Kompatibilitas baseline OU dan versi landing zone - AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kompatibilitas baseline OU dan versi landing zone

Garis dasar AWS Control Tower memungkinkan Anda menetapkan standar tata kelola di tingkat OU, bukan di tingkat landing zone, jika bisnis Anda memerlukannya. Garis dasar yang disebut AWSControlTowerBaseline tersedia untuk membantu mendaftarkan OU Anda dengan AWS Control Tower.

catatan

Baseline adalah sekelompok kontrol dan sumber daya yang bekerja sama untuk membangun lingkungan tata kelola yang stabil di dalam landing zone Anda.

Saat Anda mengaktifkan baseline pada OU, dengan memanggil EnableBaseline API di AWS Control Tower, Anda harus menentukan versi dasar yang kompatibel dengan versi landing zone AWS Control Tower AWS Control Tower saat ini. Setelah Anda menentukan garis dasar, semua akun anggota dalam OU mengikuti garis dasar yang diberikan untuk OU. Dengan kata lain, akun baru disediakan dengan baseline yang diperbarui, dan akun anggota yang ada diatur sesuai dengan baseline baru.

Jika Anda tidak memilih baseline untuk OU dan akun yang ada, versi landing zone menentukan keseluruhan postur tata kelola, secara default. Namun, setiap OU terdaftar di landing zone Anda diberi versi dasar, yang merupakan baseline terbaru yang kompatibel dengan versi landing zone Anda saat ini. Oleh karena itu, setiap akun anggota OU dan terdaftar memiliki baseline terkait, bahkan jika Anda tidak pernah menetapkan baseline secara khusus.

Untuk baseline level OUAWSControlTowerBaseline, tabel berikut menunjukkan kompatibilitas baseline dengan versi landing zone AWS Control Tower.

Versi dasar Versi zona pendaratan Cetak biru yang disertakan Termasuk kontrol Ubah dari baseline sebelumnya

1.0

2.0 hingga 2.7

BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Sumber Daya IAM

Semua kontrol wajib

Tidak ada

2.0

2,8 hingga 2,9

BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Config SLR, sumber daya IAM

Semua kontrol wajib

Menambahkan peran AWS Config terkait layanan (SLR) dan cetak biru Config baru untuk menggunakan SLR

3.0

3.0 hingga 3.1

BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Config SLR, sumber daya IAM

Semua kontrol wajib

AWS Config Cetak biru baru. Ubah untuk merekam sumber daya global hanya di wilayah asal. CloudTrail Cetak biru yang dihapus

4.0

3,2 hingga 3,3

BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_LINKED_ROLE, BP_BASELINE_SERVICE_ROLES, Config SLR, sumber daya IAM

Semua kontrol wajib

Cetak biru SLR baru

Untuk informasi selengkapnya tentang sumber daya tertentu yang dibuat di akun saat menyiapkan landing zone, lihat Sumber daya yang dibuat di akun bersama.

Jika Anda memperbarui landing zone ke versi yang mendukung versi AWSControlTowerBaseline baseline yang lebih baru, dan versi landing zone baru kompatibel dengan versi baseline yang ada, status OU Anda berubah menjadi Pembaruan yang tersedia.

  • Anda dapat terus menggunakan pabrik akun dan fitur lainnya tanpa memperbarui baseline OU segera, kecuali dalam kasus pembaruan landing zone dari 2.x ke 3.x.

  • Akun baru yang terdaftar di OU ini menerima sumber daya berdasarkan versi baseline yang ada hingga versi dasar diperbarui (dengan fitur Perluas tata kelola di konsol, atau melalui API). UpdateEnabledBaseline

  • Setelah Anda memperbarui versi dasar, semua akun dalam OU tersebut menerima sumber daya berdasarkan versi dasar yang baru.

catatan

Jika Anda memperbarui landing zone AWS Control Tower dari versi 2.X apa pun ke versi 3.X apa pun, Anda juga harus memperbarui versi dasar pada OU Anda, karena perubahan dari jalur tingkat akun ke tingkat organisasi. AWS CloudTrail Di konsol, OU Anda akan menampilkan status Pembaruan yang diperlukan.

Pertimbangan untuk baseline

  • Jika OU Anda memerlukan pembaruan dasar, Anda tidak dapat menyediakan akun baru atau mendaftarkan akun yang ada ke OU tersebut.

  • Setelah pembaruan landing zone, jika Anda juga berencana untuk memperbarui baseline OU, Anda harus mendaftarkan ulang OU atau memperbarui versi dasar OU Anda secara terprogram.

  • Kami menyarankan Anda memperbarui ke baseline tertinggi yang kompatibel untuk versi landing zone yang Anda gunakan, sehingga Anda mendapatkan semua manfaat dari landing zone dan baseline gabungan. Misalnya, jika Anda memperbarui ke landing zone versi 3.3, Anda dapat tetap menggunakan baseline 3.0, tetapi Anda tidak mendapatkan setiap manfaat dari landing zone versi 3.3 kecuali Anda juga memperbarui ke baseline 4.0.

  • Pembaruan dasar tidak dapat diputar kembali.

  • Pemberdayaan dasar menargetkan satu OU pada satu waktu. Oleh karena itu, OU bersarang tidak diperbarui secara otomatis saat OU induk diperbarui. Kami menyarankan Anda memperbarui OU induk sebelum memperbarui OU bersarang.

  • Saat Anda memanggil UpdateEnabledBaseline API atau mendaftarkan ulang OU dari konsol, OU mempertahankan semua kontrol yang diaktifkan sebelum pembaruan dasar.

  • Bila beberapa versi baseline kompatibel dengan versi landing zone Anda, Anda harus menggunakan versi baseline terbaru jika Anda mengaktifkan baseline pada OU yang tidak dikelola.