本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
OU 基準和登陸區域版本的相容性
AWS Control Tower 基準可讓您在 OU 層級設定控管標準,而不是在業務需要時,在登陸區域層級設定控管標準。名為 的基準AWSControlTowerBaseline可協助您向 AWS Control Tower 註冊 OUs。
注意
基準是一組控制項和資源,這些控制項和資源共同在登陸區域中建立穩定的控管環境。
當您在 OU 上啟用基準時,透過呼叫 AWS Control Tower 中的 EnableBaseline API,您必須指定與目前 AWS Control Tower 登陸區域版本相容的基準版本。指定基準後,OU 中的所有成員帳戶都會遵循針對 OU 提供的基準。換言之,新帳戶會使用更新的基準進行佈建,現有成員帳戶會根據新的基準進行管理。
如果您未選取現有 OUs和帳戶的基準,則登陸區域版本預設會決定整個管控狀態。不過,您登陸區域中的每個已註冊 OU 都會指派一個基準版本,這是與您當前登陸區域版本相容的最新基準。因此,即使您從未特別指派基準,每個 OU 和已註冊的成員帳戶都有相關聯的基準。
對於 OU 層級基準, AWSControlTowerBaseline的下表顯示基準與 AWS Control Tower 登陸區域版本的相容性。
| 基準版本 | 登陸區域版本 | 包含的藍圖 | 包含的控制項 | 相較於上一個基準的變化 |
|---|---|---|---|---|
1.0 |
2.0 到 2.7 |
BP_BASELINE_CLOUDTRAIL、BP_BASELINE_CLOUDWATCH、BP_BASELINE_CONFIG、BP_BASELINE_ROLES、BP_BASELINE_SERVICE_ROLES、IAM 資源 |
所有強制性控制項 |
無 |
2.0 |
2.8 到 2.9 |
BP_BASELINE_CLOUDTRAIL、BP_BASELINE_CLOUDWATCH、BP_BASELINE_CONFIG、BP_BASELINE_ROLES、BP_BASELINE_SERVICE_ROLES、Config SLR、IAM 資源 |
所有強制性控制項 |
新增使用 SLR AWS Config 的服務連結角色 (SLR) 和新的 Config 藍圖 |
3.0 |
3.0 到 3.1 |
BP_BASELINE_CLOUDWATCH、BP_BASELINE_CONFIG、BP_BASELINE_ROLES、BP_BASELINE_SERVICE_ROLES、Config SLR、IAM 資源 |
所有強制性控制項 |
新的 AWS Config 藍圖。變更為僅在主區域中記錄全域資源。已移除 CloudTrail 藍圖 |
4.0 |
3.2 到 3.3 |
BP_BASELINE_CLOUDWATCH、BP_BASELINE_CONFIG、BP_BASELINE_ROLES、BP_BASELINE_SERVICE_LINKED_ROLE、BP_BASELINE_SERVICE_ROLES、Config SLR、IAM 資源 |
所有強制性控制項 |
新的 SLR 藍圖 |
如需設定登陸區域時在帳戶中建立的特定資源的詳細資訊,請參閱共用帳戶中建立的資源。
如果您將登陸區域更新為支援較新AWSControlTowerBaseline基準版本的版本,且新的登陸區域版本與您現有的基準版本相容,則您的 OU 狀態會變更為可用的更新。
-
您可以繼續使用帳戶工廠和其他功能,而無需立即更新 OU 基準,但登陸區域從 2.x 更新到 3.x 的情況除外。
-
此 OU 中註冊的新帳戶會根據現有的基準版本接收資源,直到基準版本更新為止 (在 主控台中使用擴展管理功能,或透過
UpdateEnabledBaselineAPI)。 -
更新基準版本後,該 OU 中的所有帳戶都會根據新的基準版本接收資源。
注意
如果您將 AWS Control Tower 登陸區域從任何 2.X 版更新至任何 3.X 版,您也必須在 OUs 上更新基準版本,因為從帳戶層級變更為組織層級 AWS CloudTrail 追蹤。在 主控台中,您的 OU 會顯示所需的更新狀態。
基準的考量事項
-
如果您的 OU 需要基準更新,您無法佈建新帳戶或將現有帳戶註冊到該 OU。
-
更新登陸區域後,如果您也計劃更新 OU 基準,則必須重新註冊 OU 或以程式設計方式更新 OU 基準版本。
-
我們建議您更新到所用登陸區域版本的最高相容基準,以便獲得登陸區域和基準組合的所有優點。例如,如果您更新到登陸區域 3.3 版,您可以繼續使用基準 3.0,但除非您也更新到基準 4.0,否則不會獲得登陸區域 3.3 版的所有好處。
-
基準更新無法復原。
-
基準啟用一次以一個 OU 為目標。因此,在父 OUs 更新時,不會自動更新巢狀 OU。我們建議您在更新巢狀 OU 之前,先更新父系 OUs。
-
當您從主控台呼叫
UpdateEnabledBaselineAPI 或重新註冊 OU 時,OU 會保留基準更新之前啟用的所有控制項。 -
當多個基準版本與您的登陸區域版本相容時,如果您在未受管 OU 上啟用基準,則必須使用最新的基準版本。
