As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Compatibilidade das linhas de base da OU e das versões do landing zone
As linhas de base do AWS Control Tower permitem que você defina um padrão de governança no nível da OU, em vez de no nível da landing zone, se sua empresa precisar. A linha de base chamada AWSControlTowerBaseline está disponível para ajudar a registrar suas OUs no AWS Control Tower.
nota
Uma linha de base é um grupo de controles e recursos que trabalham juntos para estabelecer um ambiente de governança estável em sua landing zone.
Ao habilitar uma linha de base em uma OU, chamando a EnableBaseline API na AWS Control Tower, você deve especificar uma versão básica que seja compatível com sua versão atual da zona de pouso do AWS Control Tower. Depois de especificar uma linha de base, todas as contas de membros em uma OU seguem a linha de base fornecida para a OU. Em outras palavras, novas contas são provisionadas com a linha de base atualizada e as contas de membros existentes são governadas de acordo com a nova linha de base.
Se você não selecionar uma linha de base para suas OUs e contas existentes, a versão landing zone determinará toda a postura de governança, por padrão. No entanto, cada OU registrada em sua zona de pouso recebe uma versão de linha de base, que é a linha de base mais recente compatível com a versão atual da sua zona de pouso. Portanto, cada OU e conta de membro inscrito tem uma linha de base associada, mesmo que você nunca atribua uma linha de base especificamente.
Para a linha de base em nível de UOAWSControlTowerBaseline, a tabela a seguir mostra a compatibilidade das linhas de base com as versões da zona de pouso do AWS Control Tower.
| Versão de linha de base | Versões da zona de pouso | Plantas incluídas | Controles incluídos | Alteração em relação à linha de base anterior |
|---|---|---|---|---|
1,0 |
2,0 a 2,7 |
BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, recursos do IAM |
Todos os controles obrigatórios |
Nenhum |
2,0 |
2,8 a 2,9 |
BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Config SLR, recursos do IAM |
Todos os controles obrigatórios |
Função AWS Config vinculada ao serviço (SLR) adicionada e novo esquema Config para usar a SLR |
3.0 |
3,0 a 3,1 |
BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_ROLES, Config SLR, recursos do IAM |
Todos os controles obrigatórios |
Novo AWS Config projeto. Altere para registrar recursos globais somente na região de origem. CloudTrail Projeto removido |
4,0 |
3.2 a 3.3 |
BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_ROLES, BP_BASELINE_SERVICE_LINKED_ROLE, BP_BASELINE_SERVICE_ROLES, Config SLR, recursos do IAM |
Todos os controles obrigatórios |
Novo modelo de SLR |
Para obter mais informações sobre recursos específicos criados em contas quando você configura sua landing zone, consulte Recursos criados nas contas compartilhadas.
Se você atualizar sua zona de pouso para uma versão que suporte uma versão de AWSControlTowerBaseline linha de base mais recente, e a nova versão da zona de pouso for compatível com sua versão de linha de base existente, seu estado de OU mudará para Atualização disponível.
-
Você pode continuar usando a fábrica de contas e outros recursos sem atualizar a linha de base da OU imediatamente, exceto no caso de uma atualização da landing zone de 2.x para 3.x.
-
As novas contas inscritas nesta OU recebem recursos com base na versão básica existente até que a versão base seja atualizada (com o recurso de governança estendida no console ou por meio da
UpdateEnabledBaselineAPI). -
Depois de atualizar a versão de linha de base, todas as contas dentro dessa OU recebem recursos com base na nova versão de linha de base.
nota
Se você atualizar sua zona de pouso do AWS Control Tower de qualquer versão 2.X para qualquer versão 3.X, você também deverá atualizar a versão básica em suas OUs, devido à mudança de trilhas em nível de conta para trilhas em nível de organização. AWS CloudTrail No console, sua OU mostrará o status de Atualização necessária.
Considerações sobre as linhas de base
-
Se sua OU exigir uma atualização de linha de base, você não poderá provisionar novas contas nem inscrever contas existentes nessa OU.
-
Depois de uma atualização da landing zone, se você também planeja atualizar uma linha de base de OU, você deve registrar novamente a OU atualizar sua versão de linha de base de OU programaticamente.
-
Recomendamos que você atualize para a linha de base mais compatível com a versão da zona de pouso que está usando, para que você obtenha todos os benefícios da zona de pouso e da linha de base combinadas. Por exemplo, se você atualizar para a versão 3.3 da zona de pouso, poderá continuar usando a linha de base 3.0, mas não obterá todos os benefícios da versão 3.3 da zona de pouso, a menos que também atualize para a linha de base 4.0.
-
As atualizações de linha de base não podem ser revertidas.
-
A capacitação básica visa uma OU por vez. Portanto, OUs aninhadas não são atualizadas automaticamente quando a OU principal é atualizada. Recomendamos que você atualize a OU principal antes de atualizar as OUs aninhadas.
-
Quando você chama a
UpdateEnabledBaselineAPI ou registra novamente uma OU a partir do console, a OU retém todos os controles que foram ativados antes da atualização da linha de base. -
Quando várias versões de linha de base são compatíveis com sua versão de landing zone, você deve usar a versão de linha de base mais recente se habilitar uma linha de base em uma OU não gerenciada,.
