2단계: 랜딩 존 시작 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

2단계: 랜딩 존 시작

AWS Control Tower에는 입력 파라미터로 랜딩 영역 버전과 매니페스트 파일이 CreateLandingZone API 필요합니다. 매니페스트 파일을 사용하여 다음 기능을 구성할 수 있습니다.

매니페스트 파일을 컴파일한 후에는 새 랜딩 영역을 생성할 준비가 되었습니다.

참고

AWS Control Tower는 를 사용하여 랜딩 영역을 APIs 구성하고 시작할 때 리전 거부 제어를 지원하지 않습니다. 를 사용하여 랜딩 영역을 성공적으로 시작한 후 AWS Control Tower 콘솔을 사용하여 리전 거부 제어 를 구성할 APIs수 있습니다.

  1. AWS Control Tower CreateLandingZone 를 호출합니다API. 이를 위해서는 랜딩 영역 버전과 입력으로 매니페스트 파일이 API 필요합니다.

    aws controltower create-landing-zone --landing-zone-version 3.3 --manifest "file://LandingZoneManifest.json"

    LandingZoneManifest.json 매니페스트의 예: 

    {
   "governedRegions": ["us-west-2","us-west-1"],
   "organizationStructure": {
       "security": {
           "name": "CORE"
       },
       "sandbox": {
           "name": "Sandbox"
       }
   },
   "centralizedLogging": {
        "accountId": "222222222222",
        "configurations": {
            "loggingBucket": {
                "retentionDays": 60
            },
            "accessLoggingBucket": {
                "retentionDays": 60
            },
            "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX"
        },
        "enabled": true
   },
   "securityRoles": {
        "accountId": "333333333333"
   },
   "accessManagement": {
        "enabled": true
   }
}
    참고

    예제와 같이 CentralizedLogging 및 SecurityRoles 계정AccountId의 는 달라야 합니다.

    출력: 

    {
   "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
   "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}

  2. 를 호출GetLandingZoneOperationAPI하여 CreateLandingZone 작업 상태를 확인합니다. 는 SUCCEEDED, FAILED또는 의 상태를 GetLandingZoneOperation API 반환합니다IN_PROGRESS.

    aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"

    출력: 

    {
    "operationDetails": {
        "operationType": "CREATE",
        "startTime": "Thu Nov 09 20:39:19 UTC 2023",
        "endTime": "Thu Nov 09 21:02:01 UTC 2023",
        "status": "SUCCEEDED"
    }
}

  3. 상태가 로 반환되면 를 호출GetLandingZoneAPI하여 랜딩 영역 구성을 검토할 SUCCEEDED수 있습니다.

    aws controltower get-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"

    출력: 

    {
    "landingZone": {
        "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
        "driftStatus": {
            "status": "IN_SYNC"
        },
        "latestAvailableVersion": "3.3",
        "manifest": {
            "accessManagement": {
                "enabled": true
            },
            "securityRoles": {
                "accountId": "333333333333"
            },
            "governedRegions": [
                "us-west-1",
                "eu-west-3",
                "us-west-2"
            ],
            "organizationStructure": {
                "sandbox": {
                    "name": "Sandbox"
                },
                "security": {
                    "name": "Security"
                }
            },
            "centralizedLogging": {
                "accountId": "222222222222",
                "configurations": {
                    "loggingBucket": {
                        "retentionDays": 60
                    },
                    "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX",
                    "accessLoggingBucket": {
                        "retentionDays": 60
                    }
                },
                "enabled": true
            }
        },
        "status": "PROCESSING",
        "version": "3.3"
    }
}