기준 API 사용 예제
이 섹션에는 AWS Control Tower 기준 API에 대한 입력 및 출력 파라미터의 예제가 포함되어 있습니다.
DisableBaseline
이 API 작업에 대한 자세한 내용은 DisableBaseline을 참조하세요.
DisableBaseline 입력:
{ "enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789" }
DisableBaseline 출력:
{ "operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f" }
DisableBaseline CLI 예제:
aws controltower disable-baseline \ --enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789 \ --region us-west-2
EnableBaseline
이 API 작업에 대한 자세한 내용은 EnableBaseline을 참조하세요.
EnableBaseline 입력:
{ "baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2", "targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql", "baselineVersion": "3.0", "parameters": [ { "key": "IdentityCenterEnabledBaselineArn", "value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ" } ] }
EnableBaseline 출력, 새 리소스 반환:
{ "operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f", "arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAGF7TNOHRD7ES5VV" }
EnableBaseline CLI 예제:
이 예제는 AWS Control Tower에서 관리하는 AWS IAM Identity Center 액세스에 옵트인된 랜딩 존이 있는 AWS Organizations 조직에 대한 기준을 활성화하는 방법을 보여줍니다. Identity Center EnabledBaseline 식별자를 검색하려면 ListEnabledBaselines API를 직접 호출한 후 다음 Identity Center 기준으로 필터링할 수 있습니다. (arn:aws:controltower: Region::baseline/LN25R72TTG6IGPTQ)
aws controltower list-enabled-baselines \ --filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \ --region us-west-2
응답에는 EnabledBaseline 세부 정보가 표시되며, 여기에는 식별자가 표시됩니다.
{ "enabledBaselines": [ { "arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC", "baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ", "targetIdentifier": "arn:aws:organizations::123456789012:account/o-aq21sw43de5/123456789012", "statusSummary": { "status": "SUCCEEDED" } } ] }
참고
응답의 ARN 값을 기록하고 이 값을 파라미터로 전달하여 기본 기준을 활성화합니다.
aws controltower enable-baseline \ --baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \ --baseline-version 3.0 \ --target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \ --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \ --region us-west-2
IAM Identity Center의 AWS Control Tower 관리에서 옵트아웃된 랜딩 존이 있는 조직의 경우 파라미터 없이 기준을 활성화합니다.
aws controltower enable-baseline \ --baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \ --baseline-version 3.0 \ --target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \ --region us-west-2
GetBaseline
이 API 작업에 대한 자세한 내용은 GetBaseline을 참조하세요.
GetBaseline 입력:
{ "baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2" }
GetBaseline 출력:
{ "arn": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2", "name": "AWSControlTowerBaseline", "description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance.", }
GetBaseline CLI 예제:
aws controltower get-baseline \ --baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \ --region us-west-2
GetBaselineOperation
이 API 작업에 대한 자세한 내용은 GetBaselineOperation을 참조하세요.
GetBaselineOperation 입력:
{ "operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f" }
GetBaselineOperation 출력:
{ "baselineOperation": { "operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f", "operationType": "DISABLE_BASELINE", "status": "FAILED", "startTime": "2023-01-12T19:05:00Z", "endTime": "2023-01-12T19:45:00Z", "statusMessage": "Can't perform DisableBaseline on a parent target with governed child OUs" } }
GetBaselineOperation CLI 예제:
aws controltower get-baseline-operation \ --operation-identifier 58f12232-26be-4735-a3e9-dd30d90f021f \ --region us-west-2
GetEnabledBaseline
이 API 작업에 대한 자세한 내용은 GetEnabledBaseline을 참조하세요.
GetEnabledBaseline 입력:
{ "enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ" }
GetEnabledBaseline 출력:
{ "enabledBaselineDetails": { "arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ", "baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2", "baselineVersion": "3.0", "targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql", "statusSummary": { "status": "SUCCEEDED", "lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f" }, "parameters": [ { "key": "IdentityCenterEnabledBaselineArn", "value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ" } ] } }
GetEnabledBaseline CLI 예제:
aws controltower get-enabled-baseline \ --enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \ --region us-west-2
ListBaselines
이 API 작업에 대한 자세한 내용은 ListBaselines를 참조하세요.
ListBaselines 입력(선택적 입력 사용):
{ "nextToken": "AbCd1234", "maxResults": "4" }
ListBaselines 출력:
{ "baselines": [ { "arn": "arn:aws:controltower:us-east-1::baseline/4T4HA1KMO10S6311", "name": "AuditBaseline", "description": "Sets up resources to monitor security and compliance of accounts in your organization." }, { "arn": "arn:aws:controltower:us-east-1::baseline/J8HX46AHS5MIKQPD", "name": "LogArchiveBaseline", "description": "Sets up a central repository for logs of API activities and resource configurations from accounts in your organization." }, { "arn": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ", "name": "IdentityCenterBaseline", "description": "Sets up shared resources for AWS Identity Center, which prepares the AWSControlTowerBaseline to set up Identity Center access for accounts." }, { "arn": "arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2", "name": "AWSControlTowerBaseline", "description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance." }, { "arn": "arn:aws:controltower:us-east-1::baseline/3WPD0NA6TJ9AOMU2", "name": "BackupCentralVaultBaseline", "description": "Sets up central AWS Backup vault in your organization." }, { "arn": "arn:aws:controltower:us-east-1::baseline/H6C5JFCJJ3CPU3J5", "name": "BackupManagerBaseline", "description": "Sets up delegated admin and AWS Backup Audit Manager." }, { "arn": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK", "name": "BackupBaseline", "description": "Sets up local Backup vault and attach Backup policy." } ] }
ListBaselines CLI 예제:
aws controltower list-baselines \ --region us-west-2
ListEnabledBaselines
ListEnabledBaselines API에는 OU의 멤버인 계정에 적용되는 기준을 볼 수 있는 선택적 파라미터가 있습니다. 다음 예제에서는 계정의 기준을 보는 데 사용할 수 있는 몇 가지 CLI 명령을 보여줍니다. OU에 적용된 기준에서 거버넌스 구성이 도출되기 때문에 OU에서 활성화되지만 OU 내 각 계정에 적용되는 이러한 기준은 AWS Control Tower에서 하위 활성화 기준으로 취급됩니다.
이 API 작업에 대한 자세한 내용은 ListEnabledBaselines를 참조하세요.
하위 활성화 기준을 표시하기 위한 ListEnabledBaselines 입력:
aws controltower list-enabled-baselines --include-children
하위 활성화 기준을 보기 위한 ListEnabledBaselines 출력:
{ "enabledBaselines": [ { "arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XO2UQ1PC6BB5085S5", "baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK", "baselineVersion": "1.0", "statusSummary": { "lastOperationIdentifier": "07d6d2b8-e357-4f96-ba00-98ea88143445", "status": "SUCCEEDED" }, "targetIdentifier": "arn:aws:organizations::666355521292:ou/o-vaex10vaey/ou-k86y-ld9k8vpu" }, { "arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XAFPKQQXOJB50ZWQH", "baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK", "baselineVersion": "1.0", "parentIdentifier": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XOIZ4G08CWB50ZWON", "statusSummary": { "lastOperationIdentifier": "3508793e-48c8-4895-965b-3dc6abd52b6b", "status": "SUCCEEDED" }, "targetIdentifier": "arn:aws:organizations::666355521292:account/o-vaex10vaey/183295447314" } ]
참고
이전 예제에서 parentIdentifier 필드는 이 하위 활성화 기준에 대해 상위 OU의 활성화 기준을 보여줍니다.
특정 대상(OU 또는 계정)에 적용된 모든 기준 보기:
aws controltower list-enabled-baselines \ --filter '{ "targetIdentifiers": ["TARGET_ARN"] }
특정 기준이 있는 모든 OU 보기:
aws controltower list-enabled-baselines \ --filter '{ "baselineIdentifiers": ["BASELINE_ARN"] }'
특정 기준이 있는 모든 OU 및 계정 보기:
aws controltower list-enabled-baselines \ --filter '{ "baselineIdentifiers": ["BASELINE_ARN"] }' \ --include-children
기준 B가 활성화된 OU의 모든 계정 보기:
### First fetch the enabled baseline record for Baseline B on the OU aws controltower list-enabled-baselines \ --filter '{ "targetIdentifiers": ["OU_TARGET_ARN"], "baselineIdentifiers": ["BASELINE_ARN_FOR_BASELINE_B"] }' ### Call ListEnabled baseline to fetch all accounts that have their parent as the enabled baseline record on the OU aws controltower list-enabled-baselines \ --filter '{ "parentIdentifiers": ["ENABLED_BASELINE_ARN_FOR_OU"] }' \ --include-children
하위 활성화 기준에 대한 자세한 내용
GetEnabledBaselineAPI를 사용하여 특정 하위 활성화 기준에 대한 세부 정보를 볼 수 있습니다.GetBaselineOperationAPI를 사용하여 하위 활성화 기준에서 수행된 작업을 볼 수 있습니다.하위 활성화 기준에서
EnableBaseline,UpdateEnabledBaseline,ResetEnabledBaseline또는DisableBaseline등의 쓰기 API를 직접 호출할 수 없습니다.하위 활성화 기준 리소스는 AWS Control Tower 서비스를 이용하거나 상위 OU에서 수행되는 작업을 통해, 또는 Account Factory를 이용해야 수정할 수 있습니다.
필터 사용 예제:
ListEnabledBaselines 입력(필터 없음):
{ "nextToken": "bde7-XX0c6fXXXXXX", "maxResults": 5 }
ListEnabledBaselines 입력(baselineIdentifiers 필터만 해당):
{ "filter": { "baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2', 'arn:aws:controltower:us-east-1::baseline/12GZU8CKZKVMS2AW'] }, "nextToken": "bde7-XX0c6fXXXXXX", "maxResults": 5 }
ListEnabledBaselines 입력(targetIdentifiers 필터만 해당):
{ "filter": { "targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317', 'arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-11q6n2cf'] }, "nextToken": "bde7-XX0c6fXXXXXX", "maxResults": 2 }
ListEnabledBaselines 입력(baselineIdentifiers 및 targetIdentifiers 필터):
{ "filter": { "baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2'] "targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317'] }, "nextToken": "bde7-XX0c6fXXXXXX", "maxResults": 5 }
ListEnabledBaselines 출력:
{ "enabledBaselines": [ { "arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ", "baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2", "baselineVersion": "3.0", "targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql", "statusSummary": { "status": "SUCCEEDED", "lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f" } }, { "arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL", "baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2", "baselineVersion": "4.0", "targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317", "statusSummary": { "status": "FAILED", "lastOperationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0" } } ], "nextToken": "e2bXXXXX6cab" }
한 가지 유형의 필터(baselineIdentifiers 필터)를 사용하는 CLI 예제:
aws controltower list-enabled-baselines \ --filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2,arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \ --region us-west-2
여러 필터(baselineIdentifiers 및 targetIdentifiers 필터)를 사용하는 CLI 예제:
aws controltower list-enabled-baselines \ --filter targetIdentifiers=arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65,baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \ --region us-west-2
ResetEnabledBaseline
이 API 작업에 대한 자세한 내용은 ResetEnabledBaseline을 참조하세요.
ResetEnabledbaseline 입력:
{ "enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL" }
ResetEnabledBaseline 출력:
{ "operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0" }
ResetEnabledBaseline CLI 예제:
aws controltower reset-enabled-baseline \ --enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \ --region us-west-2
UpdateEnabledBaseline
이 API 작업에 대한 자세한 내용은 UpdateEnabledBaseline을 참조하세요.
UpdateEnabledBaseline 입력:
{ "enabledBaselineIdentifier": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL", "baselineVersion": "4.0", "parameters": [ { "key": "IdentityCenterEnabledBaselineArn", "value": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ" } ] }
UpdateEnabledBaseline 출력:
{ "operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0" }
UpdateEnabledBaseline CLI 예제:
aws controltower update-enabled-baseline \ --enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \ --baseline-version 4.0 --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \ --region us-west-2
