範例:僅向 APIs 註冊 AWS Control Tower OU - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

範例:僅向 APIs 註冊 AWS Control Tower OU

此範例演練是配套文件。如需說明、注意事項和詳細資訊,請參閱 基準類型

先決條件

您必須擁有尚未向 AWS Control Tower 註冊的現有 OU,且您想要註冊。或者,您必須擁有要重新註冊的已註冊 OU,以用於更新。

註冊 OU

  1. 檢查是否已針對登陸區域IdentityCenterBaseline啟用 。若是如此,請取得 Identity Center Enabled Baseline 識別符。

    aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
    aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==`<Identity Center Baseline Arn>`].[arn]'

  2. 取得目標 OU 的 ARN。

    aws organizations describe-organizational-unit --organizational-unit-id <Organizational Unit ID> --query 'OrganizationalUnit.[Arn]'

  3. 取得AWSControlTowerBaseline基準的 ARN。

    aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'

  4. 在目標 OU 上建立AWSControlTowerBaseline基準。

    如果身分中心基準已啟用:

    aws controltower enable-baseline --baseline-identifier <AWSControlTowerBaseline ARN> --baseline-version <BASELINE VERSION> --target-identifier <OU ARN> --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"<Identity Center Enabled Baseline ARN>"}]'

    如果未啟用 Identity Center 基準,請省略parameters旗標,如下所示:

    
aws controltower enable-baseline --baseline-identifier <AWSControlTowerBaseline ARN> --baseline-version <BASELINE VERSION> --target-identifier <OU ARN>

重新註冊 OU

更新登陸區域設定或更新您的登陸區域版本後,您必須重新註冊 OUs才能提供最新的變更。請依照下列步驟,透過重設相關聯的EnabledBaseline資源,以程式設計方式重新註冊 OU。

  1. 取得要重新註冊的目標 OU ARN。

    aws organizations describe-organizational-unit --organizational-unit-id <OU ID> --query 'OrganizationalUnit.[Arn]'

  2. 取得EnabledBaseline目標 OU 資源的 ARN。

    aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==`<OUARN>`].[arn]'

  3. 重設已啟用基準。

    aws controltower reset-enabled-baseline --enabled-baseline-identifier <EnabledBaselineArn>