本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 基准的类型
AWS Control Tower 中的*基准*是您可以应用于目标的一组资源和特定配置。最常见的基准目标可能是组织单位(OU)。例如,您可以启用一个基准,选择一个 OU 作为目标,将该 OU 注册到 AWS Control Tower。
在 landing zone 设置期间,某些基准可能会在共享账户上自动启用。根据您的登录区设置和配置,可能会启用和更新某些基准。AWS Control Tower 按照基准指定的方式创建资源并将其部署到目标。
当您在目标上启用基准时,该基准将表示为 AWS 资源,称为`EnabledBaseline`资源。
AWS Control Tower 一般包括以下两种基准:
+ 可以在 OU 上启用的基准。
+ 在 landing zone 设置期间,可以在共享账户上启用的基准。
## 适用于 OU 级别的基准类型
**注意**
只有适用于 OU 级别的基准才能使用 `EnableBaseline` API 直接启用。
+ **名称**:`AWSControlTowerBaseline`
**描述**:此基准为目标 OU 内的成员账户设置资源和控制,这是合规性监控、审计、安全监控以及可选的访问管理所必需的。当你在 AWS Control Tower 中注册 OU 时,就会启用此基准。
**先决条件**:必须在 AWS Control Tower 着陆区启用 AWS Config 集成。
**注意事项**:此基准保留了登录区**区域拒绝**控件的设置。换句话说,如果在登录区级别不允许使用某个区域,则在调用 `EnableBaseline` API 注册一个 OU 时,该 OU 不允许使用该区域。
**注意**
OU 级别区域拒绝控件无法允许登录区区域拒绝控件不允许的区域。
有关更多信息,请参阅 AWS Organizations 文档中的[ SCPs 如何使用拒绝](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#how_scps_deny)。
**建议**:建议您在调用 OU 的 `EnableBaseline` API 之前,先确认目标 OU 可能运行工作负载的区域,并根据登录区区域拒绝控件检查结果,否则您可能会无法访问某些区域的资源。
+ **名称**:`ConfigBaseline`
**描述**:此基准为启用 Detective Controls 所需的目标 OU 中的成员账户设置 AWS Config 相关资源。设置的资源是资源的子集 AWSControlTowerBaseline。
**先决条件**:必须在 AWS Control Tower 着陆区启用 AWS Config 集成。
**注意事项**:此基线不保留着陆区 Region deny control 的设置。区域拒绝控制不会作为启用的一部分启用 ConfigBaseline。
**限制**: AWSControlTowerBaseline 且 ConfigBaseline 不能在同一 OU 上启用。OU 中只允许其中一个。
+ **名称**:`BackupBaseline`
**描述**:此基准为目标 OU 中的成员账户设置资源和控件。这些都是必需的,这样与的集成 AWS Backup 才能自动执行数据备份 AWS 服务,并集中管理备份策略。
**先决条件:**
+ 必须在 AWS Control Tower 着陆区启用 AWS Backup 集成。
+ 必须在 AWS Control Tower 着陆区启用 AWS Config 集成。
+ `AWSControlTowerBaseline`必须在目标 OU 上启用。
**注意事项**:在目标 OU 上启用 `BackupBaseline` 之前,请确保已在目标 OU 上启用 `AWSControlTowerBaseline`。也就是说,必须在 AWS Control Tower 中注册目标 OU。
+ 您可以选择 AWS Backup 在创建 AWS Control Tower 着陆区的过程中或着陆区更新过程中激活。
+ `BackupBaseline` 与登录区 3.1 及更高版本兼容。
+ `BackupBaseline` 不应用于管理账户。
## 在 landing zone 设置期间可能应用于共享账户的基准类型
作为着陆区设置和更新过程的一部分,AWS Control Tower 在共享账户上启用某些基准。当您更改登录区设置时,登录区的基准可能会发生变化。例如,如果您选择启用 IAM Identity Center,AWS Control Tower 可以在您的登录区启用最新版本的 `IdentityCenterBaseline` 基准。
您可以通过 `ListEnabledBaselines` API 调用查看您的登录区已启用的基准。
**注意**
从 Landing Zone 4.0 版本开始,被两个不同的基准所取代:`CentralSecurityRolesBaseline`和。 AuditBaseline `CentralConfigBaseline`
+ **名称**:`CentralConfigBaseline`
**描述**:使用 AWS Config 在组织内设置用于合规性监控和审计的中央资源。
+ **名称**:`CentralSecurityRolesBaseline`
**描述**:为组织内的安全监控设置中央资源。
+ **名称**:`AuditBaseline`
**描述**:设置资源以监控组织中账户的安全性和合规性。
+ **名称**:`LogArchiveBaseline`
**描述**:设置一个中央存储库,用于存储组织中账户的 API 活动和资源配置日志。
+ **名称**:`IdentityCenterBaseline`
**描述**:为 IAM Identity Center 设置共享资源,从而为 `AWSControlTowerBaseline` 设置账户的 Identity Center 访问权限做好准备。
**注意事项**:只有当您在最初设置登录区时选择 IAM Identity Center 作为身份提供者,或者随后更改登录区设置为登录区启用 IAM Identity Center 时,此基准才有效。如果您使用的是其他身份提供者,则将无法启用此基准。
+ **名称**:`BackupCentralVaultBaseline`
**描述**:在您的组织中设置中央 AWS Backup 保管库。
+ **名称**:`BackupAdminBaseline`
**描述**:设置委托管理员和 Audit M AWS Backup anager。
## 已启用的基准和成员账户
当您在一个 OU 上启用基准时,该 OU 的成员账户便会继承该配置。由于这种继承关系,我们会在提及账户时将其称为*启用子项的基准*。应用于 OU 的基准称为*启用父项的基准*。启用父项的基准控制其启用子项的基准的配置。这类似于在 OU 上启用控件后,将控件应用于 OU 中的每个账户。
**查看账户的基准状态**
AWS Control Tower 不允许您直接将基准应用于目标账户。但是,您可以通过每个成员账户继承的启用子项的基准,来跟踪这些账户的启用和偏移状态。要查看您的账户状态,可以调用带 `includeChildren` 功能标志的 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) API。
**禁用账户的基准**
AWS Control Tower 不允许您禁用与已启用父项的基准关联的支持子项的基准。如果启用子项的基线已被继承漂移,并且不再链接到已启用父项的基线,则可以将其禁用。
## 基准和版本控制默认设置
如果您的 AWS Control Tower 登录区已经设置完毕,然后您选择启用登录区基准,那么 AWS Control Tower 会启用与您的登录区版本兼容的最新版本的基准。如果您选择为尚未在 AWS Control Tower 中注册的 OU 启用基准,AWS Control Tower 会自动为该 OU 提供最新兼容版本的基准。