基準類型 - AWS Control Tower
適用於 OU 層級的基準類型在登陸區域設定期間,可能套用至共用帳戶的基準類型已啟用基準和成員帳戶基準和版本控制預設值

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

基準類型

AWS Control Tower 中的基準是一組資源和特定組態,您可以套用到目標。最常見的基準目標可能是組織單位 (OU)。例如,您可以啟用已選取 OU 做為目標的基準,將該 OU 註冊到 AWS Control Tower。

在登陸區域設定期間,可能會在共用帳戶上自動啟用某些基準。根據您的登陸區域設定和組態,可能會啟用和更新特定基準。AWS Control Tower 會依照基準指定的方式,建立資源並部署至目標。

當您在目標上啟用基準時,基準會以稱為 資源的 AWS EnabledBaseline 資源表示。

AWS Control Tower 包含兩種一般類型的基準:

  • 可以在 OU 上啟用的基準。

  • 在登陸區域設定期間,可在共用帳戶上啟用的基準。

適用於 OU 層級的基準類型

注意

只有適用於 OU 層級的基準可以使用 EnableBaseline API 直接啟用。

  • 名稱: AWSControlTowerBaseline

    描述:為目標 OU 內的成員帳戶設定資源和強制性控制,這是 AWS Control Tower 控管所需的。

    考量:此基準會保留登陸區域區域拒絕控制的設定。換言之,如果登陸區域層級不允許某個區域,當您呼叫 EnableBaseline API 註冊 OU 時,該 OU 不允許該區域。

    注意

    OU 層級區域拒絕控制無法允許登陸區域區域拒絕控制不允許的區域。

    如需詳細資訊,請參閱 AWS Organizations 文件中的 SCPs 如何使用拒絕

    建議:建議您確認目標 OU 可能正在執行工作負載的區域,並在呼叫 OU 的 EnableBaseline API 之前,針對登陸區域區域拒絕控制檢查結果,否則您可能會失去對特定區域中資源的存取權。

  • 名稱: ConfigBaseline

    描述:此基準會在 Detective Controls 啟用所需的目標 OU 內為成員帳戶設定 AWS Config 相關資源。設定的資源是 AWSControlTowerBaseline 資源的子集。

    考量:此基準不會保留登陸區域區域拒絕控制的設定。啟用 ConfigBaseline 時,不會啟用區域拒絕控制。

    限制:無法在相同的 OU 上啟用 AWSControlTowerBaseline 和 ConfigBaseline。OU 上只允許其中一個。

  • 名稱: BackupBaseline

    描述:此基準會為目標 OU 中的成員帳戶設定資源和控制項。這些是必要的,以便與 整合 AWS Backup 可以自動化跨 的資料備份 AWS 服務,並集中備份政策管理。

    考量:在目標 OU BackupBaseline上啟用 之前,請確定AWSControlTowerBaseline已在目標 OU 上啟用 。也就是說,目標 OU 必須在 AWS Control Tower 中註冊。

    • 您可以選擇在建立 AWS Control Tower 登陸區域 AWS Backup 期間或在登陸區域更新程序中啟用 。

    • 與登陸區域 3.1 版及更新版本BackupBaseline相容。

    • BackupBaseline 不會套用至管理帳戶。

在登陸區域設定期間,可能套用至共用帳戶的基準類型

AWS Control Tower 會在共用帳戶上啟用特定基準,做為登陸區域設定和更新程序的一部分。當您變更登陸區域設定時,登陸區域的基準可能會變更。例如,如果您選擇加入 IAM Identity Center,AWS Control Tower 可以在您的登陸區域啟用最新版本的IdentityCenterBaseline基準。

您可以使用 ListEnabledBaselines API 呼叫來檢視登陸區域的已啟用基準。

注意

從登陸區域 4.0 版開始,AuditBaseline 會取代為兩個不同的基準: CentralSecurityRolesBaselineCentralConfigBaseline

  • 名稱: CentralConfigBaseline

    描述:使用 AWS Config 設定組織中合規監控和稽核的中央資源。

  • 名稱: CentralSecurityRolesBaseline

    描述:設定組織中安全監控的中央資源。

  • 名稱: AuditBaseline

    描述:設定資源來監控組織中帳戶的安全性和合規性。

  • 名稱: LogArchiveBaseline

    描述:為組織中帳戶 API 活動和資源組態的日誌設定中央儲存庫。

  • 名稱: IdentityCenterBaseline

    描述:設定 IAM Identity Center 的共用資源,這會準備 AWSControlTowerBaseline 來設定帳戶的 Identity Center 存取權。

    考量:只有在您最初設定登陸區域時已選取 IAM Identity Center 做為身分提供者,或隨後變更登陸區域設定以啟用登陸區域的 IAM Identity Center 時,此基準才有效。如果您使用的是不同的身分提供者,您將無法啟用此基準。

  • 名稱: BackupCentralVaultBaseline

    描述:在組織中設定中央 AWS Backup 保存庫。

  • 名稱: BackupAdminBaseline

    描述:設定委派的管理員和 AWS Backup Audit Manager。

已啟用基準和成員帳戶

當您在 OU 上啟用基準時,該組態會由 OU 的成員帳戶繼承。由於繼承的事實,當我們參考帳戶時,會將其稱為子啟用基準。套用至 OU 的基準稱為已啟用父基準。父系啟用基準控制其子系啟用基準的組態。這類似於在 OU 上啟用的控制項如何套用至 OU 中的每個帳戶。

檢視帳戶的基準狀態

AWS Control Tower 不允許您使用基準直接鎖定帳戶。不過,您可以透過每個成員帳戶的繼承子啟用基準來追蹤其啟用和偏離狀態。若要檢視帳戶的狀態,您可以使用 includeChildren功能旗標呼叫 ListEnabledBaselines API。

停用帳戶的基準

AWS Control Tower 不允許您停用連結至父系啟用基準的子系啟用基準。如果子系啟用的基準偏離且不再連結至父系啟用的基準,則可以停用該基準。

基準和版本控制預設值

如果您的 AWS Control Tower 登陸區域已設定,然後選擇啟用登陸區域基準,則 AWS Control Tower 會啟用與您的登陸區域版本相容的基準最新版本。如果您選擇為尚未向 AWS Control Tower 註冊的 OU 啟用基準,AWS Control Tower 會自動提供該 OU 基準的最新相容版本。