步骤 1：配置登录区

设置 Contro AWS l Tower 着陆区的过程分为多个步骤。Contro AWS l Tower 着陆区的某些方面是可配置的，但其他选项在设置后无法更改。要在启动登录区之前详细了解这些重要注意事项，请查看对登录区配置方面的期望。

在使用 Cont AWS rol Tower 着陆区之前APIs，您必须先APIs从其他 AWS 服务处致电以配置您的着陆区，然后才能启动。该过程包括三个主要步骤：

创建一个新 AWS Organizations 组织，
设置您的共享账户电子邮件地址
并创建具有调用 landing zone 所需权限的IAM角色或 Ident IAM ity Center 用户APIs。

第 1 步：创建将包含您的登录区的组织：

调用 AWS Organizations CreateOrganizationAPI并启用所有功能以创建基础 OU。 AWSControl Tower 最初将其命名为安全 OU。此安全 OU 包含您的两个共享账户，默认情况下，这两个账户分别称为日志存档账户和审计账户。
```
aws organizations create-organization --feature-set ALL
```
AWSControl Tower 可以设置一个或多个附加组件OUs。除了安全 OU 之外，我们建议您在登录区内至少预置一个其他 OU。如果此“其他 OU”用于开发项目，我们建议您将其命名为沙盒 OU，如AWS AWS Control Tower 着陆区的多账户策略中所述。

第 2 步：如有必要，可预置共享账户：

要设置您的着陆区，Cont AWS rol Tower 需要两个电子邮件地址。如果您是首次使用着陆区APIs设置 Cont AWS rol Tower，则必须使用现有的安全和日志存档 AWS 帐户。您可以使用现有电子邮件地址的当前电子邮件地址 AWS 账户。这些电子邮件地址中的每一个都将用作协作收件箱（共享的电子邮件帐户），供企业中从事与 Cont AWS rol Tower 相关的特定工作的不同用户使用。

要开始设置新的 landing zone，如果您没有现有 AWS 帐户，则可以使用配置安全和日志存档 AWS 帐户 AWS Organizations APIs。

调 AWS Organizations CreateAccountAPI用在安全 OU 中创建日志存档账户和审核账户。


aws organizations create-account --email mylog@example.com --account-name "Logging Account"


aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

（可选）使用检查CreateAccount操作的状态 AWS Organizations DescribeAccountAPI。

第 3 步：创建所需的服务角色。

创建以下IAM服务角色，使 Cont AWS rol Tower 能够执行设置着陆区所需的API呼叫：

有关这些角色及其策略的更多信息，请参阅在 AWS Control Tower 中使用基于身份的策略（IAM 策略）。

要创建IAM角色，请执行以下操作：

创建一个具有调用所有 landing zone 所需权限的IAM角色APIs。或者，您可以创建 Ident IAM ity Center 用户并分配必要的权限。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator"
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

对 landing zone 配置的期望 APIs

步骤 2：启动登录区