示例:仅使用 API 注册 AWS Control Tower 组织单元(OU)
本示例演练是一份配套文档。有关解释、注意事项等更多信息,请参阅 基准的类型。
先决条件
您必须有一个未向 AWS Control Tower 注册但希望注册的现有 OU。或者,您必须有一个已注册的 OU,并希望重新注册以进行更新。
注册 OU
-
检查登录区是否启用了
IdentityCenterBaseline。如果是,请获取已启用 Identity Center 的基准标识符。aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==`<Identity Center Baseline Arn>`].[arn]' -
获取目标 OU 的 ARN。
aws organizations describe-organizational-unit --organizational-unit-id <Organizational Unit ID> --query 'OrganizationalUnit.[Arn]' -
获取
AWSControlTowerBaseline基准的 ARN。aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]' -
在目标 OU 上创建
AWSControlTowerBaseline基准。如果启用了 Identity Center 基准:
aws controltower enable-baseline --baseline-identifier<AWSControlTowerBaseline ARN>--baseline-version<BASELINE VERSION>--target-identifier<OU ARN>--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"<Identity Center Enabled Baseline ARN>"}]'如果未启用 Identity Center 基准,请省略该
parameters标志,如下所示:aws controltower enable-baseline --baseline-identifier<AWSControlTowerBaseline ARN>--baseline-version<BASELINE VERSION>--target-identifier<OU ARN>
重新注册 OU
更新登录区设置或更新登录区版本后,您必须重新注册 OU 才能向它们提供最新更改。请按照以下步骤通过重置关联的 EnabledBaseline 资源,以编程方式重新注册 OU。
-
获取要重新注册的目标 OU 的 ARN。
aws organizations describe-organizational-unit --organizational-unit-id<OU ID>--query 'OrganizationalUnit.[Arn]' -
获取目标 OU 的
EnabledBaseline资源的 ARN。aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==`<OUARN>`].[arn]' -
重置 EnabledBaseline。
aws controltower reset-enabled-baseline --enabled-baseline-identifier<EnabledBaselineArn>
