As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tipos de linhas de base
Uma linha de base no AWS Control Tower é um grupo de recursos e configurações específicas que você pode aplicar a um destino. O destino da linha de base mais comum pode ser uma unidade organizacional (UO). Por exemplo, é possível habilitar uma linha de base com uma UO selecionada como destino para registrar essa UO no AWS Control Tower.
Durante a configuração da landing zone, algumas linhas de base podem ser ativadas automaticamente na conta compartilhada. Certas linhas de base podem ser habilitadas e atualizadas com base nas definições e configurações de zona inicial. O AWS Control Tower cria e implanta os recursos no destino da forma que a linha de base especifica.
Quando você habilita uma linha de base em uma meta, a linha de base é representada como um EnabledBaseline recurso da AWS, chamado de recurso.
O AWS Control Tower inclui dois tipos gerais de linhas de base:
-
Linhas de base que podem ser habilitadas em uma OU.
-
Linhas de base que podem ser ativadas na conta compartilhada, durante a configuração da landing zone.
Tipos de linha de base que se aplicam no nível da OU
nota
Somente as linhas de base que se aplicam no nível da OU podem ser ativadas diretamente com a EnableBaseline API.
-
Nome:
AWSControlTowerBaselineDescrição: configura recursos e controles obrigatórios para contas-membros dentro da UO de destino, necessários para a governança do AWS Control Tower.
Consideração: essa linha de base mantém as configurações do controle de Negação de região da zona de pouso. Em outras palavras, se uma região não é permitida no nível da zona de pouso, essa região não é permitida para aquela UO quando você chama a API
EnableBaselinepara registrar uma UO.nota
O controle de negação de região no nível da UO não tem como permitir regiões que o controle de negação de região da zona de pouso não permite.
Para obter mais informações, consulte Como SCPs trabalhar com a negação na AWS Organizations documentação.
Recomendação: recomendamos que você confirme as regiões nas quais a UO de destino pode estar executando workloads e verifique os resultados em relação ao controle de negação de região da zona de pouso, antes de chamar a API
EnableBaselinepara a OU. Caso contrário, você poderá perder o acesso a recursos em determinadas regiões. -
Nome:
ConfigBaselineDescrição: essa linha de base configura recursos relacionados ao AWS Config para contas de membros dentro da UO de destino, necessários para a habilitação do Detective Controls. Os recursos configurados são um subconjunto dos recursos do AWSControlTowerBaseline.
Consideração: Essa linha de base não mantém as configurações da zona de pouso Region Deny Control. O controle de negação de região não será ativado como parte da ativação ConfigBaseline.
Limitação: AWSControl TowerBaseline e ConfigBaseline não pode ser ativado na mesma OU. Somente um deles é permitido em uma OU.
-
Nome:
BackupBaselineDescrição: essa linha de base configura recursos e controles para contas de membro dentro da UO de destino. Eles são necessários para que a integração com o AWS Backup possa automatizar seu backup de dados e centralizar o gerenciamento de suas políticas de backup.Serviços da AWS
Consideração: antes de habilitar o
BackupBaselineem uma UO de destino, certifique-se de queAWSControlTowerBaselineesteja habilitado na UO de destino. Ou seja, a UO de destino deve ser registrada no AWS Control Tower.-
Você pode optar por ativar AWS Backup durante o processo de criação da sua zona de pouso do AWS Control Tower ou durante um processo de atualização da zona de pouso.
-
O
BackupBaselineé compatível com as versões 3.1 e posteriores da zona de pouso. -
O
BackupBaselinenão é aplicado à conta gerencial.
-
Tipos de linha de base que podem ser aplicados em uma conta compartilhada durante a configuração da landing zone
O AWS Control Tower habilita determinadas linhas de base na conta compartilhada, como parte do processo de configuração e atualização da landing zone. As linhas de base da zona de pouso podem mudar conforme você altera as configurações de zona inicial. Por exemplo, se você optar pelo Centro de Identidade do IAM, o AWS Control Tower poderá habilitar a versão mais recente da linha de base IdentityCenterBaseline na zona de pouso.
Você pode ver as linhas de base habilitadas para a zona de pouso com a chamada de API ListEnabledBaselines.
nota
A partir da versão 4.0 do Landing Zone, o AuditBaseline é substituído por duas linhas de base distintas: e. CentralSecurityRolesBaseline CentralConfigBaseline
-
Nome:
CentralConfigBaselineDescrição: Configura recursos centrais para monitoramento e auditoria de conformidade em sua organização usando o AWS Config.
-
Nome:
CentralSecurityRolesBaselineDescrição: configura recursos centrais para monitoramento de segurança em sua organização.
-
Nome:
AuditBaselineDescrição: configura recursos para monitorar a segurança e a conformidade das contas em sua organização.
-
Nome:
LogArchiveBaselineDescrição: configura um repositório central para logs de atividades de API e configurações de recursos de contas em sua organização.
-
Nome:
IdentityCenterBaselineDescrição: configura recursos compartilhados para o Centro de Identidade do IAM, que prepara o
AWSControlTowerBaselinepara configurar o acesso ao Centro de Identidade para contas.Consideração: essa linha de base funciona somente quando você seleciona o Centro de Identidade do IAM como seu provedor de identidades no momento em que configurou a zona de pouso inicialmente, ou se você altera mais tarde as configurações de zona inicial para habilitar o Centro de Identidade do IAM para a zona de pouso. Se você estiver usando um provedor de identidades diferente, não terá acesso para habilitar essa linha de base.
-
Nome:
BackupCentralVaultBaselineDescrição: Configura o AWS Backup cofre central em sua organização.
-
Nome:
BackupAdminBaselineDescrição: configura o administrador delegado e o AWS Backup Audit Manager.
Linhas de base e contas de membro habilitadas
Quando você habilita uma linha de base em uma UO, essa configuração é herdada pelas contas de membro da UO. Devido ao fato da herança, chamamos isso de linha de base habilitada para filhos quando nos referimos à conta. A linha de base aplicada à UO é chamada de linha de base habilitada para pais. A linha de base habilitada para pais controla a configuração de suas linhas de base habilitadas para filhos. É semelhante à forma como um controle, quando ativado em uma UO, se aplica a todas as contas dentro da UO.
Exibir o status básico de uma conta
O AWS Control Tower não permite que você direcione contas diretamente com linhas de base. No entanto, você pode acompanhar o status de habilitação e desvio de cada conta de membro por meio das linhas de base herdadas habilitadas para filhos. Para ver o status de suas contas, você pode chamar a API ListEnabledBaselines com a bandeira de atributo includeChildren.
Desativar a linha de base de uma conta
O AWS Control Tower não permite que você desative uma linha de base habilitada para crianças vinculada a uma linha de base habilitada para pais. Uma linha de base habilitada para filhos pode ser desativada se for derivada de herança e não estiver mais vinculada a uma linha de base habilitada para pais.
Linhas de base e padrões de versionamento
Se a zona de pouso do AWS Control Tower já estiver configurada e você optar por habilitar uma linha de base da zona de pouso, o AWS Control Tower habilita a versão mais recente da linha de base compatível com a versão da zona de pouso. Se você optar por habilitar uma linha de base para uma UO que ainda não esteja registrada no AWS Control Tower, o AWS Control Tower fornecerá automaticamente a versão mais recente compatível da linha de base para essa UO.
