAM ポリシー) を使用する」を参照してください。

IAM ロール を作成するには:

  1. すべてのランディングゾーン を呼び出すために必要なアクセス許可を持つIAMロールを作成しますAPIs。または、IAMIdentity Center ユーザーを作成し、必要なアクセス許可を割り当てることもできます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}