tipos de líneas de base - AWS Control Tower
Tipos de referencia que se aplican a nivel de unidad organizativa, para el registro y la actualización OUsTipos de línea de base que pueden aplicarse a su zona de aterrizaje o cuentas compartidasLíneas de base y valores predeterminados de control de versiones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

tipos de líneas de base

Una base en AWS Control Tower es un grupo de recursos y configuraciones específicas que se pueden aplicar a un objetivo. El objetivo más habitual de una base de referencia puede ser una unidad organizativa (OU). Por ejemplo, puede habilitar una línea base con una unidad organizativa seleccionada como objetivo para registrar esa unidad organizativa en la Torre AWS de Control.

Durante la configuración de la zona de aterrizaje, el destino de línea de base puede ser una cuenta compartida o la zona de aterrizaje en su conjunto. Es posible que determinadas líneas base se habiliten y actualicen en función de los ajustes y configuraciones de tu zona de landing zone. AWS Control Tower crea y despliega los recursos en el objetivo de la manera que especifica la línea base.

Cuando se habilita una línea base para un objetivo, la línea base se representa como un AWS CloudFormation recurso, denominado EnabledBaseline recurso.

AWSControl Tower incluye dos tipos generales de líneas de base:

  • Tipos de referencia que se pueden aplicar a una OU registrada en AWS Control Tower o a una OU que se pretende registrar mediante la aplicación de la línea base.

  • Tipos de línea base que se pueden aplicar a una zona de aterrizaje o a una cuenta compartida, durante la configuración inicial o durante una actualización de la zona de aterrizaje.

Tipos de referencia que se aplican a nivel de unidad organizativa, para el registro y la actualización OUs

  • Nombre: AWSControlTowerBaseline

    Descripción: Establece los recursos y los controles obligatorios para las cuentas de los miembros dentro de la OU objetivo, necesarios para la gobernanza de la Torre de AWS Control.

    Consideración: esta línea de base retiene la configuración del control Denegación de la región de la zona de aterrizaje. En otras palabras, si una región no está permitida en el nivel de la zona de landing zone, esa región no estará permitida para esa OU cuando la llames EnableBaseline API para registrar una OU.

    nota

    El control Denegación de la región de la OU no tiene forma de permitir las regiones que el control Denegación de la región de la zona de aterrizaje no permite.

    Para obtener más información, consulte Cómo SCPs trabajar con la denegación en la AWS Organizations documentación.

    Recomendación: Le recomendamos que confirme las regiones en las que su OU objetivo puede estar ejecutando cargas de trabajo y que compruebe los resultados con la zona de landing zone (la región deniega el control) antes de EnableBaseline API solicitar la OU o podría perder el acceso a los recursos de determinadas regiones.

  • Nombre: BackupBaseline

    Descripción: Esta línea base establece los recursos y los controles para las cuentas de los miembros de la OU de destino. Estos son necesarios para que la integración AWS Backup pueda automatizar las copias de seguridad de los datos y centralizar la administración de las políticas de copias de seguridad. Servicios de AWS

    Consideración: Antes de habilitar la opción BackupBaseline en una unidad organizativa de destino, asegúrese de que AWSControlTowerBaseline esté habilitada en la unidad organizativa de destino. Es decir, la unidad organizativa objetivo debe estar registrada en la Torre AWS de Control.

    • Puedes activarlo AWS Backup durante el proceso de creación de la zona de aterrizaje de la Torre de AWS Control Tower o durante el proceso de actualización de la zona de aterrizaje.

    • BackupBaselineEs compatible con las versiones 3.1 y posteriores de landing zone.

nota

Las líneas de base de las zonas de aterrizaje se comportan de forma diferente a las líneas de base de las unidades organizativas.

Tipos de línea de base que pueden aplicarse a su zona de aterrizaje o cuentas compartidas

AWSControl Tower habilita automáticamente las líneas base que se aplican a nivel de la zona de aterrizaje, como parte del proceso de configuración y actualización de la zona de aterrizaje. Las líneas de base de la zona de aterrizaje pueden cambiar al modificar la configuración de la zona de aterrizaje. Por ejemplo, si optas por el IAM Identity Center, AWS Control Tower puede habilitar la última versión de la IdentityCenterBaseline línea base en tu landing zone.

Puedes ver las líneas base habilitadas para tu landing zone con la ListEnabledBaselines API llamada.

nota

Solo el se AWSControlTowerBaseline puede aplicar directamente con el. EnableBaseline API Las demás líneas base se gestionan automáticamente (AuditBaseline,LogArchiveBaseline). El estado de IdentityCenterBaseline se proporciona como información al aplicar el. AWSControlTowerBaseline

  • Nombre: AuditBaseline

    Descripción: configura recursos para supervisar la seguridad y el cumplimiento de las cuentas de su organización. No se puede cambiar esta línea base, la implementa AWS Control Tower.

  • Nombre: LogArchiveBaseline

    Descripción: Configura un repositorio central para los registros de API las actividades y las configuraciones de recursos de las cuentas de su organización. No se puede cambiar esta línea base, la implementa AWS Control Tower.

  • Nombre: IdentityCenterBaseline

    Descripción: Configura los recursos compartidos para IAM Identity Center, que preparan la configuración del acceso AWSControlTowerBaseline al Identity Center para las cuentas.

    Consideración: Esta línea base solo funciona si seleccionaste IAM Identity Center como tu proveedor de identidad en el momento de configurar tu landing zone inicialmente, o si posteriormente cambias la configuración de tu landing zone para habilitar IAM Identity Center para tu landing zone. Si utiliza un proveedor de identidad diferente, no podrá habilitar esta línea de base.

  • Nombre: BackupCentralVaultBaseline

    Descripción: Configura el AWS Backup almacén central de su organización.

  • Nombre: BackupAdminBaseline

    Descripción: Configura la administración delegada y el AWS Backup Audit Manager.

Líneas de base y valores predeterminados de control de versiones

Si la zona de aterrizaje de la Torre de AWS Control ya está configurada y decides habilitar una línea base de la zona de aterrizaje, la Torre de AWS Control habilita la última versión de la línea base que sea compatible con tu versión de la zona de aterrizaje. Si decide habilitar una línea base para una OU que aún no esté registrada en la Torre de AWS Control, la Torre de AWS Control proporcionará automáticamente la última versión compatible de la línea base para esa OU.