Tipi di linee di base

Una linea di base in AWS Control Tower è un gruppo di risorse e configurazioni specifiche che puoi applicare a un target. L'obiettivo di base più comune può essere un'unità organizzativa (OU). Ad esempio, puoi abilitare una linea di base con un'unità organizzativa selezionata come destinazione, per registrarla in AWS Control Tower.

Durante la configurazione della landing zone, l'obiettivo di base può essere un account condiviso o la landing zone nel suo insieme. Alcune linee di base possono essere abilitate e aggiornate in base alle impostazioni e alle configurazioni della landing zone. AWS Control Tower crea e distribuisce le risorse verso l'obiettivo nel modo specificato dalla baseline.

Quando abiliti una linea di base per un obiettivo, la linea di base viene rappresentata come una AWS CloudFormation risorsa, chiamata risorsa. EnabledBaseline

AWS Control Tower include quattro tipi essenziali di linee di base:

• Un tipo può essere applicato a un'unità organizzativa registrata presso AWS Control Tower o a un'unità organizzativa che intendi registrare applicando la linea di base.

• Tre tipi di base possono essere applicati a una landing zone o a un account condiviso, durante la configurazione iniziale o durante un aggiornamento della landing zone.

Tipo di base applicabile a livello di unità organizzative, per la registrazione e l'aggiornamento delle unità organizzative

• Nome: AWSControlTowerBaseline

  Descrizione: configura le risorse e i controlli obbligatori per gli account dei membri all'interno dell'unità organizzativa di destinazione, necessari per la governance di AWS Control Tower.

  Considerazione: questa linea di base mantiene le impostazioni della landing zone Region deny control. In altre parole, se una regione non è autorizzata a livello di landing zone, tale regione non è autorizzata per quell'unità organizzativa quando si chiama l'EnableBaselineAPI per registrare un'unità organizzativa.

  Nota

  La regione negata al controllo a livello dell'UE non ha modo di autorizzare le regioni che la regione negato il controllo della landing zone non consente.

  Per ulteriori informazioni, vedi Come funzionano gli SCP con deny nella documentazione. AWS Organizations

  Raccomandazione: ti consigliamo di confermare le regioni in cui l'unità organizzativa di destinazione potrebbe eseguire carichi di lavoro e di confrontare i risultati con la landing zone Region deny control prima di chiamare l'EnableBaselineAPI per l'unità organizzativa, altrimenti potresti perdere l'accesso alle risorse in determinate regioni.

Nota

Le linee di base della zona di atterraggio si comportano in modo diverso rispetto alle linee di base a livello di unità organizzativa.

AWS Control Tower abilita automaticamente le linee di base che si applicano a livello di landing zone, come parte del processo di configurazione e aggiornamento della landing zone. Le linee di base per la tua landing zone possono cambiare man mano che modifichi le impostazioni della landing zone. Ad esempio, se opti per IAM Identity Center, AWS Control Tower può abilitare l'ultima versione della IdentityCenterBaseline baseline sulla tua landing zone.

Puoi visualizzare le linee di base abilitate per la tua landing zone con la chiamata ListEnabledBaselines API.

Tipi di base che possono essere applicati alla tua landing zone o agli account condivisi

• Nome: AuditBaseline

  Descrizione: configura le risorse per monitorare la sicurezza e la conformità degli account nell'organizzazione. Non è possibile modificare questa linea di base, viene distribuita da AWS Control Tower.

• Nome: LogArchiveBaseline

  Descrizione: configura un archivio centrale per i registri delle attività delle API e delle configurazioni delle risorse degli account dell'organizzazione. Non è possibile modificare questa linea di base, viene distribuita da AWS Control Tower.

• Nome: IdentityCenterBaseline

  Descrizione: configura risorse condivise per IAM Identity Center, che prepara l'accesso AWSControlTowerBaseline a Identity Center per gli account.

  Considerazione: questa linea di base funziona solo se hai selezionato IAM Identity Center come provider di identità al momento della configurazione iniziale della landing zone, o se successivamente modifichi le impostazioni della landing zone per abilitare IAM Identity Center per la tua landing zone. Se utilizzi un provider di identità diverso, non avrai accesso per abilitare questa linea di base.

Registrazione parziale degli account

Quando si utilizzano le linee di base, è possibile inserire un account in uno stato denominato Registrato parzialmente.

Questo stato può verificarsi se registri nuovamente un'unità organizzativa chiamando l'ResetEnabledBaselineAPI, poiché AWS Control Tower applica solo le risorse obbligatorie agli account nell'unità organizzativa di destinazione. Un account a cui mancano le risorse (controlli) opzionali per l'unità organizzativa principale è contrassegnato come Parzialmente registrato.

Se sposti un account non registrato in un'unità organizzativa registrata e poi richiami l'ResetEnabledBaselineAPI sull'unità organizzativa per registrare quell'account, AWS Control Tower applica le risorse associate AWSControlTowerBaseline all'account appena registrato. Tuttavia, i controlli opzionali abilitati per questa unità organizzativa non vengono applicati all'account. L'account rimane in uno stato di registrazione parziale.

Per registrare completamente l'account, scegli Registra nuovamente o Aggiorna l'account nella console. Quando selezioni queste operazioni dalla console, AWS Control Tower applica tutte le risorse di quell'unità organizzativa all'account appena registrato, inclusi i controlli opzionali attivati per quell'unità organizzativa.

Variazione nelle operazioni tra la console AWS Control Tower e le API per le linee di base

Quando modifichi lo stato di governance di un'unità organizzativa, la console AWS Control Tower esegue automaticamente più operazioni per te, rispetto alla modifica della governance tramite le API per le linee di base.

Differenze

• Registrazione e fornitura di prodotti

  Quando registri un'unità organizzativa tramite la console, AWS Control Tower crea prodotti Service Catalog per gli account dei membri dell'unità organizzativa, come parte della registrazione di ciascun account. Quando si registra un'unità organizzativa tramite l'EnableBaselineAPI eAWSControlTowerBaseline, AWS Control Tower non crea prodotti forniti per gli account dei membri nell'unità organizzativa.

• Annullare la registrazione di un'unità organizzativa

  Ogni volta che annulli la registrazione di un'unità organizzativa, devi prima rimuovere tutti gli account membro e le OU annidate. Quindi, AWS Control Tower rimuove tutti i controlli applicati all'unità organizzativa.

  • Se si seleziona Elimina l'unità organizzativa dalla console, AWS Control Tower procede all'annullamento della registrazione e quindi all'eliminazione dell'unità organizzativa dall'organizzazione.

  • Tuttavia, se annulli la registrazione dell'unità organizzativa chiamando l'DisableBaselineAPI per rimuoverla AWSControlTowerBaseline dall'unità organizzativa, AWS Control Tower non elimina l'unità organizzativa dall'organizzazione, ma è ancora presente nell'organizzazione, non registrata.

Linee di base e impostazioni predefinite per il controllo delle versioni

Se la tua landing zone AWS Control Tower è già configurata e scegli di abilitare una landing zone di base, AWS Control Tower abilita la versione più recente della linea di base compatibile con la versione della tua landing zone. Se scegli di abilitare una baseline per un'unità organizzativa che non è già registrata presso AWS Control Tower, AWS Control Tower fornisce automaticamente l'ultima versione compatibile della linea di base per quell'unità organizzativa.