tipos de líneas de base - AWS Control Tower
Tipos de referencia que se aplican a nivel de unidad organizativaTipos de referencia que se pueden aplicar a la cuenta compartida durante la configuración de la landing zoneHabilitadas líneas de base y cuentas de miembrosLíneas de base y valores predeterminados de control de versiones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

tipos de líneas de base

Una base de referencia en AWS Control Tower es un grupo de recursos y configuraciones específicas que se puede aplicar a un objetivo. El objetivo más habitual de una base de referencia puede ser una unidad organizativa (OU). Por ejemplo, puede habilitar una línea de base con una OU seleccionada como destino para registrar esa OU en AWS Control Tower.

Durante la configuración de la landing zone, es posible que algunas líneas base se activen automáticamente en la cuenta compartida. Es posible que determinadas líneas de base se habiliten y actualicen en función de los ajustes y configuraciones de la zona de aterrizaje. AWS Control Tower crea e implementa los recursos en el destino de la manera que especifica la línea de base.

Cuando habilita una línea base en un objetivo, la línea base se representa como un recurso de AWS, denominado EnabledBaseline recurso.

AWS Control Tower incluye cuatro tipos generales de líneas de base:

  • Líneas base que se pueden habilitar en una unidad organizativa.

  • Líneas base que se pueden habilitar en una cuenta compartida durante la configuración de la landing zone.

Tipos de referencia que se aplican a nivel de unidad organizativa

nota

Solo las líneas base que se aplican a nivel de unidad organizativa se pueden habilitar directamente con la EnableBaseline API.

  • Nombre: AWSControlTowerBaseline

    Descripción: configura los recursos y los controles obligatorios para las cuentas de miembro dentro de la OU de destino, necesarios para la gobernanza de AWS Control Tower.

    Consideración: esta línea de base retiene la configuración del control Denegación de la región de la zona de aterrizaje. En otras palabras, si una región no está permitida en la zona de aterrizaje, esa región no estará permitida para esa OU cuando llame a la API EnableBaseline para registrar una OU.

    nota

    El control Denegación de la región de la OU no tiene forma de permitir las regiones que el control Denegación de la región de la zona de aterrizaje no permite.

    Para obtener más información, consulte Cómo SCPs trabajar con la denegación en la AWS Organizations documentación.

    Recomendación: Le recomendamos que confirme las regiones en las que la OU de destino pueda estar ejecutando cargas de trabajo y que compruebe los resultados con el control de denegación de regiones de la zona de aterrizaje antes de llamar a la API EnableBaseline de la OU. De lo contrario, podría perder el acceso a los recursos de determinadas regiones.

  • Nombre: ConfigBaseline

    Descripción: Esta línea base configura los recursos relacionados con AWS Config para las cuentas de los miembros dentro de la unidad organizativa de destino necesarios para la activación de Detective Controls. Los recursos configurados son un subconjunto de recursos de. AWSControl TowerBaseline

    Consideración: Esta línea base no conserva la configuración de la zona de landing zone que deniega el control. El control de denegación regional no se habilitará como parte de la activación ConfigBaseline.

    Limitación: AWSControl TowerBaseline y ConfigBaseline no se puede habilitar en la misma unidad organizativa. Solo se permite uno de ellos en una unidad organizativa.

  • Nombre: BackupBaseline

    Descripción: esta línea de base configura recursos y controles para cuentas de miembro dentro de la UO de destino. Son necesarios para que la integración AWS Backup pueda automatizar la copia de seguridad de los datos y centralizar la administración de las políticas de copia de seguridad.Servicios de AWS

    Consideración: antes de habilitar la BackupBaseline en una UO de destino, asegúrese de que la AWSControlTowerBaseline esté habilitada en la UO de destino. Es decir, la UO de destino se debe registrar en AWS Control Tower.

    • Puede elegir activarla AWS Backup durante el proceso de creación de la zona de aterrizaje de AWS Control Tower o durante el proceso de actualización de la zona de aterrizaje.

    • La BackupBaseline es compatible con las versiones 3.1 y posteriores de la zona de aterrizaje.

    • La BackupBaseline no se aplica a la cuenta de administración.

Tipos de referencia que se pueden aplicar a la cuenta compartida durante la configuración de la landing zone

AWS Control Tower habilita determinadas líneas base en una cuenta compartida, como parte del proceso de configuración y actualización de la landing zone. Las líneas de base de la zona de aterrizaje pueden cambiar al modificar la configuración de la zona de aterrizaje. Por ejemplo, si opta por el IAM Identity Center, AWS Control Tower puede habilitar la última versión de la línea de base IdentityCenterBaseline en su zona de aterrizaje.

Puede ver las líneas de base habilitadas para su zona de aterrizaje con la llamada a la API ListEnabledBaselines.

nota

A partir de la versión 4.0 de Landing Zone, AuditBaseline se sustituye por dos líneas de base distintas: y. CentralSecurityRolesBaseline CentralConfigBaseline

  • Nombre: CentralConfigBaseline

    Descripción: Configura recursos centrales para la supervisión y la auditoría de la conformidad en su organización mediante AWS Config.

  • Nombre: CentralSecurityRolesBaseline

    Descripción: Configura los recursos centrales para la supervisión de la seguridad en su organización.

  • Nombre: AuditBaseline

    Descripción: configura recursos para supervisar la seguridad y el cumplimiento de las cuentas de su organización.

  • Nombre: LogArchiveBaseline

    Descripción: configura un repositorio central para los registros de las actividades de las API y las configuraciones de recursos de las cuentas de su organización.

  • Nombre: IdentityCenterBaseline

    Descripción: configura los recursos compartidos para el IAM Identity Center, que prepara la AWSControlTowerBaseline para configurar el acceso al Identity Center para las cuentas.

    Consideración: esta línea de base solo funciona cuando se ha seleccionado IAM Identity Center como proveedor de identidad en el momento de configurar la zona de aterrizaje inicialmente, o si posteriormente se cambia la configuración de la zona de aterrizaje para habilitar el IAM Identity Center para la zona de aterrizaje. Si utiliza un proveedor de identidad diferente, no podrá habilitar esta línea de base.

  • Nombre: BackupCentralVaultBaseline

    Descripción: Configura el AWS Backup almacén central de su organización.

  • Nombre: BackupAdminBaseline

    Descripción: Configura la administración delegada y el AWS Backup Audit Manager.

Habilitadas líneas de base y cuentas de miembros

Cuando habilita una línea de base en una UO, las cuentas de miembros de la UO heredan esa configuración. Debido a la herencia, cuando nos referimos a la cuenta, la denominamos línea de base secundaria habilitada. La línea de base que se aplica a la UO se denomina línea de base principal habilitada. La línea de base principal habilitada controla la configuración de las líneas de base secundarias habilitadas. Es similar a la forma en la que un control, cuando está activado en una UO, se aplica a todas las cuentas de la UO.

Consulta del estado de la línea de base de una cuenta

AWS Control Tower no le permite segmentar las cuentas directamente con líneas de base. Sin embargo, puede realizar un seguimiento del estado de habilitación y desvío de cada cuenta de miembro por medio de sus líneas de base secundarias habilitadas que se han heredado. Para ver el estado de sus cuentas, puede llamar a la API ListEnabledBaselines con la marca de característica includeChildren.

Inhabilite la línea base de una cuenta

AWS Control Tower no le permite deshabilitar una línea base habilitada para niños vinculada a una línea base habilitada para padres. Una línea base habilitada para niños se puede deshabilitar si se deriva de la herencia y ya no está vinculada a una línea base habilitada para los padres.

Líneas de base y valores predeterminados de control de versiones

Si su zona de aterrizaje de AWS Control Tower ya está configurada y, a continuación, decide habilitar una línea de base de zona de aterrizaje, AWS Control Tower habilita la última versión de la línea de base compatible con la versión de su zona de aterrizaje. Si decide habilitar una línea de base de para una OU que aún no esté registrada en AWS Control Tower, AWS Control Tower proporcionará automáticamente la última versión compatible de la línea de base para esa OU.