Kompatibilität von OU-Baselines und Landing-Zone-Versionen

AWS Control Tower-Baselines ermöglichen es Ihnen, einen Governance-Standard auf Organisationseinheitsebene und nicht auf Ebene der Landing Zone festzulegen, wenn Ihr Unternehmen dies benötigt. Die Baseline namens AWSControlTowerBaseline ist verfügbar, um Ihre OUs bei AWS Control Tower zu registrieren.

Anmerkung

Eine Baseline ist eine Gruppe von Kontrollen und Ressourcen, die zusammenarbeiten, um eine stabile Governance-Umgebung innerhalb Ihrer Landing Zone einzurichten.

Wenn Sie eine Baseline für eine Organisationseinheit aktivieren, indem Sie die EnableBaseline API in AWS Control Tower aufrufen, müssen Sie eine Baseline-Version angeben, die mit Ihrer aktuellen Landing-Zone-Version von AWS Control Tower kompatibel ist. Nachdem Sie eine Baseline angegeben haben, folgen alle Mitgliedskonten in einer Organisationseinheit der Baseline, die für die Organisationseinheit angegeben ist. Mit anderen Worten, neue Konten werden mit der aktualisierten Baseline bereitgestellt und bestehende Mitgliedskonten werden gemäß der neuen Baseline verwaltet.

Wenn Sie keine Basislinie für Ihre vorhandenen OUs und Konten auswählen, bestimmt die Version der Landing Zone standardmäßig den gesamten Governance-Status. Jeder registrierten Organisationseinheit in Ihrer Landing Zone wird jedoch eine Basisversion zugewiesen, bei der es sich um die neueste Basisversion handelt, die mit Ihrer aktuellen Landing-Zone-Version kompatibel ist. Daher ist jeder Organisationseinheit und jedem registrierten Mitgliedskonto eine Baseline zugeordnet, auch wenn Sie niemals speziell eine Baseline zuweisen.

Für die Baseline auf Organisationseinheitsebene zeigt AWSControlTowerBaselinedie folgende Tabelle die Kompatibilität von Baselines mit den Landing-Zone-Versionen von AWS Control Tower.

Basisversion	Versionen der Landing Zone	Enthaltene Vorlagen	Eingeschlossene Kontrollen	Änderung gegenüber der vorherigen Baseline
1,0	2.0 bis 2.7	BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, IAM-Ressourcen	Alle obligatorischen Kontrollen	None
2.0	2.8 bis 2.9	BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Config SLR, IAM-Ressourcen	Alle obligatorischen Kontrollen	AWS Config Serviceverknüpfte Rolle (SLR) und neue Konfigurationsvorlage zur Verwendung der SLR hinzugefügt
3.0	3.0 bis 3.1	BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Config SLR, IAM-Ressourcen	Alle obligatorischen Kontrollen	Neuer AWS Config Blueprint. Ändern Sie , um globale Ressourcen nur in der Heimatregion aufzuzeichnen. CloudTrail Blueprint entfernt
4,0	3.2 bis 3.3	BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_LINKED_ROLE, BP_BASELINE_SERVICE_ROLES, Config SLR, IAM-Ressourcen	Alle obligatorischen Kontrollen	Neue SLR-Vorlage

Weitere Informationen zu bestimmten Ressourcen, die in Konten erstellt wurden, wenn Sie Ihre Landing Zone einrichten, finden Sie unter Ressourcen, die in den freigegebenen Konten erstellt wurden.

Wenn Sie Ihre Landing Zone auf eine Version aktualisieren, die eine neuere AWSControlTowerBaseline Basisversion unterstützt, und die neue Landing Zone-Version mit Ihrer vorhandenen Basisversion kompatibel ist, ändert sich Ihr OU-Status in Update available .

• Sie können die Account Factory und andere Funktionen weiterhin verwenden, ohne die OU-Baseline sofort zu aktualisieren, außer im Falle einer Aktualisierung der Landing Zone von 2.x auf 3.x.

• Neue Konten, die in dieser Organisationseinheit registriert sind, erhalten Ressourcen basierend auf der vorhandenen Basisversion, bis die Basisversion aktualisiert wird (mit der Funktion Governance erweitern in der Konsole oder mithilfe der UpdateEnabledBaseline API).

• Nachdem Sie die Basisversion aktualisiert haben, erhalten alle Konten innerhalb dieser Organisationseinheit Ressourcen, die auf der neuen Basisversion basieren.

Anmerkung

Wenn Sie Ihre Landing Zone von AWS Control Tower von einer beliebigen Version 2.X auf eine beliebige Version 3.X aktualisieren, müssen Sie auch die Baseline-Version auf Ihren OUs aktualisieren, da sich von AWS CloudTrail Trails auf Kontoebene auf Organisationsebene ändert. In der Konsole zeigt Ihre Organisationseinheit den Status Update erforderlich an.

Überlegungen zu Baselines

• Wenn Ihre Organisationseinheit eine Basisaktualisierung erfordert, können Sie keine neuen Konten bereitstellen oder bestehende Konten für diese Organisationseinheit registrieren.

• Wenn Sie nach einer Aktualisierung der Landing Zone auch eine OU-Baseline aktualisieren möchten, müssen Sie die OU erneut registrieren oder Ihre OU-Baseline-Version programmgesteuert aktualisieren.

• Wir empfehlen Ihnen, für die von Ihnen verwendete Landing-Zone-Version auf die höchste kompatible Baseline zu aktualisieren, damit Sie alle Vorteile der Landing Zone und der Baseline zusammen nutzen können. Wenn Sie beispielsweise auf Landing Zone Version 3.3 aktualisieren, können Sie Baseline 3.0 weiterhin verwenden, aber Sie erhalten nicht jeden Vorteil der Landing Zone Version 3.3, es sei denn, Sie aktualisieren auch auf Baseline 4.0.

• Baseline-Updates können nicht rückgängig gemacht werden.

• Die Basisaktivierung zielt jeweils auf eine Organisationseinheit ab. Daher werden verschachtelte OUs nicht automatisch aktualisiert, wenn die übergeordnete Organisationseinheit aktualisiert wird. Wir empfehlen Ihnen, die übergeordnete Organisationseinheit zu aktualisieren, bevor Sie die verschachtelten OUs aktualisieren.

• Wenn Sie die -UpdateEnabledBaselineAPI aufrufen oder eine OU über die Konsole erneut registrieren, behält die OU alle Kontrollen bei, die vor der Baseline-Aktualisierung aktiviert wurden.

• Wenn mehrere Basisversionen mit Ihrer Landing Zone-Version kompatibel sind, müssen Sie die neueste Basisversion verwenden, wenn Sie eine Baseline für eine nicht verwaltete Organisationseinheit aktivieren, .