Types de lignes de base - AWS Control Tower
Inscription partielle de comptesVariation des opérations entre la console AWS Control Tower et les API pour les lignes de baseValeurs de référence et paramètres de version par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Types de lignes de base

Dans AWS Control Tower, une référence est un groupe de ressources et de configurations spécifiques que vous pouvez appliquer à une cible. L'objectif de référence le plus courant peut être une unité organisationnelle (UO). Par exemple, vous pouvez activer une ligne de base avec une unité d'organisation sélectionnée comme cible, afin d'enregistrer cette unité d'organisation dans AWS Control Tower.

Lors de la configuration de la zone d'atterrissage, la cible de référence peut être un compte partagé ou la zone d'atterrissage dans son ensemble. Certaines lignes de base peuvent être activées et mises à jour en fonction des paramètres et des configurations de votre zone d'atterrissage. AWS Control Tower crée et déploie les ressources vers la cible conformément à la ligne de base spécifiée.

Lorsque vous activez une ligne de base pour une cible, celle-ci est représentée sous la forme d'une AWS CloudFormation ressource, appelée EnabledBaseline ressource.

AWS Control Tower inclut quatre types essentiels de lignes de base :

  • Un type peut s'appliquer à une unité d'organisation enregistrée auprès d'AWS Control Tower ou à une unité d'organisation que vous avez l'intention d'enregistrer en appliquant la ligne de base.

  • Trois types de référence peuvent s'appliquer à une zone d'atterrissage ou à un compte partagé, lors de la configuration initiale ou lors d'une mise à jour de la zone d'atterrissage.

Type de référence qui s'applique au niveau de l'unité d'organisation, pour l'enregistrement et la mise à jour des unités d'organisation

  • Nom: AWSControlTowerBaseline

    Description : configure les ressources et les contrôles obligatoires pour les comptes membres au sein de l'unité d'organisation cible, nécessaires à la gouvernance d'AWS Control Tower.

    Remarque : Cette ligne de base conserve les paramètres de la zone d'atterrissage. La région refuse le contrôle. En d'autres termes, si une région n'est pas autorisée au niveau de la zone d'atterrissage, elle n'est pas autorisée pour cette unité d'organisation lorsque vous appelez l'EnableBaselineAPI pour enregistrer une unité d'organisation.

    Note

    Le refus de contrôle de la région au niveau de l'OU n'a aucun moyen d'autoriser les régions que la région de refus de contrôle de la zone d'atterrissage n'autorise pas.

    Pour plus d'informations, consultez la section Comment les SCP fonctionnent avec le déni dans la AWS Organizations documentation.

    Recommandation : Nous vous recommandons de vérifier les régions dans lesquelles votre unité d'organisation cible peut exécuter des charges de travail, et de comparer les résultats par rapport à la zone de destination Refus de contrôle, avant d'appeler l'EnableBaselineAPI de l'unité d'organisation, sous peine de perdre l'accès aux ressources dans certaines régions.

Note

Les lignes de base des zones d'atterrissage se comportent différemment des lignes de base au niveau de l'OU.

AWS Control Tower active automatiquement les lignes de base qui s'appliquent au niveau de la zone d'atterrissage, dans le cadre du processus de configuration et de mise à jour de la zone d'atterrissage. Les valeurs de référence de votre zone d'atterrissage peuvent changer au fur et à mesure que vous modifiez les paramètres de votre zone d'atterrissage. Par exemple, si vous optez pour IAM Identity Center, AWS Control Tower peut activer la dernière version de la IdentityCenterBaseline ligne de base sur votre zone de landing zone.

Vous pouvez consulter les lignes de base activées pour votre zone de landing grâce à l'appel ListEnabledBaselines d'API.

Types de référence pouvant s'appliquer à votre zone d'atterrissage ou à vos comptes partagés

  • Nom: AuditBaseline

    Description : configure les ressources pour surveiller la sécurité et la conformité des comptes de votre organisation. Vous ne pouvez pas modifier cette ligne de base, elle est déployée par AWS Control Tower.

  • Nom: LogArchiveBaseline

    Description : met en place un référentiel central pour les journaux des activités des API et des configurations de ressources provenant des comptes de votre organisation. Vous ne pouvez pas modifier cette ligne de base, elle est déployée par AWS Control Tower.

  • Nom: IdentityCenterBaseline

    Description : configure des ressources partagées pour IAM Identity Center, qui prépare la configuration de l'accès AWSControlTowerBaseline à Identity Center pour les comptes.

    Remarque : Cette base de référence ne fonctionne que lorsque vous avez sélectionné IAM Identity Center comme fournisseur d'identité au moment de configurer votre zone d'atterrissage pour la première fois, ou si vous modifiez ultérieurement les paramètres de votre zone d'atterrissage pour activer IAM Identity Center pour votre zone d'atterrissage. Si vous utilisez un autre fournisseur d'identité, vous n'aurez pas accès à cette base de référence.

Inscription partielle de comptes

Lorsque vous travaillez avec des bases de référence, un compte peut être placé dans un état appelé Partiellement inscrit.

Cet état peut se produire si vous réenregistrez une unité d'organisation en appelant l'ResetEnabledBaselineAPI, car AWS Control Tower applique uniquement les ressources obligatoires aux comptes de l'unité d'organisation cible. Un compte qui ne dispose pas des ressources facultatives (contrôles) de son unité d'organisation parent est marqué comme étant partiellement inscrit.

Si vous déplacez un compte non inscrit vers une unité d'organisation enregistrée, puis que vous appelez l'ResetEnabledBaselineAPI de l'unité d'organisation pour inscrire ce compte, AWS Control Tower applique les ressources associées AWSControlTowerBaseline au compte nouvellement inscrit. Toutefois, les contrôles facultatifs activés pour cette unité d'organisation ne sont pas appliqués au compte. Le compte reste dans un état partiellement inscrit.

Pour inscrire complètement le compte, choisissez Réenregistrer ou Mettre à jour le compte dans la console. Lorsque vous sélectionnez ces opérations depuis la console, AWS Control Tower applique toutes les ressources de cette unité d'organisation au compte nouvellement inscrit, y compris les contrôles facultatifs activés pour cette unité d'organisation.

Variation des opérations entre la console AWS Control Tower et les API pour les lignes de base

Lorsque vous modifiez le statut de gouvernance d'une unité d'organisation, la console AWS Control Tower effectue automatiquement un plus grand nombre d'opérations pour vous, par rapport à une modification de la gouvernance au moyen des API pour les lignes de base.

Différences

  • Enregistrement et approvisionnement de produits

    Lorsque vous enregistrez une UO via la console, AWS Control Tower crée des produits Service Catalog pour les comptes membres de l'UO, dans le cadre de l'inscription de chaque compte. Lorsque vous enregistrez une unité d'organisation par le biais de l'EnableBaselineAPI et qu'AWS Control Tower ne crée pas de produits provisionnés pour les comptes membres de l'unité d'organisation. AWSControlTowerBaseline

  • Désenregistrer une UO

    Chaque fois que vous annulez l'enregistrement d'une unité d'organisation, vous devez d'abord supprimer tous les comptes membres et les unités d'organisation imbriquées. AWS Control Tower supprime ensuite tous les contrôles appliqués à l'unité d'organisation.

    • Si vous sélectionnez Supprimer l'UO de la console, AWS Control Tower procède au désenregistrement puis supprime l'UO de votre organisation.

    • Toutefois, si vous annulez l'enregistrement de l'UO en appelant l'DisableBaselineAPI pour la supprimer AWSControlTowerBaseline de l'UO, AWS Control Tower ne supprime pas l'UO de votre organisation, l'UO est toujours présente dans l'organisation, non enregistrée.

Valeurs de référence et paramètres de version par défaut

Si votre zone d'atterrissage AWS Control Tower est déjà configurée et que vous choisissez d'activer une ligne de base de zone d'atterrissage, AWS Control Tower active la dernière version de la ligne de base compatible avec votre version de zone d'atterrissage. Si vous choisissez d'activer une ligne de base pour une unité d'organisation qui n'est pas encore enregistrée auprès d'AWS Control Tower, AWS Control Tower fournit automatiquement la dernière version compatible de la ligne de base pour cette unité d'organisation.