Compatibilité des versions de base de l'UO et de la zone d'atterrissage

Les lignes de base d'AWS Control Tower vous permettent de définir une norme de gouvernance au niveau de l'unité organisationnelle, plutôt qu'au niveau de la zone de landing zone, si votre entreprise l'exige. La ligne de base appelée AWSControlTowerBaseline est disponible pour vous aider à enregistrer vos unités d'organisation auprès d'AWS Control Tower.

Note

Une base de référence est un ensemble de contrôles et de ressources qui fonctionnent ensemble pour établir un environnement de gouvernance stable au sein de votre zone d'atterrissage.

Lorsque vous activez une ligne de base sur une unité d'organisation, en appelant l'EnableBaselineAPI dans AWS Control Tower, vous devez spécifier une version de référence compatible avec votre version actuelle de la zone de landing zone d'AWS Control Tower. Une fois que vous avez spécifié une ligne de base, tous les comptes membres d'une unité d'organisation suivent la ligne de référence définie pour l'unité d'organisation. En d'autres termes, les nouveaux comptes sont approvisionnés avec la base de référence mise à jour, et les comptes des membres existants sont régis conformément à la nouvelle base de référence.

Si vous ne sélectionnez pas de référence pour vos unités d'organisation et comptes existants, la version de la zone d'atterrissage détermine par défaut l'ensemble de la posture de gouvernance. Cependant, chaque unité d'organisation enregistrée dans votre zone d'atterrissage se voit attribuer une version de référence, qui est la dernière version de référence compatible avec votre version de zone d'atterrissage actuelle. Par conséquent, chaque unité organisationnelle et chaque compte de membre inscrit sont associés à une référence, même si vous n'attribuez jamais de référence spécifique.

Pour la ligne de base au niveau de l'unité d'organisationAWSControlTowerBaseline, le tableau ci-dessous indique la compatibilité des lignes de base avec les versions de la zone de landing zone d'AWS Control Tower.

Version de référence	Versions de zone d'atterrissage	Plans inclus	Commandes incluses	Variation par rapport au niveau de référence précédent
1.0	2,0 à 2,7	BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, ressources IAM	Toutes les commandes obligatoires	Aucun
2.0	2,8 à 2,9	BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Config SLR, ressources IAM	Toutes les commandes obligatoires	Ajout d'un rôle AWS Config lié au service (SLR) et d'un nouveau plan de configuration pour utiliser le SLR
3.0	3,0 à 3,1	BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Config SLR, ressources IAM	Toutes les commandes obligatoires	Nouveau AWS Config plan. Modifiez pour enregistrer les ressources mondiales uniquement dans la région d'origine. CloudTrail Plan supprimé
4.0	3.2 à 3.3	BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_LINKED_ROLE, BP_BASELINE_SERVICE_ROLES, Config SLR, ressources IAM	Toutes les commandes obligatoires	Nouveau modèle SLR

Pour plus d'informations sur les ressources spécifiques créées dans les comptes lorsque vous configurez votre zone de landing zone, consultez la section Ressources créées dans les comptes partagés.

Si vous mettez à jour votre zone d'atterrissage vers une version compatible avec une version de AWSControlTowerBaseline référence plus récente et que la nouvelle version de zone d'atterrissage est compatible avec votre version de référence existante, l'état de votre unité d'organisation passe à Mise à jour disponible.

Vous pouvez continuer à utiliser Account Factory et les autres fonctionnalités sans mettre à jour immédiatement la ligne de base de l'unité d'organisation, sauf dans le cas d'une mise à jour de la zone d'atterrissage de la version 2.x à la version 3.x.
Les nouveaux comptes inscrits à cette unité d'organisation reçoivent des ressources basées sur la version de base existante jusqu'à ce que la version de base soit mise à jour (avec la fonctionnalité de gouvernance étendue dans la console ou UpdateEnabledBaseline via l'API).
Après avoir mis à jour la version de référence, tous les comptes de cette unité d'organisation reçoivent des ressources basées sur la nouvelle version de référence.

Note

Si vous mettez à jour votre zone de landing zone AWS Control Tower d'une version 2.X à une version 3.X, vous devez également mettre à jour la version de référence sur vos unités d'organisation, en raison du passage des pistes au niveau du compte à celles de l'organisation. AWS CloudTrail Dans la console, votre unité d'organisation affichera le statut « Mise à jour requise ».

Considérations relatives aux niveaux de référence

Si votre unité d'organisation nécessite une mise à jour de base, vous ne pouvez pas créer de nouveaux comptes ni inscrire des comptes existants dans cette unité d'organisation.
Après une mise à jour de la zone d'atterrissage, si vous prévoyez également de mettre à jour une ligne de base d'unité d'organisation, vous devez réenregistrer l'unité d'organisation ou mettre à jour la version de référence de votre unité d'organisation par programmation.
Nous vous recommandons de passer à la ligne de base compatible la plus élevée pour la version de zone d'atterrissage que vous utilisez, afin de bénéficier de tous les avantages de la combinaison de la zone d'atterrissage et de la ligne de base. Par exemple, si vous passez à la version 3.3 de la zone d'atterrissage, vous pouvez continuer à utiliser la version de base 3.0, mais vous ne bénéficierez pas de tous les avantages de la version 3.3 de la zone d'atterrissage, sauf si vous passez également à la version de base 4.0.
Les mises à jour de référence ne peuvent pas être annulées.
L'activation de base cible une unité organisationnelle à la fois. Par conséquent, les unités d'organisation imbriquées ne sont pas mises à jour automatiquement lorsque l'unité d'organisation parent est mise à jour. Nous vous recommandons de mettre à jour l'unité d'organisation parent avant de mettre à jour les unités d'organisation imbriquées.
Lorsque vous appelez l'UpdateEnabledBaselineAPI ou que vous réenregistrez une unité d'organisation depuis la console, l'unité d'organisation conserve tous les contrôles qui étaient activés avant la mise à jour de référence.
Lorsque plusieurs versions de référence sont compatibles avec votre version de zone d'atterrissage, vous devez utiliser la dernière version de référence si vous activez une ligne de base sur une unité d'organisation non gérée.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Références

Exemples : enregistrer une unité d'organisation AWS Control Tower avec des API uniquement