例: API のみを使用して AWS Control Tower OU を登録する
この例によるチュートリアルは、付随的なドキュメントです。説明、注意事項、および詳細については、「ベースラインのタイプ」を参照してください。
前提条件
登録する OU として、AWS Control Tower に登録されていない既存の OU が必要です。または、更新の目的で再登録する、登録済みの OU が必要です。
OU の登録
-
IdentityCenterBaselineがランディングゾーンに対して有効になっているかどうかを確認します。有効になっている場合は、アイデンティティセンターの有効なベースラインの識別子を取得します。aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==`<Identity Center Baseline Arn>`].[arn]' -
ターゲット OU の ARN を取得します。
aws organizations describe-organizational-unit --organizational-unit-id <Organizational Unit ID> --query 'OrganizationalUnit.[Arn]' -
AWSControlTowerBaselineベースラインの ARN を取得します。aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]' -
ターゲット OU に
AWSControlTowerBaselineベースラインを作成します。アイデンティティセンターベースラインが有効になっている場合:
aws controltower enable-baseline --baseline-identifier<AWSControlTowerBaseline ARN>--baseline-version<BASELINE VERSION>--target-identifier<OU ARN>--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"<Identity Center Enabled Baseline ARN>"}]'アイデンティティセンターベースラインが有効になっていない場合は、次のように
parametersフラグを省略します。aws controltower enable-baseline --baseline-identifier<AWSControlTowerBaseline ARN>--baseline-version<BASELINE VERSION>--target-identifier<OU ARN>
OU の再登録
ランディングゾーン設定の更新を行うか、ランディングゾーンバージョンを更新した後は、OU を再登録して最新の変更を加える必要があります。関連付けられた EnabledBaseline リソースをリセットすることで、OU をプログラムによって再登録するには、次の手順に従います。
-
再登録するターゲット OU の ARN を取得します。
aws organizations describe-organizational-unit --organizational-unit-id<OU ID>--query 'OrganizationalUnit.[Arn]' -
ターゲット OU の
EnabledBaselineリソースの ARN を取得します。aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==`<OUARN>`].[arn]' -
有効なベースラインをリセットします。
aws controltower reset-enabled-baseline --enabled-baseline-identifier<EnabledBaselineArn>
