Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Lancez une zone d'atterrissage en utilisant CloudFormation
Vous pouvez configurer et lancer une zone d'atterrissage CloudFormation soit par le biais de la CloudFormation console, soit par le biais du AWS CLI. Cette section fournit des instructions et des exemples pour lancer une zone d'atterrissage à l'aide de APIs through CloudFormation.
**Topics**
+ [Conditions préalables au lancement d'une zone d'atterrissage à l'aide de CloudFormation](lz-apis-cfn-setup.md)
+ [Créez une nouvelle zone d'atterrissage à l'aide de CloudFormation](lz-apis-cfn-launch.md)
+ [Gérez une zone d'atterrissage existante à l'aide de CloudFormation](lz-apis-cfn-launch-existing.md)
# Conditions préalables au lancement d'une zone d'atterrissage à l'aide de CloudFormation
1. À partir du AWS CLI, utilisez l' AWS Organizations `CreateOrganization`API pour créer une organisation et activer toutes les fonctionnalités.
Pour des instructions plus détaillées, consultez[Étape 1 : Configurez votre zone de landing zone](lz-api-prereques.md).
1. À partir de la CloudFormation console ou à l'aide du AWS CLI, déployez un CloudFormation modèle qui crée les ressources suivantes dans le compte de gestion :
+ Compte Log Archive (parfois appelé compte « Logging »)
+ Compte d'audit (parfois appelé compte « Sécurité »)
+ Les rôles **AWSControlTowerAdmin**AWSControlTowerCloudTrailRole****, **AWSControlTowerConfigAggregatorRoleForOrganizations**, et **AWSControlTowerStackSetRole**de service.
Pour plus d'informations sur la manière dont AWS Control Tower utilise ces rôles pour effectuer des appels d'API de zone d'atterrissage, consultez [Étape 1 : Configuration de votre zone d'atterrissage](lz-api-prereques.md).
```
Parameters:
LoggingAccountEmail:
Type: String
Description: The email Id for centralized logging account
LoggingAccountName:
Type: String
Description: Name for centralized logging account
SecurityAccountEmail:
Type: String
Description: The email Id for security roles account
SecurityAccountName:
Type: String
Description: Name for security roles account
Resources:
MyOrganization:
Type: 'AWS::Organizations::Organization'
Properties:
FeatureSet: ALL
LoggingAccount:
Type: 'AWS::Organizations::Account'
Properties:
AccountName: !Ref LoggingAccountName
Email: !Ref LoggingAccountEmail
SecurityAccount:
Type: 'AWS::Organizations::Account'
Properties:
AccountName: !Ref SecurityAccountName
Email: !Ref SecurityAccountEmail
AWSControlTowerAdmin:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSControlTowerAdmin
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service: controltower.amazonaws.com
Action: 'sts:AssumeRole'
Path: '/service-role/'
ManagedPolicyArns:
- !Sub >-
arn:${AWS::Partition}:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy
AWSControlTowerAdminPolicy:
Type: 'AWS::IAM::Policy'
Properties:
PolicyName: AWSControlTowerAdminPolicy
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action: 'ec2:DescribeAvailabilityZones'
Resource: '*'
Roles:
- !Ref AWSControlTowerAdmin
AWSControlTowerCloudTrailRole:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSControlTowerCloudTrailRole
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service: cloudtrail.amazonaws.com
Action: 'sts:AssumeRole'
Path: '/service-role/'
AWSControlTowerCloudTrailRolePolicy:
Type: 'AWS::IAM::Policy'
Properties:
PolicyName: AWSControlTowerCloudTrailRolePolicy
PolicyDocument:
Version: 2012-10-17
Statement:
- Action:
- 'logs:CreateLogStream'
- 'logs:PutLogEvents'
Resource: !Sub >-
arn:${AWS::Partition}:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*
Effect: Allow
Roles:
- !Ref AWSControlTowerCloudTrailRole
AWSControlTowerConfigAggregatorRoleForOrganizations:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSControlTowerConfigAggregatorRoleForOrganizations
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service: config.amazonaws.com
Action: 'sts:AssumeRole'
Path: '/service-role/'
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/service-role/AWSConfigRoleForOrganizations
AWSControlTowerStackSetRole:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSControlTowerStackSetRole
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service: cloudformation.amazonaws.com
Action: 'sts:AssumeRole'
Path: '/service-role/'
AWSControlTowerStackSetRolePolicy:
Type: 'AWS::IAM::Policy'
Properties:
PolicyName: AWSControlTowerStackSetRolePolicy
PolicyDocument:
Version: 2012-10-17
Statement:
- Action: 'sts:AssumeRole'
Resource: !Sub 'arn:${AWS::Partition}:iam::*:role/AWSControlTowerExecution'
Effect: Allow
Roles:
- !Ref AWSControlTowerStackSetRole
Outputs:
LogAccountId:
Value:
Fn::GetAtt: LoggingAccount.AccountId
Export:
Name: LogAccountId
SecurityAccountId:
Value:
Fn::GetAtt: SecurityAccount.AccountId
Export:
Name: SecurityAccountId
```
# Créez une nouvelle zone d'atterrissage à l'aide de CloudFormation
À partir de la CloudFormation console ou à l'aide du AWS CLI, déployez le CloudFormation modèle suivant pour créer une zone d'atterrissage.
```
Parameters:
Version:
Type: String
Description: The version number of Landing Zone
GovernedRegions:
Type: Array
Description: List of governed regions
SecurityOuName:
Type: String
Description: The security Organizational Unit name
SandboxOuName:
Type: String
Description: The sandbox Organizational Unit name
CentralizedLoggingAccountId:
Type: String
Description: The AWS account ID for centralized logging
SecurityAccountId:
Type: String
Description: The AWS account ID for security roles
LoggingBucketRetentionPeriod:
Type: Number
Description: Retention period for centralized logging bucket
AccessLoggingBucketRetentionPeriod:
Type: Number
Description: Retention period for access logging bucket
KMSKey:
Type: String
Description: KMS key ARN used by CloudTrail and Config service to encrypt data in logging bucket
Resources:
MyLandingZone:
Type: 'AWS::ControlTower::LandingZone'
Properties:
Version:
Ref: Version
Tags:
- Key: "keyname1"
Value: "value1"
- Key: "keyname2"
Value: "value2"
Manifest:
governedRegions:
Ref: GovernedRegions
organizationStructure:
security:
name:
Ref: SecurityOuName
sandbox:
name:
Ref: SandboxOuName
centralizedLogging:
accountId:
Ref: CentralizedLoggingAccountId
configurations:
loggingBucket:
retentionDays:
Ref: LoggingBucketRetentionPeriod
accessLoggingBucket:
retentionDays:
Ref: AccessLoggingBucketRetentionPeriod
kmsKeyArn:
Ref: KMSKey
enabled: true
securityRoles:
accountId:
Ref: SecurityAccountId
accessManagement:
enabled: true
```
# Gérez une zone d'atterrissage existante à l'aide de CloudFormation
Vous pouvez l'utiliser CloudFormation pour gérer une zone d'atterrissage que vous avez déjà lancée en l'important dans une CloudFormation pile nouvelle ou existante. Consultez la [section Intégrer les ressources existantes à CloudFormation la gestion](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/resource-import.html) pour obtenir des détails et des instructions.
Pour [détecter et résoudre les problèmes de dérive dans une zone d'atterrissage](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html), vous pouvez utiliser la console AWS Control Tower AWS CLI, le ou l'[`ResetLandingZone`API](lz-api-reset.md).