Identifiants de ressources pour les API et les contrôles - AWS Control Tower
Contrôles qui ne peuvent pas être modifiés avec les API AWS Control TowerTrouver des identifiants pour les unités d'organisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identifiants de ressources pour les API et les contrôles

Chaque contrôle d'AWS Control Tower possède un identifiant unique à utiliser avec les API de contrôle. Un identifiant différent est attribué pour chaque région dans laquelle AWS Control Tower opère. L'identifiant de chaque contrôle est affiché dans le champ API ControlIdentifier, sur la page des détails du contrôle de la console AWS Control Tower et dans le. Tableaux des métadonnées de contrôle

Note

Cet identifiant est distinct du champ ControlID, qui est un système de classification des contrôles.

Afficher les identificateurs de contrôle pour tous les contrôles

Pour consulter les tables des métadonnées de contrôle, y compris l'controlIdentifierARN de chaque contrôle et de chaque région, voirTableaux des métadonnées de contrôle. Les tableaux incluent également les identifiants des contrôles Security Hub qui font partie de la norme AWS Security HubService-Managed : AWS Control Tower.

Afficher les identifiants de contrôle dans la console

Pour consulter les identifiants de contrôle et d'autres informations sur les contrôles AWS Control Tower dans la console, accédez à la page des détails du contrôle dans la console AWS Control Tower. Vous pouvez trouver l'identifiant dans le champ API ControlIdentifier.

Exemples de formes d'identificateurs

Lorsque vous consultez la console AWS Control Tower, voici des exemples d'identifiants que vous pouvez voir.

  • Exemple d'API ControlIdentifier pour Security Hub : arn:aws:controltower:us-east-1::control/OOTDCUSIKIZZ

  • Exemple de contrôle existant : API ControlIdentifier : arn:aws:controltower:us-east-1::control/AWS-GR_LOG_GROUP_POLICY

  • Exemple de contrôle proactif : API ControlIdentifier : arn:aws:controltower:us-east-1::control/EHSOKSSMVFWF

Les anciens contrôles (anciens contrôles) incluent le nom du contrôle dans l'ARN, mais les nouveaux contrôles ont un UUID, ce qui est normal.

Ancien exemple : arn:aws:controltower:us-east-1::control/AWS-GR_CLOUDTRAIL_CHANGE_PROHIBITED

Nouvel exemple : arn:aws:controltower:us-east-1::control/WTDSMKDKDNLE

La liste suivante contient les API controlIdentifier désignations des contrôles (anciens) fortement recommandés et électifs, préventifs et de détection détenus par AWS Control Tower, y compris les contrôles électifs de résidence des données. Les contrôles obligatoires ne peuvent pas être désactivés par les API de contrôle.

Chaque élément de la liste qui suit sert de lien, qui fournit plus d'informations sur ces contrôles individuels (anciens) détenus par AWS Control Tower, comme indiqué dansLa bibliothèque de contrôles AWS Control Tower.

Désignations pour les anciens contrôles électifs
Désignations pour les anciens contrôles de résidence des données (facultatifs)
Désignations pour les anciens contrôles fortement recommandés

Contrôles qui ne peuvent pas être modifiés avec les API AWS Control Tower

Les contrôles suivants ne peuvent pas être activés ou désactivés au moyen des API AWS Control Tower. À l'exception du refus de contrôle de la Région, tous ces contrôles sont obligatoires. En général, les contrôles obligatoires ne peuvent pas être désactivés. Le contrôle de refus de région doit être modifié dans la console.

  • AWS-GR_REGION_DENY

  • AWS-GR_AUDIT_BUCKET_DELETION_PROHIBITED

  • AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED

  • AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBITED

  • AWS-GR_CLOUDTRAIL_CHANGE_PROHIBITED

  • AWS-GR_CLOUDTRAIL_CLOUDWATCH_LOGS_ACTIVÉ

  • AWS-GR_CLOUDTRAIL_ACTIVÉ

  • AWS-GR_CLOUDTRAIL_VALIDATION_ACTIVÉ

  • AWS-GR_CLOUDWATCH_EVENTS_CHANGE_PROHIBITED

  • POLITIQUE D'AUTORISATION D'AGRÉGATION AWS-GR_CONFIG_AGGREGATION_POLICY

  • AWS-GR_CONFIG_AGGREGATION_CHANGE_PROHIBITED

  • AWS-GR_CONFIG_CHANGE_PROHIBITED

  • AWS-GR_CONFIG_ACTIVÉ

  • AWS-GR_CONFIG_RULE_CHANGE_PROHIBIDED

  • AWS-GR_CT_AUDIT_BUCKET_ENCRYPTION_CHANGES_PROHIBITED

  • AWS-GR_CT_AUDIT_BUCKET_LIFECYCLE_CONFIGURATION_CHANGES_PROHIBATED

  • AWS-GR_CT_AUDIT_BUCKET_LOGGING_CONFIGURATION_CHANGES_PROHIBITED

  • AWS-GR_CT_AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED

  • AWS-GR_IAM_ROLE_CHANGE_PROHIBITED

  • AWS-GR_LAMBDA_CHANGE_PROHIBITED

  • POLITIQUE DE GROUPE AWS-GR_LOG_

  • AWS-GR_SNS_CHANGE_PROHIBÉ

  • AWS-GR_SNS_SUBSCRIPTION_CHANGE_PROHIBITED

  • AWS-GR_ENSURE_CLOUDTRAIL_ENABLED_ON_SHARED_ACCOUNTS

Trouver des identifiants pour les unités d'organisation

Pour plus d'informations sur la manière de trouver l'identifiant de ressource d'une unité d'organisation et de ses ressources, consultez la section Types de ressources définis par AWS Organizations.

Pour en savoir plus sur la manière d'obtenir des informations à partir d'une unité d'organisation, consultez la référence des AWS Organizations API.

Note

L'état du contrôle et les informations d'état sont disponibles uniquement dans la console. Il n'est pas disponible depuis l'API publique. Pour consulter l'état d'un contrôle, accédez à la page des détails du contrôle dans la console AWS Control Tower.