Tipi di linee di base - AWS Control Tower
Tipi di base applicabili a livello di unità organizzativa, per la registrazione e l'aggiornamento OUsTipi di base che possono essere applicati alla tua landing zone o agli account condivisiLinee di base e impostazioni predefinite per il controllo delle versioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tipi di linee di base

Una linea di base in AWS Control Tower è un gruppo di risorse e configurazioni specifiche che puoi applicare a un target. L'obiettivo di base più comune può essere un'unità organizzativa (OU). Ad esempio, puoi abilitare una linea di base con un'unità organizzativa selezionata come destinazione, per registrarla in AWS Control Tower.

Durante la configurazione della landing zone, l'obiettivo di base può essere un account condiviso o la landing zone nel suo insieme. Alcune linee di base possono essere abilitate e aggiornate in base alle impostazioni e alle configurazioni della landing zone. AWS Control Tower crea e distribuisce le risorse verso l'obiettivo nel modo specificato dalla baseline.

Quando abiliti una linea di base per un obiettivo, la linea di base viene rappresentata come una AWS CloudFormation risorsa, chiamata risorsa. EnabledBaseline

AWS Control Tower include due tipi generali di linee di base:

  • Tipi di baseline che possono essere applicati a un'unità organizzativa registrata presso AWS Control Tower o a un'unità organizzativa che intendi registrare applicando la linea di base.

  • Tipi di base che possono essere applicati a una landing zone o a un account condiviso, durante la configurazione iniziale o durante un aggiornamento della landing zone.

Tipi di base applicabili a livello di unità organizzativa, per la registrazione e l'aggiornamento OUs

  • Nome: AWSControlTowerBaseline

    Descrizione: configura le risorse e i controlli obbligatori per gli account dei membri all'interno dell'unità organizzativa di destinazione, necessari per la governance di AWS Control Tower.

    Considerazione: questa linea di base mantiene le impostazioni della landing zone Region deny control. In altre parole, se una regione non è autorizzata a livello di landing zone, tale regione non è autorizzata per quell'unità organizzativa quando si chiama l'EnableBaselineAPI per registrare un'unità organizzativa.

    Nota

    La regione negata al controllo a livello dell'UE non ha modo di autorizzare le regioni che la regione negato il controllo della landing zone non consente.

    Per ulteriori informazioni, consulta How SCPs work with deny nella documentazione. AWS Organizations

    Raccomandazione: ti consigliamo di confermare le regioni in cui l'unità organizzativa di destinazione potrebbe eseguire carichi di lavoro e di confrontare i risultati con la landing zone Region deny control prima di chiamare l'EnableBaselineAPI per l'unità organizzativa, altrimenti potresti perdere l'accesso alle risorse in determinate regioni.

  • Nome: BackupBaseline

    Descrizione: questa linea di base imposta risorse e controlli per gli account dei membri all'interno dell'unità organizzativa di destinazione. Questi sono necessari affinché l'integrazione con AWS Backup possa automatizzare il backup dei dati e centralizzare Servizi AWS la gestione delle policy di backup.

    Considerazione: prima di abilitare l'BackupBaselineunità organizzativa di destinazione, assicurati che AWSControlTowerBaseline sia abilitata sull'unità organizzativa di destinazione. Cioè, l'unità organizzativa di destinazione deve essere registrata in AWS Control Tower.

    • Puoi scegliere di attivarla AWS Backup durante il processo di creazione della landing zone AWS Control Tower o durante un processo di aggiornamento della landing zone.

    • BackupBaselineÈ compatibile con le versioni 3.1 e successive della landing zone.

    • Non BackupBaseline viene applicato all'account di gestione.

Nota

Le linee di base delle zone di atterraggio si comportano in modo diverso rispetto alle linee di base di livello dell'unità operativa.

Tipi di base che possono essere applicati alla tua landing zone o agli account condivisi

AWS Control Tower abilita automaticamente le linee di base che si applicano a livello di landing zone, come parte del processo di configurazione e aggiornamento della landing zone. Le linee di base per la tua landing zone possono cambiare man mano che modifichi le impostazioni della landing zone. Ad esempio, se opti per IAM Identity Center, AWS Control Tower può abilitare l'ultima versione della IdentityCenterBaseline baseline sulla tua landing zone.

Puoi visualizzare le linee di base abilitate per la tua landing zone con la chiamata ListEnabledBaselines API.

Nota

Solo le AWSControlTowerBaseline possono essere applicate direttamente con l'EnableBaselineAPI. Le altre linee di base vengono gestite automaticamente (AuditBaseline,LogArchiveBaseline). Lo stato di IdentityCenterBaseline viene fornito come informazione quando si applica il. AWSControlTowerBaseline

  • Nome: AuditBaseline

    Descrizione: configura le risorse per monitorare la sicurezza e la conformità degli account nell'organizzazione. Non è possibile modificare questa linea di base, viene distribuita da AWS Control Tower.

  • Nome: LogArchiveBaseline

    Descrizione: configura un archivio centrale per i registri delle attività delle API e delle configurazioni delle risorse degli account dell'organizzazione. Non è possibile modificare questa linea di base, viene distribuita da AWS Control Tower.

  • Nome: IdentityCenterBaseline

    Descrizione: configura risorse condivise per IAM Identity Center, che prepara l'accesso AWSControlTowerBaseline a Identity Center per gli account.

    Considerazione: questa linea di base funziona solo se hai selezionato IAM Identity Center come provider di identità al momento della configurazione iniziale della landing zone, o se successivamente modifichi le impostazioni della landing zone per abilitare IAM Identity Center per la tua landing zone. Se utilizzi un provider di identità diverso, non avrai accesso per abilitare questa linea di base.

  • Nome: BackupCentralVaultBaseline

    Descrizione: configura il AWS Backup vault centrale dell'organizzazione.

  • Nome: BackupAdminBaseline

    Descrizione: configura l'amministratore delegato e l' AWS Backup Audit Manager.

Linee di base e impostazioni predefinite per il controllo delle versioni

Se la tua landing zone AWS Control Tower è già configurata e scegli di abilitare una landing zone di base, AWS Control Tower abilita la versione più recente della linea di base compatibile con la versione della tua landing zone. Se scegli di abilitare una baseline per un'unità organizzativa che non è già registrata presso AWS Control Tower, AWS Control Tower fornisce automaticamente l'ultima versione compatibile della linea di base per quell'unità organizzativa.