Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos: registre una unidad organizativa de AWS Control Tower con APIs solo
Este tutorial de ejemplos es un documento complementario. Para obtener explicaciones, advertencias y más información, consulte tipos de líneas de base.
Requisitos previos
Debe tener una unidad organizativa (OU) existente que no esté registrada en AWS Control Tower y que desee registrar. O bien, debe tener una OU registrada que desee volver a registrar para actualizarla.
Registro de una OU
-
Compruebe si
IdentityCenterBaselineestá habilitada para la zona de aterrizaje. Si es así, obtenga el identificador de base de referencia habilitado para Identity Center.aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==`<Identity Center Baseline Arn>`].[arn]' -
Obtenga el ARN de la OU de destino.
aws organizations describe-organizational-unit --organizational-unit-id <Organizational Unit ID> --query 'OrganizationalUnit.[Arn]' -
Obtenga el ARN de la línea de base de
AWSControlTowerBaseline.aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]' -
Cree la base de referencia de
AWSControlTowerBaselineen la OU de destino.Si la base de referencia de Identity Center está habilitada:
aws controltower enable-baseline --baseline-identifier<AWSControlTowerBaseline ARN>--baseline-version<BASELINE VERSION>--target-identifier<OU ARN>--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"<Identity Center Enabled Baseline ARN>"}]'Si la base de referencia de Identity Center no está habilitada, omita la marca
parametersde la siguiente manera:aws controltower enable-baseline --baseline-identifier<AWSControlTowerBaseline ARN>--baseline-version<BASELINE VERSION>--target-identifier<OU ARN>
Nuevo registro de una OU
Después de actualizar la configuración de la zona de aterrizaje o actualizar la versión de tu zona de aterrizaje, debes volver OUs a registrarte para proporcionarles los cambios más recientes. Siga estos pasos para volver a registrar una unidad organizativa mediante programación, restableciendo el recurso asociado y todos los EnabledBaseline recursos asociados. EnabledControl
importante
Si la OU tiene los controles opcionales habilitados, también debe llamar a la ResetEnabledControlAPI para cada control opcional habilitado después de restablecer la línea base. Este paso garantiza que los controles opcionales se mantengan coherentes con la configuración más reciente de landing zone. Si omites este paso, es posible que los controles opcionales de la OU no reflejen los cambios más recientes en la zona de landing zone. Si no tiene ningún control opcional activado, este paso no es obligatorio.
-
Obtenga el ARN de la OU de destino para volver a registrarla.
aws organizations describe-organizational-unit --organizational-unit-id<OU ID>--query 'OrganizationalUnit.[Arn]' -
Obtenga el ARN del recurso
EnabledBaselinepara la OU de destino.aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==`<OUARN>`].[arn]' -
Restablezca la base de referencia habilitada.
aws controltower reset-enabled-baseline --enabled-baseline-identifier<EnabledBaselineArn> -
Si la OU tiene controles opcionales habilitados, enumere los controles habilitados para la OU y restablezca cada uno de ellos para que sean coherentes con la configuración más reciente de landing zone.
Enumere los controles habilitados en la unidad organizativa de destino:
aws controltower list-enabled-controls --target-identifier<OU ARN>Para cada control opcional activado devuelto, reinícielo llamando a:
aws controltower reset-enabled-control --enabled-control-identifier<EnabledControlArn>Para obtener más información, consulte ResetEnabledControlla referencia de la API de AWS Control Tower.
