基準類型 - AWS Control Tower
適用於 OU 層級的基準類型,用於註冊和更新 OUs可能適用於登陸區域或共用帳戶的基準類型基準和版本控制預設值

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

基準類型

AWS Control Tower 中的基準是一組資源和特定組態,您可以套用到目標。最常見的基準目標可能是組織單位 (OU)。例如,您可以啟用選取 OU 做為目標的基準,將該 OU 註冊到 AWS Control Tower。

在登陸區域設定期間,基準目標可以是共用帳戶或整個登陸區域。根據您的登陸區域設定和組態,可能會啟用和更新特定基準。 AWSControl Tower 會以基準指定的方式,建立資源並將其部署到目標。

當您啟用目標的基準時,基準會呈現為 AWS CloudFormation 資源,稱為 EnabledBaseline 資源。

AWS Control Tower 包含兩種一般類型的基準:

  • 可以套用至向 AWS Control Tower 註冊的 OU 或您打算套用基準來註冊的 OU 的基準類型。

  • 在初始設定期間或登陸區域更新期間,可以套用至登陸區域或共用帳戶的基準類型。

適用於 OU 層級的基準類型,用於註冊和更新 OUs

  • 名稱: AWSControlTowerBaseline

    描述:為目標 OU 內的成員帳戶設定資源和強制性控制,AWS控制塔管理需要。

    考量:此基準會保留登陸區域區域拒絕控制的設定。換句話說,如果登陸區域層級不允許某個區域,當您呼叫 EnableBaselineAPI註冊 OU 時,該 OU 不允許該區域。

    注意

    OU 層級區域拒絕控制無法允許登陸區域區域拒絕控制不允許的區域。

    如需詳細資訊,請參閱 AWS Organizations 文件中的SCPs如何使用拒絕

    建議:建議您確認目標 OU 可能正在執行工作負載的區域,並在呼叫 OU EnableBaselineAPI的 之前,檢查登陸區域拒絕控制的結果,否則您可能會失去對特定區域中資源的存取權。

  • 名稱: BackupBaseline

    描述:此基準會為目標 OU 內的成員帳戶設定資源和控制項。這些是必要的,以便與 整合 AWS Backup 可以自動化您的資料備份 AWS 服務,並集中備份政策管理。

    考量:在目標 OU BackupBaseline上啟用 之前,請確定AWSControlTowerBaseline已在目標 OU 上啟用 。也就是說,目標 OU 必須在 AWS Control Tower 中註冊。

    • 您可以選擇在建立 AWS Control Tower 登陸區域 AWS Backup 的過程中或在登陸區域更新程序中啟用 。

    • 與登陸區域 3.1 版及更新版本BackupBaseline相容。

注意

登陸區域基準的行為與 OU 層級基準不同。

可能適用於登陸區域或共用帳戶的基準類型

AWS Control Tower 會在登陸區域設定和更新程序中,自動啟用適用於登陸區域層級的基準。當您變更登陸區域設定時,登陸區域的基準可能會變更。例如,如果您選擇加入 IAM Identity Center,AWSControl Tower 可以在您的登陸區域啟用最新版本的IdentityCenterBaseline基準。

您可以使用 ListEnabledBaselinesAPI呼叫檢視登陸區域的已啟用基準。

注意

只有 AWSControlTowerBaseline可以直接套用到 EnableBaseline API。其他基準會自動管理 (AuditBaselineLogArchiveBaseline)。當您套用 時, 的狀態IdentityCenterBaseline會以資訊的形式提供AWSControlTowerBaseline

  • 名稱: AuditBaseline

    描述:設定資源來監控組織中帳戶的安全性和合規性。您無法變更此基準,它由 AWS Control Tower 部署。

  • 名稱: LogArchiveBaseline

    描述:為組織中帳戶API的活動和資源組態日誌設定中央儲存庫。您無法變更此基準,它由 AWS Control Tower 部署。

  • 名稱: IdentityCenterBaseline

    描述:設定 IAM Identity Center 的共用資源,其會準備 AWSControlTowerBaseline 來設定帳戶的 Identity Center 存取權。

    考量:只有在您最初設定登陸區域時已選取 IAM Identity Center 做為身分提供者,或隨後變更登陸區域設定以啟用登陸區域的 IAM Identity Center 時,此基準才有效。如果您使用的是不同的身分提供者,您將無法啟用此基準。

  • 名稱: BackupCentralVaultBaseline

    描述:在您的組織中設定中央 AWS Backup 保存庫。

  • 名稱: BackupAdminBaseline

    描述:設定委派的管理員和 AWS Backup Audit Manager。

基準和版本控制預設值

如果您的 AWS Control Tower 登陸區域已設定,然後選擇啟用登陸區域基準,AWSControl Tower 會啟用與您的登陸區域版本相容的基準最新版本。如果您選擇為尚未向 AWS Control Tower 註冊的 OU 啟用基準,AWSControl Tower 會自動提供該 OU 基準的最新相容版本。