Tipos de linhas de base - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tipos de linhas de base

Uma linha de base no AWS Control Tower é um grupo de recursos e configurações específicas que você pode aplicar a um alvo. A meta básica mais comum pode ser uma unidade organizacional (OU). Por exemplo, você pode habilitar uma linha de base com uma OU selecionada como destino para registrar essa OU no AWS Control Tower.

Durante a configuração da zona de pouso, a meta básica pode ser uma conta compartilhada ou a zona de pouso como um todo. Certas linhas de base podem ser habilitadas e atualizadas com base nas configurações e configurações do seu landing zone. O AWS Control Tower cria e implanta os recursos no destino da forma que a linha de base especifica.

Quando você ativa uma linha de base para um alvo, a linha de base é representada como um AWS CloudFormation recurso, chamado de recurso. EnabledBaseline

O AWS Control Tower inclui quatro tipos essenciais de linhas de base:

  • Um tipo pode ser aplicado a uma OU registrada no AWS Control Tower ou a uma OU que você pretende registrar aplicando a linha de base.

  • Três tipos de linha de base podem ser aplicados a uma zona de pouso ou conta compartilhada, durante a configuração inicial ou durante uma atualização da zona de pouso.

Tipo de linha de base que se aplica no nível da OU, para registrar e atualizar OUs
  • Nome: AWSControlTowerBaseline

    Descrição: configura recursos e controles obrigatórios para contas de membros dentro da OU de destino, necessários para a governança do AWS Control Tower.

    Consideração: Essa linha de base mantém as configurações da zona de pouso Region Deny Control. Em outras palavras, se uma região não é permitida no nível da landing zone, essa região não é permitida para aquela OU quando você chama a EnableBaseline API para registrar uma OU.

    nota

    A região de nível da UA nega o controle não tem como permitir regiões que a região de landing zone nega o controle não permite.

    Para obter mais informações, consulte Como os SCPs funcionam com a negação na AWS Organizations documentação.

    Recomendação: recomendamos que você confirme as regiões nas quais sua OU de destino pode estar executando cargas de trabalho e verifique os resultados em relação à região de negação de controle da região da landing zone, antes de chamar a EnableBaseline API da OU, caso contrário, você poderá perder o acesso aos recursos em determinadas regiões.

nota

As linhas de base da zona de aterrissagem se comportam de maneira diferente das linhas de base do nível da OU.

O AWS Control Tower habilita as linhas de base que se aplicam automaticamente no nível da zona de pouso, como parte do processo de configuração e atualização da zona de pouso. As linhas de base da sua zona de pouso podem mudar conforme você altera as configurações da sua zona de pouso. Por exemplo, se você optar pelo IAM Identity Center, o AWS Control Tower poderá habilitar a versão mais recente da IdentityCenterBaseline linha de base em sua landing zone.

Você pode ver as linhas de base habilitadas para sua landing zone com a chamada de ListEnabledBaselines API.

Tipos de linha de base que podem se aplicar à sua landing zone ou contas compartilhadas
  • Nome: AuditBaseline

    Descrição: configura recursos para monitorar a segurança e a conformidade das contas em sua organização. Você não pode alterar essa linha de base, ela é implantada pelo AWS Control Tower.

  • Nome: LogArchiveBaseline

    Descrição: configura um repositório central para registros de atividades de API e configurações de recursos de contas em sua organização. Você não pode alterar essa linha de base, ela é implantada pelo AWS Control Tower.

  • Nome: IdentityCenterBaseline

    Descrição: configura recursos compartilhados para o IAM Identity Center, que prepara o AWSControlTowerBaseline para configurar o acesso ao Identity Center para contas.

    Consideração: essa linha de base funciona somente quando você seleciona o IAM Identity Center como seu provedor de identidade no momento em que configurou sua zona de pouso inicialmente, ou se você posteriormente altera as configurações da zona de destino para habilitar o IAM Identity Center para sua zona de pouso. Se você estiver usando um provedor de identidade diferente, não terá acesso para ativar essa linha de base.

Inscrição parcial de contas

Quando você trabalha com linhas de base, uma conta pode ser colocada em um estado chamado Parcialmente inscrito.

Esse estado pode ocorrer se você registrar novamente uma OU chamando a ResetEnabledBaseline API, porque o AWS Control Tower aplica somente os recursos obrigatórios às contas na OU de destino. Uma conta que não tem os recursos opcionais (controles) de sua OU principal é marcada como Parcialmente inscrita.

Se você mover uma conta não cadastrada para uma OU registrada e, em seguida, chamar a ResetEnabledBaseline API na OU para inscrever essa conta, o AWS Control Tower aplicará os recursos associados à à conta recém-inscrita. AWSControlTowerBaseline No entanto, os controles opcionais habilitados para essa OU não são aplicados à conta. A conta permanece em um estado parcialmente inscrito.

Para registrar totalmente a conta, escolha Registrar novamente ou Atualizar conta no console. Quando você seleciona essas operações no console, o AWS Control Tower aplica todos os recursos dessa OU à conta recém-cadastrada, incluindo os controles opcionais que são ativados para essa OU.

Variação nas operações entre o console do AWS Control Tower e as APIs para linhas de base

Quando você altera o status de governança de uma OU, o console do AWS Control Tower executa automaticamente mais operações para você, em comparação com a mudança da governança por meio das APIs para linhas de base.

Diferenças
  • Registro e provisionamento de produtos

    Quando você registra uma OU por meio do console, o AWS Control Tower cria produtos do Service Catalog para as contas dos membros da OU, como parte da inscrição de cada conta. Quando você registra uma OU por meio da EnableBaseline API e daAWSControlTowerBaseline, o AWS Control Tower não cria produtos provisionados para as contas dos membros na OU.

  • Cancele o registro de uma OU

    Sempre que você cancelar o registro de uma OU, primeiro remova todas as contas de membros e OUs aninhadas. Em seguida, o AWS Control Tower remove todos os controles que são aplicados à OU.

    • Se você selecionar Excluir OU da OU do console, o AWS Control Tower cancelará o registro e, em seguida, excluirá a OU da sua organização.

    • No entanto, se você cancelar o registro da OU chamando a DisableBaseline API para removê-la AWSControlTowerBaseline da OU, o AWS Control Tower não excluirá a OU da sua organização, a OU ainda estará presente na organização, sem registro.

Linhas de base e padrões de versão

Se sua zona de pouso da AWS Control Tower já estiver configurada e você optar por habilitar uma linha de base da zona de pouso, a AWS Control Tower habilita a versão mais recente da linha de base compatível com a versão da sua zona de pouso. Se você optar por habilitar uma linha de base para uma OU que ainda não esteja registrada na AWS Control Tower, a AWS Control Tower fornecerá automaticamente a versão mais recente compatível da linha de base para essa OU.