本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 基準類型
AWS Control Tower 中的*基準*是一組資源和特定組態,您可以套用至目標。最常見的基準目標可能是組織單位 (OU)。例如,您可以啟用選取 OU 做為目標的基準,將該 OU 註冊到 AWS Control Tower。
在登陸區域設定期間,可能會在共用帳戶上自動啟用某些基準。根據您的登陸區域設定和組態,可能會啟用和更新特定基準。AWS Control Tower 會以基準指定的方式,建立資源並將其部署到目標。
當您在目標上啟用基準時,基準會以稱為 資源的 AWS `EnabledBaseline` 資源表示。
AWS Control Tower 包含兩種一般類型的基準:
+ 可以在 OU 上啟用的基準。
+ 在登陸區域設定期間,可在共用帳戶上啟用的基準。
## 在 OU 層級套用的基準類型
**注意**
只有適用於 OU 層級的基準可以使用 `EnableBaseline` API 直接啟用。
+ **名稱:** `AWSControlTowerBaseline`
**描述**:此基準會為目標 OU 內的成員帳戶設定資源和控制項,這是合規監控、稽核、安全監控以及選擇性存取管理的必要項目。當您在 AWS Control Tower 中註冊 OU 時,會啟用此基準。
**先決條件**:必須在 AWS Control Tower 登陸區域中啟用 AWS Config 整合。
**考量**:此基準會保留登陸區域**區域拒絕**控制的設定。換句話說,如果登陸區域層級不允許某個區域,當您呼叫 `EnableBaseline` API 註冊 OU 時,該 OU 不允許該區域。
**注意**
OU 層級區域拒絕控制無法允許登陸區域區域拒絕控制不允許的區域。
如需詳細資訊,請參閱 AWS Organizations 文件中的 [ SCPs 如何使用拒絕](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#how_scps_deny)。
**建議**:建議您確認目標 OU 可能正在執行工作負載的區域,並在呼叫 OU 的 `EnableBaseline` API 之前,針對登陸區域區域拒絕控制檢查結果,否則您可能會失去對特定區域中資源的存取權。
+ **名稱:** `ConfigBaseline`
**描述**:此基準會在 Detective 控制項啟用所需的目標 OU 內為成員帳戶設定 AWS Config 相關資源。設定的資源是 AWSControlTowerBaseline 資源的子集。
**先決條件**:必須在 AWS Control Tower 登陸區域中啟用 AWS Config 整合。
**考量**:此基準不會保留登陸區域區域拒絕控制的設定。在啟用 ConfigBaseline 的過程中,不會啟用區域拒絕控制。
**限制**:無法在相同的 OU 上啟用 AWSControlTowerBaseline 和 ConfigBaseline。OU 上只允許其中一個。
+ **名稱:** `BackupBaseline`
**描述**:此基準會設定目標 OU 內成員帳戶的資源和控制項。這些是必要的,以便與 整合 AWS Backup 可以自動化跨 的資料備份 AWS 服務,並集中備份政策管理。
**先決條件:**
+ AWS Backup 整合必須在 AWS Control Tower 登陸區域中啟用。
+ AWS Config 整合必須在 AWS Control Tower 登陸區域中啟用。
+ `AWSControlTowerBaseline` 必須在目標 OU 上啟用 。
**考量**:在目標 OU `BackupBaseline`上啟用 之前,請確定`AWSControlTowerBaseline`已在目標 OU 上啟用 。也就是說,目標 OU 必須在 AWS Control Tower 中註冊。
+ 您可以選擇在建立 AWS Control Tower 登陸區域 AWS Backup 的過程中或在登陸區域更新程序中啟用 。
+ 與登陸區域 3.1 版及更新版本`BackupBaseline`相容。
+ `BackupBaseline` 不會套用至管理帳戶。
## 在登陸區域設定期間,可能套用至共用帳戶的基準類型
AWS Control Tower 會在共用帳戶上啟用特定基準,做為登陸區域設定和更新程序的一部分。當您變更登陸區域設定時,登陸區域的基準可能會變更。例如,如果您選擇加入 IAM Identity Center,AWS Control Tower 可以在您的登陸區域啟用最新版本的`IdentityCenterBaseline`基準。
您可以使用 `ListEnabledBaselines` API 呼叫來檢視登陸區域的已啟用基準。
**注意**
從登陸區域 4.0 版開始,AuditBaseline 會取代為兩個不同的基準: `CentralSecurityRolesBaseline`和 `CentralConfigBaseline`。
+ **名稱:** `CentralConfigBaseline`
**描述**:使用 AWS Config 設定組織中合規監控和稽核的中央資源。
+ **名稱:** `CentralSecurityRolesBaseline`
**描述**:設定組織中安全監控的中央資源。
+ **名稱:** `AuditBaseline`
**描述**:設定資源來監控組織中帳戶的安全性和合規性。
+ **名稱:** `LogArchiveBaseline`
**描述**:為組織中帳戶 API 活動和資源組態的日誌設定中央儲存庫。
+ **名稱:** `IdentityCenterBaseline`
**描述**:設定 IAM Identity Center 的共用資源,這會準備 `AWSControlTowerBaseline` 來設定帳戶的 Identity Center 存取權。
**考量**:只有在您最初設定登陸區域時已選取 IAM Identity Center 做為身分提供者,或隨後變更登陸區域設定以啟用登陸區域的 IAM Identity Center 時,此基準才有效。如果您使用的是不同的身分提供者,您將無法啟用此基準。
+ **名稱:** `BackupCentralVaultBaseline`
**描述**:在組織中設定中央 AWS Backup 保存庫。
+ **名稱:** `BackupAdminBaseline`
**描述**:設定委派的管理員和 AWS Backup Audit Manager。
## 已啟用基準和成員帳戶
當您在 OU 上啟用基準時,該組態會由 OU 的成員帳戶繼承。由於繼承的事實,當我們參考帳戶時,會將其稱為*子啟用基準*。套用至 OU 的基準稱為*已啟用父基準*。父系啟用基準控制其子系啟用基準的組態。這類似於在 OU 上啟用的控制項如何套用至 OU 中的每個帳戶。
**檢視帳戶的基準狀態**
AWS Control Tower 不允許您使用基準直接鎖定帳戶。不過,您可以透過每個成員帳戶的繼承子啟用基準來追蹤其啟用和偏離狀態。若要檢視帳戶的狀態,您可以使用 `includeChildren`功能旗標呼叫 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) API。
**停用帳戶的基準**
AWS Control Tower 不允許您停用連結至父系啟用基準的子系啟用基準。如果子系啟用的基準偏離且不再連結至父系啟用的基準,則可以停用子系啟用的基準。
## 基準和版本控制預設值
如果您的 AWS Control Tower 登陸區域已設定,然後選擇啟用登陸區域基準,則 AWS Control Tower 會啟用與您的登陸區域版本相容的最新版本基準。如果您選擇為尚未向 AWS Control Tower 註冊的 OU 啟用基準,AWS Control Tower 會自動提供該 OU 基準的最新相容版本。