Jenis baseline - AWS Control Tower
Pendaftaran sebagian akunVariasi dalam operasi antara konsol AWS Control Tower dan API untuk baselineGaris dasar dan default versi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jenis baseline

Garis dasar di AWS Control Tower adalah sekelompok sumber daya dan konfigurasi spesifik yang dapat Anda terapkan ke target. Target dasar yang paling umum mungkin adalah unit organisasi (OU). Misalnya, Anda dapat mengaktifkan baseline dengan OU yang dipilih sebagai target, untuk mendaftarkan OU tersebut ke AWS Control Tower.

Selama pengaturan landing zone, target dasar dapat berupa akun bersama atau landing zone secara keseluruhan. Garis dasar tertentu dapat diaktifkan dan diperbarui berdasarkan pengaturan dan konfigurasi landing zone Anda. AWS Control Tower membuat dan menyebarkan sumber daya ke target dengan cara yang ditentukan baseline.

Saat Anda mengaktifkan baseline untuk target, baseline direpresentasikan sebagai AWS CloudFormation sumber daya, yang disebut sumber daya. EnabledBaseline

AWS Control Tower mencakup empat jenis dasar penting:

  • Satu jenis dapat berlaku untuk OU yang terdaftar di AWS Control Tower, atau ke OU yang ingin Anda daftarkan dengan menerapkan baseline.

  • Tiga tipe dasar dapat diterapkan ke landing zone atau akun bersama, selama pengaturan awal atau selama pembaruan landing zone.

Jenis dasar yang berlaku di tingkat OU, untuk mendaftar dan memperbarui OU

  • Nama: AWSControlTowerBaseline

    Deskripsi: Menyiapkan sumber daya dan kontrol wajib untuk akun anggota dalam OU target, yang diperlukan untuk tata kelola AWS Control Tower.

    Pertimbangan: Garis dasar ini mempertahankan pengaturan zona pendaratan Wilayah menolak kontrol. Dengan kata lain, jika Region tidak diizinkan di tingkat landing zone, Region tersebut tidak diperbolehkan untuk OU tersebut ketika Anda memanggil EnableBaseline API untuk mendaftarkan OU.

    catatan

    Wilayah tingkat OU menolak kontrol tidak memiliki cara untuk mengizinkan Wilayah yang tidak diizinkan oleh zona pendaratan yang tidak diizinkan oleh Wilayah.

    Untuk informasi selengkapnya, lihat Cara SCP bekerja dengan penolakan dalam AWS Organizations dokumentasi.

    Rekomendasi: Kami menyarankan Anda mengonfirmasi Wilayah di mana target OU Anda mungkin menjalankan beban kerja, dan memeriksa hasilnya terhadap landing zone Region deny control, sebelum Anda memanggil EnableBaseline API untuk OU, atau Anda bisa kehilangan akses ke sumber daya di Wilayah tertentu.

catatan

Garis dasar zona pendaratan berperilaku berbeda dari garis dasar tingkat OU.

AWS Control Tower memungkinkan baseline yang berlaku di level landing zone secara otomatis, sebagai bagian dari proses penyiapan dan pembaruan landing zone. Garis dasar untuk landing zone Anda dapat berubah saat Anda mengubah pengaturan landing zone. Misalnya, jika Anda memilih IAM Identity Center, AWS Control Tower dapat mengaktifkan versi terbaru dari IdentityCenterBaseline baseline di landing zone Anda.

Anda dapat melihat baseline yang diaktifkan untuk landing zone Anda dengan panggilan ListEnabledBaselines API.

Jenis baseline yang mungkin berlaku untuk landing zone atau akun bersama

  • Nama: AuditBaseline

    Deskripsi: Menyiapkan sumber daya untuk memantau keamanan dan kepatuhan akun di organisasi Anda. Anda tidak dapat mengubah baseline ini, ini diterapkan oleh AWS Control Tower.

  • Nama: LogArchiveBaseline

    Deskripsi: Menyiapkan repositori pusat untuk log aktivitas API dan konfigurasi sumber daya dari akun di organisasi Anda. Anda tidak dapat mengubah baseline ini, ini diterapkan oleh AWS Control Tower.

  • Nama: IdentityCenterBaseline

    Deskripsi: Menyiapkan sumber daya bersama untuk IAM Identity Center, yang mempersiapkan AWSControlTowerBaseline untuk mengatur akses Pusat Identitas untuk akun.

    Pertimbangan: Garis dasar ini hanya berfungsi ketika Anda telah memilih IAM Identity Center sebagai penyedia identitas Anda pada saat Anda mengatur landing zone Anda pada awalnya, atau jika Anda kemudian mengubah pengaturan landing zone Anda untuk mengaktifkan IAM Identity Center untuk landing zone Anda. Jika Anda menggunakan penyedia identitas yang berbeda, Anda tidak akan memiliki akses untuk mengaktifkan baseline ini.

Pendaftaran sebagian akun

Saat Anda bekerja dengan baseline, akun dapat ditempatkan ke dalam status yang disebut Terdaftar sebagian.

Status ini dapat terjadi jika Anda mendaftarkan ulang OU dengan memanggil ResetEnabledBaseline API, karena AWS Control Tower hanya menerapkan sumber daya wajib ke akun di OU target. Akun yang kehilangan sumber daya opsional (kontrol) untuk OU induknya ditandai sebagai Terdaftar sebagian.

Jika Anda memindahkan akun yang tidak terdaftar ke OU terdaftar dan kemudian memanggil ResetEnabledBaseline API di OU untuk mendaftarkan akun tersebut, AWS Control Tower menerapkan sumber daya yang terkait dengan akun yang AWSControlTowerBaseline baru terdaftar. Namun, kontrol opsional yang diaktifkan untuk OU ini tidak diterapkan ke akun. Akun tetap dalam keadaan terdaftar sebagian.

Untuk mendaftarkan akun sepenuhnya, pilih Daftar ulang atau Perbarui akun di konsol. Saat Anda memilih operasi ini dari konsol, AWS Control Tower menerapkan semua sumber daya OU tersebut ke akun yang baru terdaftar, termasuk kontrol opsional yang diaktifkan untuk OU tersebut.

Variasi dalam operasi antara konsol AWS Control Tower dan API untuk baseline

Saat Anda mengubah status tata kelola OU, konsol AWS Control Tower melakukan lebih banyak operasi untuk Anda secara otomatis, dibandingkan dengan mengubah tata kelola melalui API untuk baseline.

Perbedaan

  • Mendaftarkan dan menyediakan produk

    Saat Anda mendaftarkan OU melalui konsol, AWS Control Tower membuat produk Service Catalog untuk akun anggota OU, sebagai bagian dari pendaftaran setiap akun. Saat Anda mendaftarkan OU melalui EnableBaseline API dan AWS Control Tower tidak membuat produk yang disediakan untuk akun anggota di OU. AWSControlTowerBaseline

  • Deregister ke OU

    Setiap kali Anda membatalkan pendaftaran OU, Anda harus terlebih dahulu menghapus semua akun anggota dan OU bersarang. Kemudian, AWS Control Tower menghapus semua kontrol yang diterapkan ke OU.

    • Jika Anda memilih Hapus OU OU dari konsol, AWS Control Tower melanjutkan ke deregister dan kemudian menghapus OU dari organisasi Anda.

    • Namun, jika Anda membatalkan pendaftaran OU dengan memanggil DisableBaseline API untuk menghapus AWSControlTowerBaseline dari OU, AWS Control Tower tidak menghapus OU dari organisasi Anda, OU masih ada di organisasi, tidak terdaftar.

Garis dasar dan default versi

Jika zona landing zone AWS Control Tower Anda sudah disiapkan, dan kemudian Anda memilih untuk mengaktifkan baseline landing zone, AWS Control Tower mengaktifkan versi terbaru dari baseline yang kompatibel dengan versi landing zone Anda. Jika Anda memilih untuk mengaktifkan baseline untuk OU yang belum terdaftar di AWS Control Tower, AWS Control Tower menyediakan versi terbaru yang kompatibel dari baseline untuk OU tersebut, secara otomatis.