基准的类型 - AWS Control Tower
适用于 OU 级别的基准类型在 landing zone 设置期间可能应用于共享账户的基准类型已启用的基准和成员账户基准和版本控制默认设置

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基准的类型

AWS Control Tower 中的基准是您可以应用于目标的一组资源和特定配置。最常见的基准目标可能是组织单位(OU)。例如,您可以启用一个基准,选择一个 OU 作为目标,将该 OU 注册到 AWS Control Tower。

在 landing zone 设置期间,某些基准可能会在共享账户上自动启用。根据您的登录区设置和配置,可能会启用和更新某些基准。AWS Control Tower 按照基准指定的方式创建资源并将其部署到目标。

当您在目标上启用基准时,该基准将表示为 AWS 资源,称为EnabledBaseline资源。

AWS Control Tower 一般包括以下两种基准:

  • 可以在 OU 上启用的基准。

  • 在 landing zone 设置期间,可以在共享账户上启用的基准。

适用于 OU 级别的基准类型

注意

只有适用于 OU 级别的基准才能使用 EnableBaseline API 直接启用。

  • 名称AWSControlTowerBaseline

    描述:为目标 OU 中的成员账户设置 AWS Control Tower 监管所需的资源和强制性控件。

    注意事项:此基准保留了登录区区域拒绝控件的设置。换句话说,如果在登录区级别不允许使用某个区域,则在调用 EnableBaseline API 注册一个 OU 时,该 OU 不允许使用该区域。

    注意

    OU 级别区域拒绝控件无法允许登录区区域拒绝控件不允许的区域。

    有关更多信息,请参阅AWS Organizations文档中的 SCPs 如何使用拒绝

    建议:建议您在调用 OU 的 EnableBaseline API 之前,先确认目标 OU 可能运行工作负载的区域,并根据登录区区域拒绝控件检查结果,否则您可能会无法访问某些区域的资源。

  • 名称ConfigBaseline

    描述:此基准为启用 Detective Controls 所需的目标 OU 中的成员账户设置 AWS Config 相关资源。设置的资源是资源的子集 AWSControlTowerBaseline。

    注意事项:此基线不保留着陆区 Region deny control 的设置。区域拒绝控制不会作为启用的一部分启用 ConfigBaseline。

    限制: AWSControlTowerBaseline 且 ConfigBaseline 不能在同一 OU 上启用。OU 中只允许其中一个。

  • 名称BackupBaseline

    描述:此基准为目标 OU 中的成员账户设置资源和控件。这些都是必需的,这样与集成AWS Backup才能自动备份数据AWS 服务,并集中管理备份策略。

    注意事项:在目标 OU 上启用 BackupBaseline 之前,请确保已在目标 OU 上启用 AWSControlTowerBaseline。也就是说,必须在 AWS Control Tower 中注册目标 OU。

    • 您可以选择AWS Backup在创建 AWS Control Tower 着陆区的过程中或着陆区更新过程中激活。

    • BackupBaseline 与登录区 3.1 及更高版本兼容。

    • BackupBaseline 不应用于管理账户。

在 landing zone 设置期间可能应用于共享账户的基准类型

作为着陆区设置和更新过程的一部分,AWS Control Tower 在共享账户上启用某些基准。当您更改登录区设置时,登录区的基准可能会发生变化。例如,如果您选择启用 IAM Identity Center,AWS Control Tower 可以在您的登录区启用最新版本的 IdentityCenterBaseline 基准。

您可以通过 ListEnabledBaselines API 调用查看您的登录区已启用的基准。

注意

从 Landing Zone 4.0 版本开始,被两个不同的基准所取代:CentralSecurityRolesBaseline和。 AuditBaseline CentralConfigBaseline

  • 名称CentralConfigBaseline

    描述:使用 AWS Config 在组织内设置用于合规性监控和审计的中央资源。

  • 名称CentralSecurityRolesBaseline

    描述:为组织内的安全监控设置中央资源。

  • 名称AuditBaseline

    描述:设置资源以监控组织中账户的安全性和合规性。

  • 名称LogArchiveBaseline

    描述:设置一个中央存储库,用于存储组织中账户的 API 活动和资源配置日志。

  • 名称IdentityCenterBaseline

    描述:为 IAM Identity Center 设置共享资源,从而为 AWSControlTowerBaseline 设置账户的 Identity Center 访问权限做好准备。

    注意事项:只有当您在最初设置登录区时选择 IAM Identity Center 作为身份提供者,或者随后更改登录区设置为登录区启用 IAM Identity Center 时,此基准才有效。如果您使用的是其他身份提供者,则将无法启用此基准。

  • 名称BackupCentralVaultBaseline

    描述:在您的组织中设置中央AWS Backup保管库。

  • 名称BackupAdminBaseline

    描述:设置委托管理员和 Audit M AWS Backup anager。

已启用的基准和成员账户

当您在一个 OU 上启用基准时,该 OU 的成员账户便会继承该配置。由于这种继承关系,我们会在提及账户时将其称为启用子项的基准。应用于 OU 的基准称为启用父项的基准。启用父项的基准控制其启用子项的基准的配置。这类似于在 OU 上启用控件后,将控件应用于 OU 中的每个账户。

查看账户的基准状态

AWS Control Tower 不允许您直接将基准应用于目标账户。但是,您可以通过每个成员账户继承的启用子项的基准,来跟踪这些账户的启用和偏移状态。要查看您的账户状态,可以调用带 includeChildren 功能标志的 ListEnabledBaselines API。

禁用账户的基准

AWS Control Tower 不允许您禁用与已启用父项的基准关联的支持子项的基准。如果启用子项的基线已被继承漂移,并且不再链接到启用父项的基线,则可以将其禁用。

基准和版本控制默认设置

如果您的 AWS Control Tower 登录区已经设置完毕,然后您选择启用登录区基准,那么 AWS Control Tower 会启用与您的登录区版本兼容的最新版本的基准。如果您选择为尚未在 AWS Control Tower 中注册的 OU 启用基准,AWS Control Tower 会自动为该 OU 提供最新兼容版本的基准。