Arten von Basislinien - AWS Control Tower
Basistypen, die für die Registrierung und Aktualisierung auf OU-Ebene gelten OUsBasisarten, die für deine landing zone oder gemeinsame Konten gelten könnenBaselines und Standardeinstellungen für die Versionierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arten von Basislinien

Eine Baseline in AWS Control Tower ist eine Gruppe von Ressourcen und spezifischen Konfigurationen, die Sie auf ein Ziel anwenden können. Das gängigste Basisziel kann eine Organisationseinheit (OU) sein. Sie können beispielsweise eine Baseline mit einer als Ziel ausgewählten Organisationseinheit aktivieren, um diese Organisationseinheit bei AWS Control Tower zu registrieren.

Bei der Einrichtung der landing zone kann das Basisziel ein gemeinsames Konto oder die gesamte landing zone sein. Bestimmte Baselines können auf der Grundlage Ihrer Landezoneneinstellungen und -konfigurationen aktiviert und aktualisiert werden. AWS Control Tower erstellt die Ressourcen und stellt sie auf dem Ziel bereit, wie es die Baseline vorgibt.

Wenn Sie eine Baseline für ein Ziel aktivieren, wird die Baseline als Ressource dargestellt, die als AWS CloudFormation Ressource bezeichnet wird. EnabledBaseline

AWS Control Tower umfasst zwei allgemeine Arten von Baselines:

  • Baseline-Typen, die für eine OU gelten können, die bei AWS Control Tower registriert ist, oder für eine Organisationseinheit, die Sie registrieren möchten, indem Sie die Baseline anwenden.

  • Basistypen, die für eine landing zone oder ein gemeinsames Konto, bei der Ersteinrichtung oder während eines Landingzone-Updates gelten können.

Basistypen, die für die Registrierung und Aktualisierung auf OU-Ebene gelten OUs

  • Name (Name: AWSControlTowerBaseline

    Beschreibung: Richtet Ressourcen und obligatorische Kontrollen für Mitgliedskonten innerhalb der Ziel-OU ein, die für die AWS Control Tower Tower-Governance erforderlich sind.

    Überlegung: Diese Basislinie behält die Einstellungen der landing zone Region Deny Control bei. Mit anderen Worten, wenn eine Region auf Landingzone-Ebene nicht zulässig ist, ist diese Region für diese Organisationseinheit nicht zulässig, wenn Sie die EnableBaseline API aufrufen, um eine OU zu registrieren.

    Anmerkung

    Die Option Region Deny Control auf OU-Ebene hat keine Möglichkeit, Regionen zuzulassen, die die landing zone Region Deny Control nicht zulässt.

    Weitere Informationen finden Sie in der Dokumentation unter So SCPs arbeiten Sie mit Deny. AWS Organizations

    Empfehlung: Wir empfehlen Ihnen, die Regionen zu überprüfen, in denen Ihre Ziel-OU möglicherweise Workloads ausführt, und die Ergebnisse mit der landing zone Region Deny Control zu vergleichen, bevor Sie die EnableBaseline API für die Organisationseinheit aufrufen, da Sie sonst den Zugriff auf Ressourcen in bestimmten Regionen verlieren könnten.

  • Name (Name: BackupBaseline

    Beschreibung: Diese Baseline richtet Ressourcen und Kontrollen für Mitgliedskonten innerhalb der Ziel-OU ein. Diese sind erforderlich, damit die Integration mit Ihre gesamte AWS-Services Datensicherung automatisieren und Ihr Backup-Policy-Management zentralisieren AWS Backup kann.

    Überlegung: Bevor Sie das BackupBaseline auf einer Ziel-OU aktivieren, stellen Sie sicher, dass das auf der Ziel-OU aktiviert AWSControlTowerBaseline ist. Das heißt, die Ziel-OU muss in AWS Control Tower registriert sein.

    • Sie können wählen, ob die Aktivierung AWS Backup während der Erstellung Ihrer AWS Control Tower Tower-Landezone oder während eines Landing-Zone-Aktualisierungsprozesses erfolgen soll.

    • Das BackupBaseline ist mit den landing zone Zone-Versionen 3.1 und höher kompatibel.

    • Das BackupBaseline wird nicht auf das Verwaltungskonto angewendet.

Anmerkung

Baselines für Landingzonen verhalten sich anders als Baselines auf OU-Ebene.

Basisarten, die für deine landing zone oder gemeinsame Konten gelten können

AWS Control Tower aktiviert die Baselines, die auf der Ebene der landing zone gelten, automatisch als Teil des Einrichtungs- und Aktualisierungsprozesses für die landing zone. Die Basislinien für Ihre landing zone können sich ändern, wenn Sie Ihre Landezoneneinstellungen ändern. Wenn Sie sich beispielsweise für IAM Identity Center entscheiden, kann AWS Control Tower die neueste Version der IdentityCenterBaseline Baseline in Ihrer landing zone aktivieren.

Sie können die aktivierten Baselines für Ihre landing zone mit dem ListEnabledBaselines API-Aufruf anzeigen.

Anmerkung

Nur die AWSControlTowerBaseline können direkt mit der API angewendet werden. EnableBaseline Andere Baselines werden automatisch verwaltet (AuditBaseline,LogArchiveBaseline). Der Status von IdentityCenterBaseline wird als Information bereitgestellt, wenn Sie den anwenden. AWSControlTowerBaseline

  • Name (Name: AuditBaseline

    Beschreibung: Richtet Ressourcen zur Überwachung der Sicherheit und Einhaltung von Vorschriften für Konten in Ihrer Organisation ein. Sie können diese Baseline nicht ändern, sie wird von AWS Control Tower bereitgestellt.

  • Name (Name: LogArchiveBaseline

    Beschreibung: Richtet ein zentrales Repository für Protokolle von API-Aktivitäten und Ressourcenkonfigurationen von Konten in Ihrer Organisation ein. Sie können diese Baseline nicht ändern, sie wird von AWS Control Tower bereitgestellt.

  • Name (Name: IdentityCenterBaseline

    Beschreibung: Richtet gemeinsam genutzte Ressourcen für das IAM Identity Center ein, das die Einrichtung des AWSControlTowerBaseline Identity Center-Zugriffs für Konten vorbereitet.

    Überlegung: Diese Basislinie funktioniert nur, wenn Sie bei der ersten Einrichtung Ihrer landing zone IAM Identity Center als Identitätsanbieter ausgewählt haben oder wenn Sie anschließend Ihre landing zone Zone-Einstellungen ändern, um IAM Identity Center für Ihre landing zone zu aktivieren. Wenn Sie einen anderen Identitätsanbieter verwenden, haben Sie keinen Zugriff, um diese Baseline zu aktivieren.

  • Name (Name: BackupCentralVaultBaseline

    Beschreibung: Richtet den zentralen AWS Backup Tresor in Ihrer Organisation ein.

  • Name (Name: BackupAdminBaseline

    Beschreibung: Richtet den delegierten Administrator und den AWS Backup Audit Manager ein.

Baselines und Standardeinstellungen für die Versionierung

Wenn Ihre AWS Control Tower-Landezone bereits eingerichtet ist und Sie sich dann dafür entscheiden, eine Landingzone-Baseline zu aktivieren, aktiviert AWS Control Tower die neueste Version der Baseline, die mit Ihrer Landingzone-Version kompatibel ist. Wenn Sie sich dafür entscheiden, eine Baseline für eine OU zu aktivieren, die noch nicht bei AWS Control Tower registriert ist, stellt AWS Control Tower automatisch die neueste kompatible Version der Baseline für diese OU bereit.