Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Paso 2: Lanza tu landing zone
La CreateLandingZone
API de AWS Control Tower requiere una versión de landing zone y un archivo de manifiesto como parámetros de entrada. Puede usar el archivo de manifiesto para configurar las siguientes funciones:
Tras compilar tu archivo de manifiesto, estarás listo para crear una nueva landing zone.
nota
AWS Control Tower no admite la denegación de control por región cuando se utilizan las API para configurar y lanzar una landing zone. Tras lanzar correctamente su landing zone mediante las API, puede utilizar la consola de AWS Control Tower para configurar la región y denegar el control.
-
Llame a la
CreateLandingZone
API de la Torre de Control de AWS. Esta API requiere una versión de landing zone y un archivo de manifiesto como entrada.aws controltower create-landing-zone --landing-zone-version 3.3 --manifest "file://LandingZoneManifest.json"
Ejemplo de manifiesto LandingZoneManifestde.json:
{ "governedRegions": ["us-west-2","us-west-1"], "organizationStructure": { "security": { "name": "CORE" }, "sandbox": { "name": "Sandbox" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "accessLoggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX" }, "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "accessManagement": { "enabled": true } }
nota
Como se muestra en el ejemplo, las SecurityRoles cuentas AccountIdpara CentralizedLogging y deben ser diferentes.
Salida:
{ "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX" }
-
Llama a la
GetLandingZoneOperation
API para comprobar el estado de laCreateLandingZone
operación. LaGetLandingZoneOperation
API devuelve un estado deSUCCEEDED
,FAILED
, oIN_PROGRESS
.aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"
Salida:
{ "operationDetails": { "operationType": "CREATE", "startTime": "Thu Nov 09 20:39:19 UTC 2023", "endTime": "Thu Nov 09 21:02:01 UTC 2023", "status": "SUCCEEDED" } }
-
Cuando el estado vuelva a ser
SUCCEEDED
, puedes llamar a laGetLandingZone
API para revisar la configuración de la landing zone.aws controltower get-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"
Salida:
{ "landingZone": { "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H", "driftStatus": { "status": "IN_SYNC" }, "latestAvailableVersion": "3.3", "manifest": { "accessManagement": { "enabled": true }, "securityRoles": { "accountId": "333333333333" }, "governedRegions": [ "us-west-1", "eu-west-3", "us-west-2" ], "organizationStructure": { "sandbox": { "name": "Sandbox" }, "security": { "name": "Security" } }, "centralizedLogging": { "accountId": "222222222222", "configurations": { "loggingBucket": { "retentionDays": 60 }, "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX", "accessLoggingBucket": { "retentionDays": 60 } }, "enabled": true } }, "status": "PROCESSING", "version": "3.3" } }