Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Compatibilidad de las versiones de las líneas base y de las zonas de aterrizaje de la OU
Las líneas base de AWS Control Tower le permiten establecer un estándar de gobierno a nivel de unidad organizativa, en lugar de a nivel de landing zone, si su empresa lo requiere. La línea base denominada AWSControlTowerBaseline está disponible para ayudarle a registrar sus unidades organizativas en AWS Control Tower.
nota
Una línea base es un grupo de controles y recursos que trabajan juntos para establecer un entorno de gobierno estable dentro de tu landing zone.
Cuando habilita una línea de base en una OU, al llamar a la EnableBaseline API de AWS Control Tower, debe especificar una versión de referencia que sea compatible con su versión actual de zona de aterrizaje de AWS Control Tower. Tras especificar una línea base, todas las cuentas de los miembros de una OU siguen la línea base establecida para la OU. En otras palabras, las cuentas nuevas se aprovisionan con la línea base actualizada y las cuentas de los miembros existentes se rigen de acuerdo con la nueva línea base.
Si no seleccionas una línea base para tus unidades organizativas y cuentas existentes, la versión de landing zone determina toda la postura de gobierno de forma predeterminada. Sin embargo, a cada OU registrada en la zona de aterrizaje se le asigna una versión de referencia, que es la última versión de referencia compatible con la versión de la zona de aterrizaje actual. Por lo tanto, cada unidad organizativa y cuenta de miembro inscrito tiene una línea base asociada, incluso si nunca se asigna una línea base específica.
Para la línea base a nivel de OUAWSControlTowerBaseline, en la siguiente tabla se muestra la compatibilidad de las líneas base con las versiones de zonas de landing zone de AWS Control Tower.
| Versión de referencia | Versiones de zonas de aterrizaje | Planos incluidos | Controles incluidos | Cambio con respecto a la línea base anterior |
|---|---|---|---|---|
1.0 |
2.0 a 2.7 |
BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Recursos de IAM |
Todos los controles obligatorios |
Ninguna |
2.0 |
2.8 a 2.9 |
BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Config SLR, recursos de IAM |
Todos los controles obligatorios |
Se agregó el rol AWS Config vinculado a servicios (SLR) y un nuevo esquema de Config para usar el SLR |
3.0 |
3.0 a 3.1 |
BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Config SLR, recursos de IAM |
Todos los controles obligatorios |
Nuevo AWS Config plano. Cámbielo para registrar los recursos globales solo en la región de origen. Se ha eliminado el CloudTrail plano |
4.0 |
3.2 a 3.3 |
BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_LINKED_ROLE, BP_BASELINE_SERVICE_ROLES, Config SLR, recursos de IAM |
Todos los controles obligatorios |
Nuevo plano de SLR |
Para obtener más información sobre los recursos específicos que se crean en las cuentas al configurar tu landing zone, consulta Recursos creados en las cuentas compartidas.
Si actualizas la zona de aterrizaje a una versión que admite una versión de AWSControlTowerBaseline referencia más reciente y la nueva versión de la zona de aterrizaje es compatible con la versión de referencia existente, el estado de la unidad organizativa cambia a Actualizar disponible.
-
Puedes seguir utilizando la fábrica de cuentas y otras funciones sin actualizar inmediatamente la base de la OU, excepto en el caso de una actualización de landing zone de la versión 2.x a la 3.x.
-
Las cuentas nuevas inscritas en esta OU reciben recursos en función de la versión básica existente hasta que se actualice la versión básica (con la función de ampliación de la gobernanza de la consola o mediante la
UpdateEnabledBaselineAPI). -
Tras actualizar la versión de referencia, todas las cuentas de esa OU reciben los recursos en función de la nueva versión de referencia.
nota
Si actualiza la zona de aterrizaje de la AWS Control Tower de una versión 2.X a una versión 3.X, también debe actualizar la versión básica de sus unidades organizativas, debido al cambio de las rutas a nivel de cuenta a las de organización. AWS CloudTrail En la consola, su OU mostrará el estado de Actualización requerida.
Consideraciones sobre las líneas de base
-
Si su OU requiere una actualización de referencia, no puede aprovisionar cuentas nuevas ni inscribir cuentas existentes en esa OU.
-
Tras una actualización de la zona de aterrizaje, si también planea actualizar una línea base de la OU, debe volver a registrar la OU o actualizar la versión de la línea base de la OU mediante programación.
-
Te recomendamos que actualices a la línea base más alta compatible para la versión de zona de aterrizaje que utilices, de modo que disfrutes de todas las ventajas de la zona de aterrizaje y la línea base combinadas. Por ejemplo, si actualizas a la versión 3.3 de landing zone, puedes seguir usando la línea base 3.0, pero no obtendrás todos los beneficios de la versión 3.3 de landing zone a menos que también actualices a la línea base 4.0.
-
Las actualizaciones de referencia no se pueden revertir.
-
La activación de referencia se dirige a una unidad organizativa a la vez. Por lo tanto, las OU anidadas no se actualizan automáticamente cuando se actualiza la OU principal. Se recomienda actualizar la unidad organizativa principal antes de actualizar las unidades organizativas anidadas.
-
Al llamar a la
UpdateEnabledBaselineAPI o volver a registrar una OU desde la consola, la OU conserva todos los controles que estaban habilitados antes de la actualización de referencia. -
Cuando varias versiones de referencia son compatibles con su versión de zona de aterrizaje, debe utilizar la última versión de referencia si habilita una línea de base en una OU no administrada,.
