示例: APIs 仅使用注册一个 AWS Control Tower OU - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

示例: APIs 仅使用注册一个 AWS Control Tower OU

本示例演练是一份配套文档。有关解释、注意事项等更多信息,请参阅 基准的类型

先决条件

您必须有一个未向 AWS Control Tower 注册但希望注册的现有 OU。或者,您必须有一个已注册的 OU,并希望重新注册以进行更新。

注册 OU

  1. 检查登录区是否启用了 IdentityCenterBaseline。如果是,请获取已启用 Identity Center 的基准标识符。

    aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
    aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==`<Identity Center Baseline Arn>`].[arn]'

  2. 获取目标 OU 的 ARN。

    aws organizations describe-organizational-unit --organizational-unit-id <Organizational Unit ID> --query 'OrganizationalUnit.[Arn]'

  3. 获取 AWSControlTowerBaseline 基准的 ARN。

    aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'

  4. 在目标 OU 上创建 AWSControlTowerBaseline 基准。

    如果启用了 Identity Center 基准:

    aws controltower enable-baseline --baseline-identifier <AWSControlTowerBaseline ARN> --baseline-version <BASELINE VERSION> --target-identifier <OU ARN> --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"<Identity Center Enabled Baseline ARN>"}]'

    如果未启用 Identity Center 基准,请省略该 parameters 标志,如下所示:

    
aws controltower enable-baseline --baseline-identifier <AWSControlTowerBaseline ARN> --baseline-version <BASELINE VERSION> --target-identifier <OU ARN>

重新注册 OU

更新着陆区设置或更新着陆区版本后,必须重新注册才能 OUs 向他们提供最新更改。按照以下步骤以编程方式重新注册 OU,方法是重置关联EnabledBaseline资源和任何关联资源。EnabledControl

重要

如果 OU 启用了可选控件,则在重置基准后,您还必须为每个启用的可选控件调用 ResetEnabledControlAPI。此步骤可确保可选控件与最新的 landing zone 配置保持一致。如果您跳过此步骤,OU 上的可选控件可能无法反映最新的 landing zone 更改。如果您未启用任何可选控件,则无需执行此步骤。

  1. 获取要重新注册的目标 OU 的 ARN。

    aws organizations describe-organizational-unit --organizational-unit-id <OU ID> --query 'OrganizationalUnit.[Arn]'

  2. 获取目标 OU 的 EnabledBaseline 资源的 ARN。

    aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==`<OUARN>`].[arn]'

  3. 重置 EnabledBaseline。

    aws controltower reset-enabled-baseline --enabled-baseline-identifier <EnabledBaselineArn>

  4. 如果 OU 启用了可选控件,请列出 OU 已启用的控件并重置每个控件,使其与最新的 landing zone 配置保持一致。

    列出目标 OU 上已启用的控件:

    aws controltower list-enabled-controls --target-identifier <OU ARN>

    对于返回的每个已启用的可选控件,请调用以下命令将其重置:

    aws controltower reset-enabled-control --enabled-control-identifier <EnabledControlArn>

    有关更多信息,请参阅 AWS C ResetEnabledControlontrol Tower API 参考中的。