本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
OU 基準和 landing zone 版本的相容性
如果您的企業需要,AWS Control Tower 基準可讓您在 OU 層級設定管理標準,而不是在 landing zone 層級設定。呼叫AWSControlTowerBaseline的基準可協助您向 AWS Control Tower 註冊 OU。
注意
基準是一組控制項和資源,可共同運作,在您的 landing zone 內建立穩定的治理環境。
當您在 OU 上啟用基準時,透過呼叫 AWS Control Tower 中的 EnableBaseline API,您必須指定與目前 AWS Control Tower landing zone 版本相容的基準版本。指定基準之後,OU 中的所有成員帳戶都會遵循針對 OU 指定的基準。換句話說,新帳戶隨著更新的基準佈建,現有的成員帳戶會根據新的基準進行管理。
如果您未為現有 OU 和帳戶選取基準,landing zone 版本預設會決定整個控管狀態。不過,您 landing zone 中的每個註冊 OU 都會指派一個基準版本,這是與您目前 landing zone 版本相容的最新基準。因此,每個 OU 和已註冊的成員帳戶都有相關聯的基準,即使您從未特別指派基準線。
對於 OU 層級基準AWSControlTowerBaseline,下表顯示基準與 AWS Control Tower landing zone 版本的相容性。
| 基準版本 | 著陸區版本 | 包括藍圖 | 包含的控制 | 從上一個基準線變更 |
|---|---|---|---|---|
1.0 |
2 至 2 |
基礎線路, 基礎線程, 雲觀察, BP 基線配置, 基礎線角色, 基礎線角色, 基本服務角色, IAM 資源 |
所有強制性控制 |
無 |
2.0 |
2 至 2 分鐘 |
基礎線路, BP 基線雲觀察, BP 基線 Config, 基線角色, 基礎線角色, 角色, 組態 SLR, IAM 資源 |
所有強制性控制 |
新增 AWS Config 服務連結角色 (SLR) 和新的 Config 藍圖以使用 SLR |
3.0 |
3 至 3 分鐘 |
基線雲觀察, BP 基線 Config, 基線角色, 基線角色, 配置單反, IAM 資源 |
所有強制性控制 |
新 AWS Config 藍圖。更改為僅在本地區記錄全球資源。已移除 CloudTrail 藍圖 |
4.0 |
三點二至三點三 |
基線雲觀察, BP 基線 Config, BP 基線角色, 基礎線角色, 基本服務鏈接角色, BP_ 基線服務角色, 配置 SLR, IAM 資源 |
所有強制性控制 |
全新單反藍圖 |
如需設定 landing zone 域時在帳號中建立之特定資源的詳細資訊,請參閱共用帳戶中建立的資源。
如果您將 landing zone 域更新為支援較新AWSControlTowerBaseline基準版本的版本,且新的 landing zone 版本與您現有的基準版本相容,則您的 OU 狀態會變更為「可用的更新」。
-
您可以繼續使用帳戶工廠和其他功能,而不立即更新 OU 基準,但從 2.x 更新到 3.x 的 landing zone 域除外。
-
在此 OU 中註冊的新帳戶會根據現有的基準版本接收資源,直到基準版本更新為止 (使用主控台中的延伸控管功能,或透過
UpdateEnabledBaselineAPI)。 -
更新基準版本之後,該 OU 內的所有帳戶都會根據新的基準版本接收資源。
注意
如果您將 AWS Control Tower landing zone 從任何 2.X 版本更新為任何版本 3.X,則由於帳戶層級追蹤變更為組織層級追蹤,您也必須更新 OU 上的基準版本。 AWS CloudTrail 在主控台中,您的 OU 會顯示 [需要更新] 狀態。
基準線的考量
-
如果您的 OU 需要基準更新,則無法佈建新帳戶或將現有帳戶註冊到該 OU。
-
在 landing zone 更新之後,如果您還計劃更新 OU 基準,則必須以程式設計方式重新註冊 OU 或更新 OU 基準版本。
-
我們建議您將所使用的 landing zone 版本更新為最高相容基準,以便獲得 landing zone 和基準線合併的所有優點。例如,如果您更新為 3.3 版的 landing zone 域,您可以繼續使用基線 3.0,但除非您同時更新至基線 4.0,否則您將無法獲得 3.3 版 landing zone 域的所有好處。
-
無法復原基準更新。
-
基準啟用一次以一個 OU 為目標。因此,當父 OU 更新時,巢狀 OU 不會自動更新。我們建議您在更新巢狀 OU 之前,先更新父 OU。
-
當您從主控台呼叫
UpdateEnabledBaselineAPI 或重新註冊 OU 時,OU 會保留基準更新之前啟用的所有控制項。 -
當多個基準版本與您的 landing zone 版本相容時,如果您在未受管理的 OU 上啟用基準,則必須使用最新的基準版本。
