Etapa 1: configure sua landing zone

O processo de configuração da sua landing zone do AWS Control Tower tem várias etapas. Certos aspectos da sua landing zone do AWS Control Tower são configuráveis, mas outras opções não podem ser alteradas após a configuração. Para saber mais sobre essas considerações importantes antes de lançar sua landing zone, Expectativas para a configuração da landing zone revise.

Antes de usar as APIs da zona de pouso do AWS Control Tower, você deve primeiro chamar APIs de outros AWS serviços para configurar sua zona de pouso antes do lançamento. O processo inclui três etapas principais:

criando uma nova AWS Organizations organização,
configurando os endereços de e-mail da sua conta compartilhada,
e criar uma função do IAM ou um usuário do IAM Identity Center com as permissões necessárias para chamar as APIs da landing zone.

Etapa 1. Crie a organização que conterá sua landing zone:

Chame a AWS Organizations CreateOrganization API e ative todos os recursos para criar a OU básica. Inicialmente, o AWS Control Tower chama isso de UO de Segurança. Essa OU de segurança contém suas duas contas compartilhadas, que por padrão são chamadas de conta de arquivamento de log e conta de auditoria.
```
aws organizations create-organization --feature-set ALL
```
O AWS Control Tower pode configurar uma ou mais OUs adicionais. Recomendamos que você provisione pelo menos uma OU adicional em sua landing zone, além da OU de segurança. Se essa OU adicional for destinada a projetos de desenvolvimento, recomendamos que você a nomeie como Sandbox OU, conforme indicado noAWS estratégia de várias contas para sua landing zone da AWS Control Tower.

Etapa 2. Provisione contas compartilhadas, se necessário:

Para configurar sua landing zone, o AWS Control Tower exige dois endereços de e-mail. Se você estiver usando as APIs da landing zone para configurar o AWS Control Tower pela primeira vez, deverá usar as AWS contas existentes de segurança e arquivamento de registros. Você pode usar os endereços de e-mail atuais dos existentes Contas da AWS. Cada um desses endereços de e-mail servirá como uma caixa de entrada colaborativa — uma conta de e-mail compartilhada — destinada aos vários usuários da sua empresa que farão trabalhos específicos relacionados ao AWS Control Tower.

Para começar a configurar uma nova landing zone, se você não tiver AWS contas existentes, você pode provisionar as contas de segurança e arquivamento AWS de registros usando AWS Organizations APIs.

Chame a AWS Organizations CreateAccount API para criar a conta de arquivamento de registros e a conta de auditoria na OU de segurança.


aws organizations create-account --email mylog@example.com --account-name "Logging Account"


aws organizations create-account --email mysecurity@example.com --account-name "Security Account"

(Opcional) Verifique o status da CreateAccount operação usando a AWS Organizations DescribeAccount API.

Etapa 3. Crie as funções de serviço necessárias

Crie as seguintes funções de serviço do IAM que permitem que o AWS Control Tower realize as chamadas de API necessárias para configurar sua landing zone:

Para obter mais informações sobre essas funções e suas políticas, consulteUsando políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower.

Para criar uma função do IAM:

Crie uma função do IAM com as permissões necessárias para chamar todas as APIs da landing zone. Como alternativa, você pode criar um usuário do IAM Identity Center e atribuir as permissões necessárias.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Expectativas para a configuração da landing zone com APIs

Etapa 2: inicie sua landing zone