Etapa 1: configure sua landing zone - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 1: configure sua landing zone

O processo de configuração da sua landing zone da AWS Control Tower tem várias etapas. Certos aspectos da sua zona de pouso do AWS Control Tower são configuráveis, mas outras opções não podem ser alteradas após a configuração. Para saber mais sobre essas considerações importantes antes de lançar sua landing zone, Expectativas para a configuração da landing zone revise.

Antes de usar a zona de pouso da AWS Control TowerAPIs, você deve primeiro ligar APIs para outros AWS serviços para configurar sua zona de pouso antes do lançamento. O processo inclui três etapas principais:

  • criando uma nova AWS Organizations organização,

  • configurando os endereços de e-mail da sua conta compartilhada,

  • e criar uma IAM função ou usuário do IAM Identity Center com as permissões necessárias para ligar para a landing zoneAPIs.

Etapa 1. Crie a organização que conterá sua landing zone:

  1. Ligue para AWS Organizations CreateOrganization API e ative todos os recursos para criar a OU básica. AWSInicialmente, a Control Tower chama isso de Security OU. Essa OU de segurança contém suas duas contas compartilhadas, que por padrão são chamadas de conta de arquivamento de log e conta de auditoria. 

    aws organizations create-organization --feature-set ALL

    AWSA Control Tower pode configurar um ou mais adicionais OUs. Recomendamos que você provisione pelo menos uma OU adicional em sua landing zone, além da OU de segurança. Se essa OU adicional for destinada a projetos de desenvolvimento, recomendamos que você a nomeie como Sandbox OU, conforme indicado noAWS estratégia de várias contas para sua zona de pouso da AWS Control Tower.

Etapa 2. Provisione contas compartilhadas, se necessário:

Para configurar sua landing zone, o AWS Control Tower requer dois endereços de e-mail. Se você estiver usando o landing zone APIs para configurar o AWS Control Tower pela primeira vez, deverá usar as AWS contas existentes de segurança e arquivamento de registros. Você pode usar os endereços de e-mail atuais dos existentes Contas da AWS. Cada um desses endereços de e-mail servirá como uma caixa de entrada colaborativa — uma conta de e-mail compartilhada — destinada aos vários usuários da sua empresa que realizarão trabalhos específicos relacionados à AWS Control Tower.

Para começar a configurar uma nova landing zone, se você não tiver AWS contas existentes, você pode provisionar as contas de segurança e arquivamento AWS de registros usando AWS Organizations APIs.

  1. Ligue AWS Organizations CreateAccount API para o para criar a conta de arquivamento de registros e a conta de auditoria na OU de segurança. 

    aws organizations create-account --email mylog@example.com --account-name "Logging Account"
    aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

  2. (Opcional) Verifique o status da CreateAccount operação usando AWS Organizations DescribeAccount API o.

Etapa 3. Crie as funções de serviço necessárias

Crie as seguintes funções IAM de serviço que permitam que a AWS Control Tower realize as API chamadas necessárias para configurar sua landing zone:

Para obter mais informações sobre essas funções e suas políticas, consulteUsando políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower.

Para criar uma IAM função:

  1. Crie uma IAM função com as permissões necessárias para chamar toda a landing zoneAPIs. Como alternativa, você pode criar um usuário do IAM Identity Center e atribuir as permissões necessárias. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}