Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Compatibilità delle versioni di base delle unità organizzative e delle landing zone
Le linee di base di AWS Control Tower ti consentono di impostare uno standard di governance a livello di unità organizzativa, anziché a livello di landing zone, se la tua azienda lo richiede. La linea di base chiamata AWSControlTowerBaseline è disponibile per aiutarti a registrare le unità organizzative con AWS Control Tower.
Nota
Una baseline è un gruppo di controlli e risorse che collaborano per stabilire un ambiente di governance stabile all'interno della landing zone.
Quando abiliti una baseline su un'unità organizzativa, richiamando l'EnableBaselineAPI in AWS Control Tower, devi specificare una versione di base compatibile con la versione corrente della landing zone di AWS Control Tower. Dopo aver specificato una linea di base, tutti gli account dei membri di un'unità organizzativa seguono la linea di base fornita per l'unità organizzativa. In altre parole, ai nuovi account viene fornita la linea di base aggiornata e gli account dei membri esistenti vengono regolati in base alla nuova linea di base.
Se non si seleziona una linea di base per le unità organizzative e gli account esistenti, la versione della landing zone determina l'intero assetto di governance, per impostazione predefinita. Tuttavia, a ciascuna unità organizzativa registrata nella zona di atterraggio viene assegnata una versione di base, che è la versione di base più recente compatibile con la versione corrente della landing zone. Pertanto, a ciascuna unità organizzativa e a ogni account membro registrato è associata una linea di base, anche se non viene mai assegnata una linea di base specifica.
Per quanto riguarda la linea di base a livello di unità organizzativaAWSControlTowerBaseline, la tabella che segue mostra la compatibilità delle linee di base con le versioni delle landing zone di AWS Control Tower.
| Versione di base | Versioni della zona di atterraggio | Progetti inclusi | Controlli inclusi | Modifica rispetto alla linea di base precedente |
|---|---|---|---|---|
1 |
Da 2,0 a 2,7 |
BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, risorse IAM |
Tutti i controlli obbligatori |
Nessuno |
2.0 |
da 2.8 a 2.9 |
BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Config SLR, risorse IAM |
Tutti i controlli obbligatori |
Aggiunto il ruolo AWS Config collegato al servizio (SLR) e nuovo blueprint Config per utilizzare la SLR |
3.0 |
Da 3.0 a 3.1 |
BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Config SLR, risorse IAM |
Tutti i controlli obbligatori |
Nuovo AWS Config progetto. Passa alla registrazione delle risorse globali solo nella regione d'origine. CloudTrail Blueprint rimosso |
4.0 |
da 3.2 a 3.3 |
BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_LINKED_ROLE, BP_BASELINE_SERVICE_ROLES, Config SLR, risorse IAM |
Tutti i controlli obbligatori |
Nuovo modello SLR |
Per ulteriori informazioni sulle risorse specifiche create negli account quando configuri la landing zone, consulta Risorse create negli account condivisi.
Se aggiorni la landing zone a una versione che supporta una versione di AWSControlTowerBaseline base più recente e la nuova versione della landing zone è compatibile con la versione di base esistente, lo stato dell'unità organizzativa cambia in Update available.
-
Puoi continuare a utilizzare account factory e altre funzionalità senza aggiornare immediatamente la baseline dell'unità organizzativa, tranne nel caso di un aggiornamento della landing zone dalla 2.x alla 3.x.
-
I nuovi account registrati in questa unità organizzativa ricevono risorse basate sulla versione di base esistente fino all'aggiornamento della versione di base (con la funzionalità Extend governance nella console o tramite l'API).
UpdateEnabledBaseline -
Dopo aver aggiornato la versione di base, tutti gli account all'interno di quell'unità organizzativa ricevono risorse in base alla nuova versione di base.
Nota
Se aggiorni la landing zone di AWS Control Tower da qualsiasi versione 2.X a qualsiasi versione 3.X, devi aggiornare anche la versione di base sulle tue unità organizzative, a causa del passaggio dai trail a livello di account a quelli a livello di organizzazione. AWS CloudTrail Nella console, l'unità organizzativa mostrerà lo stato di Aggiornamento richiesto.
Considerazioni per le linee di base
-
Se l'unità organizzativa richiede un aggiornamento di base, non è possibile fornire nuovi account o registrare account esistenti in tale unità organizzativa.
-
Dopo un aggiornamento della landing zone, se prevedi di aggiornare anche una baseline dell'unità organizzativa, devi registrare nuovamente l'unità organizzativa o aggiornare la versione di base dell'unità organizzativa a livello di codice.
-
Ti consigliamo di eseguire l'aggiornamento alla versione di base più compatibile per la versione di landing zone che stai utilizzando, in modo da ottenere tutti i vantaggi della landing zone e della baseline combinati. Ad esempio, se esegui l'aggiornamento alla versione 3.3 della landing zone, puoi continuare a utilizzare la baseline 3.0, ma non otterrai tutti i vantaggi della versione 3.3 della landing zone a meno che non esegui anche l'aggiornamento alla baseline 4.0.
-
Gli aggiornamenti di base non possono essere ripristinati.
-
L'abilitazione di base si rivolge a un'unità organizzativa alla volta. Pertanto, le unità organizzative nidificate non vengono aggiornate automaticamente quando viene aggiornata l'unità organizzativa principale. Si consiglia di aggiornare l'unità organizzativa principale prima di aggiornare le unità organizzative nidificate.
-
Quando si chiama l'
UpdateEnabledBaselineAPI o si registra nuovamente un'unità organizzativa dalla console, l'unità organizzativa conserva tutti i controlli abilitati prima dell'aggiornamento di base. -
Quando più versioni di base sono compatibili con la versione della landing zone, è necessario utilizzare la versione di base più recente se si abilita una linea di base su un'unità organizzativa non gestita,.
