Types de lignes de base - AWS Control Tower
Types de référence qui s'appliquent au niveau de l'UOTypes de référence pouvant être appliqués sur un compte partagé lors de la configuration de la zone d'atterrissageLignes de base et comptes membres activésValeurs de référence et paramètres de version par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Types de lignes de base

Dans AWS Control Tower, une référence est un groupe de ressources et de configurations spécifiques que vous pouvez appliquer à une cible. L'objectif de référence le plus courant peut être une unité organisationnelle (UO). Par exemple, vous pouvez activer une ligne de base avec une unité d'organisation sélectionnée comme cible, afin d'enregistrer cette unité d'organisation dans AWS Control Tower.

Lors de la configuration de la zone d'atterrissage, certaines lignes de base peuvent être activées automatiquement sur le compte partagé. Certaines lignes de base peuvent être activées et mises à jour en fonction des paramètres et des configurations de votre zone d'atterrissage. AWS Control Tower crée et déploie les ressources vers la cible conformément à la ligne de base spécifiée.

Lorsque vous activez une ligne de base sur une cible, celle-ci est représentée sous la forme d'une ressource AWS, appelée EnabledBaseline ressource.

AWS Control Tower inclut deux types généraux de lignes de base :

  • Lignes de base qui peuvent être activées sur une unité d'organisation.

  • Des lignes de base qui peuvent être activées sur un compte partagé, lors de la configuration de la zone d'atterrissage.

Types de référence qui s'appliquent au niveau de l'UO

Note

Seules les lignes de base qui s'appliquent au niveau de l'unité d'organisation peuvent être directement activées avec l'EnableBaselineAPI.

  • Nom: AWSControlTowerBaseline

    Description : configure les ressources et les contrôles obligatoires pour les comptes membres au sein de l'unité d'organisation cible, nécessaires à la gouvernance d'AWS Control Tower.

    Remarque : Cette ligne de base conserve les paramètres de la zone d'atterrissage. La région refuse le contrôle. En d'autres termes, si une région n'est pas autorisée au niveau de la zone d'atterrissage, elle n'est pas autorisée pour cette unité d'organisation lorsque vous appelez l'EnableBaselineAPI pour enregistrer une unité d'organisation.

    Note

    Le refus de contrôle de la région au niveau de l'OU n'a aucun moyen d'autoriser les régions que la région de refus de contrôle de la zone d'atterrissage n'autorise pas.

    Pour plus d'informations, consultez la section Comment SCPs travailler avec le refus dans la AWS Organizations documentation.

    Recommandation : Nous vous recommandons de vérifier les régions dans lesquelles votre unité d'organisation cible peut exécuter des charges de travail, et de comparer les résultats par rapport à la zone de destination Refus de contrôle, avant d'appeler l'EnableBaselineAPI de l'unité d'organisation, sous peine de perdre l'accès aux ressources dans certaines régions.

  • Nom: ConfigBaseline

    Description : cette ligne de base définit les ressources liées à AWS Config pour les comptes membres au sein de l'unité d'organisation cible requises pour l'activation de Detective Controls. Les ressources configurées sont un sous-ensemble des ressources de AWSControlTowerBaseline.

    Remarque : Cette ligne de base ne conserve pas les paramètres de la zone d'atterrissage. La région refuse le contrôle. Le contrôle par refus de région ne sera pas activé dans le cadre de l'activation ConfigBaseline.

    Limitation : AWSControl TowerBaseline et ConfigBaseline ne peut pas être activé sur la même unité d'organisation. Un seul d'entre eux est autorisé sur une unité d'organisation.

  • Nom: BackupBaseline

    Description : Cette base de référence définit les ressources et les contrôles pour les comptes des membres au sein de l'unité d'organisation cible. Ils sont nécessaires pour que l'intégration AWS Backup puisse automatiser la sauvegarde de vos données et centraliser la gestion de vos politiques de sauvegarde. Services AWS

    Remarque : Avant d'activer le BackupBaseline sur une unité d'organisation cible, assurez-vous qu'il AWSControlTowerBaseline est activé sur l'unité d'organisation cible. En d'autres termes, l'unité d'organisation cible doit être enregistrée dans AWS Control Tower.

    • Vous pouvez choisir de l'activer AWS Backup pendant le processus de création de votre zone d'atterrissage AWS Control Tower ou pendant le processus de mise à jour de la zone d'atterrissage.

    • BackupBaselineIl est compatible avec les versions 3.1 et ultérieures de la zone d'atterrissage.

    • Le n'BackupBaselineest pas appliqué au compte de gestion.

Types de référence pouvant être appliqués sur un compte partagé lors de la configuration de la zone d'atterrissage

AWS Control Tower active certaines bases de référence sur un compte partagé, dans le cadre du processus de configuration et de mise à jour de la zone d'atterrissage. Les valeurs de référence de votre zone d'atterrissage peuvent changer au fur et à mesure que vous modifiez les paramètres de votre zone d'atterrissage. Par exemple, si vous optez pour IAM Identity Center, AWS Control Tower peut activer la dernière version de la IdentityCenterBaseline ligne de base sur votre zone de landing zone.

Vous pouvez consulter les lignes de base activées pour votre zone de landing grâce à l'appel ListEnabledBaselines d'API.

Note

À partir de la version 4.0 de Landing Zone, le AuditBaseline est remplacé par deux lignes de base distinctes : CentralSecurityRolesBaseline etCentralConfigBaseline.

  • Nom: CentralConfigBaseline

    Description : configure des ressources centrales pour la surveillance de la conformité et l'audit au sein de votre organisation à l'aide d'AWS Config.

  • Nom: CentralSecurityRolesBaseline

    Description : met en place des ressources centralisées pour la surveillance de la sécurité au sein de votre organisation.

  • Nom: AuditBaseline

    Description : configure les ressources pour surveiller la sécurité et la conformité des comptes au sein de votre organisation.

  • Nom: LogArchiveBaseline

    Description : met en place un référentiel central pour les journaux des activités des API et des configurations de ressources provenant des comptes de votre organisation.

  • Nom: IdentityCenterBaseline

    Description : configure des ressources partagées pour IAM Identity Center, qui prépare la configuration de l'accès AWSControlTowerBaseline à Identity Center pour les comptes.

    Remarque : Cette base de référence ne fonctionne que lorsque vous avez sélectionné IAM Identity Center comme fournisseur d'identité au moment de configurer votre zone d'atterrissage pour la première fois, ou si vous modifiez ultérieurement les paramètres de votre zone d'atterrissage pour activer IAM Identity Center pour votre zone d'atterrissage. Si vous utilisez un autre fournisseur d'identité, vous n'aurez pas accès à cette base de référence.

  • Nom: BackupCentralVaultBaseline

    Description : configure le AWS Backup coffre central de votre organisation.

  • Nom: BackupAdminBaseline

    Description : configure l'administrateur délégué et l' AWS Backup Audit Manager.

Lignes de base et comptes membres activés

Lorsque vous activez une ligne de base sur une unité d'organisation, cette configuration est héritée par les comptes membres de l'unité d'organisation. En raison de l'héritage, nous l'appelons une base de référence activée pour les enfants lorsque nous faisons référence au compte. La ligne de base appliquée à l'unité d'organisation est appelée ligne de base activée par le parent. La ligne de base activée par le parent contrôle la configuration de ses lignes de base activées pour enfants. Cela est similaire à la façon dont un contrôle, lorsqu'il est activé sur une unité d'organisation, s'applique à tous les comptes de l'unité d'organisation.

Afficher le statut de base d'un compte

AWS Control Tower ne vous permet pas de cibler les comptes directement à l'aide de bases de référence. Cependant, vous pouvez suivre l'état d'activation et de dérive de chaque compte membre au moyen des bases de référence activées pour les enfants dont il a hérité. Pour consulter l'état de vos comptes, vous pouvez appeler l'ListEnabledBaselinesAPI à l'aide de l'indicateur de includeChildren fonctionnalité.

Désactiver la base de référence d'un compte

AWS Control Tower ne vous permet pas de désactiver une ligne de base activée pour les enfants liée à une ligne de base activée pour les parents. Une ligne de base activée pour un enfant peut être désactivée si elle est héritée et qu'elle n'est plus liée à une ligne de base activée par un parent.

Valeurs de référence et paramètres de version par défaut

Si votre zone d'atterrissage AWS Control Tower est déjà configurée et que vous choisissez d'activer une ligne de base de zone d'atterrissage, AWS Control Tower active la dernière version de la ligne de base compatible avec votre version de zone d'atterrissage. Si vous choisissez d'activer une ligne de base pour une unité d'organisation qui n'est pas encore enregistrée auprès d'AWS Control Tower, AWS Control Tower fournit automatiquement la dernière version compatible de la ligne de base pour cette unité d'organisation.