本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # OU 基准和登录区版本的兼容性 如果您的业务需要,AWS Control Tower 基准允许您在 OU 级别而不是登录区级别设置监管标准。所调用的基准可用于帮助您`AWSControlTowerBaseline`在 AWS Con OUs trol Tower 上注册。 **注意** *基准*是一组控件和资源,它们协同工作,在您的登录区中建立稳定的监管环境。 在 AWS Control Tower 中调用 `EnableBaseline` API 来在 OU 上启用基准时,您必须指定与您当前 AWS Control Tower 登录区版本兼容的基准版本。指定基准后,OU 中的所有成员账户都将遵循为 OU 提供的基准。换句话说,新账户会根据更新的基准进行预置,而现有成员账户会根据新基准进行监管。 如果您没有为现有 OUs 和账户选择基准,则默认情况下,landing zone 版本将决定整个治理状况。但是,您的登录区中每个注册的 OU 都会被分配一个基准版本,该版本是与您当前的登录区版本兼容的最新基准。因此,每个 OU 和已注册的成员账户都有一个关联的基准,即使您从未专门分配过基准。 对于 OU 级别的基准 `AWSControlTowerBaseline`,下表显示了基准与 AWS Control Tower 登录区版本的兼容性。 | **基准版本** | **登录区版本** | **内含蓝图** | **与之前的基准相比的变化** | | --- | --- | --- | --- | | 1.0 | 2.0 至 2.7 | BP\_BASELINE\_CLOUDTRAIL、BP\_BASELINE\_CLOUDWATCH、BP\_BASELINE\_CONFIG、BP\_BASELINE\_ROLES、BP\_BASELINE\_SERVICE\_ROLES、IAM 资源 | 无 | | 2.0 | 2.8 至 2.9 | BP\_BASELINE\_CLOUDTRAIL、BP\_BASELINE\_CLOUDWATCH、BP\_BASELINE\_CONFIG、BP\_BASELINE\_ROLES、BP\_BASELINE\_SERVICE\_ROLES、Config SLR、IAM 资源 | 添加了 AWS Config 服务相关角色 (SLR) 和新的 Config 蓝图以使用 SLR | | 3.0 | 3.0 至 3.1 | BP\_BASELINE\_CLOUDWATCH、BP\_BASELINE\_CONFIG、BP\_BASELINE\_ROLES、BP\_BASELINE\_SERVICE\_ROLES、Config SLR、IAM 资源 | 新 AWS Config 蓝图。更改为仅在主区域记录全局资源。已移除 CloudTrail 蓝图 | | 4.0 | 3.2 至 3.3 | BP\_BASELINE\_CLOUDWATCH、BP\_BASELINE\_CONFIG、BP\_BASELINE\_ROLES、BP\_BASELINE\_SERVICE\_LINKED\_ROLE、BP\_BASELINE\_SERVICE\_ROLES、Config SLR、IAM 资源 | 新的 SLR 蓝图 | | 5.0 | 4.0 | BP\_BASELINE\_CLOUDWATCH、BP\_BASELINE\_CONFIG、BP\_BASELINE\_ROLES、BP\_BASELINE\_SERVICE\_LINKED\_ROLE、BP\_BASELINE\_SERVICE\_ROLES、Config SLR、IAM 资源 | 已移除 AWS Config 聚合授权。由于 LandingZone 版本 4.0 采用了可以访问组织内所有成员账户的 AWS Organizations Config Aggregator,因此不需要每个成员账户授权。 | 有关设置登录区时在账户中创建的特定资源的更多信息,请参阅 [Resources created in the shared accounts](https://docs.aws.amazon.com//controltower/latest/userguide/shared-account-resources.html)。 如果您将登录区更新为支持较新版 `AWSControlTowerBaseline` 基准的版本,并且新的登录区版本与您现有的基准版本兼容,则您的 OU 状态将更改为**有更新可用**。 + 除将登录区版本从 2.x 更新到 3.x 之外,您无需立即更新 OU 基准即可继续使用 Account Factory 和其他功能。 + 在基准版本更新之前,在此 OU 中注册的新账户将根据现有基准版本获得资源(使用控制台中的**扩展监管**功能或通过 `UpdateEnabledBaseline` API)。 + 更新基准版本后,该 OU 中的所有账户都会获得基于新基准版本的资源。 **注意** 如果您将 AWS Control Tower 着陆区从任何 2.X 版本更新为任何 3.X 版本,则还必须更新您的基础版本 OUs,因为账户级别的跟踪已从账户级别更改为组织级跟踪。 AWS CloudTrail 在控制台中,您的 OU 将显示**需要更新**的状态。 **基准注意事项** + 如果您的 OU 需要更新基准,则您无法预置新账户或将现有账户注册到该 OU。 + 登录区更新后,如果您还计划更新 OU 基准,则必须重新注册该 OU 或以编程方式更新 OU 基准版本。 + 我们建议您更新到正在使用的登录区版本的最高兼容基准,这样您就能获享登录区和基准配合使用的所有好处。例如,如果您更新到登录区版本 3.3,则可以继续使用基准 3.0,但除非您同时更新到基准 4.0,否则无法获得登录区版本 3.3 的所有好处。 + 基准更新不能回滚。 + 基准启用一次针对一个 OU。因此,更新父 OU 时,嵌套 OUs 不会自动更新。我们建议您在更新嵌套的 OU 之前先更新父 OU OUs。 + 从控制台调用 `UpdateEnabledBaseline` API 或重新注册 OU 时,OU 会保留基准更新前启用的所有控件。 + 当多个基准版本与您的登录区版本兼容时,如果您在非托管 OU 上启用基准,则必须使用最新的基准版本。