Arten von Basislinien - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arten von Basislinien

Eine Baseline in AWS Control Tower ist eine Gruppe von Ressourcen und spezifischen Konfigurationen, die Sie auf ein Ziel anwenden können. Das gängigste Basisziel kann eine Organisationseinheit (OU) sein. Sie können beispielsweise eine Baseline mit einer als Ziel ausgewählten Organisationseinheit aktivieren, um diese Organisationseinheit bei AWS Control Tower zu registrieren.

Bei der Einrichtung der landing zone kann es sich bei dem Basisziel um ein gemeinsames Konto oder um die gesamte landing zone handeln. Bestimmte Baselines können auf der Grundlage Ihrer Landezoneneinstellungen und -konfigurationen aktiviert und aktualisiert werden. AWS Control Tower erstellt die Ressourcen und stellt sie auf dem Ziel bereit, wie es die Baseline vorgibt.

Wenn Sie eine Baseline für ein Ziel aktivieren, wird die Baseline als Ressource dargestellt, die als AWS CloudFormation Ressource bezeichnet wird. EnabledBaseline

AWS Control Tower umfasst vier grundlegende Arten von Baselines:

  • Ein Typ kann für eine OU gelten, die bei AWS Control Tower registriert ist, oder für eine OU, die Sie registrieren möchten, indem Sie die Baseline anwenden.

  • Drei Basisarten können für eine landing zone oder ein geteiltes Konto, bei der Ersteinrichtung oder während eines Landingzone-Updates gelten.

Baseline-Typ, der auf OU-Ebene für die Registrierung und Aktualisierung von Organisationseinheiten gilt
  • Name (Name: AWSControlTowerBaseline

    Beschreibung: Richtet Ressourcen und obligatorische Kontrollen für Mitgliedskonten innerhalb der Ziel-OU ein, die für die AWS Control Tower Tower-Governance erforderlich sind.

    Überlegung: Diese Basislinie behält die Einstellungen der landing zone Region Deny Control bei. Mit anderen Worten, wenn eine Region auf Landingzone-Ebene nicht zulässig ist, ist diese Region für diese Organisationseinheit nicht zulässig, wenn Sie die EnableBaseline API aufrufen, um eine OU zu registrieren.

    Anmerkung

    Die Option Region Deny Control auf OU-Ebene hat keine Möglichkeit, Regionen zuzulassen, die die landing zone Region Deny Control nicht zulässt.

    Weitere Informationen finden Sie in der Dokumentation unter So arbeiten SCPs mit Deny. AWS Organizations

    Empfehlung: Wir empfehlen Ihnen, die Regionen zu überprüfen, in denen Ihre Ziel-OU möglicherweise Workloads ausführt, und die Ergebnisse mit der landing zone Region Deny Control zu vergleichen, bevor Sie die EnableBaseline API für die Organisationseinheit aufrufen, da Sie sonst den Zugriff auf Ressourcen in bestimmten Regionen verlieren könnten.

Anmerkung

Landingzone-Baselines verhalten sich anders als Baselines auf OU-Ebene.

AWS Control Tower aktiviert die Baselines, die auf der Ebene der landing zone gelten, automatisch als Teil des Einrichtungs- und Aktualisierungsprozesses für die landing zone. Die Basislinien für Ihre landing zone können sich ändern, wenn Sie Ihre Landezoneneinstellungen ändern. Wenn Sie sich beispielsweise für IAM Identity Center entscheiden, kann AWS Control Tower die neueste Version der IdentityCenterBaseline Baseline in Ihrer landing zone aktivieren.

Sie können die aktivierten Baselines für Ihre landing zone mit dem ListEnabledBaselines API-Aufruf anzeigen.

Basisarten, die für deine landing zone oder deine geteilten Konten gelten können
  • Name (Name: AuditBaseline

    Beschreibung: Richtet Ressourcen ein, um die Sicherheit und Einhaltung der Vorschriften für Konten in Ihrer Organisation zu überwachen. Sie können diese Baseline nicht ändern, sie wird von AWS Control Tower bereitgestellt.

  • Name (Name: LogArchiveBaseline

    Beschreibung: Richtet ein zentrales Repository für Protokolle von API-Aktivitäten und Ressourcenkonfigurationen von Konten in Ihrer Organisation ein. Sie können diese Baseline nicht ändern, sie wird von AWS Control Tower bereitgestellt.

  • Name (Name: IdentityCenterBaseline

    Beschreibung: Richtet gemeinsam genutzte Ressourcen für das IAM Identity Center ein, das die Einrichtung des AWSControlTowerBaseline Identity Center-Zugriffs für Konten vorbereitet.

    Überlegung: Diese Basislinie funktioniert nur, wenn Sie bei der ersten Einrichtung Ihrer landing zone IAM Identity Center als Identitätsanbieter ausgewählt haben oder wenn Sie anschließend Ihre landing zone Zone-Einstellungen ändern, um IAM Identity Center für Ihre landing zone zu aktivieren. Wenn Sie einen anderen Identitätsanbieter verwenden, haben Sie keinen Zugriff, um diese Baseline zu aktivieren.

Teilweise Registrierung von Konten

Wenn Sie mit Baselines arbeiten, kann ein Konto in den Status Teilweise registriert versetzt werden.

Dieser Status kann auftreten, wenn Sie eine Organisationseinheit erneut registrieren, indem Sie die ResetEnabledBaseline API aufrufen, da AWS Control Tower nur die obligatorischen Ressourcen auf die Konten in der Ziel-OU anwendet. Ein Konto, dem die optionalen Ressourcen (Kontrollen) für die übergeordnete Organisationseinheit fehlen, wird als Teilweise registriert markiert.

Wenn Sie ein nicht registriertes Konto in eine registrierte OU verschieben und dann die ResetEnabledBaseline API auf der OU aufrufen, um dieses Konto zu registrieren, wendet AWS Control Tower die damit verknüpften Ressourcen auf das neu registrierte Konto AWSControlTowerBaseline an. Optionale Kontrollen, die für diese Organisationseinheit aktiviert sind, werden jedoch nicht auf das Konto angewendet. Das Konto befindet sich weiterhin im Status Teilweise registriert.

Um das Konto vollständig zu registrieren, wählen Sie in der Konsole die Option Erneut registrieren oder Konto aktualisieren. Wenn Sie diese Operationen in der Konsole auswählen, wendet AWS Control Tower alle Ressourcen dieser Organisationseinheit auf das neu registrierte Konto an, einschließlich der optionalen Kontrollen, die für diese Organisationseinheit aktiviert sind.

Unterschiede im Betrieb zwischen der AWS Control Tower Tower-Konsole und APIs für Baselines

Wenn Sie den Governance-Status einer Organisationseinheit ändern, führt die AWS Control Tower Tower-Konsole automatisch mehr Operationen für Sie aus, als wenn Sie die Governance mithilfe der APIs für Baselines ändern würden.

Unterschiede
  • Registrierung und Bereitstellung von Produkten

    Wenn Sie eine Organisationseinheit über die Konsole registrieren, erstellt AWS Control Tower im Rahmen der Registrierung der einzelnen Konten Service Catalog-Produkte für die Mitgliedskonten der Organisationseinheit. Wenn Sie eine Organisationseinheit über die EnableBaseline API und die registrierenAWSControlTowerBaseline, erstellt AWS Control Tower keine bereitgestellten Produkte für die Mitgliedskonten in der Organisationseinheit.

  • Eine Organisationseinheit abmelden

    Jedes Mal, wenn Sie eine Organisationseinheit abmelden, müssen Sie zunächst alle Mitgliedskonten und verschachtelten Organisationseinheiten entfernen. Anschließend entfernt AWS Control Tower alle Kontrollen, die auf die Organisationseinheit angewendet wurden.

    • Wenn Sie in der Konsole die OU löschen auswählen, fährt AWS Control Tower mit der Abmeldung fort und löscht dann die OU aus Ihrer Organisation.

    • Wenn Sie die OU jedoch abmelden, indem Sie die DisableBaseline API aufrufen, um sie AWSControlTowerBaseline aus der OU zu entfernen, löscht AWS Control Tower die OU nicht aus Ihrer Organisation, die OU ist immer noch in der Organisation vorhanden, nicht registriert.

Baselines und Standardeinstellungen für die Versionierung

Wenn Ihre AWS Control Tower-Landezone bereits eingerichtet ist und Sie sich dann dafür entscheiden, eine Landingzone-Baseline zu aktivieren, aktiviert AWS Control Tower die neueste Version der Baseline, die mit Ihrer Landingzone-Version kompatibel ist. Wenn Sie sich dafür entscheiden, eine Baseline für eine OU zu aktivieren, die noch nicht bei AWS Control Tower registriert ist, stellt AWS Control Tower automatisch die neueste kompatible Version der Baseline für diese OU bereit.