Jenis garis dasar - AWS Control Tower
Jenis dasar yang berlaku di tingkat OUJenis dasar yang dapat diterapkan pada akun bersama selama pengaturan landing zoneDiaktifkan baseline dan akun anggotaGaris dasar dan default versi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jenis garis dasar

Garis dasar di AWS Control Tower adalah sekelompok sumber daya dan konfigurasi spesifik yang dapat Anda terapkan ke target. Target dasar yang paling umum mungkin adalah unit organisasi (OU). Misalnya, Anda dapat mengaktifkan baseline dengan OU yang dipilih sebagai target, untuk mendaftarkan OU tersebut ke AWS Control Tower.

Selama pengaturan landing zone, beberapa baseline dapat diaktifkan pada akun bersama secara otomatis. Garis dasar tertentu dapat diaktifkan dan diperbarui berdasarkan pengaturan dan konfigurasi landing zone Anda. AWS Control Tower membuat dan menyebarkan sumber daya ke target dengan cara yang ditentukan baseline.

Saat Anda mengaktifkan baseline pada target, baseline direpresentasikan sebagai sumber daya AWS, yang disebut sumber daya. EnabledBaseline

AWS Control Tower mencakup dua jenis baseline umum:

  • Baseline yang dapat diaktifkan pada OU.

  • Garis dasar yang dapat diaktifkan pada akun bersama, selama pengaturan landing zone.

Jenis dasar yang berlaku di tingkat OU

catatan

Hanya Baseline yang berlaku pada level OU yang dapat langsung diaktifkan dengan API. EnableBaseline

  • Nama: AWSControlTowerBaseline

    Deskripsi: Menyiapkan sumber daya dan kontrol wajib untuk akun anggota dalam OU target, yang diperlukan untuk tata kelola AWS Control Tower.

    Pertimbangan: Garis dasar ini mempertahankan pengaturan zona pendaratan Wilayah menolak kontrol. Dengan kata lain, jika Region tidak diizinkan di tingkat landing zone, Region tersebut tidak diperbolehkan untuk OU tersebut ketika Anda memanggil EnableBaseline API untuk mendaftarkan OU.

    catatan

    Wilayah tingkat OU menolak kontrol tidak memiliki cara untuk mengizinkan Wilayah yang tidak diizinkan oleh zona pendaratan yang tidak diizinkan oleh Wilayah.

    Untuk informasi selengkapnya, lihat Cara SCPs kerja dengan penolakan dalam AWS Organizations dokumentasi.

    Rekomendasi: Kami menyarankan Anda mengonfirmasi Wilayah di mana target OU Anda mungkin menjalankan beban kerja, dan memeriksa hasilnya terhadap landing zone Region deny control, sebelum Anda memanggil EnableBaseline API untuk OU, atau Anda bisa kehilangan akses ke sumber daya di Wilayah tertentu.

  • Nama: ConfigBaseline

    Deskripsi: Garis dasar ini menyiapkan sumber daya terkait AWS Config untuk akun anggota dalam target OU yang diperlukan untuk mengaktifkan Kontrol Detektif. Sumber daya yang disiapkan adalah bagian dari sumber daya dari. AWSControl TowerBaseline

    Pertimbangan: Garis dasar ini tidak mempertahankan pengaturan zona pendaratan Wilayah menolak kontrol. Kontrol penolakan wilayah tidak akan diaktifkan sebagai bagian dari pengaktifan ConfigBaseline.

    Batasan: AWSControl TowerBaseline dan ConfigBaseline tidak dapat diaktifkan pada OU yang sama. Hanya satu dari mereka yang diizinkan pada OU.

  • Nama: BackupBaseline

    Deskripsi: Garis dasar ini mengatur sumber daya dan kontrol untuk akun anggota dalam OU target. Ini diperlukan agar integrasi dengan AWS Backup dapat mengotomatiskan pencadangan data Anda di seluruh Layanan AWS, dan memusatkan manajemen kebijakan cadangan Anda.

    Pertimbangan: Sebelum Anda mengaktifkan OU target, pastikan bahwa AWSControlTowerBaseline diaktifkan pada target OU. BackupBaseline Artinya, target OU harus terdaftar di AWS Control Tower.

    • Anda dapat memilih untuk mengaktifkan AWS Backup selama proses pembuatan landing zone AWS Control Tower, atau selama proses pembaruan landing zone.

    • BackupBaselineIni kompatibel dengan landing zone versi 3.1 dan yang lebih baru.

    • BackupBaselineIni tidak diterapkan ke akun manajemen.

Jenis dasar yang dapat diterapkan pada akun bersama selama pengaturan landing zone

AWS Control Tower memungkinkan baseline tertentu pada akun bersama, sebagai bagian dari proses penyiapan dan pembaruan landing zone. Garis dasar untuk landing zone Anda dapat berubah saat Anda mengubah pengaturan landing zone. Misalnya, jika Anda memilih IAM Identity Center, AWS Control Tower dapat mengaktifkan versi terbaru dari IdentityCenterBaseline baseline di landing zone Anda.

Anda dapat melihat baseline yang diaktifkan untuk landing zone Anda dengan panggilan ListEnabledBaselines API.

catatan

Dimulai dengan Landing Zone versi 4.0, digantikan oleh dua garis dasar yang berbeda: CentralSecurityRolesBaseline dan. AuditBaseline CentralConfigBaseline

  • Nama: CentralConfigBaseline

    Deskripsi: Menyiapkan sumber daya pusat untuk pemantauan dan audit kepatuhan dalam organisasi Anda menggunakan AWS Config.

  • Nama: CentralSecurityRolesBaseline

    Deskripsi: Menyiapkan sumber daya pusat untuk pemantauan keamanan dalam organisasi Anda.

  • Nama: AuditBaseline

    Deskripsi: Mengatur sumber daya untuk memantau keamanan dan kepatuhan akun di organisasi Anda.

  • Nama: LogArchiveBaseline

    Deskripsi: Menyiapkan repositori pusat untuk log aktivitas API dan konfigurasi sumber daya dari akun di organisasi Anda.

  • Nama: IdentityCenterBaseline

    Deskripsi: Menyiapkan sumber daya bersama untuk IAM Identity Center, yang mempersiapkan AWSControlTowerBaseline untuk mengatur akses Pusat Identitas untuk akun.

    Pertimbangan: Garis dasar ini hanya berfungsi ketika Anda telah memilih IAM Identity Center sebagai penyedia identitas Anda pada saat Anda mengatur landing zone Anda pada awalnya, atau jika Anda kemudian mengubah pengaturan landing zone Anda untuk mengaktifkan IAM Identity Center untuk landing zone Anda. Jika Anda menggunakan penyedia identitas yang berbeda, Anda tidak akan memiliki akses untuk mengaktifkan baseline ini.

  • Nama: BackupCentralVaultBaseline

    Deskripsi: Mengatur lemari AWS Backup besi pusat di organisasi Anda.

  • Nama: BackupAdminBaseline

    Deskripsi: Menyiapkan admin yang didelegasikan dan AWS Backup Audit Manager.

Diaktifkan baseline dan akun anggota

Saat Anda mengaktifkan baseline pada OU, konfigurasi tersebut diwarisi oleh akun anggota OU. Karena fakta warisan, kami menyebutnya baseline yang diaktifkan anak ketika kami merujuk ke akun. Garis dasar yang diterapkan ke OU disebut baseline yang diaktifkan induk. Garis dasar yang diaktifkan induk mengontrol konfigurasi baseline yang diaktifkan turunannya. Ini mirip dengan bagaimana kontrol, ketika diaktifkan pada OU, berlaku untuk setiap akun dalam OU.

Melihat status dasar akun

AWS Control Tower tidak memungkinkan Anda untuk menargetkan akun secara langsung dengan baseline. Namun, Anda dapat melacak status pemberdayaan dan penyimpangan dari setiap akun anggota melalui baseline yang diaktifkan anak warisan mereka. Untuk melihat status akun Anda, Anda dapat memanggil ListEnabledBaselinesAPI dengan tanda includeChildren fitur.

Nonaktifkan baseline akun

AWS Control Tower tidak mengizinkan Anda menonaktifkan baseline berkemampuan anak yang ditautkan ke baseline yang diaktifkan induk. Garis dasar yang diaktifkan anak dapat dinonaktifkan jika pewarisannya melayang dan tidak lagi ditautkan ke baseline yang diaktifkan orang tua.

Garis dasar dan default versi

Jika zona landing zone AWS Control Tower Anda sudah disiapkan, dan kemudian Anda memilih untuk mengaktifkan baseline landing zone, AWS Control Tower mengaktifkan versi terbaru dari baseline yang kompatibel dengan versi landing zone Anda. Jika Anda memilih untuk mengaktifkan baseline untuk OU yang belum terdaftar di AWS Control Tower, AWS Control Tower menyediakan versi terbaru yang kompatibel dari baseline untuk OU tersebut, secara otomatis.