예제: API만 사용하여 AWS Control Tower OU 등록

이 예제 연습은 보조 문서입니다. 설명, 주의 사항 및 자세한 내용은 기준 유형 섹션을 참조하세요.

사전 조건

AWS Control Tower에 등록할 기존 OU(아직 등록되지 않은 상태여야 함)가 있어야 합니다. 또는 업데이트를 위해 재등록하려는 등록된 OU가 있어야 합니다.

OU 등록

1. IdentityCenterBaseline이 랜딩 존에 활성화되어 있는지 확인합니다. 그렇다면 Identity Center 활성화 기준 식별자를 가져옵니다.

   aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'

   aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==`<Identity Center Baseline Arn>`].[arn]'

2. 대상 OU의 ARN을 가져옵니다.

   aws organizations describe-organizational-unit --organizational-unit-id <Organizational Unit ID> --query 'OrganizationalUnit.[Arn]'

3. AWSControlTowerBaseline 기준의 ARN을 가져옵니다.

   aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'

4. 대상 OU에 AWSControlTowerBaseline 기준을 생성합니다.

   Identity Center 기준이 활성화된 경우:

   aws controltower enable-baseline --baseline-identifier <AWSControlTowerBaseline ARN> --baseline-version <BASELINE VERSION> --target-identifier <OU ARN> --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"<Identity Center Enabled Baseline ARN>"}]'

   Identity Center 기준이 활성화되지 않은 경우 다음과 같이 parameters 플래그를 생략합니다.

   
   aws controltower enable-baseline --baseline-identifier <AWSControlTowerBaseline ARN> --baseline-version <BASELINE VERSION> --target-identifier <OU ARN>

OU 재등록

랜딩 존 설정을 업데이트하거나 랜딩 존 버전을 업데이트한 후에는 OU를 재등록하여 최신 변경 사항을 제공해야 합니다. 다음 단계에 따라 연결된 EnabledBaseline 리소스를 재설정하여 프로그래밍 방식으로 OU를 재등록합니다.

1. 대상 OU의 ARN을 가져와 재등록합니다.

   aws organizations describe-organizational-unit --organizational-unit-id <OU ID> --query 'OrganizationalUnit.[Arn]'

2. 대상 OU에 대한 EnabledBaseline 리소스의 ARN을 가져옵니다.

   aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==`<OUARN>`].[arn]'

3. 활성화된 기준을 재설정합니다.

   aws controltower reset-enabled-baseline --enabled-baseline-identifier <EnabledBaselineArn>