Tipos de líneas de base - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tipos de líneas de base

La base de AWS Control Tower es un grupo de recursos y configuraciones específicas que puede aplicar a un objetivo. El objetivo de referencia más común puede ser una unidad organizativa (OU). Por ejemplo, puede habilitar una línea base con una unidad organizativa seleccionada como objetivo para registrar esa unidad organizativa en AWS Control Tower.

Durante la configuración de la zona de aterrizaje, el objetivo de referencia puede ser una cuenta compartida o la zona de aterrizaje en su conjunto. Es posible que determinadas líneas base se habiliten y actualicen en función de los ajustes y configuraciones de tu zona de landing zone. AWS Control Tower crea e implementa los recursos en el objetivo de la manera que especifica la línea base.

Cuando habilita una línea base para un objetivo, la línea base se representa como un AWS CloudFormation recurso, denominado EnabledBaseline recurso.

AWS Control Tower incluye cuatro tipos esenciales de líneas de base:

  • Un tipo puede aplicarse a una unidad organizativa registrada en AWS Control Tower o a una unidad organizativa que desee registrar aplicando la línea base.

  • Se pueden aplicar tres tipos de líneas base a una zona de aterrizaje o a una cuenta compartida, durante la configuración inicial o durante una actualización de la zona de aterrizaje.

Tipo de línea base que se aplica a nivel de unidad organizativa, para registrar y actualizar las unidades organizativas
  • Nombre: AWSControlTowerBaseline

    Descripción: Configura los recursos y los controles obligatorios para las cuentas de los miembros dentro de la OU de destino, necesarios para la gobernanza de la Torre de Control de AWS.

    Consideración: Esta línea base conserva la configuración de la zona de landing zone (la región deniega el control). En otras palabras, si una región no está permitida en el nivel de landing zone, esa región no estará permitida para esa OU cuando llames a la EnableBaseline API para registrar una OU.

    nota

    La región a nivel de OU que deniega el control no tiene forma de permitir regiones que la región de landing zone deniegue el control no permita.

    Para obtener más información, consulte Cómo funcionan los SCP con la denegación en la documentación. AWS Organizations

    Recomendación: Le recomendamos que confirme las regiones en las que la OU de destino puede estar ejecutando cargas de trabajo y que compruebe los resultados con la zona de landing zone (la región deniega el control) antes de llamar a la EnableBaseline API de la OU o podría perder el acceso a los recursos de determinadas regiones.

nota

Las líneas base de la zona de aterrizaje se comportan de forma diferente a las líneas base de la OU.

AWS Control Tower habilita automáticamente las líneas base que se aplican a nivel de zona de aterrizaje, como parte del proceso de configuración y actualización de la zona de aterrizaje. Las líneas base de tu zona de aterrizaje pueden cambiar a medida que cambies la configuración de la zona de aterrizaje. Por ejemplo, si opta por el IAM Identity Center, AWS Control Tower puede habilitar la última versión de la IdentityCenterBaseline línea base en su landing zone.

Puedes ver las líneas base habilitadas para tu landing zone con la llamada a la ListEnabledBaselines API.

Tipos de referencia que pueden aplicarse a tu landing zone o a tus cuentas compartidas
  • Nombre: AuditBaseline

    Descripción: Configura recursos para supervisar la seguridad y el cumplimiento de las cuentas de su organización. No puede cambiar esta línea base, la implementa AWS Control Tower.

  • Nombre: LogArchiveBaseline

    Descripción: Configura un repositorio central para los registros de las actividades de las API y las configuraciones de recursos de las cuentas de su organización. No puede cambiar esta línea base, la implementa AWS Control Tower.

  • Nombre: IdentityCenterBaseline

    Descripción: Configura los recursos compartidos para el Centro de Identidad de IAM, que preparan el acceso AWSControlTowerBaseline al Centro de Identidad para las cuentas.

    Consideración: Esta línea base solo funciona si seleccionó IAM Identity Center como su proveedor de identidad en el momento de configurar su zona de aterrizaje inicialmente, o si posteriormente cambia la configuración de la zona de aterrizaje para habilitar el IAM Identity Center para su zona de aterrizaje. Si utilizas un proveedor de identidad diferente, no podrás habilitar esta línea base.

Inscripción parcial de cuentas

Cuando se trabaja con valores de referencia, se puede colocar una cuenta en un estado denominado Inscrita parcialmente.

Este estado puede producirse si vuelve a registrar una OU mediante una llamada a la ResetEnabledBaseline API, ya que AWS Control Tower aplica solo los recursos obligatorios a las cuentas de la OU de destino. Una cuenta a la que le faltan los recursos opcionales (controles) de su unidad organizativa principal se marca como Inscrita parcialmente.

Si traslada una cuenta no inscrita a una OU registrada y, a continuación, llama a la ResetEnabledBaseline API de la OU para inscribirla, AWS Control Tower aplica los recursos asociados AWSControlTowerBaseline a la cuenta recién inscrita. Sin embargo, los controles opcionales habilitados para esta OU no se aplican a la cuenta. La cuenta permanece en un estado de inscripción parcial.

Para inscribir la cuenta por completo, selecciona Volver a registrar o Actualizar cuenta en la consola. Al seleccionar estas operaciones desde la consola, AWS Control Tower aplica todos los recursos de esa OU a la cuenta recién inscrita, incluidos los controles opcionales que se activan para esa OU.

Variación en las operaciones entre la consola de la Torre de Control de AWS y las API para las líneas base

Cuando cambia el estado de gobierno de una OU, la consola de AWS Control Tower realiza más operaciones automáticamente, en comparación con el cambio de gobierno mediante las API para las líneas base.

Diferencias
  • Registrar y aprovisionar productos

    Al registrar una OU a través de la consola, AWS Control Tower crea productos de Service Catalog para las cuentas de los miembros de la OU, como parte de la inscripción de cada cuenta. Cuando registra una OU mediante la EnableBaseline API y la OUAWSControlTowerBaseline, AWS Control Tower no crea productos aprovisionados para las cuentas de los miembros de la OU.

  • Anule el registro de una OU

    Cada vez que cancele el registro de una OU, primero debe eliminar todas las cuentas de los miembros y las OU anidadas. A continuación, AWS Control Tower elimina todos los controles que se aplican a la OU.

    • Si selecciona Eliminar la OU de la consola, AWS Control Tower procederá a anular el registro y, a continuación, a eliminar la OU de su organización.

    • Sin embargo, si anula el registro de la OU llamando a la DisableBaseline API para eliminarla AWSControlTowerBaseline de la OU, AWS Control Tower no elimina la OU de su organización, sino que la OU sigue presente en la organización sin estar registrada.

Líneas base y valores predeterminados de control de versiones

Si la zona de aterrizaje de su torre de control de AWS ya está configurada y decide habilitar una línea base de zona de aterrizaje, AWS Control Tower habilita la última versión de la línea base que sea compatible con la versión de su zona de aterrizaje. Si decide habilitar una línea base para una OU que aún no esté registrada en AWS Control Tower, AWS Control Tower proporcionará automáticamente la última versión compatible de la línea base para esa OU.