本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
示例: APIs 仅使用注册一个 AWS Control Tower OU
本示例演练是一份配套文档。有关解释、注意事项等更多信息,请参阅 基准的类型。
先决条件
您必须有一个未向 AWS Control Tower 注册但希望注册的现有 OU。或者,您必须有一个已注册的 OU,并希望重新注册以进行更新。
注册 OU
-
检查登录区是否启用了
IdentityCenterBaseline。如果是,请获取已启用 Identity Center 的基准标识符。aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==`<Identity Center Baseline Arn>`].[arn]' -
获取目标 OU 的 ARN。
aws organizations describe-organizational-unit --organizational-unit-id <Organizational Unit ID> --query 'OrganizationalUnit.[Arn]' -
获取
AWSControlTowerBaseline基准的 ARN。aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]' -
在目标 OU 上创建
AWSControlTowerBaseline基准。如果启用了 Identity Center 基准:
aws controltower enable-baseline --baseline-identifier<AWSControlTowerBaseline ARN>--baseline-version<BASELINE VERSION>--target-identifier<OU ARN>--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"<Identity Center Enabled Baseline ARN>"}]'如果未启用 Identity Center 基准,请省略该
parameters标志,如下所示:aws controltower enable-baseline --baseline-identifier<AWSControlTowerBaseline ARN>--baseline-version<BASELINE VERSION>--target-identifier<OU ARN>
重新注册 OU
更新着陆区设置或更新着陆区版本后,必须重新注册才能 OUs 向他们提供最新更改。请按照以下步骤通过重置关联的 EnabledBaseline 资源,以编程方式重新注册 OU。
-
获取要重新注册的目标 OU 的 ARN。
aws organizations describe-organizational-unit --organizational-unit-id<OU ID>--query 'OrganizationalUnit.[Arn]' -
获取目标 OU 的
EnabledBaseline资源的 ARN。aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==`<OUARN>`].[arn]' -
重置 EnabledBaseline。
aws controltower reset-enabled-baseline --enabled-baseline-identifier<EnabledBaselineArn>
