tipos de líneas de base - AWS Control Tower
Tipos de referencia que se aplican a nivel de unidad organizativa, para el registro y la actualización OUsTipos de línea de base que pueden aplicarse a su zona de aterrizaje o cuentas compartidasLíneas de base y valores predeterminados de control de versiones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

tipos de líneas de base

Una base de referencia en AWS Control Tower es un grupo de recursos y configuraciones específicas que se puede aplicar a un objetivo. El objetivo más habitual de una base de referencia puede ser una unidad organizativa (OU). Por ejemplo, puede habilitar una línea de base con una OU seleccionada como destino para registrar esa OU en AWS Control Tower.

Durante la configuración de la zona de aterrizaje, el destino de línea de base puede ser una cuenta compartida o la zona de aterrizaje en su conjunto. Es posible que determinadas líneas de base se habiliten y actualicen en función de los ajustes y configuraciones de la zona de aterrizaje. AWS Control Tower crea e implementa los recursos en el destino de la manera que especifica la línea de base.

Al habilitar una línea base para un objetivo, la línea base se representa como un AWS CloudFormation recurso, denominado EnabledBaseline recurso.

AWS Control Tower incluye dos tipos generales de líneas base:

  • Tipos de referencia que se pueden aplicar a una OU que esté registrada en AWS Control Tower o a una OU que desee registrar aplicando la línea base.

  • Tipos de línea base que se pueden aplicar a una zona de aterrizaje o a una cuenta compartida, durante la configuración inicial o durante una actualización de la zona de aterrizaje.

Tipos de referencia que se aplican a nivel de unidad organizativa, para el registro y la actualización OUs

  • Nombre: AWSControlTowerBaseline

    Descripción: configura los recursos y los controles obligatorios para las cuentas de miembro dentro de la OU de destino, necesarios para la gobernanza de AWS Control Tower.

    Consideración: esta línea de base retiene la configuración del control Denegación de la región de la zona de aterrizaje. En otras palabras, si una región no está permitida en la zona de aterrizaje, esa región no estará permitida para esa OU cuando llame a la API EnableBaseline para registrar una OU.

    nota

    El control Denegación de la región de la OU no tiene forma de permitir las regiones que el control Denegación de la región de la zona de aterrizaje no permite.

    Para obtener más información, consulte Cómo SCPs trabajar con la denegación en la AWS Organizations documentación.

    Recomendación: Le recomendamos que confirme las regiones en las que la OU de destino pueda estar ejecutando cargas de trabajo y que compruebe los resultados con el control de denegación de regiones de la zona de aterrizaje antes de llamar a la API EnableBaseline de la OU. De lo contrario, podría perder el acceso a los recursos de determinadas regiones.

  • Nombre: BackupBaseline

    Descripción: Esta línea base establece los recursos y los controles para las cuentas de los miembros dentro de la unidad organizativa objetivo. Estos son necesarios para que la integración AWS Backup pueda automatizar las copias de seguridad de los datos y centralizar la administración de las políticas de copias de seguridad. Servicios de AWS

    Consideración: Antes de habilitar la opción BackupBaseline en una unidad organizativa de destino, asegúrese de que AWSControlTowerBaseline esté habilitada en la unidad organizativa de destino. Es decir, la unidad organizativa de destino debe estar registrada en AWS Control Tower.

    • Puede elegir activarla AWS Backup durante el proceso de creación de la zona de aterrizaje de AWS Control Tower o durante el proceso de actualización de la zona de aterrizaje.

    • BackupBaselineEs compatible con las versiones 3.1 y posteriores de landing zone.

    • No BackupBaseline se aplica a la cuenta de administración.

nota

Las líneas de base de las zonas de aterrizaje se comportan de forma diferente a las líneas de base de las unidades organizativas.

Tipos de línea de base que pueden aplicarse a su zona de aterrizaje o cuentas compartidas

AWS Control Tower habilita automáticamente las bases de referencia que se aplican en la zona de aterrizaje, como parte del proceso de configuración y actualización de la zona de aterrizaje. Las líneas de base de la zona de aterrizaje pueden cambiar al modificar la configuración de la zona de aterrizaje. Por ejemplo, si opta por el IAM Identity Center, AWS Control Tower puede habilitar la última versión de la línea de base IdentityCenterBaseline en su zona de aterrizaje.

Puede ver las líneas de base habilitadas para su zona de aterrizaje con la llamada a la API ListEnabledBaselines.

nota

Solo se AWSControlTowerBaseline puede aplicar directamente con la EnableBaseline API. Otras líneas base se gestionan automáticamente (AuditBaseline,LogArchiveBaseline). El estado de IdentityCenterBaseline se proporciona como información al aplicar el. AWSControlTowerBaseline

  • Nombre: AuditBaseline

    Descripción: configura recursos para supervisar la seguridad y el cumplimiento de las cuentas de su organización. No puede cambiar esta línea de base, la implementa AWS Control Tower.

  • Nombre: LogArchiveBaseline

    Descripción: configura un repositorio central para los registros de las actividades de las API y las configuraciones de recursos de las cuentas de su organización. No puede cambiar esta línea de base, la implementa AWS Control Tower.

  • Nombre: IdentityCenterBaseline

    Descripción: configura los recursos compartidos para el IAM Identity Center, que prepara la AWSControlTowerBaseline para configurar el acceso al Identity Center para las cuentas.

    Consideración: esta línea de base solo funciona cuando se ha seleccionado IAM Identity Center como proveedor de identidad en el momento de configurar la zona de aterrizaje inicialmente, o si posteriormente se cambia la configuración de la zona de aterrizaje para habilitar el IAM Identity Center para la zona de aterrizaje. Si utiliza un proveedor de identidad diferente, no podrá habilitar esta línea de base.

  • Nombre: BackupCentralVaultBaseline

    Descripción: Configura el AWS Backup almacén central de su organización.

  • Nombre: BackupAdminBaseline

    Descripción: Configura la administración delegada y el AWS Backup Audit Manager.

Líneas de base y valores predeterminados de control de versiones

Si su zona de aterrizaje de AWS Control Tower ya está configurada y, a continuación, decide habilitar una línea de base de zona de aterrizaje, AWS Control Tower habilita la última versión de la línea de base compatible con la versión de su zona de aterrizaje. Si decide habilitar una línea de base de para una OU que aún no esté registrada en AWS Control Tower, AWS Control Tower proporcionará automáticamente la última versión compatible de la línea de base para esa OU.