Etapa 1: configure a zona de pouso

O processo de configuração da zona de pouso do AWS Control Tower tem várias etapas. Certos aspectos da zona de pouso do AWS Control Tower são configuráveis, mas outras opções não podem ser alteradas após a configuração. Para saber mais sobre essas considerações importantes antes de iniciar a zona de pouso, consulte Expectativas para a configuração da zona de pouso .

Antes de usar a zona de pouso do AWS Control Tower APIs, você deve primeiro ligar APIs de outros AWS serviços para configurar sua zona de pouso antes do lançamento. O processo inclui três etapas principais:

criando uma nova AWS Organizations organização,
configurar os endereços de e-mail da conta compartilhada;
e criar uma função do IAM ou um usuário do IAM Identity Center com as permissões necessárias para chamar a landing zone APIs.

Etapa 1. Crie a organização que conterá a zona de pouso:

Chame a AWS Organizations CreateOrganization API e ative todos os recursos para criar a OU básica. Inicialmente, o AWS Control Tower a chama de UO de segurança. Essa UO de segurança contém as duas contas compartilhadas, que, por padrão, são chamadas de conta de arquivamento de logs e conta de auditoria.
```
aws organizations create-organization --feature-set ALL
```
O AWS Control Tower pode configurar um ou mais adicionais OUs. Recomendamos que você provisione pelo menos uma UO adicional na zona de pouso, além da UO de segurança. Se essa UO adicional for destinada a projetos de desenvolvimento, recomendamos que você a nomeie como sandbox, conforme indicado em AWS estratégia de várias contas para sua landing zone do AWS Control Tower.

Etapa 2. Provisione contas compartilhadas, se necessário:

Para configurar a zona de pouso, o AWS Control Tower exige dois endereços de e-mail. Se você estiver usando o landing zone APIs para configurar o AWS Control Tower pela primeira vez, deverá usar as AWS contas existentes de segurança e arquivamento de registros. Você pode usar os endereços de e-mail atuais dos existentes Contas da AWS. Cada um desses endereços de e-mail servirá como uma caixa de entrada colaborativa: uma conta de e-mail compartilhada: destinada aos vários usuários da empresa que farão trabalhos específicos relacionados ao AWS Control Tower.

Para começar a configurar uma nova landing zone, se você não tiver AWS contas existentes, você pode provisionar as contas de segurança e arquivamento AWS de registros usando AWS Organizations APIs.

Chame a AWS Organizations CreateAccount API para criar a conta de arquivamento de registros e a conta de auditoria na OU de segurança.


aws organizations create-account --email mylog@example.com --account-name "Logging Account"


aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

(Opcional) Verifique o status da CreateAccount operação usando a AWS Organizations DescribeAccount API.

Etapa 3. Crie os perfis de serviço necessários

Crie as seguintes funções de serviço do IAM no caminho /service-role/ do IAM que permitem que o AWS Control Tower realize as chamadas de API necessárias para configurar sua landing zone:

Consulte mais informações sobre essas políticas e suas permissões em Uso de políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower.

Como criar um perfil do IAM:

Crie uma função do IAM com as permissões necessárias para chamar toda a landing zone APIs. Como alternativa, você pode criar um usuário do Centro de Identidade do IAM e atribuir as permissões necessárias.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator"
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Expectativas para a configuração da landing zone com APIs

Etapa 2: inicie a zona de pouso