Paso 1: configuración de la zona de aterrizaje

El proceso de configuración de la zona de aterrizaje de AWS Control Tower consta de varios pasos. Es posible configurar algunos de los aspectos de la zona de aterrizaje de AWS Control Tower, sin embargo, hay otras opciones no se pueden modificar después de la configuración. Para obtener más información sobre estas importantes consideraciones antes del lanzamiento de la zona de aterrizaje, consulte Expectativas para la configuración de la zona de aterrizaje .

Antes de utilizar la zona de aterrizaje de la Torre de Control Tower de AWS APIs, primero debe llamar APIs desde otros AWS servicios para configurar la zona de aterrizaje antes del lanzamiento. El proceso incluye tres pasos principales:

• crear una nueva AWS Organizations organización,

• configurar las direcciones de correo electrónico de las cuentas compartidas;

• y crear un rol de IAM o un usuario del IAM Identity Center con los permisos necesarios para llamar a la landing zone. APIs

Paso 1. Creación de la organización que contendrá la zona de aterrizaje:

1. Llame a la AWS Organizations CreateOrganization API y active todas las funciones para crear la unidad organizativa fundamental. Inicialmente, AWS Control Tower la denomina OU de seguridad. Esta OU de seguridad contiene las dos cuentas compartidas, que de forma predeterminada se denominan cuenta de archivo de registro y cuenta de auditoría.

   aws organizations create-organization --feature-set ALL

   AWS Control Tower puede configurar uno o más adicionales OUs. Le recomendamos que aprovisione al menos una OU adicional en la zona de aterrizaje, además de la OU de seguridad. Si esta OU adicional está destinada a proyectos de desarrollo, le recomendamos que la denomine OU de entorno de pruebas, tal y como se indica en las AWS estrategia de múltiples cuentas para su zona de aterrizaje de AWS Control Tower.

Paso 2. Aprovisionamiento de cuentas compartidas si es necesario:

Para configurar la zona de aterrizaje, AWS Control Tower necesita dos direcciones de correo electrónico. Si utiliza landing zone APIs para configurar AWS Control Tower por primera vez, debe utilizar las AWS cuentas de seguridad y de archivo de registros existentes. Puede utilizar las direcciones de correo electrónico actuales de las existentes Cuentas de AWS. Cada una de estas direcciones de correo electrónico servirá como bandeja de entrada colaborativa (una cuenta de correo electrónico compartida) destinada a los distintos usuarios de la empresa que realizarán trabajos específicos relacionados con AWS Control Tower.

Para empezar a configurar una nueva landing zone, si no tienes AWS cuentas existentes, puedes aprovisionar las AWS cuentas de seguridad y archivar registros mediante AWS Organizations APIs.

1. Llame a la AWS Organizations CreateAccount API para crear la cuenta de archivo de registros y la cuenta de auditoría en la unidad organizativa de seguridad.

   aws organizations create-account --email mylog@example.com --account-name "Logging Account"

   aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

2. (Opcional) Compruebe el estado de la CreateAccount operación mediante la AWS Organizations DescribeAccount API.

Paso 3. Creación de los roles de servicio requeridos

Cree las siguientes funciones de servicio de IAM en la ruta de /service-role/ IAM que permitan a AWS Control Tower realizar las llamadas a la API necesarias para configurar su landing zone:

• AWSControlTowerAdmin

• AWSControlTowerCloudTrailRole

• AWSControlTowerStackSetRole

• AWSControlTowerConfigAggregatorRoleForOrganizations

Para obtener más información acerca de estos roles y sus políticas, consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS Control Tower.

Creación de un rol de IAM:

1. Cree un rol de IAM con los permisos necesarios para llamar a todas las zonas de landing zone APIs. Como alternativa, puede crear un usuario de IAM Identity Center y asignar los permisos necesarios.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "backup:UpdateGlobalSettings",
                   "controltower:CreateLandingZone",
                   "controltower:UpdateLandingZone",
                   "controltower:ResetLandingZone",
                   "controltower:DeleteLandingZone",
                   "controltower:GetLandingZoneOperation",
                   "controltower:GetLandingZone",
                   "controltower:ListLandingZones",
                   "controltower:ListLandingZoneOperations",
                   "controltower:ListTagsForResource",
                   "controltower:TagResource",
                   "controltower:UntagResource",
                   "servicecatalog:*",
                   "organizations:*",
                   "organizations:RegisterDelegatedAdministrator",
                   "organizations:EnableAWSServiceAccess",
                   "organizations:DeregisterDelegatedAdministrator"
                   "sso:*",
                   "sso-directory:*",
                   "logs:*",
                   "cloudformation:*",
                   "kms:*",
                   "iam:GetRole",
                   "iam:CreateRole",
                   "iam:GetSAMLProvider",
                   "iam:CreateSAMLProvider",
                   "iam:CreateServiceLinkedRole",
                   "iam:ListRolePolicies",
                   "iam:PutRolePolicy",
                   "iam:ListAttachedRolePolicies",
                   "iam:AttachRolePolicy",
                   "iam:DeleteRole",
                   "iam:DeleteRolePolicy",
                   "iam:DetachRolePolicy"
               ],
               "Resource": "*"
           }
       ]
   }