2단계: 랜딩 존 시작

AWS Control Tower CreateLandingZone API에는 입력 파라미터로 랜딩 존 버전과 매니페스트 파일이 필요합니다. 매니페스트 파일을 사용하여 다음 기능을 구성할 수 있습니다.

• 선택적으로 로그 보존을 구성할 수 있습니다.

• 선택적으로 액세스를 자체 관리할 수 AWS 계정 있습니다.

• 선택적으로 트레일을 구성할 AWS CloudTrail 수 있습니다.

• 선택적으로 구성할 수 있습니다. AWS KMS keys

매니페스트 파일을 컴파일하고 나면 새 랜딩 존을 만들 준비가 된 것입니다.

참고

AWS Control Tower는 API를 사용하여 랜딩 존을 구성하고 시작하는 경우 리전 거부 제어를 지원하지 않습니다. API를 사용하여 랜딩 존을 성공적으로 시작한 후에는 AWS Control Tower 콘솔을 사용하여 리전 거부 제어를 구성할 수 있습니다.

1. AWS 컨트롤 타워 CreateLandingZone API를 호출하십시오. 이 API를 입력하려면 landing Zone 버전과 매니페스트 파일이 필요합니다.

   aws controltower create-landing-zone --landing-zone-version 3.3 --manifest "file://LandingZoneManifest.json"

   LandingZoneManifest.json 매니페스트 예시:

   {
      "governedRegions": ["us-west-2","us-west-1"],
      "organizationStructure": {
          "security": {
              "name": "CORE"
          },
          "sandbox": {
              "name": "Sandbox"
          }
      },
      "centralizedLogging": {
           "accountId": "222222222222",
           "configurations": {
               "loggingBucket": {
                   "retentionDays": 60
               },
               "accessLoggingBucket": {
                   "retentionDays": 60
               },
               "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX"
           },
           "enabled": true
      },
      "securityRoles": {
           "accountId": "333333333333"
      },
      "accessManagement": {
           "enabled": true
      }
   }

   참고

   예제에서 볼 수 있듯이, CentralizedLogging 와 SecurityRoles 계정의 AccountId용은 달라야 합니다.

   출력:

   {
      "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
      "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
   }

2. GetLandingZoneOperationAPI를 호출하여 CreateLandingZone 작업 상태를 확인합니다. GetLandingZoneOperationAPI는 SUCCEEDEDFAILED, 또는 상태를 반환합니다IN_PROGRESS.

   aws controltower get-landing-zone-operation --operation-identifier "55XXXXXX-eXXX-4XXX-aXXX-44XXXXXXXXXX"

   출력:

   {
       "operationDetails": {
           "operationType": "CREATE",
           "startTime": "Thu Nov 09 20:39:19 UTC 2023",
           "endTime": "Thu Nov 09 21:02:01 UTC 2023",
           "status": "SUCCEEDED"
       }
   }

3. 상태가 로 SUCCEEDED 반환되면 GetLandingZone API를 호출하여 landing zone 구성을 검토할 수 있습니다.

   aws controltower get-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"

   출력:

   {
       "landingZone": {
           "arn": "arn:aws:controltower:us-west-2:123456789012:landingzone/1A2B3C4D5E6F7G8H",
           "driftStatus": {
               "status": "IN_SYNC"
           },
           "latestAvailableVersion": "3.3",
           "manifest": {
               "accessManagement": {
                   "enabled": true
               },
               "securityRoles": {
                   "accountId": "333333333333"
               },
               "governedRegions": [
                   "us-west-1",
                   "eu-west-3",
                   "us-west-2"
               ],
               "organizationStructure": {
                   "sandbox": {
                       "name": "Sandbox"
                   },
                   "security": {
                       "name": "Security"
                   }
               },
               "centralizedLogging": {
                   "accountId": "222222222222",
                   "configurations": {
                       "loggingBucket": {
                           "retentionDays": 60
                       },
                       "kmsKeyArn": "arn:aws:kms:us-west-1:123456789123:key/e84XXXXX-6bXX-49XX-9eXX-ecfXXXXXXXXX",
                       "accessLoggingBucket": {
                           "retentionDays": 60
                       }
                   },
                   "enabled": true
               }
           },
           "status": "PROCESSING",
           "version": "3.3"
       }
   }