Etapa 2: inicie a zona de pouso
A API CreateLandingZone do AWS Control Tower exige uma versão da zona de pouso e um arquivo de manifesto como parâmetros de entrada. É possível usar o arquivo de manifesto para configurar os seguintes atributos:
Após compilar seu arquivo de manifesto, estará tudo pronto para criar uma zona de pouso.
nota
O AWS Control Tower não permite o controle de negação da região ao usar APIs para configurar e iniciar uma zona de pouso. Depois de iniciar com sucesso a zona de pouso usando APIs, você pode usar o console do AWS Control Tower para configurar o controle de negação de região.
-
Chame a API
CreateLandingZonedo AWS Control Tower. Essa API requer uma versão da zona de pouso e um arquivo de manifesto como entrada.aws controltower create-landing-zone --landing-zone-version 3.3 --manifest "file://LandingZoneManifest.json"Exemplo de manifesto LandingZoneManifest.json:
{ "governedRegions": ["us-west-2","us-west-1"], "organizationStructure": { "security": { "name": "CORE" }, "sandbox": { "name": "Sandbox" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "accessLoggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX" }, "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "accessManagement": { "enabled": true } }nota
Conforme mostrado no exemplo, o AccountId das contas CentralizedLogging e SecurityRoles deve ser diferente.
Saída:
{ "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX" } -
Chame a API
GetLandingZoneOperationpara conferir o status da operaçãoCreateLandingZone. A APIGetLandingZoneOperationretorna um status deSUCCEEDED,FAILEDouIN_PROGRESS.aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"Saída:
{ "operationDetails": { "operationType": "CREATE", "startTime": "Thu Nov 09 20:39:19 UTC 2023", "endTime": "Thu Nov 09 21:02:01 UTC 2023", "status": "SUCCEEDED" } } -
Quando o status retornar como
SUCCEEDED, você poderá chamar a APIGetLandingZonepara revisar a configuração da zona de pouso.aws controltower get-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"Saída:
{ "landingZone": { "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "driftStatus": { "status": "IN_SYNC" }, "latestAvailableVersion": "3.3", "manifest": { "accessManagement": { "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "governedRegions": [ "us-west-1", "eu-west-3", "us-west-2" ], "organizationStructure": { "sandbox": { "name": "Sandbox" }, "security": { "name": "Security" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX", "accessLoggingBucket": { "retentionDays": 60 } }, "enabled": true } }, "status": "PROCESSING", "version": "3.3" } }
