Arten von Basislinien - AWS Control Tower
Basistypen, die auf OU-Ebene geltenBasisarten, die bei der Einrichtung der landing zone auf ein gemeinsames Konto angewendet werden könnenAktivierte Baselines und MitgliedskontenBaselines und Standardeinstellungen für die Versionierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arten von Basislinien

Eine Baseline in AWS Control Tower ist eine Gruppe von Ressourcen und spezifischen Konfigurationen, die Sie auf ein Ziel anwenden können. Das gängigste Basisziel kann eine Organisationseinheit (OU) sein. Sie können beispielsweise eine Baseline mit einer als Ziel ausgewählten Organisationseinheit aktivieren, um diese Organisationseinheit bei AWS Control Tower zu registrieren.

Während der Einrichtung der landing zone können einige Baselines automatisch für ein gemeinsames Konto aktiviert werden. Bestimmte Baselines können auf der Grundlage Ihrer Landezoneneinstellungen und -konfigurationen aktiviert und aktualisiert werden. AWS Control Tower erstellt die Ressourcen und stellt sie auf dem Ziel bereit, wie es die Baseline vorgibt.

Wenn Sie eine Baseline auf einem Ziel aktivieren, wird die Baseline als AWS-Ressource dargestellt, die als EnabledBaseline Ressource bezeichnet wird.

AWS Control Tower umfasst zwei allgemeine Arten von Baselines:

  • Baselines, die auf einer OU aktiviert werden können.

  • Baselines, die bei der Einrichtung der landing zone für ein gemeinsames Konto aktiviert werden können.

Basistypen, die auf OU-Ebene gelten

Anmerkung

Nur Baselines, die auf OU-Ebene gelten, können direkt mit der EnableBaseline API aktiviert werden.

  • Name (Name: AWSControlTowerBaseline

    Beschreibung: Richtet Ressourcen und obligatorische Kontrollen für Mitgliedskonten innerhalb der Ziel-OU ein, die für die AWS Control Tower Tower-Governance erforderlich sind.

    Überlegung: Diese Basislinie behält die Einstellungen der landing zone Region Deny Control bei. Mit anderen Worten, wenn eine Region auf Landingzone-Ebene nicht zulässig ist, ist diese Region für diese Organisationseinheit nicht zulässig, wenn Sie die EnableBaseline API aufrufen, um eine OU zu registrieren.

    Anmerkung

    Die Option Region Deny Control auf OU-Ebene hat keine Möglichkeit, Regionen zuzulassen, die die landing zone Region Deny Control nicht zulässt.

    Weitere Informationen finden Sie in der Dokumentation unter So SCPs arbeiten Sie mit Deny. AWS Organizations

    Empfehlung: Wir empfehlen Ihnen, die Regionen zu überprüfen, in denen Ihre Ziel-OU möglicherweise Workloads ausführt, und die Ergebnisse mit der landing zone Region Deny Control zu vergleichen, bevor Sie die EnableBaseline API für die Organisationseinheit aufrufen, da Sie sonst den Zugriff auf Ressourcen in bestimmten Regionen verlieren könnten.

  • Name (Name: ConfigBaseline

    Beschreibung: Diese Baseline richtet AWS Config-bezogene Ressourcen für Mitgliedskonten innerhalb der Ziel-OU ein, die für die Aktivierung von Detective Controls erforderlich sind. Die eingerichteten Ressourcen sind eine Teilmenge der Ressourcen von. AWSControl TowerBaseline

    Überlegung: Diese Baseline behält nicht die Einstellungen der landing zone Region Deny Control bei. Die Steuerung der Regionsverweigerung wird im Rahmen der Aktivierung nicht aktiviert ConfigBaseline.

    Einschränkung: AWSControl TowerBaseline und ConfigBaseline kann nicht auf derselben Organisationseinheit aktiviert werden. In einer Organisationseinheit ist nur eine davon zulässig.

  • Name (Name: BackupBaseline

    Beschreibung: Diese Baseline richtet Ressourcen und Kontrollen für Mitgliedskonten innerhalb der Ziel-OU ein. Diese sind erforderlich, damit die Integration mit Ihre gesamte AWS-Services Datensicherung automatisieren und Ihr Backup-Policy-Management zentralisieren AWS Backup kann.

    Überlegung: Bevor Sie das BackupBaseline auf einer Ziel-OU aktivieren, stellen Sie sicher, dass das auf der Ziel-OU aktiviert AWSControlTowerBaseline ist. Das heißt, die Ziel-OU muss in AWS Control Tower registriert sein.

    • Sie können wählen, ob die Aktivierung AWS Backup während der Erstellung Ihrer AWS Control Tower Tower-Landezone oder während eines Landing-Zone-Aktualisierungsprozesses erfolgen soll.

    • Das BackupBaseline ist mit den landing zone Zone-Versionen 3.1 und höher kompatibel.

    • Das BackupBaseline wird nicht auf das Verwaltungskonto angewendet.

Basisarten, die bei der Einrichtung der landing zone auf ein gemeinsames Konto angewendet werden können

AWS Control Tower aktiviert im Rahmen der Einrichtung und Aktualisierung der landing zone bestimmte Baselines auf einem gemeinsamen Konto. Die Basislinien für Ihre landing zone können sich ändern, wenn Sie Ihre Landezoneneinstellungen ändern. Wenn Sie sich beispielsweise für IAM Identity Center entscheiden, kann AWS Control Tower die neueste Version der IdentityCenterBaseline Baseline in Ihrer landing zone aktivieren.

Sie können die aktivierten Baselines für Ihre landing zone mit dem ListEnabledBaselines API-Aufruf anzeigen.

Anmerkung

Ab Landing Zone Version 4.0 AuditBaseline wird der durch zwei unterschiedliche Baselines ersetzt: und. CentralSecurityRolesBaseline CentralConfigBaseline

  • Name (Name: CentralConfigBaseline

    Beschreibung: Richtet mithilfe von AWS Config zentrale Ressourcen für die Überwachung und Prüfung der Einhaltung von Vorschriften in Ihrem Unternehmen ein.

  • Name (Name: CentralSecurityRolesBaseline

    Beschreibung: Richtet zentrale Ressourcen für die Sicherheitsüberwachung in Ihrem Unternehmen ein.

  • Name (Name: AuditBaseline

    Beschreibung: Richtet Ressourcen zur Überwachung der Sicherheit und Einhaltung von Vorschriften für Konten in Ihrer Organisation ein.

  • Name (Name: LogArchiveBaseline

    Beschreibung: Richtet ein zentrales Repository für Protokolle von API-Aktivitäten und Ressourcenkonfigurationen von Konten in Ihrer Organisation ein.

  • Name (Name: IdentityCenterBaseline

    Beschreibung: Richtet gemeinsam genutzte Ressourcen für IAM Identity Center ein und bereitet die Einrichtung des AWSControlTowerBaseline Identity Center-Zugriffs für Konten vor.

    Überlegung: Diese Basislinie funktioniert nur, wenn Sie bei der ersten Einrichtung Ihrer landing zone IAM Identity Center als Identitätsanbieter ausgewählt haben oder wenn Sie anschließend Ihre landing zone Zone-Einstellungen ändern, um IAM Identity Center für Ihre landing zone zu aktivieren. Wenn Sie einen anderen Identitätsanbieter verwenden, haben Sie keinen Zugriff, um diese Baseline zu aktivieren.

  • Name (Name: BackupCentralVaultBaseline

    Beschreibung: Richtet den zentralen AWS Backup Tresor in Ihrer Organisation ein.

  • Name (Name: BackupAdminBaseline

    Beschreibung: Richtet den delegierten Administrator und den AWS Backup Audit Manager ein.

Aktivierte Baselines und Mitgliedskonten

Wenn Sie eine Basiskonfiguration für eine Organisationseinheit aktivieren, wird diese Konfiguration von den Mitgliedskonten der Organisationseinheit übernommen. Aufgrund der Tatsache der Vererbung sprechen wir von einer Baseline mit aktiviertem Kind, wenn wir uns auf das Konto beziehen. Die Baseline, die auf die Organisationseinheit angewendet wird, wird als Baseline mit aktiviertem Elternteil bezeichnet. Die übergeordnete aktivierte Baseline steuert die Konfiguration ihrer untergeordneten aktivierten Baselines. Es ähnelt der Art und Weise, wie ein Steuerelement, wenn es in einer Organisationseinheit aktiviert ist, für jedes Konto innerhalb der Organisationseinheit gilt.

Den Basisstatus eines Kontos anzeigen

Mit AWS Control Tower können Sie Konten nicht direkt mit Baselines ansprechen. Sie können jedoch den Aktivierungs- und Drift-Status jedes Mitgliedskontos anhand der Baselines nachverfolgen, die für das jeweilige Mitgliedskonto aktiviert wurden. Um den Status Ihrer Konten einzusehen, können Sie die ListEnabledBaselinesAPI mit dem Feature-Flag aufrufen. includeChildren

Deaktivieren Sie die Baseline eines Kontos

AWS Control Tower erlaubt es Ihnen nicht, eine untergeordnete aktivierte Baseline zu deaktivieren, die mit einer übergeordneten aktivierten Baseline verknüpft ist. Eine Baseline, für die ein Kind aktiviert ist, kann deaktiviert werden, wenn sie vererbt und nicht mehr mit einer Baseline verknüpft ist, für die ein Elternteil aktiviert ist.

Baselines und Standardeinstellungen für die Versionierung

Wenn Ihre AWS Control Tower-Landezone bereits eingerichtet ist und Sie sich dann dafür entscheiden, eine Landingzone-Baseline zu aktivieren, aktiviert AWS Control Tower die neueste Version der Baseline, die mit Ihrer Landingzone-Version kompatibel ist. Wenn Sie sich dafür entscheiden, eine Baseline für eine OU zu aktivieren, die noch nicht bei AWS Control Tower registriert ist, stellt AWS Control Tower automatisch die neueste kompatible Version der Baseline für diese OU bereit.