Étape 1 : Configurez votre zone de landing zone

Le processus de configuration de votre zone de landing AWS Control Tower comporte plusieurs étapes. Certains aspects de votre zone de landing zone AWS Control Tower sont configurables, mais les autres choix ne peuvent pas être modifiés après la configuration. Pour en savoir plus sur ces considérations importantes avant de lancer votre zone d'atterrissage, consultez Attentes relatives à la configuration de la zone d'atterrissage .

Avant d'utiliser les API de zone d'atterrissage d'AWS Control Tower, vous devez d'abord appeler les API d'autres AWS services pour configurer votre zone d'atterrissage avant le lancement. Le processus comprend trois étapes principales :

créer une nouvelle AWS Organizations organisation,
configurer les adresses e-mail de votre compte partagé,
et en créant un rôle IAM ou un utilisateur de l'IAM Identity Center disposant des autorisations requises pour appeler les API de la zone d'atterrissage.

Étape 1. Créez l'organisation qui contiendra votre zone de landing zone :

Appelez l' AWS Organizations CreateOrganizationAPI et activez toutes les fonctionnalités pour créer l'unité d'organisation fondamentale. AWS Control Tower l'appelle initialement Security OU. Cette unité d'organisation de sécurité contient vos deux comptes partagés, appelés par défaut compte d'archivage du journal et compte d'audit.
```
aws organizations create-organization --feature-set ALL
```
AWS Control Tower peut configurer une ou plusieurs unités d'organisation supplémentaires. Nous vous recommandons de prévoir au moins une unité d'organisation supplémentaire dans votre zone de landing, en plus de l'unité d'organisation de sécurité. Si cette unité d'organisation supplémentaire est destinée à des projets de développement, nous vous recommandons de la nommer unité d'organisation Sandbox, comme indiqué dans leAWS stratégie multi-comptes pour votre zone de landing zone AWS Control Tower.

Étape 2. Provisionnez des comptes partagés si nécessaire :

Pour configurer votre zone de landing zone, AWS Control Tower a besoin de deux adresses e-mail. Si vous utilisez des API de zone d'atterrissage pour configurer AWS Control Tower pour la première fois, vous devez utiliser les AWS comptes de sécurité et d'archivage de journaux existants. Vous pouvez utiliser les adresses e-mail actuelles des adresses e-mail existantes Comptes AWS. Chacune de ces adresses e-mail servira de boîte de réception collaborative (un compte e-mail partagé) destinée aux différents utilisateurs de votre entreprise chargés de tâches spécifiques liées à AWS Control Tower.

Pour commencer à configurer une nouvelle zone de landing zone, si vous n'avez pas de AWS compte existant, vous pouvez configurer les comptes de sécurité et d'archivage AWS des journaux à l'aide d' AWS Organizations API.

Appelez l' AWS Organizations CreateAccountAPI pour créer le compte d'archivage du journal et le compte d'audit dans l'unité d'organisation de sécurité.


aws organizations create-account --email mylog@example.com --account-name "Logging Account"


aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

(Facultatif) Vérifiez le statut de l'CreateAccountopération à l'aide de l' AWS Organizations DescribeAccountAPI.

Étape 3. Créez les rôles de service requis

Créez les rôles de service IAM suivants qui permettent à AWS Control Tower d'effectuer les appels d'API nécessaires à la configuration de votre zone de landing zone :

Pour plus d'informations sur ces rôles et leurs politiques, consultezUtilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower.

Pour créer un rôle IAM :

Créez un rôle IAM avec les autorisations nécessaires pour appeler toutes les API de zone d'atterrissage. Vous pouvez également créer un utilisateur IAM Identity Center et lui attribuer les autorisations nécessaires.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Attentes relatives à la configuration de la zone d'atterrissage à l'aide d'API

Étape 2 : Lancez votre zone de landing zone