基準線的類型 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

基準線的類型

AWS Control Tower 中的基準是一組可套用至目標的資源和特定組態。最常見的基準目標可能是組織單位 (OU)。例如,您可以啟用選取作為目標的 OU 的基準,將該 OU 註冊到 AWS Control Tower。

在 landing zone 設定期間,基準目標可能是共用帳戶或整個 landing zone。根據您的 landing zone 域設定和規劃,可能會啟用和更新某些基準線。AWS Control Tower 會依照基準指定的方式,建立資源並將其部署到目標。

當您啟用目標的基準線時,基準線會顯示為 AWS CloudFormation 資源 (稱為EnabledBaseline資源)。

AWS Control Tower 包括四種基本類型的基準:

  • 一種類型可以套用至已在 AWS Control Tower 註冊的 OU,或套用基準來註冊的 OU。

  • 在初始設定期間或在 landing zone 域更新期間,三種基準類型可套用至 landing zone 域或共用帳戶。

在 OU 層級套用的基準類型,用於註冊和更新 OU
  • 名稱: AWSControlTowerBaseline

    說明:為目標 OU 內的成員帳戶設定資源和強制控制,AWS Control Tower 管理所需。

    考量:此基準線會保留 landing zone 域「區域」拒絕控制的設定。換句話說,如果在 landing zone 層級不允許使用某個區域,則當您呼叫 EnableBaseline API 註冊 OU 時,該 OU 將不允許該區域進行該區域。

    注意

    OU 層級的區域拒絕控制無法允許 landing zone 域拒絕控制的區域。

    如需詳細資訊,請參閱 AWS Organizations 說明文件中的 SCP 如何處理拒絕

    :建議您在呼叫 OU 的 API 之前,先確認目標 OU 可能執行工作負載的區域,並對照 landing zone 域區域拒絕控制檢查結果,然後再呼叫 OU 的 EnableBaseline API,或者您可能無法存取特定區域中的資源。

注意

連字線區域基準線的行為與 U 層級基準線不同。

AWS Control Tower 會在 landing zone 域設定和更新程序中自動啟用在 landing zone 層級套用的基準。您的 landing zone 域的基準線可能會隨著您變更 landing zone 域設定而變更。例如,如果您選擇使用 IAM 身分中心,AWS Control Tower 可以在您的 landing zone 啟用最新版本的IdentityCenterBaseline基準。

您可以透過 ListEnabledBaselines API 呼叫檢視您的 landing zone 域已啟用的基準。

可能適用於您的 landing zone 或共享帳戶的基準類型
  • 名稱: AuditBaseline

    描述:設定資源以監視組織中帳號的安全性與合規性。您無法變更此基準,因為它是由 AWS Control Tower 部署。

  • 名稱: LogArchiveBaseline

    描述:針對組織中帳號的 API 活動和資源組態設定記錄,設定中央儲存庫。您無法變更此基準,因為它是由 AWS Control Tower 部署。

  • 名稱: IdentityCenterBaseline

    描述:為 IAM 身分中心設定共用資源,AWSControlTowerBaseline以準備為帳戶設定身分中心存取權限。

    意事項:只有在您最初設定 landing zone 時選取 IAM 身分中心做為身分提供者,或者您隨後變更登陸區域設定以為 landing zone 域啟用 IAM 身分中心時,此基準才有效。如果您使用不同的身分識別提供者,您將無法存取啟用此基準。

部分註冊帳戶

當您使用基準時,可以將帳戶置於稱為「部分已註冊」的狀態。

如果您透過呼叫 ResetEnabledBaseline API 重新註冊 OU,就會發生此狀態,因為 AWS Control Tower 僅將必要資源套用至目標 OU 中的帳戶。缺少其父 OU 的選擇性資源 (控制項) 的帳戶會標示為部分已註冊

如果您將未註冊的帳戶移到已註冊的 OU,然後呼叫 OU 上的 ResetEnabledBaseline API 來註冊該帳戶,AWS Control Tower 會將與該帳戶相關聯的資源套用到AWSControlTowerBaseline新註冊的帳戶。不過,針對此 OU 啟用的選擇性控制項不會套用至帳戶。帳戶會維持「部分註冊」狀態。

若要完全註冊帳戶,請在主控台中選擇 [重新註冊] 或 [更新帳戶]。當您從主控台選取這些操作時,AWS Control Tower 會將該 OU 的所有資源套用到新註冊的帳戶,包括為該 OU 啟用的選用控制項。

AWS Control Tower 主控台和基準 API 之間的操作差異

當您變更 OU 的管理狀態時,AWS Control Tower 主控台會自動為您執行更多操作,相較於透過基準的 API 變更管理。

差異
  • 註冊和佈建產品

    當您透過主控台註冊 OU 時,AWS Control Tower 會為 OU 的成員帳戶建立 Service Catalog 產品,作為註冊每個帳戶的一部分。當您透過 EnableBaseline API 註冊 OU 時AWSControlTowerBaseline,AWS Control Tower 不會為 OU 中的成員帳戶建立佈建的產品。

  • 取消註冊 OU

    每當您取消註冊 OU 時,都必須先移除所有成員帳戶和巢狀 OU。然後,AWS Control Tower 會移除套用至 OU 的所有控制。

    • 如果您選取從主控台刪除 OU 的 OU,AWS Control Tower 會繼續取消註冊,然後從組織中刪除 OU。

    • 不過,如果您透過呼叫 DisableBaseline API AWSControlTowerBaseline 從 OU 移除來取消註冊 OU,AWS Control Tower 不會從您的組織刪除 OU,則組織中仍未註冊 OU。

基準線和版本預設值

如果您的 AWS Control Tower landing zone 已設定,然後您選擇啟用 landing zone 基準,則 AWS Control Tower 會啟用與您的 landing zone 版本相容的最新版本基準。如果您選擇為尚未向 AWS Control Tower 註冊的 OU 啟用基準,AWS Control Tower 會自動為該 OU 提供最新的相容基準版本。