基准的类型 - AWS Control Tower
部分注册账户AWS Control Tower 控制台和基准 API 之间的操作差异基准和版本控制默认设置

基准的类型

AWS Control Tower 中的基准是您可以应用于目标的一组资源和特定配置。最常见的基准目标可能是组织单位(OU)。例如,您可以启用一个基准,选择一个 OU 作为目标,将该 OU 注册到 AWS Control Tower。

在登录区设置过程中,基准目标可以是共享账户或整个登录区。根据您的登录区设置和配置,可能会启用和更新某些基准。AWS Control Tower 按照基准指定的方式创建资源并将其部署到目标。

为目标启用基准时,该基准将表示为一种 AWS CloudFormation 资源,称为 EnabledBaseline 资源。

AWS Control Tower 包括四种基本类型的基准:

  • 一种类型可应用于在 AWS Control Tower 注册的 OU,也可应用于您打算通过应用基准进行注册的 OU。

  • 在初始设置或登录区更新期间,有三种基准类型可应用于登录区或共享账户。

在 OU 级别应用的基准类型,用于注册和更新 OU

  • 名称AWSControlTowerBaseline

    描述:为目标 OU 中的成员账户设置 AWS Control Tower 监管所需的资源和强制性控件。

    注意事项:此基准保留了登录区区域拒绝控件的设置。换句话说,如果在登录区级别不允许使用某个区域,则在调用 EnableBaseline API 注册一个 OU 时,该 OU 不允许使用该区域。

    注意

    OU 级别区域拒绝控件无法允许登录区区域拒绝控件不允许的区域。

    有关更多信息,请参阅 AWS Organizations 文档中的 How SCPs work with deny

    建议:建议您在调用 OU 的 EnableBaseline API 之前,先确认目标 OU 可能运行工作负载的区域,并根据登录区区域拒绝控件检查结果,否则您可能会无法访问某些区域的资源。

注意

登录区基准的行为与 OU 级别基准的行为不同。

作为登录区设置和更新过程的一部分,AWS Control Tower 会自动启用在登录区级别应用的基准。当您更改登录区设置时,登录区的基准可能会发生变化。例如,如果您选择启用 IAM Identity Center,AWS Control Tower 可以在您的登录区启用最新版本的 IdentityCenterBaseline 基准。

您可以通过 ListEnabledBaselines API 调用查看您的登录区已启用的基准。

可能应用于您的登录区或共享账户的基准类型

  • 名称AuditBaseline

    描述:设置资源以监控组织中账户的安全性和合规性。您无法更改此基准,它是由 AWS Control Tower 部署的。

  • 名称LogArchiveBaseline

    描述:设置一个中央存储库,用于存储组织中账户的 API 活动和资源配置日志。您无法更改此基准,它是由 AWS Control Tower 部署的。

  • 名称IdentityCenterBaseline

    描述:为 IAM Identity Center 设置共享资源,从而为 AWSControlTowerBaseline 设置账户的 Identity Center 访问权限做好准备。

    注意事项:只有当您在最初设置登录区时选择 IAM Identity Center 作为身份提供者,或者随后更改登录区设置为登录区启用 IAM Identity Center 时,此基准才有效。如果您使用的是其他身份提供者,则将无法启用此基准。

部分注册账户

使用基准时,可以将账户置于名为部分注册的状态。

如果您通过调用 ResetEnabledBaseline API 重新注册 OU,则可能会出现这种状态,因为 AWS Control Tower 仅将必需资源应用于目标 OU 中的账户。缺少其父 OU 的可选资源(控件)的账户将被标记为部分注册

如果您将未注册的账户移至已注册的 OU 中,然后调用 OU 上的 ResetEnabledBaseline API 来注册该账户,AWS Control Tower 会将与 AWSControlTowerBaseline 关联的资源应用于新注册的账户。但是,为此 OU 启用的可选控件不会应用于该账户。该账户仍处于部分注册状态。

要完全注册账户,请在控制台中选择重新注册更新账户。当您从控制台中选择这些操作时,AWS Control Tower 会将该 OU 的所有资源应用于新注册的账户,包括为该 OU 激活的可选控件。

AWS Control Tower 控制台和基准 API 之间的操作差异

更改 OU 的监管状态时,AWS Control Tower 控制台会自动为您执行更多操作,而不是通过基准 API 来更改监管。

差异

  • 注册和预置产品

    通过控制台注册 OU 时,AWS Control Tower 会为 OU 的成员账户创建 Service Catalog 产品,作为注册每个账户的一部分。通过 EnableBaseline API 和 AWSControlTowerBaseline 注册一个 OU 时,AWS Control Tower 不会为该 OU 中的成员账户创建预置产品。

  • 取消注册 OU

    每次取消注册 OU 时,您都必须先移除所有成员账户和嵌套的 OU。然后,AWS Control Tower 会移除应用于 OU 的所有控件。

    • 如果从控制台中选择删除 OU,AWS Control Tower 会继续取消注册,然后从您的组织中删除 OU。

    • 但是,如果您通过调用 DisableBaseline API 将 AWSControlTowerBaseline 从 OU 中移除,从而取消注册 OU,AWS Control Tower 不会从您的组织中删除 OU,该 OU 仍然存在于组织中,只是未注册。

基准和版本控制默认设置

如果您的 AWS Control Tower 登录区已经设置完毕,然后您选择启用登录区基准,那么 AWS Control Tower 会启用与您的登录区版本兼容的最新版本的基准。如果您选择为尚未在 AWS Control Tower 中注册的 OU 启用基准,AWS Control Tower 会自动为该 OU 提供最新兼容版本的基准。