本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 1:設定您的登陸區域
設定 AWS Control Tower 登陸區域的程序有多個步驟。AWS 控制塔登陸區域的某些方面是可設定的,但在設定後無法變更其他選項。若要在啟動登陸區域之前進一步了解這些重要考量事項,請檢閱 登陸區域組態的期望 。
使用 AWS Control Tower 登陸區域 之前APIs,您必須先APIs從其他 AWS 服務呼叫 ,以設定您的登陸區域,然後再啟動。程序包含三個主要步驟:
建立新的 AWS Organizations 組織、
設定您的共用帳戶電子郵件地址、
並建立具有呼叫登陸區域 所需許可IAM的角色或 IAM Identity Center 使用者APIs。
步驟 1. 建立將包含您的登陸區域的組織:
-
呼叫 AWS Organizations
CreateOrganizationAPI並啟用所有功能以建立基礎 OU。 AWSControl Tower 一開始會將此命名為 Security OU。此安全 OU 包含兩個共用帳戶,預設情況下稱為日誌封存帳戶和稽核帳戶。aws organizations create-organization --feature-set ALLAWS Control Tower 可以設定一或多個其他 OUs。除了安全 OU 之外,建議您在登陸區域中佈建至少一個額外的 OU。如果此額外 OU 適用於開發專案,建議您將其命名為沙盒 OU,如 中所述AWS AWS Control Tower 登陸區域的多帳戶策略。
步驟 2. 視需要佈建共用帳戶:
若要設定您的登陸區域,AWSControl Tower 需要兩個電子郵件地址。如果您是第一次使用登陸區域APIs來設定 AWS Control Tower,則必須使用現有的安全和日誌封存 AWS 帳戶。您可以使用現有 的目前電子郵件地址 AWS 帳戶。這些電子郵件地址將做為協作收件匣 -- 共用電子郵件帳戶 -- 適用於您企業中將執行與 AWS Control Tower 相關特定工作的多個使用者。
若要開始設定新的登陸區域,如果您沒有現有的 AWS 帳戶,您可以使用 佈建安全性和日誌封存 AWS 帳戶 AWS Organizations APIs。
-
呼叫 AWS Organizations
CreateAccountAPI,在安全 OU 中建立日誌封存帳戶和稽核帳戶。aws organizations create-account --email mylog@example.com --account-name "Logging Account"aws organizations create-account --email mysecurity@example.com --account-name "Security Account" -
(選用)
DescribeAccount使用 AWS Organizations 檢查CreateAccount操作的狀態API。
步驟 3. 建立所需的服務角色
建立下列IAM服務角色,讓 AWS Control Tower 能夠執行設定登陸區域所需的API呼叫:
如需這些角色及其政策的詳細資訊,請參閱 使用 AWS Control Tower 的身分型政策 (IAM 政策)。
若要建立IAM角色:
-
建立具有必要許可IAM的角色,以呼叫所有登陸區域 APIs。或者,您可以建立 IAM Identity Center 使用者並指派必要的許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup:UpdateGlobalSettings", "controltower:CreateLandingZone", "controltower:UpdateLandingZone", "controltower:ResetLandingZone", "controltower:DeleteLandingZone", "controltower:GetLandingZoneOperation", "controltower:GetLandingZone", "controltower:ListLandingZones", "controltower:ListLandingZoneOperations", "controltower:ListTagsForResource", "controltower:TagResource", "controltower:UntagResource", "servicecatalog:*", "organizations:*", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:DeregisterDelegatedAdministrator" "sso:*", "sso-directory:*", "logs:*", "cloudformation:*", "kms:*", "iam:GetRole", "iam:CreateRole", "iam:GetSAMLProvider", "iam:CreateSAMLProvider", "iam:CreateServiceLinkedRole", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:ListAttachedRolePolicies", "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy" ], "Resource": "*" } ] }
