Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# tipos de líneas de base
Una *base de referencia* en AWS Control Tower es un grupo de recursos y configuraciones específicas que se puede aplicar a un objetivo. El objetivo más habitual de una base de referencia puede ser una unidad organizativa (OU). Por ejemplo, puede habilitar una línea de base con una OU seleccionada como destino para registrar esa OU en AWS Control Tower.
Durante la configuración de la landing zone, es posible que algunas líneas base se activen automáticamente en la cuenta compartida. Es posible que determinadas líneas de base se habiliten y actualicen en función de los ajustes y configuraciones de la zona de aterrizaje. AWS Control Tower crea e implementa los recursos en el destino de la manera que especifica la línea de base.
Cuando habilita una línea base en un objetivo, la línea base se representa como un recurso de AWS, denominado `EnabledBaseline` recurso.
AWS Control Tower incluye cuatro tipos generales de líneas de base:
+ Líneas base que se pueden habilitar en una unidad organizativa.
+ Líneas base que se pueden habilitar en una cuenta compartida durante la configuración de la landing zone.
## Tipos de referencia que se aplican a nivel de unidad organizativa
**nota**
Solo las líneas base que se aplican a nivel de unidad organizativa se pueden habilitar directamente con la `EnableBaseline` API.
+ **Nombre**: `AWSControlTowerBaseline`
**Descripción**: Esta línea base establece los recursos y los controles para las cuentas de los miembros dentro de la OU de destino, necesarios para la supervisión del cumplimiento, la auditoría, la supervisión de la seguridad y, opcionalmente, la administración del acceso. Esta línea base se habilita al registrar una unidad organizativa en AWS Control Tower.
**Requisito previo**: la integración de AWS Config debe estar habilitada en la zona de aterrizaje de AWS Control Tower.
**Consideración**: esta línea de base retiene la configuración del control **Denegación de la región** de la zona de aterrizaje. En otras palabras, si una región no está permitida en la zona de aterrizaje, esa región no estará permitida para esa OU cuando llame a la API `EnableBaseline` para registrar una OU.
**nota**
El control Denegación de la región de la OU no tiene forma de permitir las regiones que el control Denegación de la región de la zona de aterrizaje no permite.
Para obtener más información, consulte [Cómo SCPs trabajar con la denegación](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#how_scps_deny) en la AWS Organizations documentación.
**Recomendación**: Le recomendamos que confirme las regiones en las que la OU de destino pueda estar ejecutando cargas de trabajo y que compruebe los resultados con el control de denegación de regiones de la zona de aterrizaje antes de llamar a la API `EnableBaseline` de la OU. De lo contrario, podría perder el acceso a los recursos de determinadas regiones.
+ **Nombre**: `ConfigBaseline`
**Descripción**: Esta línea base configura los recursos relacionados con AWS Config para las cuentas de los miembros dentro de la unidad organizativa de destino necesarios para la activación de Detective Controls. Los recursos configurados son un subconjunto de recursos de. AWSControl TowerBaseline
**Requisito previo**: la integración de AWS Config debe estar habilitada en la zona de aterrizaje de AWS Control Tower.
**Consideración**: Esta línea base no conserva la configuración de la zona de landing zone que deniega el control. El control de denegación regional no se habilitará como parte de la activación ConfigBaseline.
**Limitación**: AWSControl TowerBaseline y ConfigBaseline no se puede habilitar en la misma unidad organizativa. Solo se permite uno de ellos en una unidad organizativa.
+ **Nombre**: `BackupBaseline`
**Descripción**: esta línea de base configura recursos y controles para cuentas de miembro dentro de la UO de destino. Son necesarios para que la integración AWS Backup pueda automatizar la copia de seguridad de los datos y centralizar la administración de las políticas de copia de seguridad. Servicios de AWS
**Requisitos previos**:
+ La integración de AWS Backup debe estar habilitada en la zona de aterrizaje de AWS Control Tower.
+ La integración de AWS Config debe estar habilitada en la zona de aterrizaje de AWS Control Tower.
+ `AWSControlTowerBaseline`debe estar habilitado en la unidad organizativa de destino.
**Consideración**: antes de habilitar la `BackupBaseline` en una UO de destino, asegúrese de que la `AWSControlTowerBaseline` esté habilitada en la UO de destino. Es decir, la UO de destino se debe registrar en AWS Control Tower.
+ Puede elegir activarla AWS Backup durante el proceso de creación de la zona de aterrizaje de AWS Control Tower o durante el proceso de actualización de la zona de aterrizaje.
+ La `BackupBaseline` es compatible con las versiones 3.1 y posteriores de la zona de aterrizaje.
+ La `BackupBaseline` no se aplica a la cuenta de administración.
## Tipos de referencia que se pueden aplicar a la cuenta compartida durante la configuración de la landing zone
AWS Control Tower habilita determinadas líneas base en una cuenta compartida, como parte del proceso de configuración y actualización de la landing zone. Las líneas de base de la zona de aterrizaje pueden cambiar al modificar la configuración de la zona de aterrizaje. Por ejemplo, si opta por el IAM Identity Center, AWS Control Tower puede habilitar la última versión de la línea de base `IdentityCenterBaseline` en su zona de aterrizaje.
Puede ver las líneas de base habilitadas para su zona de aterrizaje con la llamada a la API `ListEnabledBaselines`.
**nota**
A partir de la versión 4.0 de Landing Zone, AuditBaseline se sustituye por dos líneas de base distintas: y. `CentralSecurityRolesBaseline` `CentralConfigBaseline`
+ **Nombre**: `CentralConfigBaseline`
**Descripción**: Configura recursos centrales para la supervisión y la auditoría de la conformidad en su organización mediante AWS Config.
+ **Nombre**: `CentralSecurityRolesBaseline`
**Descripción**: Configura los recursos centrales para la supervisión de la seguridad en su organización.
+ **Nombre**: `AuditBaseline`
**Descripción**: configura recursos para supervisar la seguridad y el cumplimiento de las cuentas de su organización.
+ **Nombre**: `LogArchiveBaseline`
**Descripción**: configura un repositorio central para los registros de las actividades de las API y las configuraciones de recursos de las cuentas de su organización.
+ **Nombre**: `IdentityCenterBaseline`
**Descripción**: configura los recursos compartidos para el IAM Identity Center, que prepara la `AWSControlTowerBaseline` para configurar el acceso al Identity Center para las cuentas.
**Consideración**: esta línea de base solo funciona cuando se ha seleccionado IAM Identity Center como proveedor de identidad en el momento de configurar la zona de aterrizaje inicialmente, o si posteriormente se cambia la configuración de la zona de aterrizaje para habilitar el IAM Identity Center para la zona de aterrizaje. Si utiliza un proveedor de identidad diferente, no podrá habilitar esta línea de base.
+ **Nombre**: `BackupCentralVaultBaseline`
**Descripción**: Configura el AWS Backup almacén central de su organización.
+ **Nombre**: `BackupAdminBaseline`
**Descripción**: Configura la administración delegada y el AWS Backup Audit Manager.
# Inscripción parcial de cuentas
Cuando se trabaja con líneas de base, se puede colocar una cuenta en un estado denominado **Inscrita parcialmente**.
Este estado puede producirse si se vuelve a registrar una OU mediante una llamada a la API `ResetEnabledBaseline`, ya que AWS Control Tower aplica solo los recursos obligatorios a las cuentas de la OU de destino. Una cuenta a la que le faltan los recursos opcionales (controles) de su OU principal se marca como **Inscrita parcialmente**.
Si traslada una cuenta no inscrita a una OU registrada y, a continuación, llama a la API `ResetEnabledBaseline` de la OU para inscribirla, AWS Control Tower aplica los recursos asociados con la `AWSControlTowerBaseline` a la cuenta recién inscrita. Sin embargo, los controles opcionales habilitados para esta OU no se aplican a la cuenta. La cuenta permanece en estado **Inscrita parcialmente**.
Para inscribir la cuenta por completo, seleccione **Volver a registrar** o **Actualizar cuenta** en la consola. Al seleccionar estas operaciones desde la consola, AWS Control Tower aplica todos los recursos de esa OU a la cuenta recién inscrita, incluidos los controles opcionales activados para esa OU.
# Variación en las operaciones entre la consola de la Torre de Control de AWS y APIs las líneas base
Cuando cambia el estado de gobierno de una OU, la consola de AWS Control Tower realiza más operaciones automáticamente, en comparación con cambiar el gobierno mediante las cuatro APIs líneas base.
**Diferencias**
+ **Registro y aprovisionamiento de productos**
Al registrar una OU a través de la consola, AWS Control Tower crea productos de Service Catalog para las cuentas de miembro de la OU, como parte de la inscripción de cada cuenta. Cuando se registra una OU mediante la API `EnableBaseline` y la `AWSControlTowerBaseline`, AWS Control Tower no crea productos aprovisionados para las cuentas de miembro de la OU.
+ **Anulación del registro de una OU**
Cada vez que anule el registro de una OU, primero debe eliminar todas las cuentas de los miembros y anidarlas. OUs A continuación, AWS Control Tower elimina todos los controles que se aplican a la OU.
+ Si se selecciona **Eliminar OU** desde la OU de la consola, AWS Control Tower procederá a anular el registro y, a continuación, a eliminar la OU de su organización.
+ Sin embargo, si anula el registro de la OU llamando a la API `DisableBaseline` para eliminar la `AWSControlTowerBaseline` de la OU, AWS Control Tower no elimina la OU de su organización, sino que la OU sigue presente en la organización sin estar registrada.
## Habilitadas líneas de base y cuentas de miembros
Cuando habilita una línea de base en una UO, las cuentas de miembros de la UO heredan esa configuración. Debido a la herencia, cuando nos referimos a la cuenta, la denominamos *línea de base secundaria habilitada*. La línea de base que se aplica a la UO se denomina *línea de base principal habilitada*. La línea de base principal habilitada controla la configuración de las líneas de base secundarias habilitadas. Es similar a la forma en la que un control, cuando está activado en una UO, se aplica a todas las cuentas de la UO.
**Consulta del estado de la línea de base de una cuenta**
AWS Control Tower no le permite segmentar las cuentas directamente con líneas de base. Sin embargo, puede realizar un seguimiento del estado de habilitación y desvío de cada cuenta de miembro por medio de sus líneas de base secundarias habilitadas que se han heredado. Para ver el estado de sus cuentas, puede llamar a la API [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) con la marca de característica `includeChildren`.
**Inhabilite la línea base de una cuenta**
AWS Control Tower no le permite deshabilitar una línea base habilitada para niños vinculada a una línea base habilitada para padres. Una línea base habilitada para niños se puede deshabilitar si se deriva de la herencia y ya no está vinculada a una línea base habilitada para los padres.
## Líneas de base y valores predeterminados de control de versiones
Si su zona de aterrizaje de AWS Control Tower ya está configurada y, a continuación, decide habilitar una línea de base de zona de aterrizaje, AWS Control Tower habilita la última versión de la línea de base compatible con la versión de su zona de aterrizaje. Si decide habilitar una línea de base de para una OU que aún no esté registrada en AWS Control Tower, AWS Control Tower proporcionará automáticamente la última versión compatible de la línea de base para esa OU.
# Compatibilidad de las versiones de base de referencia y de zonas de aterrizaje de la OU
Las bases de referencia de AWS Control Tower le permiten establecer un estándar de gobernanza en la OU, en lugar de en la zona de aterrizaje, si su empresa lo requiere. La línea base denominada `AWSControlTowerBaseline` está disponible para ayudarle a registrarse en AWS Control Tower. OUs
**nota**
Una *línea de base* es un grupo de controles y recursos que trabajan juntos para establecer un entorno de gobernanza estable dentro de la zona de aterrizaje.
Cuando habilita una línea de base en una OU, al llamar a la API `EnableBaseline` API de AWS Control Tower, debe especificar una versión de línea de base que sea compatible con la versión actual de zona de aterrizaje de AWS Control Tower. Tras especificar una línea de base, todas las cuentas de miembros de una OU siguen la línea de base establecida para la OU. En otras palabras, las cuentas nuevas se aprovisionan con la línea de base actualizada y las cuentas de miembros existentes se rigen de acuerdo con la nueva línea de base.
Si no seleccionas una línea base para tus cuentas OUs AND actuales, la versión de landing zone determina toda la postura de gobierno de forma predeterminada. Sin embargo, a cada OU registrada en la zona de aterrizaje se le asigna una versión de línea de base, que es la última línea de base compatible con la versión actual de la zona de aterrizaje. Por lo tanto, cada OU y cuenta de miembro inscrito tiene una línea de base asociada, incluso si nunca se asigna específicamente una línea de base.
Para la base de referencia base en la OU, `AWSControlTowerBaseline`, en la siguiente tabla se muestra la compatibilidad de las líneas base con las versiones de zonas de aterrizaje de AWS Control Tower.
| **Versión de línea de base** | **Versiones de zonas de aterrizaje** | **Esquemas incluidos** | **Cambio con respecto a la línea de base anterior** |
| --- | --- | --- | --- |
| 1.0 | 2.0 a 2.7 | BP\$1BASELINE\$1CLOUDTRAIL, BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, Recursos de IAM | Ninguno |
| 2.0 | 2.8 a 2.9 | BP\$1BASELINE\$1CLOUDTRAIL, BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, Recursos de IAM | Se agregó el rol AWS Config vinculado a servicios (SLR) y un nuevo esquema de Config para usar el SLR |
| 3.0 | 3.0 a 3.1 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, Recursos de IAM | Nuevo plano. AWS Config Cambio para registrar recursos globales únicamente en la región de origen. Plano eliminado CloudTrail |
| 4.0 | 3.2 a 3.3 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, Recursos de IAM | Nuevo esquema de SLR |
| 5.0 | 4.0 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, Recursos de IAM | Se eliminaron las autorizaciones de agregación de AWS Config. No es necesaria la autorización de agregación de AWS Config para cada cuenta de miembro, ya que la LandingZone versión 4.0 adoptó AWS Organizations Config Aggregator, que tiene acceso a todas las cuentas de miembros de la organización. |
Para obtener más información acerca de los recursos específicos creados en cuentas al configurar la zona de aterrizaje, consulte [Resources created in the shared accounts](https://docs.aws.amazon.com//controltower/latest/userguide/shared-account-resources.html).
Si actualiza la zona de aterrizaje a una versión que admite una versión de línea de base de `AWSControlTowerBaseline` posterior y la nueva versión de la zona de aterrizaje es compatible con la versión de línea de base existente, el estado de la OU cambia a **Actualizar disponible**.
+ Puede seguir utilizando el generador de cuentas y otras características sin actualizar inmediatamente la línea de base de la OU, excepto en el caso de una actualización de la zona de aterrizaje de la versión 2.x a la 3.x.
+ Las nuevas cuentas inscritas en esta OU reciben recursos en función de la versión de línea de base existente hasta que se actualice la versión de línea de base (con la característica **Ampliar el gobierno** de la consola o mediante la API `UpdateEnabledBaseline`).
+ Tras actualizar la versión de línea de base, todas las cuentas de esa OU reciben recursos en función de la nueva versión de línea de base.
**nota**
Si actualiza su zona de aterrizaje de la AWS Control Tower de una versión 2.X a una versión 3.X, también debe actualizar la versión básica de la suya OUs, debido al cambio de las rutas a nivel de cuenta a las de organización. AWS CloudTrail En la consola, la OU mostrará el estado de **Actualización necesaria**.
**Consideraciones sobre las bases de referencia**
+ Si la OU requiere una actualización de línea de base, no puede aprovisionar cuentas nuevas ni inscribir cuentas existentes en esa OU.
+ Tras una actualización de la zona de aterrizaje, si también tiene previsto actualizar una línea de base de la OU, debe volver a registrar la OU o actualizar la versión de la línea de base de la OU mediante programación.
+ Le recomendamos que actualice a la línea de base más compatible para la versión de la zona de aterrizaje que utilice, de modo que obtenga todas las ventajas de la zona de aterrizaje y la línea de base combinadas. Por ejemplo, si actualiza a la versión 3.3 de la zona de aterrizaje, puede seguir utilizando la línea de base 3.0, pero no obtendrá todos los beneficios de la versión 3.3 de la zona de aterrizaje a menos que también actualice a la línea de base 4.0.
+ Las actualizaciones de línea de base no se pueden anular.
+ La habilitado de la línea de base se dirige a una unidad organizativa a la vez. Por lo tanto, las anidadas no OUs se actualizan automáticamente cuando se actualiza la unidad organizativa principal. Se recomienda actualizar la unidad organizativa principal antes de actualizar la OUs anidada.
+ Al llamar a la API `UpdateEnabledBaseline` o volver a registrar una OU desde la consola, la OU conserva todos los controles que estaban habilitados antes de la actualización de la línea de base.
+ Cuando varias versiones de la línea de base sean compatibles con su versión de zona de aterrizaje, debe utilizar la última versión de la línea de base si habilita una línea de base en una UO no administrada.
# Ejemplos: registre una unidad organizativa de AWS Control Tower con APIs solo
Este tutorial de ejemplos es un documento complementario. Para obtener explicaciones, advertencias y más información, consulte [tipos de líneas de base](types-of-baselines.md).
**Requisitos previos**
Debe tener una unidad organizativa (OU) existente que no esté registrada en AWS Control Tower y que desee registrar. O bien, debe tener una OU registrada que desee volver a registrar para actualizarla.
**Registro de una OU**
1. Compruebe si `IdentityCenterBaseline` está habilitada para la zona de aterrizaje. Si es así, obtenga el identificador de base de referencia habilitado para Identity Center.
```
aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
```
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==``].[arn]'
```
1. Obtenga el ARN de la OU de destino.
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. Obtenga el ARN de la línea de base de `AWSControlTowerBaseline`.
```
aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'
```
1. Cree la base de referencia de `AWSControlTowerBaseline` en la OU de destino.
*Si la base de referencia de Identity Center está habilitada:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":""}]'
```
*Si la base de referencia de Identity Center no está habilitada, omita la marca `parameters` de la siguiente manera:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier
```
**Nuevo registro de una OU**
Después de actualizar la configuración de la zona de aterrizaje o actualizar la versión de tu zona de aterrizaje, debes **volver OUs a registrarte** para proporcionarles los cambios más recientes. Siga estos pasos para volver a registrar una unidad organizativa mediante programación, restableciendo el recurso asociado y todos los `EnabledBaseline` recursos asociados. `EnabledControl`
**importante**
Si la OU tiene los controles opcionales habilitados, también debe llamar a la [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)API para cada control opcional habilitado después de restablecer la línea base. Este paso garantiza que los controles opcionales se mantengan coherentes con la configuración más reciente de landing zone. Si omites este paso, es posible que los controles opcionales de la OU no reflejen los cambios más recientes en la zona de landing zone. Si no tiene ningún control opcional activado, este paso no es obligatorio.
1. Obtenga el ARN de la OU de destino para volver a registrarla.
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. Obtenga el ARN del recurso `EnabledBaseline` para la OU de destino.
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==``].[arn]'
```
1. Restablezca la base de referencia habilitada.
```
aws controltower reset-enabled-baseline --enabled-baseline-identifier
```
1. Si la OU tiene controles opcionales habilitados, enumere los controles habilitados para la OU y restablezca cada uno de ellos para que sean coherentes con la configuración más reciente de landing zone.
Enumere los controles habilitados en la unidad organizativa de destino:
```
aws controltower list-enabled-controls --target-identifier
```
Para cada control opcional activado devuelto, reinícielo llamando a:
```
aws controltower reset-enabled-control --enabled-control-identifier
```
Para obtener más información, consulte [ResetEnabledControl](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)la *referencia de la API de AWS Control Tower*.
# Ejemplos de uso de la API de base de referencia
Esta sección contiene ejemplos de parámetros de entrada y salida para la línea base de AWS Control Tower APIs.
## `DisableBaseline`
Para obtener más información sobre el funcionamiento de esta API, consulte [DisableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html).
Entrada de `DisableBaseline`:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789"
}
```
Salida de `DisableBaseline`:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
Ejemplo de la CLI de `DisableBaseline`:
```
aws controltower disable-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789 \
--region us-west-2
```
## `EnableBaseline`
Para obtener más información sobre esta operación de API, consulte [EnableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_EnableBaseline.html).
Entrada de `EnableBaseline`:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"baselineVersion": "3.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
Salida de `EnableBaseline`, devolviendo un nuevo recurso:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAGF7TNOHRD7ES5VV"
}
```
Ejemplo de la CLI de `EnableBaseline`:
En este ejemplo, se muestra cómo habilitar una línea base para una AWS Organizations organización que tiene la zona de aterrizaje habilitada para acceder al AWS IAM Identity Center, gestionado por AWS Control Tower. Para recuperar el identificador `EnabledBaseline` del Identity Center, puede llamar a la API `ListEnabledBaselines` y filtrar según la base de referencia del Identity Center: `(arn:aws:controltower:Region::baseline/LN25R72TTG6IGPTQ)`
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
La respuesta mostrará el detalle de `EnabledBaseline`, que muestra su identificador.
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ",
"targetIdentifier": "arn:aws:organizations::123456789012:account/o-aq21sw43de5/123456789012",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
```
**nota**
Anote el valor del ARN de la respuesta y pase este valor como parámetro para habilitar la base de referencia predeterminada.
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```
En el caso de una organización con la zona de aterrizaje excluida de la administración de AWS Control Tower del IAM Identity Center, habilite la base de referencia sin el parámetro.
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--region us-west-2
```
## `GetBaseline`
Para obtener más información sobre el funcionamiento de esta API, consulte. [GetBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaseline.html)
Entrada de `GetBaseline`:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2"
}
```
Salida de `GetBaseline`:
```
{
"arn": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance.",
}
```
Ejemplo de la CLI de `GetBaseline`:
```
aws controltower get-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `GetBaselineOperation`
Para obtener más información sobre esta operación de API, consulte [GetBaselineOperation](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaselineOperation.html).
Entrada de `GetBaselineOperation`:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
Salida de `GetBaselineOperation`:
```
{
"baselineOperation": {
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"operationType": "DISABLE_BASELINE",
"status": "FAILED",
"startTime": "2023-01-12T19:05:00Z",
"endTime": "2023-01-12T19:45:00Z",
"statusMessage": "Can't perform DisableBaseline on a parent target with governed child OUs"
}
}
```
Ejemplo de la CLI de `GetBaselineOperation`:
```
aws controltower get-baseline-operation \
--operation-identifier 58f12232-26be-4735-a3e9-dd30d90f021f \
--region us-west-2
```
## `GetEnabledBaseline`
Para obtener más información sobre esta operación de API, consulte [GetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetEnabledBaseline.html).
Entrada de `GetEnabledBaseline`:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
```
Salida de `GetEnabledBaseline`:
```
{
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
}
```
Ejemplo de la CLI de `GetEnabledBaseline`:
```
aws controltower get-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `ListBaselines`
Para obtener más información sobre esta operación de API, consulte [ListBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListBaselines.html).
Entrada de `ListBaselines` (mediante entradas opcionales):
```
{
"nextToken": "AbCd1234",
"maxResults": "4"
}
```
Salida de `ListBaselines`:
```
{
"baselines": [
{
"arn": "arn:aws:controltower:us-east-1::baseline/4T4HA1KMO10S6311",
"name": "AuditBaseline",
"description": "Sets up resources to monitor security and compliance of accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/J8HX46AHS5MIKQPD",
"name": "LogArchiveBaseline",
"description": "Sets up a central repository for logs of API activities and resource configurations from accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ",
"name": "IdentityCenterBaseline",
"description": "Sets up shared resources for AWS Identity Center, which prepares the AWSControlTowerBaseline to set up Identity Center access for accounts."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/3WPD0NA6TJ9AOMU2",
"name": "BackupCentralVaultBaseline",
"description": "Sets up central AWS Backup vault in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/H6C5JFCJJ3CPU3J5",
"name": "BackupManagerBaseline",
"description": "Sets up delegated admin and AWS Backup Audit Manager."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"name": "BackupBaseline",
"description": "Sets up local Backup vault and attach Backup policy."
}
]
}
```
Ejemplo de la CLI de `ListBaselines`:
```
aws controltower list-baselines \
--region us-west-2
```
## `ListEnabledBaselines`
La API `ListEnabledBaselines` tiene un parámetro opcional que le permite ver las líneas de base tal como se aplican a las cuentas que son miembros de una UO. Los ejemplos siguientes muestran algunos comandos de la CLI que puede usar para ver las líneas de base de una cuenta. AWS Control Tower hace referencia a estas líneas de base, que están habilitadas en la UO, pero que se aplican a cada cuenta de la UO, como *líneas de base habilitadas secundarias*, ya que derivan su configuración de gobernanza de las líneas de base que se aplican en la UO.
Para obtener más información sobre esta operación de API, consulte [ListEnabledBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html).
Entrada de `ListEnabledBaselines` para mostrar líneas de base habilitadas secundarias:
```
aws controltower list-enabled-baselines --include-children
```
Salida de `ListEnabledBaselines` para ver líneas de base habilitadas secundarias:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XO2UQ1PC6BB5085S5",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "07d6d2b8-e357-4f96-ba00-98ea88143445",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:ou/o-vaex10vaey/ou-k86y-ld9k8vpu"
},
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XAFPKQQXOJB50ZWQH",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"parentIdentifier": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XOIZ4G08CWB50ZWON",
"statusSummary": {
"lastOperationIdentifier": "3508793e-48c8-4895-965b-3dc6abd52b6b",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:account/o-vaex10vaey/183295447314"
}
]
```
**nota**
En el ejemplo anterior, el campo `parentIdentifier` muestra la línea de base habilitada de la UO principal para esta línea de base habilitada secundaria.
Vea todas las líneas de base aplicadas a un destino específico (UO o cuenta):
```
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["TARGET_ARN"]
}
```
Vea todas las OUs que tienen una línea base específica:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}'
```
Vea todas OUs las cuentas que tienen una línea base específica:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}' \
--include-children
```
Vea todas las cuentas de una UO que tengan habilitada la línea de base B:
```
### First fetch the enabled baseline record for Baseline B on the OU
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["OU_TARGET_ARN"],
"baselineIdentifiers": ["BASELINE_ARN_FOR_BASELINE_B"]
}'
### Call ListEnabled baseline to fetch all accounts that have their parent as the enabled baseline record on the OU
aws controltower list-enabled-baselines \
--filter '{
"parentIdentifiers": ["ENABLED_BASELINE_ARN_FOR_OU"]
}' \
--include-children
```
**Más información sobre líneas de base habilitadas secundarias**
Puede usar la API `GetEnabledBaseline` para ver información detallada acerca de la línea de base habilitada secundaria específica
Puede usar la API `GetBaselineOperation` para ver una operación realizada en la línea de base habilitada secundaria
No se puede escribir directamente a ninguna línea base APIs`EnableBaseline`, como`UpdateEnabledBaseline`, `ResetEnabledBaseline` o`DisableBaseline`, sobre una línea base habilitada para niños.
Los recursos de línea de base habilitada secundaria se pueden modificar únicamente mediante el servicio de AWS Control Tower, mediante operaciones que se realicen en la UO principal o mediante Account Factory.
Ejemplos de uso de filtros:
Entrada de `ListEnabledBaselines` (sin filtros):
```
{
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
Entrada de `ListEnabledBaselines` (solo filtro de `baselineIdentifiers`):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2', 'arn:aws:controltower:us-east-1::baseline/12GZU8CKZKVMS2AW']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
Entrada de `ListEnabledBaselines` (solo filtro de `targetIdentifiers`):
```
{
"filter": {
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317', 'arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-11q6n2cf']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 2
}
```
Entrada de `ListEnabledBaselines` (filtros de `baselineIdentifiers` y `targetIdentifiers`):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2']
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
Salida de `ListEnabledBaselines`:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
},
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "4.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317",
"statusSummary": {
"status": "FAILED",
"lastOperationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
}
],
"nextToken": "e2bXXXXX6cab"
}
```
Ejemplo de la CLI con un tipo de filtro (filtro de `baselineIdentifiers`):
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2,arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
Ejemplo de la CLI con varios filtros (filtros de `baselineIdentifiers` y `targetIdentifiers`):
```
aws controltower list-enabled-baselines \
--filter targetIdentifiers=arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65,baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `ResetEnabledBaseline`
Para obtener más información sobre esta operación de API, consulte [ResetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html).
Entrada de `ResetEnabledbaseline`:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL"
}
```
Salida de `ResetEnabledBaseline`:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
Ejemplo de la CLI de `ResetEnabledBaseline`:
```
aws controltower reset-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `UpdateEnabledBaseline`
Para obtener más información sobre esta operación de API, consulte [UpdateEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateEnabledBaseline.html).
Entrada de `UpdateEnabledBaseline`:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineVersion": "4.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
Salida de `UpdateEnabledBaseline`:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
Ejemplo de la CLI de `UpdateEnabledBaseline`:
```
aws controltower update-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--baseline-version 4.0
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```