Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Identifiants de ressources pour les API et les contrôles
Chaque contrôle d'AWS Control Tower possède un identifiant unique à utiliser avec les API de contrôle. Un identifiant différent est attribué pour chaque région dans laquelle AWS Control Tower opère. L'identifiant de chaque contrôle est affiché dans le champ API ControlIdentifier, sur la page des détails du contrôle de la console AWS Control Tower et dans le. Tableaux des métadonnées de contrôle
Note
Cet identifiant est distinct du champ ControlID, qui est un système de classification des contrôles.
Afficher les identificateurs de contrôle pour tous les contrôles
Pour consulter les tables des métadonnées de contrôle, y compris l'controlIdentifierARN de chaque contrôle et de chaque région, voirTableaux des métadonnées de contrôle. Les tableaux incluent également les identifiants des contrôles Security Hub qui font partie de la norme AWS Security Hub Service-Managed : AWS Control Tower.
Afficher les identifiants de contrôle dans la console
Pour consulter les identifiants de contrôle et d'autres informations sur les contrôles AWS Control Tower dans la console, accédez à la page des détails du contrôle dans la console AWS Control Tower. Vous pouvez trouver l'identifiant dans le champ API ControlIdentifier.
Exemples de formes d'identificateurs
Lorsque vous consultez la console AWS Control Tower, voici des exemples d'identifiants que vous pouvez voir.
-
Exemple d'API ControlIdentifier pour Security Hub :
arn:aws:controltower:us-east-1::control/OOTDCUSIKIZZ -
Exemple de contrôle existant : API ControlIdentifier :
arn:aws:controltower:us-east-1::control/AWS-GR_LOG_GROUP_POLICY -
Exemple de contrôle proactif : API ControlIdentifier :
arn:aws:controltower:us-east-1::control/EHSOKSSMVFWF
Les anciens contrôles (anciens contrôles) incluent le nom du contrôle dans l'ARN, mais les nouveaux contrôles ont un identifiant différent, ce qui est normal.
Ancien exemple : arn:aws:controltower:us-east-1::control/AWS-GR_CLOUDTRAIL_CHANGE_PROHIBITED
Nouvel exemple : arn:aws:controltower:us-east-1::control/WTDSMKDKDNLE
La liste suivante contient les API controlIdentifier désignations des contrôles (anciens) fortement recommandés et électifs, préventifs et de détection détenus par AWS Control Tower, y compris les contrôles électifs de résidence des données. Les contrôles obligatoires ne peuvent pas être désactivés par les API de contrôle.
Chaque élément de la liste qui suit sert de lien, qui fournit plus d'informations sur ces contrôles individuels (anciens) détenus par AWS Control Tower, comme indiqué dansLa bibliothèque de contrôles AWS Control Tower.
Désignations pour les anciens contrôles électifs
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_AUDIT_BUCKET_ENCRYPTION_ENABLED
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_AUDIT_BUCKET_LOGGING_ENABLED
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_AUDIT_Bucket_Retention_Policy
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_IAM_USER_MFA_ENABLED
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_MFA_Enabled_for_IAM_Console_Access
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_RESTRICT_S3_Cross_Region_Replication
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_RESTRICT_S3_Delete_Without_MFA
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_S3_VERSIONING_ENABLED
Désignations pour les anciens contrôles de résidence des données (facultatifs)
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_AutoScaling_Launch_Config_Public_IP_Disabled
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_DISALLOW_CROSS_REGION_NETWORKING
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_DISALLOW_VPC_INTERNET_ACCESS
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_DISALLOW_VPN_Connections
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_DMS_Replication_Not_Public
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_EBS_Snapshot_Public_Restorable_Check
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_EKS_Endpoint_NO_PUBLIC_ACCESS
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_ElasticSearch_in_VPC_Only
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_EMR_Master_No_Public_IP
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_Lambda_Function_Public_Access_Prohibited
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_NO_UNRESTRITTED_ROUTE_TO_IGW
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_RedShift_Cluster_Public_Access_Check
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_S3_Account_Level_Public_Access_Blocks_Periodic
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_SageMaker_Notebook_NO_DIRECT_INTERNET_ACCESS
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_SSM_Document_Not_Public
Désignations pour les anciens contrôles fortement recommandés
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_ENCRYPTED_VOLUMES
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_EBS_OPTIMIZED_INSTANCE
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_EC2_Volume_Inuse_Check
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_RDS_Snapshots_Public_Prohibited
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_RDS_STORAGE_ENCRYPTED
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_RESTRICTED_COMMON_PORTS
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_RESTRICTED_SSH
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_RESTRICT_ROOT_USER
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_RESTRICT_ROOT_USER_ACCESS_KEYS
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_ROOT_ACCOUNT_MFA_ENABLED
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_S3_Bucket_Public_Read_Prohibited
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_S3_Bucket_Public_WRITE_PROHIBITED
-
ARN : AWS:ControlTower:Region : :Control/AWS-GR_Detect_CloudTrail_Enabled_On_Member_Accounts
Contrôles qui ne peuvent pas être modifiés avec les API AWS Control Tower
Les contrôles suivants ne peuvent pas être activés ou désactivés au moyen des API AWS Control Tower. À l'exception du refus de contrôle de la Région, tous ces contrôles sont obligatoires. En général, les contrôles obligatoires ne peuvent pas être désactivés. Le contrôle de refus de région doit être modifié dans la console.
-
AWS-GR_REGION_DENY
-
AWS-GR_AUDIT_BUCKET_DELETION_PROHIBITED
-
AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED
-
AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBITED
-
AWS-GR_CLOUDTRAIL_CHANGE_PROHIBITED
-
AWS-GR_CLOUDTRAIL_CLOUDWATCH_LOGS_ACTIVÉ
-
AWS-GR_CLOUDTRAIL_ACTIVÉ
-
AWS-GR_CLOUDTRAIL_VALIDATION_ACTIVÉ
-
AWS-GR_CLOUDWATCH_EVENTS_CHANGE_PROHIBITED
-
POLITIQUE D'AUTORISATION D'AGRÉGATION AWS-GR_CONFIG_AGGREGATION_POLICY
-
AWS-GR_CONFIG_AGGREGATION_CHANGE_PROHIBITED
-
AWS-GR_CONFIG_CHANGE_PROHIBITED
-
AWS-GR_CONFIG_ACTIVÉ
-
AWS-GR_CONFIG_RULE_CHANGE_PROHIBIDED
-
AWS-GR_CT_AUDIT_BUCKET_ENCRYPTION_CHANGES_PROHIBTED
-
AWS-GR_CT_AUDIT_BUCKET_LIFECYCLE_CONFIGURATION_CHANGES_PROHIBITED
-
AWS-GR_CT_AUDIT_BUCKET_LOGGING_CONFIGURATION_CHANGES_PROHIBITED
-
AWS-GR_CT_AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED
-
AWS-GR_IAM_ROLE_CHANGE_PROHIBITED
-
AWS-GR_LAMBDA_CHANGE_PROHIBITED
-
POLITIQUE DE GROUPE AWS-GR_LOG_
-
AWS-GR_SNS_CHANGE_PROHIBÉ
-
AWS-GR_SNS_SUBSCRIPTION_CHANGE_PROHIBITED
-
AWS-GR_ENSURE_CLOUDTRAIL_ENABLED_ON_SHARED_ACCOUNTS
Trouver des identifiants pour les unités d'organisation
Pour plus d'informations sur la manière de trouver l'identifiant de ressource d'une unité d'organisation et de ses ressources, consultez la section Types de ressources définis par AWS Organizations.
Pour en savoir plus sur la manière d'obtenir des informations à partir d'une unité d'organisation, consultez le manuel de référence des AWS Organizations API.
Note
L'état du contrôle et les informations d'état sont disponibles uniquement dans la console. Il n'est pas disponible depuis l'API publique. Pour consulter l'état d'un contrôle, accédez à la page des détails du contrôle dans la console AWS Control Tower.
