As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Etapa 2: lance sua landing zone usando o AWS Control Tower APIs
<a name="lz-api-launch"></a>

 Você pode usar o AWS Control Tower APIs para lançar sua landing zone. Esta seção descreve como criar o *arquivo de manifesto necessário do landing zone* e usá-lo com a operação da `CreateLandingZone` API. 

## Criando o arquivo de manifesto
<a name="w2aac15c17c17b5"></a>

 O arquivo de manifesto é um documento JSON que especifica a configuração da sua landing zone. Com a versão 4.0 do landing zone, muitos componentes agora são opcionais, permitindo uma implantação mais flexível. 

### Estrutura do manifesto
<a name="w2aac15c17c17b5b5"></a>

Abaixo está a estrutura completa do arquivo de manifesto com todas as configurações disponíveis:

```
{
    "accessManagement": {
        "enabled": true    // Required - Controls IAM Identity Center integration
    },
    "backup": {
        "enabled": true,   // Required - Controls AWS Backup integration
        "configurations": {
            "backupAdmin": {
                "accountId": "111122223333"    // Backup administrator account
            },
            "centralBackup": {
                "accountId": "111122224444"    // Central backup account
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "centralizedLogging": {
        "accountId": "111122225555",    // Log archive account
        "enabled": true,                // Required - Controls centralized logging
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "config": {
        "accountId": "111122226666",    // Config aggregator account
        "enabled": true,                // Required - Controls AWS Config integration
        "configurations": {
            "accessLoggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "loggingBucket": {
                "retentionDays": 365    // Minimum value: 1
            },
            "kmsKeyArn": "arn:aws:kms:region:account-id:key/key-id"
        }
    },
    "governedRegions": [               // Optional - List of regions to govern
        "us-east-1",
        "us-west-2"
    ],
    "securityRoles": {
        "enabled": true,               // Required - Controls security roles creation
        "accountId": ""111122226666"    // Security/Audit account
    }
}
```

### Observações importantes
<a name="w2aac15c17c17b5b7"></a>
+ Todas as `enabled` bandeiras são obrigatórias no manifesto.
+ Se você desativar a integração do AWS Config (`"config.enabled": false`), também deverá desativar as seguintes integrações:
  + Funções de segurança (`"securityRoles.enabled": false`)
  + Gerenciamento de acesso (`"accessManagement.enabled": false`)
  + Backup (`"backup.enabled": false`)
+ A conta IDs deve ser uma conta válida de 12 dígitos. AWS IDs
+ A chave KMS ARNs deve ser uma AWS KMS chave ARNs válida.
+ Os dias de retenção devem ser pelo menos 1.

## Usando a CreateLandingZone API
<a name="w2aac15c17c17b7"></a>

Para criar sua landing zone usando a API:

```
                    aws controltower create-landing-zone --landing-zone-version 4.0 --manifest file://manifest.json
```

A API retornará um ID de operação da zona de pouso que você pode usar para acompanhar o progresso da criação da sua zona de pouso. Resposta de exemplo:

```
{
    "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
    "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
```

Você pode monitorar o status da operação usando a `GetLandingZoneOperation` API, que retorna um **status** de `SUCCEEDED``FAILED`, ou`IN_PROGRESS`:

```
                    aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"
```

## O que mudou na versão 4.0 do landing zone
<a name="w2aac15c17c17b9"></a>

Mudanças importantes na estrutura e nos requisitos do manifesto:
+ Estrutura da organização
  + `organizationStructure`a definição foi removida do manifesto
  + Agora, os clientes podem definir sua própria estrutura organizacional
  + Único requisito: as contas de integração de serviços devem estar na mesma OU diretamente abaixo da raiz
+ Sinalizadores habilitados
  + Todas as configurações de integração de serviços têm um `enabled` sinalizador que agora é um campo obrigatório.
  + Os clientes precisam sempre fornecer um valor booleano. Nenhum valor padrão é fornecido.
  + Os clientes precisam explicitamente enable/disable cada configuração de integração de serviços no manifesto:
    + `accessManagement`
    + `backup`
    + `centralizedLogging`
    + `config`
    + `securityRoles`
+ Funções de segurança
  + A integração com funções de segurança agora é opcional
  + Novo `enabled` sinalizador introduzido para gerenciar a `securityRoles` implantação
  + Quando desativados, os recursos de segurança relacionados não serão implementados
+ AWS Config Integration
  + Nova seção de integração do serviço AWS Config adicionada ao manifesto `config` com os seguintes campos:
    + `enabled`: bandeira booleana necessária para gerenciar a implantação da integração do AWS Config
    + `accountId`: ID da conta da AWS para o agregador AWS Config
    + configurações:
      + `accessLoggingBucket.retentionDays`: Período de retenção para registros de acesso
      + `loggingBucket.retentionDays`: Período de retenção dos registros do AWS Config
      + `kmsKeyArn`: chave KMS para criptografia