Tipos de linhas de base - AWS Control Tower
Tipos de linha de base que se aplicam no nível da OU, para registro e atualização OUsTipos de linha de base que podem se aplicar à zona de pouso ou contas compartilhadasLinhas de base e padrões de versionamento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tipos de linhas de base

Uma linha de base no AWS Control Tower é um grupo de recursos e configurações específicas que você pode aplicar a um destino. O destino da linha de base mais comum pode ser uma unidade organizacional (UO). Por exemplo, é possível habilitar uma linha de base com uma UO selecionada como destino para registrar essa UO no AWS Control Tower.

Durante a configuração da zona de pouso, o destino de linha de base pode ser uma conta compartilhada ou a zona de pouso como um todo. Certas linhas de base podem ser habilitadas e atualizadas com base nas definições e configurações de zona inicial. O AWS Control Tower cria e implanta os recursos no destino da forma que a linha de base especifica.

Quando você ativa uma linha de base para um alvo, a linha de base é representada como um AWS CloudFormation recurso, chamado de recurso. EnabledBaseline

O AWS Control Tower inclui dois tipos gerais de linhas de base:

  • Tipos de linha de base que podem ser aplicados a uma OU registrada no AWS Control Tower ou a uma OU que você pretende registrar aplicando a linha de base.

  • Tipos de linha de base que podem ser aplicados a uma zona de pouso ou conta compartilhada, durante a configuração inicial ou durante uma atualização da zona de pouso.

Tipos de linha de base que se aplicam no nível da OU, para registro e atualização OUs

  • Nome: AWSControlTowerBaseline

    Descrição: configura recursos e controles obrigatórios para contas-membros dentro da UO de destino, necessários para a governança do AWS Control Tower.

    Consideração: essa linha de base mantém as configurações do controle de Negação de região da zona de pouso. Em outras palavras, se uma região não é permitida no nível da zona de pouso, essa região não é permitida para aquela UO quando você chama a API EnableBaseline para registrar uma UO.

    nota

    O controle de negação de região no nível da UO não tem como permitir regiões que o controle de negação de região da zona de pouso não permite.

    Para obter mais informações, consulte Como SCPs trabalhar com a negação na AWS Organizations documentação.

    Recomendação: recomendamos que você confirme as regiões nas quais a UO de destino pode estar executando workloads e verifique os resultados em relação ao controle de negação de região da zona de pouso, antes de chamar a API EnableBaseline para a OU. Caso contrário, você poderá perder o acesso a recursos em determinadas regiões.

  • Nome: BackupBaseline

    Descrição: Essa linha de base configura recursos e controles para contas de membros na OU de destino. Eles são necessários para que a integração com o AWS Backup possa automatizar seu backup de dados e centralizar o gerenciamento de suas políticas de backup. Serviços da AWS

    Consideração: Antes de habilitar o BackupBaseline em uma OU de destino, certifique-se de que AWSControlTowerBaseline esteja habilitado na OU de destino. Ou seja, a OU de destino deve estar registrada no AWS Control Tower.

    • Você pode optar por ativar AWS Backup durante o processo de criação da sua zona de pouso do AWS Control Tower ou durante um processo de atualização da zona de pouso.

    • BackupBaselineÉ compatível com as versões 3.1 e posteriores do landing zone.

    • O não BackupBaseline é aplicado à conta de gerenciamento.

nota

As linhas de base da zona de pouso se comportam de maneira diferente das linhas de base do nível da UO.

Tipos de linha de base que podem se aplicar à zona de pouso ou contas compartilhadas

O AWS Control Tower habilita as linhas de base que se aplicam automaticamente no nível da zona de pouso, como parte do processo de configuração e atualização da zona de pouso. As linhas de base da zona de pouso podem mudar conforme você altera as configurações de zona inicial. Por exemplo, se você optar pelo Centro de Identidade do IAM, o AWS Control Tower poderá habilitar a versão mais recente da linha de base IdentityCenterBaseline na zona de pouso.

Você pode ver as linhas de base habilitadas para a zona de pouso com a chamada de API ListEnabledBaselines.

nota

Somente o AWSControlTowerBaseline pode ser aplicado diretamente com a EnableBaseline API. Outras linhas de base são gerenciadas automaticamente (AuditBaseline,LogArchiveBaseline). O status de IdentityCenterBaseline é fornecido como informação quando você aplica AWSControlTowerBaseline o.

  • Nome: AuditBaseline

    Descrição: configura recursos para monitorar a segurança e a conformidade das contas em sua organização. Não é possível alterar essa linha de base. Ela é implantada pelo AWS Control Tower.

  • Nome: LogArchiveBaseline

    Descrição: configura um repositório central para logs de atividades de API e configurações de recursos de contas em sua organização. Não é possível alterar essa linha de base. Ela é implantada pelo AWS Control Tower.

  • Nome: IdentityCenterBaseline

    Descrição: configura recursos compartilhados para o Centro de Identidade do IAM, que prepara o AWSControlTowerBaseline para configurar o acesso ao Centro de Identidade para contas.

    Consideração: essa linha de base funciona somente quando você seleciona o Centro de Identidade do IAM como seu provedor de identidades no momento em que configurou a zona de pouso inicialmente, ou se você altera mais tarde as configurações de zona inicial para habilitar o Centro de Identidade do IAM para a zona de pouso. Se você estiver usando um provedor de identidades diferente, não terá acesso para habilitar essa linha de base.

  • Nome: BackupCentralVaultBaseline

    Descrição: Configura o AWS Backup cofre central em sua organização.

  • Nome: BackupAdminBaseline

    Descrição: configura o administrador delegado e o AWS Backup Audit Manager.

Linhas de base e padrões de versionamento

Se a zona de pouso do AWS Control Tower já estiver configurada e você optar por habilitar uma linha de base da zona de pouso, o AWS Control Tower habilita a versão mais recente da linha de base compatível com a versão da zona de pouso. Se você optar por habilitar uma linha de base para uma UO que ainda não esteja registrada no AWS Control Tower, o AWS Control Tower fornecerá automaticamente a versão mais recente compatível da linha de base para essa UO.