本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
OU 基准和 landing zone 版本的兼容性
如果您的业务需要,AWS Control Tower 基准允许您在 OU 级别而不是着陆区级别设置监管标准。所调用的基准可用于帮助您AWSControlTowerBaseline在 AWS Control Tower 中注册组织单元。
注意
基准是一组控件和资源,它们协同工作,在您的 landing zone 中建立稳定的治理环境。
当您在 OU 上启用基准时,通过在 AWS Control Tower 中调用 EnableBaseline API,您必须指定与您当前 AWS Control Tower 着陆区版本兼容的基准版本。指定基准后,OU 中的所有成员账户都将遵循为 OU 提供的基准。换句话说,新账户使用更新的基准进行配置,现有成员账户将根据新的基准进行管理。
如果您没有为现有 OU 和账户选择基准,则默认情况下,landing zone 版本将决定整个治理状态。但是,您的 landing zone 中每个注册的 OU 都会被分配一个基准版本,这是与您当前着陆区版本兼容的最新基准。因此,即使您从未专门指定基准,每个 OU 和注册的成员账户都有一个关联的基准。
对于 OU 级别的基准AWSControlTowerBaseline,下表显示了基准与 AWS Control Tower 着陆区版本的兼容性。
| 基准版本 | 着陆区版本 | 内含蓝图 | 内含控件 | 与之前的基线相比的变化 |
|---|---|---|---|---|
1.0 |
2.0 到 2.7 |
BP_BASELINE_CLOUDTRAIL、BP_BASELINE_CLOUDWATCH、BP_BASELINE_CONFIG、BP_BASELINE_ROLES、BP_BASELINE_SERVICE_ROLES、IAM 资源 |
所有强制性控制措施 |
无 |
2.0 |
2.8 到 2.9 |
BP_BASELINE_CLOUDTRAIL、BP_BASELINE_CLOUDWATCH、BP_BASELINE_CONFIG、BP_BASELINE_ROLES、BP_BASELINE_SERVICE_ROLES、Config SLR、IAM 资源 |
所有强制性控制措施 |
添加了 AWS Config 服务相关角色 (SLR) 和新的 Config 蓝图以使用 SLR |
3.0 |
3.0 到 3.1 |
BP_BASELINE_CLOUDWATCH、BP_BASELINE_CONFIG、BP_BASELINE_ROLES、BP_BASELINE_SERVICE_ROLES、Config SLR、IAM 资源 |
所有强制性控制措施 |
新 AWS Config 蓝图。更改为仅在本地区记录全球资源。已移除 CloudTrail 蓝图 |
4.0 |
3.2 到 3.3 |
BP_BASELINE_CLOUDWATCH、BP_BASELINE_CONFIG、BP_BASELINE_ROLES、BP_BASELINE_SERVICE_LINKE_ROLES、Config SLR、IAM 资源 |
所有强制性控制措施 |
全新 SLR 蓝图 |
有关设置 landing zone 时在账户中创建的特定资源的更多信息,请参阅在共享账户中创建的资源。
如果您将着陆区更新为支持更新的AWSControlTowerBaseline基准版本的版本,并且新的着陆区域版本与您现有的基准版本兼容,则您的组织单位状态将更改为更新可用。
-
除了从 2.x 更新到 3.x 的 landing zone 之外,您无需立即更新 OU 基准即可继续使用账号工厂和其他功能。
-
在基准版本更新之前,在此 OU 中注册的新账户将根据现有基准版本获得资源(使用控制台中的扩展监管功能或通过
UpdateEnabledBaselineAPI)。 -
更新基准版本后,该 OU 中的所有账户都会收到基于新基准版本的资源。
注意
如果您将 AWS Control Tower 着陆区从任何 2.X 版本更新为任何 3.X 版本,则还必须更新 OU 上的基准版本,因为从账户级别更改为组织级跟踪。 AWS CloudTrail 在控制台中,您的 OU 将显示 “需要更新” 状态。
基准注意事项
-
如果您的 OU 需要更新基准,则无法配置新账户或将现有账户注册到该 OU。
-
landing zone 更新后,如果您还计划更新 OU 基准,则必须重新注册 OU 或以编程方式更新 OU 基准版本。
-
我们建议你更新到你正在使用的着陆区版本的最高兼容基准,这样你就可以获得着陆区和基线组合在一起的所有好处。例如,如果您更新到着陆区版本 3.3,则可以继续使用基准 3.0,但除非您同时更新到基准 4.0,否则您无法获得着陆区 3.3 版本的所有好处。
-
基准更新无法回滚。
-
基准启用以每次一个 OU 为目标。因此,更新父 OU 时,嵌套 OU 不会自动更新。我们建议您在更新嵌套的 OU 之前先更新父 OU。
-
当您从控制台调用
UpdateEnabledBaselineAPI 或重新注册 OU 时,OU 会保留基准更新之前启用的所有控件。 -
当多个基准版本与您的 landing zone 版本兼容时,如果您在非托管 OU 上启用基准,则必须使用最新的基准版本。
