Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 2: Starte deine landing zone
Die AWS Control Tower CreateLandingZone API erfordert eine landing zone Zone-Version und eine Manifestdatei als Eingabeparameter. Sie können die Manifestdatei verwenden, um die folgenden Funktionen zu konfigurieren:
Nachdem Sie Ihre Manifestdatei kompiliert haben, können Sie eine neue landing zone erstellen.
Anmerkung
AWS Control Tower unterstützt die Option „Region Deny Control“ nicht, wenn APIs zum Konfigurieren und Starten einer landing zone verwendet werden. Nachdem Sie Ihre landing zone mithilfe von APIs erfolgreich gestartet haben, können Sie mit der AWS Control Tower Tower-Konsole die Region Deny Control konfigurieren.
-
Rufen Sie die AWS Control Tower
CreateLandingZoneAPI auf. Diese API benötigt eine Landingzone-Version und eine Manifestdatei als Eingabe.aws controltower create-landing-zone --landing-zone-version 3.3 --manifest "file://LandingZoneManifest.json"Beispiel für ein LandingZoneManifestJSON-Manifest:
{ "governedRegions": ["us-west-2","us-west-1"], "organizationStructure": { "security": { "name": "CORE" }, "sandbox": { "name": "Sandbox" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "accessLoggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX" }, "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "accessManagement": { "enabled": true } }Anmerkung
Wie im Beispiel gezeigt, müssen die SecurityRoles Konten AccountIdfür CentralizedLogging und unterschiedlich sein.
Ausgabe:
{ "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX" } -
Rufen Sie die
GetLandingZoneOperationAPI auf, um den Status desCreateLandingZoneVorgangs zu überprüfen. DieGetLandingZoneOperationAPI gibt den StatusSUCCEEDEDFAILED, oder zurückIN_PROGRESS.aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"Ausgabe:
{ "operationDetails": { "operationType": "CREATE", "startTime": "Thu Nov 09 20:39:19 UTC 2023", "endTime": "Thu Nov 09 21:02:01 UTC 2023", "status": "SUCCEEDED" } } -
Wenn der Status als zurückkehrt
SUCCEEDED, können Sie dieGetLandingZoneAPI aufrufen, um die Konfiguration der landing zone zu überprüfen.aws controltower get-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"Ausgabe:
{ "landingZone": { "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "driftStatus": { "status": "IN_SYNC" }, "latestAvailableVersion": "3.3", "manifest": { "accessManagement": { "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "governedRegions": [ "us-west-1", "eu-west-3", "us-west-2" ], "organizationStructure": { "sandbox": { "name": "Sandbox" }, "security": { "name": "Security" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX", "accessLoggingBucket": { "retentionDays": 60 } }, "enabled": true } }, "status": "PROCESSING", "version": "3.3" } }
