基线的类型 - AWS Control Tower
部分注册账户AWS Control Tower 控制台和用于基准的 API 之间的操作差异基准和版本控制默认值

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基线的类型

AWS Control Tower 中的基准是您可以应用于目标的一组资源和特定配置。最常见的基准目标可能是组织单位 (OU)。例如,您可以启用一个选定组织单位作为目标的基准,将该 OU 注册到 AWS Control Tower 中。

在设置着陆区期间,基准目标可能是共享账号或整个着陆区。根据您的 landing zone 设置和配置,可能会启用和更新某些基准。AWS Control Tower 按照基准指定的方式创建资源并将其部署到目标。

为目标启用基线时,该基线将表示为一种 AWS CloudFormation 资源,称为EnabledBaseline资源。

AWS Control Tower 包括四种基本类型的基准:

  • 一种类型可以应用于在 AWS Control Tower 注册的 OU,也可以适用于您打算通过应用基准进行注册的 OU。

  • 在初始设置期间或着陆区更新期间,三种基准类型可以应用于着陆区或共享账户。

适用于 OU 级别的基准类型,用于注册和更新 OU

  • 名称AWSControlTowerBaseline

    描述:为目标 OU 中的成员账户设置资源和强制控制措施,这是 AWS Control Tower 治理所必需的。

    注意事项:此基线保留了 landing zone 区域拒绝控制的设置。换句话说,如果一个区域不允许进入着陆区级别,那么当你调用 EnableBaseline API 注册 OU 时,该区域就不允许该组织进入该 OU。

    注意

    OU 级别的 Region deny 控制无法允许着陆区域 Region deny 控制不允许的区域。

    有关更多信息,请参阅 AWS Organizations 文档中的 SCP 如何使用 deny

    建议:我们建议您在调用 OU 的 EnableBaseline API 之前,确认目标 OU 可能在哪些区域运行工作负载,并根据着陆区域 Region deny 控制检查结果,否则您可能会无法访问某些区域的资源。

注意

着陆区基线的行为与 OU 级别的基线不同。

作为着陆区设置和更新过程的一部分,AWS Control Tower 会自动启用在着陆区级别应用的基准。当你更改着陆区设置时,着陆区的基线可能会发生变化。例如,如果您选择加入 IAM 身份中心,AWS Control Tower 可以在您的着陆区启用最新版本的IdentityCenterBaseline基准。

您可以通过 ListEnabledBaselines API 调用查看您的着陆区已启用的基线。

可能适用于您的 landing zone 或共享账号的基准类型

  • 名称AuditBaseline

    描述:设置资源以监控组织中账户的安全性和合规性。您无法更改此基准,它是由 AWS Control Tower 部署的。

  • 名称LogArchiveBaseline

    描述:设置一个中央存储库,用于存储组织中账户的 API 活动和资源配置日志。您无法更改此基准,它是由 AWS Control Tower 部署的。

  • 名称IdentityCenterBaseline

    描述:为 IAM Identity Center 设置共享资源,这会AWSControlTowerBaseline为账户设置身份中心访问权限做好准备。

    注意事项:只有当您在最初设置着陆区时选择 IAM Identity Center 作为身份提供商,或者随后更改着陆区设置以为着陆区启用 IAM Identity Center 时,此基准才有效。如果您使用的是其他身份提供商,则无权启用此基准。

部分注册账户

当你使用基准时,可以将账户置于名为 “部分注册” 的状态。

如果您通过调用 ResetEnabledBaseline API 重新注册 OU,则可能会出现这种状态,因为 AWS Control Tower 仅将必需资源应用于目标 OU 中的账户。缺少其父 OU 的可选资源(控件)的账户将被标记为 “部分注册”。

如果您将未注册的账户转移到已注册的 OU 中,然后调用 OU 上的 ResetEnabledBaseline API 注册该账户,AWS Control Tower 会将与之关联的资源应用于新注册的账户。AWSControlTowerBaseline但是,为此 OU 启用的可选控件不适用于该账户。该账户仍处于 “部分注册” 状态。

要完全注册账户,请在控制台中选择 “重新注册” 或 “更新账户”。当您从控制台中选择这些操作时,AWS Control Tower 会将该 OU 的所有资源应用到新注册的账户,包括为该 OU 激活的可选控件。

AWS Control Tower 控制台和用于基准的 API 之间的操作差异

当您更改 OU 的监管状态时,AWS Control Tower 控制台会自动为您执行更多操作,而不是通过基准 API 来更改治理。

差异

  • 注册和配置产品

    当您通过控制台注册 OU 时,AWS Control Tower 会在注册每个账户的过程中为该组织成员账户创建服务目录产品。当您通过 EnableBaseline API 和注册组织单位时AWSControlTowerBaseline,AWS Control Tower 不会为组织单位中的成员账户创建预配置产品。

  • 注销 OU

    每次注销 OU 时,都必须先移除所有成员账户和嵌套的 OU。然后,AWS Control Tower 会移除应用于 OU 的所有控件。

    • 如果您从控制台中选择 “删除 OU”,AWS Control Tower 会继续取消注册,然后从您的组织中删除 OU。

    • 但是,如果您通过调用 DisableBaseline API AWSControlTowerBaseline 从 OU 中移除 OU 来注销 OU,AWS Control Tower 不会从您的组织中删除 OU,则该组织仍存在于组织中,且未注册。

基准和版本控制默认值

如果您的 AWS Control Tower 着陆区已经设置完毕,然后您选择启用着陆区基准,那么 AWS Control Tower 会启用与您的着陆区版本兼容的最新版本的基准。如果您选择为尚未在 AWS Control Tower 注册的 OU 启用基准,AWS Control Tower 会自动为该 OU 提供最新兼容版本的基准。