Langkah 1: Konfigurasikan landing zone - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 1: Konfigurasikan landing zone

Proses pengaturan zona landing AWS Control Tower Anda memiliki beberapa langkah. Aspek tertentu dari zona landing zone AWS Control Tower Anda dapat dikonfigurasi, tetapi pilihan lain tidak dapat diubah setelah penyiapan. Untuk mempelajari lebih lanjut tentang pertimbangan penting ini sebelum meluncurkan landing zone Anda, tinjau Harapan untuk konfigurasi landing zone .

Sebelum menggunakan AWS Control Tower landing zone API, Anda harus terlebih dahulu memanggil API dari AWS layanan lain untuk mengonfigurasi landing zone Anda sebelum diluncurkan. Prosesnya mencakup tiga langkah utama:

  • menciptakan AWS Organizations organisasi baru,

  • menyiapkan alamat email akun bersama Anda,

  • dan membuat peran IAM atau pengguna Pusat Identitas IAM dengan izin yang diperlukan untuk memanggil API landing zone.

Langkah 1. Buat organisasi yang akan berisi landing zone Anda:

  1. Panggil AWS Organizations CreateOrganization API dan aktifkan semua fitur untuk membuat Foundational OU. AWS Control Tower awalnya menamai ini Security OU. OU Keamanan ini berisi dua akun bersama Anda, yang secara default disebut akun arsip log dan akun audit. 

    aws organizations create-organization --feature-set ALL

    AWS Control Tower dapat menyiapkan satu atau lebih OU Tambahan. Kami menyarankan Anda menyediakan setidaknya satu OU Tambahan di landing zone Anda, selain Security OU. Jika OU Tambahan ini ditujukan untuk proyek pengembangan, kami sarankan Anda menamainya Sandbox OU, seperti yang diberikan dalamAWS strategi multi-akun untuk landing zone AWS Control Tower Anda.

Langkah 2. Menyediakan akun bersama jika diperlukan:

Untuk mengatur landing zone Anda, AWS Control Tower memerlukan dua alamat email. Jika Anda menggunakan landing zone API untuk menyiapkan AWS Control Tower untuk pertama kalinya, Anda harus menggunakan AWS akun keamanan dan arsip log yang ada. Anda dapat menggunakan alamat email saat ini dari yang ada Akun AWS. Masing-masing alamat email ini akan berfungsi sebagai kotak masuk kolaboratif - akun email bersama - yang ditujukan untuk berbagai pengguna di perusahaan Anda yang akan melakukan pekerjaan spesifik terkait AWS Control Tower.

Untuk mulai menyiapkan landing zone baru, jika Anda tidak memiliki AWS akun yang ada, Anda dapat menyediakan keamanan dan mencatat AWS akun arsip menggunakan AWS Organizations API.

  1. Panggil AWS Organizations CreateAccount API untuk membuat akun arsip Log dan akun Audit di OU Keamanan. 

    aws organizations create-account --email mylog@example.com --account-name "Logging Account"
    aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

  2. (Opsional) Periksa status CreateAccount operasi menggunakan AWS Organizations DescribeAccount API.

Langkah 3. Buat peran layanan yang diperlukan

Buat peran layanan IAM berikut yang memungkinkan AWS Control Tower menjalankan panggilan API yang diperlukan untuk menyiapkan landing zone Anda:

Untuk informasi selengkapnya tentang peran ini dan kebijakannya, lihatMenggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Control Tower.

Untuk membuat peran IAM:

  1. Buat peran IAM dengan izin yang diperlukan untuk memanggil semua API landing zone. Atau, Anda dapat membuat pengguna Pusat Identitas IAM dan menetapkan izin yang diperlukan. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}