Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Arten von Basislinien
Eine *Baseline* in AWS Control Tower ist eine Gruppe von Ressourcen und spezifischen Konfigurationen, die Sie auf ein Ziel anwenden können. Das gängigste Basisziel kann eine Organisationseinheit (OU) sein. Sie können beispielsweise eine Baseline mit einer als Ziel ausgewählten Organisationseinheit aktivieren, um diese Organisationseinheit bei AWS Control Tower zu registrieren.
Während der Einrichtung der landing zone können einige Baselines automatisch für ein gemeinsames Konto aktiviert werden. Bestimmte Baselines können auf der Grundlage Ihrer Landezoneneinstellungen und -konfigurationen aktiviert und aktualisiert werden. AWS Control Tower erstellt die Ressourcen und stellt sie auf dem Ziel bereit, wie es die Baseline vorgibt.
Wenn Sie eine Baseline auf einem Ziel aktivieren, wird die Baseline als AWS-Ressource dargestellt, die als `EnabledBaseline` Ressource bezeichnet wird.
AWS Control Tower umfasst zwei allgemeine Arten von Baselines:
+ Baselines, die auf einer OU aktiviert werden können.
+ Baselines, die bei der Einrichtung der landing zone für ein gemeinsames Konto aktiviert werden können.
## Basistypen, die auf OU-Ebene gelten
**Anmerkung**
Nur Baselines, die auf OU-Ebene gelten, können direkt mit der `EnableBaseline` API aktiviert werden.
+ **Name (Name:** `AWSControlTowerBaseline`
**Beschreibung**: Diese Baseline richtet Ressourcen und Kontrollen für Mitgliedskonten innerhalb der Ziel-OU ein, die für die Compliance-Überwachung, Prüfung, Sicherheitsüberwachung und optional für die Zugriffsverwaltung erforderlich sind. Diese Baseline wird aktiviert, wenn Sie eine Organisationseinheit in AWS Control Tower registrieren.
**Voraussetzung**: Die AWS Config-Integration muss in der AWS Control Tower Tower-Landing landing zone aktiviert sein.
**Überlegung**: Diese Basislinie behält die Einstellungen der landing zone **Region Deny** Control bei. Mit anderen Worten, wenn eine Region auf Landingzone-Ebene nicht zulässig ist, ist diese Region für diese Organisationseinheit nicht zulässig, wenn Sie die `EnableBaseline` API aufrufen, um eine OU zu registrieren.
**Anmerkung**
Die Option Region Deny Control auf OU-Ebene hat keine Möglichkeit, Regionen zuzulassen, die die landing zone Region Deny Control nicht zulässt.
Weitere Informationen finden Sie in der Dokumentation unter [So SCPs arbeiten Sie mit Deny](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#how_scps_deny). AWS Organizations
**Empfehlung**: Wir empfehlen Ihnen, die Regionen zu überprüfen, in denen Ihre Ziel-OU möglicherweise Workloads ausführt, und die Ergebnisse mit der landing zone Region Deny Control zu vergleichen, bevor Sie die `EnableBaseline` API für die Organisationseinheit aufrufen, da Sie sonst den Zugriff auf Ressourcen in bestimmten Regionen verlieren könnten.
+ **Name (Name:** `ConfigBaseline`
**Beschreibung**: Diese Baseline richtet AWS Config-bezogene Ressourcen für Mitgliedskonten innerhalb der Ziel-OU ein, die für die Aktivierung von Detective Controls erforderlich sind. Die eingerichteten Ressourcen sind eine Teilmenge der Ressourcen von. AWSControl TowerBaseline
**Voraussetzung**: Die AWS Config-Integration muss in der AWS Control Tower Tower-Landing landing zone aktiviert sein.
**Überlegung**: Diese Baseline behält nicht die Einstellungen der landing zone Region Deny Control bei. Die Steuerung der Regionsverweigerung wird im Rahmen der Aktivierung nicht aktiviert ConfigBaseline.
**Einschränkung**: AWSControl TowerBaseline und ConfigBaseline kann nicht auf derselben Organisationseinheit aktiviert werden. In einer Organisationseinheit ist nur eine davon zulässig.
+ **Name (Name:** `BackupBaseline`
**Beschreibung**: Diese Baseline richtet Ressourcen und Kontrollen für Mitgliedskonten innerhalb der Ziel-OU ein. Diese sind erforderlich, damit die Integration mit Ihre gesamte AWS-Services Datensicherung automatisieren und Ihr Backup-Policy-Management zentralisieren AWS Backup kann.
**Voraussetzungen:**
+ Die AWS-Backup-Integration muss in der AWS Control Tower Tower-Landing landing zone aktiviert sein.
+ Die AWS Config-Integration muss in der AWS Control Tower Tower-Landezone aktiviert sein.
+ `AWSControlTowerBaseline`muss auf der Ziel-OU aktiviert sein.
**Überlegung**: Bevor Sie das `BackupBaseline` auf einer Ziel-OU aktivieren, stellen Sie sicher, dass das auf der Ziel-OU aktiviert `AWSControlTowerBaseline` ist. Das heißt, die Ziel-OU muss in AWS Control Tower registriert sein.
+ Sie können wählen, ob die Aktivierung AWS Backup während der Erstellung Ihrer AWS Control Tower Tower-Landezone oder während eines Landing-Zone-Aktualisierungsprozesses erfolgen soll.
+ Das `BackupBaseline` ist mit den landing zone Zone-Versionen 3.1 und höher kompatibel.
+ Das `BackupBaseline` wird nicht auf das Verwaltungskonto angewendet.
## Basisarten, die bei der Einrichtung der landing zone auf ein gemeinsames Konto angewendet werden können
AWS Control Tower aktiviert im Rahmen der Einrichtung und Aktualisierung der landing zone bestimmte Baselines auf einem gemeinsamen Konto. Die Basislinien für Ihre landing zone können sich ändern, wenn Sie Ihre Landezoneneinstellungen ändern. Wenn Sie sich beispielsweise für IAM Identity Center entscheiden, kann AWS Control Tower die neueste Version der `IdentityCenterBaseline` Baseline in Ihrer landing zone aktivieren.
Sie können die aktivierten Baselines für Ihre landing zone mit dem `ListEnabledBaselines` API-Aufruf anzeigen.
**Anmerkung**
Ab Landing Zone Version 4.0 AuditBaseline wird der durch zwei unterschiedliche Baselines ersetzt: und. `CentralSecurityRolesBaseline` `CentralConfigBaseline`
+ **Name (Name:** `CentralConfigBaseline`
**Beschreibung**: Richtet mithilfe von AWS Config zentrale Ressourcen für die Überwachung und Prüfung der Einhaltung von Vorschriften in Ihrem Unternehmen ein.
+ **Name (Name:** `CentralSecurityRolesBaseline`
**Beschreibung**: Richtet zentrale Ressourcen für die Sicherheitsüberwachung in Ihrem Unternehmen ein.
+ **Name (Name:** `AuditBaseline`
**Beschreibung**: Richtet Ressourcen zur Überwachung der Sicherheit und Einhaltung von Vorschriften für Konten in Ihrer Organisation ein.
+ **Name (Name:** `LogArchiveBaseline`
**Beschreibung**: Richtet ein zentrales Repository für Protokolle von API-Aktivitäten und Ressourcenkonfigurationen von Konten in Ihrer Organisation ein.
+ **Name (Name:** `IdentityCenterBaseline`
**Beschreibung**: Richtet gemeinsam genutzte Ressourcen für IAM Identity Center ein und bereitet die Einrichtung des `AWSControlTowerBaseline` Identity Center-Zugriffs für Konten vor.
**Überlegung**: Diese Basislinie funktioniert nur, wenn Sie bei der ersten Einrichtung Ihrer landing zone IAM Identity Center als Identitätsanbieter ausgewählt haben oder wenn Sie anschließend Ihre landing zone Zone-Einstellungen ändern, um IAM Identity Center für Ihre landing zone zu aktivieren. Wenn Sie einen anderen Identitätsanbieter verwenden, haben Sie keinen Zugriff, um diese Baseline zu aktivieren.
+ **Name (Name:** `BackupCentralVaultBaseline`
**Beschreibung**: Richtet den zentralen AWS Backup Tresor in Ihrer Organisation ein.
+ **Name (Name:** `BackupAdminBaseline`
**Beschreibung**: Richtet den delegierten Administrator und den AWS Backup Audit Manager ein.
# Teilweise Registrierung von Konten
**Wenn Sie mit Baselines arbeiten, kann ein Konto in den Status Teilweise registriert versetzt werden.**
Dieser Status kann auftreten, wenn Sie eine Organisationseinheit erneut registrieren, indem Sie die `ResetEnabledBaseline` API aufrufen, da AWS Control Tower nur die obligatorischen Ressourcen auf die Konten in der Ziel-OU anwendet. Ein Konto, dem die optionalen Ressourcen (Kontrollen) für die übergeordnete Organisationseinheit fehlen, wird als **Teilweise registriert markiert.**
Wenn Sie ein nicht registriertes Konto in eine registrierte OU verschieben und dann die `ResetEnabledBaseline` API auf der OU aufrufen, um dieses Konto zu registrieren, wendet AWS Control Tower die damit verknüpften Ressourcen auf das neu registrierte Konto `AWSControlTowerBaseline` an. Optionale Kontrollen, die für diese Organisationseinheit aktiviert sind, werden jedoch nicht auf das Konto angewendet. Das Konto befindet sich weiterhin im Status **Teilweise registriert**.
Um das Konto vollständig zu registrieren, wählen Sie in der Konsole die Option **Erneut registrieren** oder **Konto aktualisieren**. Wenn Sie diese Operationen in der Konsole auswählen, wendet AWS Control Tower alle Ressourcen dieser Organisationseinheit auf das neu registrierte Konto an, einschließlich der optionalen Kontrollen, die für diese Organisationseinheit aktiviert sind.
# Unterschiede im Betrieb zwischen der AWS Control Tower Tower-Konsole und APIs für Baselines
Wenn Sie den Governance-Status einer Organisationseinheit ändern, führt die AWS Control Tower Tower-Konsole automatisch mehr Operationen für Sie aus, als wenn Sie die Governance anhand der vier APIs Baselines ändern würden.
**Unterschiede**
+ **Registrierung und Bereitstellung von Produkten**
Wenn Sie eine Organisationseinheit über die Konsole registrieren, erstellt AWS Control Tower im Rahmen der Registrierung der einzelnen Konten Service Catalog-Produkte für die Mitgliedskonten der Organisationseinheit. Wenn Sie eine Organisationseinheit über die `EnableBaseline` API und die registrieren`AWSControlTowerBaseline`, erstellt AWS Control Tower keine bereitgestellten Produkte für die Mitgliedskonten in der Organisationseinheit.
+ **Eine Organisationseinheit abmelden**
Jedes Mal, wenn Sie eine Organisationseinheit abmelden, müssen Sie zunächst alle Mitgliedskonten und verschachtelten Konten entfernen. OUs Anschließend entfernt AWS Control Tower alle Kontrollen, die auf die Organisationseinheit angewendet wurden.
+ Wenn Sie in der Konsole die **OU löschen** auswählen, fährt AWS Control Tower mit der Abmeldung fort und löscht dann die OU aus Ihrer Organisation.
+ Wenn Sie die OU jedoch abmelden, indem Sie die `DisableBaseline` API aufrufen, um sie `AWSControlTowerBaseline` aus der OU zu entfernen, löscht AWS Control Tower die OU nicht aus Ihrer Organisation, die OU ist immer noch in der Organisation vorhanden, nicht registriert.
## Aktivierte Baselines und Mitgliedskonten
Wenn Sie eine Basiskonfiguration für eine Organisationseinheit aktivieren, wird diese Konfiguration von den Mitgliedskonten der Organisationseinheit übernommen. Aufgrund der Tatsache der Vererbung sprechen wir von einer *Baseline mit aktiviertem Kind*, wenn wir uns auf das Konto beziehen. Die Baseline, die auf die Organisationseinheit angewendet wird, wird als *Baseline mit aktiviertem Elternteil* bezeichnet. Die übergeordnete aktivierte Baseline steuert die Konfiguration ihrer untergeordneten aktivierten Baselines. Es ähnelt der Art und Weise, wie ein Steuerelement, wenn es in einer Organisationseinheit aktiviert ist, für jedes Konto innerhalb der Organisationseinheit gilt.
**Den Basisstatus eines Kontos anzeigen**
Mit AWS Control Tower können Sie Konten nicht direkt mit Baselines ansprechen. Sie können jedoch den Aktivierungs- und Drift-Status jedes Mitgliedskontos anhand der Baselines nachverfolgen, die für das jeweilige Mitgliedskonto aktiviert wurden. Um den Status Ihrer Konten einzusehen, können Sie die [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)API mit dem Feature-Flag aufrufen. `includeChildren`
**Deaktivieren Sie die Baseline eines Kontos**
AWS Control Tower erlaubt es Ihnen nicht, eine untergeordnete aktivierte Baseline zu deaktivieren, die mit einer übergeordneten aktivierten Baseline verknüpft ist. Eine Baseline, für die ein Kind aktiviert ist, kann deaktiviert werden, wenn sie vererbt und nicht mehr mit einer Baseline verknüpft ist, für die ein Elternteil aktiviert ist.
## Baselines und Standardeinstellungen für die Versionierung
Wenn Ihre AWS Control Tower-Landezone bereits eingerichtet ist und Sie sich dann dafür entscheiden, eine Landingzone-Baseline zu aktivieren, aktiviert AWS Control Tower die neueste Version der Baseline, die mit Ihrer Landingzone-Version kompatibel ist. Wenn Sie sich dafür entscheiden, eine Baseline für eine OU zu aktivieren, die noch nicht bei AWS Control Tower registriert ist, stellt AWS Control Tower automatisch die neueste kompatible Version der Baseline für diese OU bereit.
# Kompatibilität von OU-Baselines und landing zone Zone-Versionen
Mit AWS Control Tower Tower-Baselines können Sie einen Governance-Standard auf OU-Ebene und nicht auf Landingzone-Ebene festlegen, falls Ihr Unternehmen dies erfordert. Die aufgerufene Baseline `AWSControlTowerBaseline` ist verfügbar, um Sie bei der Registrierung OUs bei AWS Control Tower zu unterstützen.
**Anmerkung**
Eine *Baseline* ist eine Gruppe von Kontrollen und Ressourcen, die zusammenarbeiten, um ein stabiles Governance-Umfeld in Ihrer landing zone zu schaffen.
Wenn Sie eine Baseline auf einer Organisationseinheit aktivieren, indem Sie die `EnableBaseline` API in AWS Control Tower aufrufen, müssen Sie eine Basisversion angeben, die mit Ihrer aktuellen AWS Control Tower Tower-Landingzone-Version kompatibel ist. Nachdem Sie eine Baseline angegeben haben, folgen alle Mitgliedskonten in einer OU der für die OU angegebenen Baseline. Mit anderen Worten, neue Konten werden mit der aktualisierten Baseline bereitgestellt, und bestehende Mitgliedskonten werden entsprechend der neuen Baseline verwaltet.
Wenn Sie keine Baseline für Ihre bestehenden Konten OUs und Konten auswählen, bestimmt die Landingzone-Version standardmäßig den gesamten Governance-Status. Jeder registrierten Organisationseinheit in Ihrer landing zone wird jedoch eine Baseline-Version zugewiesen. Dabei handelt es sich um die neueste Baseline-Version, die mit Ihrer aktuellen Landingzone-Version kompatibel ist. Daher ist jeder Organisationseinheit und jedem registrierten Mitgliedskonto eine Basisversion zugeordnet, auch wenn Sie nie speziell eine Basisversion zuweisen.
Für die Baseline auf OU-Ebene zeigt die folgende Tabelle die Kompatibilität der Baselines mit den Versionen der AWS Control Tower landing zone. `AWSControlTowerBaseline`
| **Basisversion** | **Versionen für Landezonen** | **Enthaltene Baupläne** | **Änderung gegenüber dem vorherigen Basisplan** |
| --- | --- | --- | --- |
| 1,0 | 2,0 auf 2,7 | BP\$1BASELINE\$1CLOUDTRAIL, BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, IAM-Ressourcen | Keine |
| 2.0 | 2.8 bis 2.9 | BP\$1BASELINE\$1CLOUDTRAIL, BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, IAM-Ressourcen | AWS Config Service-Linked Role (SLR) und neuer Config-Blueprint zur Verwendung der SLR hinzugefügt |
| 3.0 | 3.0 bis 3.1 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, IAM-Ressourcen | Neuer AWS Config Entwurf. Ändern Sie, um globale Ressourcen nur in der Heimatregion aufzuzeichnen. Der CloudTrail Blueprint wurde entfernt |
| 4,0 | 3.2 bis 3.3 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, IAM-Ressourcen | Neuer SLR-Blueprint |
| 5.0 | 4,0 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, IAM-Ressourcen | Die AWS Config Aggregation-Autorisierung (en) wurden entfernt. AWS Config Aggregation Eine Autorisierung für jedes Mitgliedskonto ist nicht erforderlich, da in LandingZone Version 4.0 der AWS Organizations Config Aggregator eingeführt wurde, der Zugriff auf alle Mitgliedskonten innerhalb der Organisation hat. |
Weitere Informationen zu bestimmten Ressourcen, die bei der Einrichtung Ihrer landing zone in Konten erstellt wurden, finden Sie unter [In geteilten Konten erstellte Ressourcen](https://docs.aws.amazon.com//controltower/latest/userguide/shared-account-resources.html).
Wenn Sie Ihre landing zone auf eine Version aktualisieren, die eine neuere `AWSControlTowerBaseline` Basisversion unterstützt, und die neue landing zone Zone-Version mit Ihrer vorhandenen Basisversion kompatibel ist, ändert sich Ihr OU-Status in **Update verfügbar**.
+ Sie können Account Factory und andere Funktionen weiterhin verwenden, ohne die OU-Baseline sofort zu aktualisieren, es sei denn, es handelt sich um ein landing zone Zone-Update von 2.x auf 3.x.
+ Neue Konten, die in dieser Organisationseinheit registriert sind, erhalten Ressourcen auf der Grundlage der vorhandenen Basisversion, bis die Basisversion aktualisiert wird (mit der Funktion „**Verwaltung erweitern**“ in der Konsole oder mithilfe der `UpdateEnabledBaseline` API).
+ Nachdem Sie die Basisversion aktualisiert haben, erhalten alle Konten in dieser Organisationseinheit Ressourcen, die auf der neuen Basisversion basieren.
**Anmerkung**
Wenn Sie Ihre AWS Control Tower Tower-Landing landing zone von einer beliebigen Version 2.X auf eine beliebige Version 3.X aktualisieren, müssen Sie aufgrund der Umstellung von Trails auf Kontoebene auch die Basisversion auf Ihrer OUs Unternehmensebene aktualisieren. AWS CloudTrail **In der Konsole zeigt Ihre Organisationseinheit den Status Update erforderlich an.**
**Überlegungen zu Baselines**
+ Wenn für Ihre Organisationseinheit ein Basisupdate erforderlich ist, können Sie keine neuen Konten bereitstellen oder bestehende Konten für diese Organisationseinheit registrieren.
+ Wenn Sie nach einem landing zone Zone-Update auch eine OU-Baseline aktualisieren möchten, müssen Sie die OU erneut registrieren oder Ihre OU-Baseline-Version programmgesteuert aktualisieren.
+ Wir empfehlen Ihnen, auf die höchste kompatible Baseline für die von Ihnen verwendete landing zone Zone-Version zu aktualisieren, damit Sie alle Vorteile der landing zone und der Baseline zusammen nutzen können. Wenn Sie beispielsweise auf landing zone Version 3.3 aktualisieren, können Sie Baseline 3.0 weiterhin verwenden, aber Sie können nicht alle Vorteile von landing zone Version 3.3 nutzen, es sei denn, Sie aktualisieren auch auf Baseline 4.0.
+ Baseline-Updates können nicht rückgängig gemacht werden.
+ Die Basisaktivierung zielt jeweils auf eine Organisationseinheit ab. Daher OUs werden verschachtelte Organisationseinheiten nicht automatisch aktualisiert, wenn die übergeordnete Organisationseinheit aktualisiert wird. Es wird empfohlen, die übergeordnete Organisationseinheit zu aktualisieren, bevor Sie die OUs verschachtelte Organisationseinheit aktualisieren.
+ Wenn Sie die `UpdateEnabledBaseline` API aufrufen oder eine Organisationseinheit von der Konsole aus erneut registrieren, behält die Organisationseinheit alle Steuerelemente bei, die vor dem Baseline-Update aktiviert wurden.
+ Wenn mehrere Basisversionen mit Ihrer landing zone Zone-Version kompatibel sind, müssen Sie die neueste Basisversion verwenden, wenn Sie eine Baseline-Version auf einer nicht verwalteten Organisationseinheit aktivieren.
# Beispiele: Registrieren Sie eine AWS Control Tower Tower-OU APIs nur mit
Diese exemplarische Vorgehensweise mit Beispielen ist ein Begleitdokument. Erläuterungen, Vorbehalte und weitere Informationen finden Sie unter. [Arten von Basislinien](types-of-baselines.md)
**Voraussetzungen**
Sie müssen über eine bestehende Organisationseinheit verfügen, die nicht bei AWS Control Tower registriert ist und die Sie registrieren möchten. Oder Sie müssen über eine registrierte Organisationseinheit verfügen, die Sie zu Aktualisierungszwecken erneut registrieren möchten.
**Registrieren Sie eine Organisationseinheit**
1. Prüfen Sie, ob `IdentityCenterBaseline` das für die landing zone aktiviert ist. Falls ja, rufen Sie die Identity Center Enabled Baseline-ID ab.
```
aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
```
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==``].[arn]'
```
1. Ruft den ARN der Ziel-OU ab.
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. Ruft den ARN der `AWSControlTowerBaseline` Baseline ab.
```
aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'
```
1. Erstellen Sie die `AWSControlTowerBaseline` Baseline auf der Ziel-OU.
*Wenn die Identity Center-Baseline aktiviert ist:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":""}]'
```
*Wenn die Identity Center Baseline nicht aktiviert ist, lassen Sie das `parameters` Kennzeichen wie folgt weg:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier
```
**Registrieren Sie eine Organisationseinheit erneut**
Nachdem Sie die Landezoneneinstellungen aktualisiert oder Ihre Landingzone-Version aktualisiert haben, müssen Sie **sich erneut registrieren**, OUs um sie über die neuesten Änderungen zu informieren. Gehen Sie wie folgt vor, um eine Organisationseinheit programmgesteuert erneut zu registrieren, indem Sie die zugehörige Ressource und alle zugehörigen `EnabledBaseline` Ressourcen zurücksetzen. `EnabledControl`
**Wichtig**
Wenn in der Organisationseinheit optionale Steuerelemente aktiviert sind, müssen Sie nach dem Zurücksetzen der Baseline auch die [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)API für jedes aktivierte optionale Steuerelement aufrufen. Dieser Schritt stellt sicher, dass die optionalen Steuerungen der neuesten Landezonenkonfiguration entsprechen. Wenn Sie diesen Schritt überspringen, spiegeln optionale Steuerungen auf der Organisationseinheit möglicherweise nicht die letzten Änderungen der landing zone wider. Wenn Sie keine optionalen Steuerelemente aktiviert haben, ist dieser Schritt nicht erforderlich.
1. Rufen Sie den ARN der Ziel-OU ab, um sich erneut zu registrieren.
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. Ruft den ARN der `EnabledBaseline` Ressource für die Ziel-OU ab.
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==``].[arn]'
```
1. Setzen Sie die aktivierte Baseline zurück.
```
aws controltower reset-enabled-baseline --enabled-baseline-identifier
```
1. Wenn in der Organisationseinheit optionale Steuerelemente aktiviert sind, listen Sie die aktivierten Steuerelemente für die Organisationseinheit auf und setzen Sie sie zurück, sodass sie mit der neuesten landing zone Zone-Konfiguration konsistent bleiben.
Listet die aktivierten Steuerelemente auf der Ziel-OU auf:
```
aws controltower list-enabled-controls --target-identifier
```
Setzen Sie jedes zurückgegebene aktivierte optionale Steuerelement zurück, indem Sie Folgendes aufrufen:
```
aws controltower reset-enabled-control --enabled-control-identifier
```
Weitere Informationen finden Sie [ResetEnabledControl](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)in der *AWS Control Tower API-Referenz*.
# Beispiele für die grundlegende API-Nutzung
Dieser Abschnitt enthält Beispiele für Eingabe- und Ausgabeparameter für die AWS Control Tower Tower-Baseline APIs.
## `DisableBaseline`
Weitere Informationen zu diesem API-Vorgang finden Sie unter [DisableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html).
`DisableBaseline`Eingabe:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789"
}
```
`DisableBaseline`Ausgang:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
`DisableBaseline`-CLI-Beispiel:
```
aws controltower disable-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789 \
--region us-west-2
```
## `EnableBaseline`
Weitere Hinweise zu diesem API-Vorgang finden Sie unter [EnableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_EnableBaseline.html).
`EnableBaseline`Eingabe:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"baselineVersion": "3.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`EnableBaseline`Ausgabe, Rückgabe einer neuen Ressource:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAGF7TNOHRD7ES5VV"
}
```
`EnableBaseline`-CLI-Beispiel:
Dieses Beispiel zeigt die Aktivierung einer Baseline für eine AWS Organizations Organisation, deren landing zone den AWS IAM Identity Center-Zugriff aktiviert hat, der von AWS Control Tower verwaltet wird. Um Ihre Identity `EnabledBaseline` Center-ID abzurufen, können Sie die `ListEnabledBaselines` API aufrufen und dabei nach der Identity Center-Baseline filtern: `(arn:aws:controltower:Region::baseline/LN25R72TTG6IGPTQ)`
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
In der Antwort wird das `EnabledBaseline` Detail angezeigt, in dem auch die Kennung angegeben ist.
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ",
"targetIdentifier": "arn:aws:organizations::123456789012:account/o-aq21sw43de5/123456789012",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
```
**Anmerkung**
Notieren Sie sich den ARN-Wert aus der Antwort und übergeben Sie diesen Wert als Parameter, um die Standard-Baseline zu aktivieren.
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```
Für eine Organisation, deren landing zone vom AWS Control Tower Tower-Management von IAM Identity Center abgemeldet ist, aktivieren Sie die Baseline ohne den Parameter.
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--region us-west-2
```
## `GetBaseline`
Weitere Informationen zu diesem API-Vorgang finden Sie unter. [GetBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaseline.html)
`GetBaseline`Eingabe:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2"
}
```
`GetBaseline`Ausgang:
```
{
"arn": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance.",
}
```
`GetBaseline`-CLI-Beispiel:
```
aws controltower get-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `GetBaselineOperation`
Weitere Hinweise zu diesem API-Vorgang finden Sie unter [GetBaselineOperation](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaselineOperation.html).
`GetBaselineOperation`Eingabe:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
`GetBaselineOperation`Ausgang:
```
{
"baselineOperation": {
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"operationType": "DISABLE_BASELINE",
"status": "FAILED",
"startTime": "2023-01-12T19:05:00Z",
"endTime": "2023-01-12T19:45:00Z",
"statusMessage": "Can't perform DisableBaseline on a parent target with governed child OUs"
}
}
```
`GetBaselineOperation`-CLI-Beispiel:
```
aws controltower get-baseline-operation \
--operation-identifier 58f12232-26be-4735-a3e9-dd30d90f021f \
--region us-west-2
```
## `GetEnabledBaseline`
Weitere Hinweise zu diesem API-Vorgang finden Sie unter [GetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetEnabledBaseline.html).
`GetEnabledBaseline`Eingabe:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
```
`GetEnabledBaseline`Ausgang:
```
{
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
}
```
`GetEnabledBaseline`-CLI-Beispiel:
```
aws controltower get-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `ListBaselines`
Weitere Hinweise zu diesem API-Vorgang finden Sie unter [ListBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListBaselines.html).
`ListBaselines`Eingabe (mit optionalen Eingaben):
```
{
"nextToken": "AbCd1234",
"maxResults": "4"
}
```
`ListBaselines`Ausgang:
```
{
"baselines": [
{
"arn": "arn:aws:controltower:us-east-1::baseline/4T4HA1KMO10S6311",
"name": "AuditBaseline",
"description": "Sets up resources to monitor security and compliance of accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/J8HX46AHS5MIKQPD",
"name": "LogArchiveBaseline",
"description": "Sets up a central repository for logs of API activities and resource configurations from accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ",
"name": "IdentityCenterBaseline",
"description": "Sets up shared resources for AWS Identity Center, which prepares the AWSControlTowerBaseline to set up Identity Center access for accounts."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/3WPD0NA6TJ9AOMU2",
"name": "BackupCentralVaultBaseline",
"description": "Sets up central AWS Backup vault in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/H6C5JFCJJ3CPU3J5",
"name": "BackupManagerBaseline",
"description": "Sets up delegated admin and AWS Backup Audit Manager."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"name": "BackupBaseline",
"description": "Sets up local Backup vault and attach Backup policy."
}
]
}
```
`ListBaselines`-CLI-Beispiel:
```
aws controltower list-baselines \
--region us-west-2
```
## `ListEnabledBaselines`
Die `ListEnabledBaselines` API verfügt über einen optionalen Parameter, mit dem Sie sich die Baselines anzeigen lassen können, die für die Konten gelten, die Mitglieder einer Organisationseinheit sind. Die folgenden Beispiele zeigen einige CLI-Befehle, mit denen Sie die Baselines für ein Konto anzeigen können. AWS Control Tower bezeichnet diese Baselines, die in der OU aktiviert sind, aber für jedes Konto innerhalb der OU gelten, als *untergeordnete aktivierte Baselines, da sie ihre Governance-Konfiguration von den Baselines* ableiten, die auf der OU angewendet werden.
Weitere Informationen zu diesem API-Vorgang finden Sie unter. [ListEnabledBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)
`ListEnabledBaselines`Eingabe zum Anzeigen von Baselines, für die das untergeordnete Element aktiviert ist:
```
aws controltower list-enabled-baselines --include-children
```
`ListEnabledBaselines`Ausgabe zum Anzeigen von Baselines, für die das untergeordnete Element aktiviert ist:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XO2UQ1PC6BB5085S5",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "07d6d2b8-e357-4f96-ba00-98ea88143445",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:ou/o-vaex10vaey/ou-k86y-ld9k8vpu"
},
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XAFPKQQXOJB50ZWQH",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"parentIdentifier": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XOIZ4G08CWB50ZWON",
"statusSummary": {
"lastOperationIdentifier": "3508793e-48c8-4895-965b-3dc6abd52b6b",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:account/o-vaex10vaey/183295447314"
}
]
```
**Anmerkung**
Im vorherigen Beispiel zeigt das `parentIdentifier` Feld die aktivierte Baseline der übergeordneten Organisationseinheit für diese untergeordnete Basislinie an.
Alle Baselines anzeigen, die auf ein bestimmtes Ziel (OU oder Konto) angewendet wurden:
```
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["TARGET_ARN"]
}
```
Alle anzeigen OUs , die eine bestimmte Baseline haben:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}'
```
Alle Konten OUs und Konten mit einem bestimmten Basiswert anzeigen:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}' \
--include-children
```
Alle Konten in einer Organisationseinheit anzeigen, für die Baseline B aktiviert ist:
```
### First fetch the enabled baseline record for Baseline B on the OU
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["OU_TARGET_ARN"],
"baselineIdentifiers": ["BASELINE_ARN_FOR_BASELINE_B"]
}'
### Call ListEnabled baseline to fetch all accounts that have their parent as the enabled baseline record on the OU
aws controltower list-enabled-baselines \
--filter '{
"parentIdentifiers": ["ENABLED_BASELINE_ARN_FOR_OU"]
}' \
--include-children
```
**Weitere Informationen zu Baselines, für die Kinder aktiviert sind**
Sie können die `GetEnabledBaseline` API verwenden, um detaillierte Informationen zu einer bestimmten Baseline mit aktiviertem Kind abzurufen
Sie können die `GetBaselineOperation` API verwenden, um einen Vorgang anzuzeigen, der auf der Baseline mit aktiviertem Kind ausgeführt wurde
Für eine Baseline APIs, für die ein untergeordnetes Element aktiviert ist `EnableBaseline``UpdateEnabledBaseline`, können Sie keine Schreibvorgänge wie`DisableBaseline`,, `ResetEnabledBaseline` oder direkt aufrufen.
Untergeordnete Basisressourcen können nur mithilfe des AWS Control Tower Tower-Service, durch Operationen, die auf der übergeordneten Organisationseinheit ausgeführt werden, oder mithilfe von Account Factory geändert werden.
Beispiele für die Verwendung von Filtern:
`ListEnabledBaselines`Eingabe (keine Filter):
```
{
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines`Eingabe (nur `baselineIdentifiers` Filter):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2', 'arn:aws:controltower:us-east-1::baseline/12GZU8CKZKVMS2AW']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines`Eingabe (nur `targetIdentifiers` Filter):
```
{
"filter": {
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317', 'arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-11q6n2cf']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 2
}
```
`ListEnabledBaselines`Eingabe (`baselineIdentifiers`und `targetIdentifiers` Filter):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2']
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines`Ausgang:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
},
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "4.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317",
"statusSummary": {
"status": "FAILED",
"lastOperationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
}
],
"nextToken": "e2bXXXXX6cab"
}
```
CLI-Beispiel mit einem Filtertyp (`baselineIdentifiers`Filter):
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2,arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
CLI-Beispiel mit mehreren Filtern (`baselineIdentifiers`und `targetIdentifiers` Filtern):
```
aws controltower list-enabled-baselines \
--filter targetIdentifiers=arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65,baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `ResetEnabledBaseline`
Weitere Informationen zu diesem API-Vorgang finden Sie unter [ResetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html).
`ResetEnabledbaseline`Eingabe:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL"
}
```
`ResetEnabledBaseline`Ausgang:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
`ResetEnabledBaseline`-CLI-Beispiel:
```
aws controltower reset-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `UpdateEnabledBaseline`
Weitere Hinweise zu diesem API-Vorgang finden Sie unter [UpdateEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateEnabledBaseline.html).
`UpdateEnabledBaseline`Eingabe:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineVersion": "4.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`UpdateEnabledBaseline`Ausgang:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
`UpdateEnabledBaseline`-CLI-Beispiel:
```
aws controltower update-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--baseline-version 4.0
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```