Types de lignes de base - AWS Control Tower
Types de référence applicables au niveau de l'UO, pour l'enregistrement et la mise à jour OUsTypes de référence pouvant s'appliquer à votre zone d'atterrissage ou à vos comptes partagésValeurs de référence et paramètres de version par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Types de lignes de base

Dans AWS Control Tower, une référence est un groupe de ressources et de configurations spécifiques que vous pouvez appliquer à une cible. L'objectif de référence le plus courant peut être une unité organisationnelle (UO). Par exemple, vous pouvez activer une ligne de base avec une unité d'organisation sélectionnée comme cible, pour enregistrer cette unité d'organisation dans AWS Control Tower.

Lors de la configuration de la zone d'atterrissage, la cible de référence peut être un compte partagé ou la zone d'atterrissage dans son ensemble. Certaines lignes de base peuvent être activées et mises à jour en fonction des paramètres et des configurations de votre zone d'atterrissage. AWS Control Tower crée et déploie les ressources vers la cible conformément aux spécifications de référence.

Lorsque vous activez une ligne de base pour une cible, celle-ci est représentée sous la forme d'une AWS CloudFormation ressource, appelée EnabledBaseline ressource.

AWS Control Tower inclut deux types généraux de lignes de base :

  • Types de lignes de base qui peuvent s'appliquer à une unité d'organisation enregistrée auprès d'AWS Control Tower ou à une unité d'organisation que vous avez l'intention d'enregistrer en appliquant la ligne de base.

  • Types de référence qui peuvent s'appliquer à une zone d'atterrissage ou à un compte partagé, lors de la configuration initiale ou lors d'une mise à jour de la zone d'atterrissage.

Types de référence applicables au niveau de l'UO, pour l'enregistrement et la mise à jour OUs

  • Nom: AWSControlTowerBaseline

    Description : configure les ressources et les contrôles obligatoires pour les comptes membres au sein de l'unité d'organisation cible, nécessaires à la gouvernance d'AWS Control Tower.

    Remarque : Cette ligne de base conserve les paramètres de la zone d'atterrissage. La région refuse le contrôle. En d'autres termes, si une région n'est pas autorisée au niveau de la zone d'atterrissage, elle n'est pas autorisée pour cette unité d'organisation lorsque vous appelez l'EnableBaselineAPI pour enregistrer une unité d'organisation.

    Note

    Le refus de contrôle de la région au niveau de l'OU n'a aucun moyen d'autoriser les régions que la région de refus de contrôle de la zone d'atterrissage n'autorise pas.

    Pour plus d'informations, consultez la section Comment SCPs travailler avec le refus dans la AWS Organizations documentation.

    Recommandation : Nous vous recommandons de vérifier les régions dans lesquelles votre unité d'organisation cible peut exécuter des charges de travail, et de comparer les résultats par rapport à la zone de destination Refus de contrôle, avant d'appeler l'EnableBaselineAPI de l'unité d'organisation, sous peine de perdre l'accès aux ressources dans certaines régions.

  • Nom: BackupBaseline

    Description : Cette base de référence définit les ressources et les contrôles pour les comptes des membres au sein de l'unité d'organisation cible. Ils sont nécessaires pour que l'intégration AWS Backup puisse automatiser la sauvegarde de vos données et centraliser la gestion de vos politiques de sauvegarde. Services AWS

    Remarque : Avant d'activer le BackupBaseline sur une unité d'organisation cible, assurez-vous qu'il AWSControlTowerBaseline est activé sur l'unité d'organisation cible. C'est-à-dire que l'unité d'organisation cible doit être enregistrée dans AWS Control Tower.

    • Vous pouvez choisir de l'activer AWS Backup pendant le processus de création de votre zone d'atterrissage AWS Control Tower ou pendant le processus de mise à jour de la zone d'atterrissage.

    • BackupBaselineIl est compatible avec les versions 3.1 et ultérieures de la zone d'atterrissage.

    • Le n'BackupBaselineest pas appliqué au compte de gestion.

Note

Les lignes de base des zones d'atterrissage se comportent différemment des lignes de base au niveau de l'OU.

Types de référence pouvant s'appliquer à votre zone d'atterrissage ou à vos comptes partagés

AWS Control Tower active automatiquement les lignes de base qui s'appliquent au niveau de la zone d'atterrissage, dans le cadre du processus de configuration et de mise à jour de la zone d'atterrissage. Les valeurs de référence de votre zone d'atterrissage peuvent changer au fur et à mesure que vous modifiez les paramètres de votre zone d'atterrissage. Par exemple, si vous optez pour IAM Identity Center, AWS Control Tower peut activer la dernière version de la IdentityCenterBaseline ligne de base sur votre zone de landing zone.

Vous pouvez consulter les lignes de base activées pour votre zone de landing grâce à l'appel ListEnabledBaselines d'API.

Note

Seul le AWSControlTowerBaseline peut être appliqué directement avec l'EnableBaselineAPI. Les autres lignes de base sont gérées automatiquement (AuditBaseline,LogArchiveBaseline). Le statut de IdentityCenterBaseline est fourni à titre d'information lorsque vous appliquez leAWSControlTowerBaseline.

  • Nom: AuditBaseline

    Description : configure les ressources pour surveiller la sécurité et la conformité des comptes de votre organisation. Vous ne pouvez pas modifier cette ligne de base, elle est déployée par AWS Control Tower.

  • Nom: LogArchiveBaseline

    Description : met en place un référentiel central pour les journaux des activités des API et des configurations de ressources provenant des comptes de votre organisation. Vous ne pouvez pas modifier cette ligne de base, elle est déployée par AWS Control Tower.

  • Nom: IdentityCenterBaseline

    Description : configure des ressources partagées pour IAM Identity Center, qui prépare la configuration de l'accès AWSControlTowerBaseline à Identity Center pour les comptes.

    Remarque : Cette base de référence ne fonctionne que lorsque vous avez sélectionné IAM Identity Center comme fournisseur d'identité au moment de configurer votre zone d'atterrissage pour la première fois, ou si vous modifiez ultérieurement les paramètres de votre zone d'atterrissage pour activer IAM Identity Center pour votre zone d'atterrissage. Si vous utilisez un autre fournisseur d'identité, vous n'aurez pas accès à cette base de référence.

  • Nom: BackupCentralVaultBaseline

    Description : configure le AWS Backup coffre central de votre organisation.

  • Nom: BackupAdminBaseline

    Description : configure l'administrateur délégué et l' AWS Backup Audit Manager.

Valeurs de référence et paramètres de version par défaut

Si votre zone d'atterrissage AWS Control Tower est déjà configurée et que vous choisissez d'activer une ligne de base de zone d'atterrissage, AWS Control Tower active la dernière version de la ligne de base compatible avec votre version de zone d'atterrissage. Si vous choisissez d'activer une ligne de base pour une unité d'organisation qui n'est pas encore enregistrée auprès d'AWS Control Tower, AWS Control Tower fournit automatiquement la dernière version compatible de la ligne de base pour cette unité d'organisation.