Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Types de lignes de base
Dans AWS Control Tower, une *référence* est un groupe de ressources et de configurations spécifiques que vous pouvez appliquer à une cible. L'objectif de référence le plus courant peut être une unité organisationnelle (UO). Par exemple, vous pouvez activer une ligne de base avec une unité d'organisation sélectionnée comme cible, pour enregistrer cette unité d'organisation dans AWS Control Tower.
Lors de la configuration de la zone d'atterrissage, certaines lignes de base peuvent être activées automatiquement sur le compte partagé. Certaines lignes de base peuvent être activées et mises à jour en fonction des paramètres et des configurations de votre zone d'atterrissage. AWS Control Tower crée et déploie les ressources vers la cible conformément aux spécifications de référence.
Lorsque vous activez une ligne de base sur une cible, celle-ci est représentée sous la forme d'une ressource AWS, appelée `EnabledBaseline` ressource.
AWS Control Tower inclut deux types généraux de lignes de base :
+ Lignes de base qui peuvent être activées sur une unité d'organisation.
+ Des lignes de base qui peuvent être activées sur un compte partagé, lors de la configuration de la zone d'atterrissage.
## Types de référence qui s'appliquent au niveau de l'UO
**Note**
Seules les lignes de base qui s'appliquent au niveau de l'unité d'organisation peuvent être directement activées avec l'`EnableBaseline`API.
+ **Nom**: `AWSControlTowerBaseline`
**Description** : Cette base de référence définit les ressources et les contrôles pour les comptes membres au sein de l'unité d'organisation cible, nécessaires au suivi de la conformité, à l'audit, à la surveillance de la sécurité et, éventuellement, à la gestion des accès. Cette ligne de base est activée lorsque vous enregistrez une UO dans AWS Control Tower.
**Prérequis** : l'intégration d'AWS Config doit être activée dans la zone de landing d'AWS Control Tower.
**Remarque** : Cette ligne de base conserve les paramètres de la zone d'atterrissage. La **région refuse** le contrôle. En d'autres termes, si une région n'est pas autorisée au niveau de la zone d'atterrissage, elle n'est pas autorisée pour cette unité d'organisation lorsque vous appelez l'`EnableBaseline`API pour enregistrer une unité d'organisation.
**Note**
Le refus de contrôle de la région au niveau de l'OU n'a aucun moyen d'autoriser les régions que la région de refus de contrôle de la zone d'atterrissage n'autorise pas.
Pour plus d'informations, consultez la section [Comment SCPs travailler avec le refus](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#how_scps_deny) dans la AWS Organizations documentation.
**Recommandation** : Nous vous recommandons de vérifier les régions dans lesquelles votre unité d'organisation cible peut exécuter des charges de travail, et de comparer les résultats par rapport à la zone de destination Refus de contrôle, avant d'appeler l'`EnableBaseline`API de l'unité d'organisation, sous peine de perdre l'accès aux ressources dans certaines régions.
+ **Nom**: `ConfigBaseline`
**Description** : cette ligne de base définit les ressources liées à AWS Config pour les comptes membres au sein de l'unité d'organisation cible requises pour l'activation de Detective Controls. Les ressources configurées sont un sous-ensemble des ressources de AWSControlTowerBaseline.
**Prérequis** : l'intégration d'AWS Config doit être activée dans la zone de landing d'AWS Control Tower.
**Remarque** : Cette ligne de base ne conserve pas les paramètres de la zone d'atterrissage. La région refuse le contrôle. Le contrôle par refus de région ne sera pas activé dans le cadre de l'activation ConfigBaseline.
**Limitation** : AWSControl TowerBaseline et ConfigBaseline ne peut pas être activé sur la même unité d'organisation. Un seul d'entre eux est autorisé sur une unité d'organisation.
+ **Nom**: `BackupBaseline`
**Description** : Cette base de référence définit les ressources et les contrôles pour les comptes des membres au sein de l'unité d'organisation cible. Ils sont nécessaires pour que l'intégration AWS Backup puisse automatiser la sauvegarde de vos données et centraliser la gestion de vos politiques de sauvegarde. Services AWS
**Prérequis :**
+ L'intégration d'AWS Backup doit être activée dans la zone de landing d'AWS Control Tower.
+ L'intégration d'AWS Config doit être activée dans la zone de landing d'AWS Control Tower.
+ `AWSControlTowerBaseline`doit être activé sur l'unité d'organisation cible.
**Remarque** : Avant d'activer le `BackupBaseline` sur une unité d'organisation cible, assurez-vous qu'il `AWSControlTowerBaseline` est activé sur l'unité d'organisation cible. C'est-à-dire que l'unité d'organisation cible doit être enregistrée dans AWS Control Tower.
+ Vous pouvez choisir de l'activer AWS Backup pendant le processus de création de votre zone d'atterrissage AWS Control Tower ou pendant le processus de mise à jour de la zone d'atterrissage.
+ `BackupBaseline`Il est compatible avec les versions 3.1 et ultérieures de la zone d'atterrissage.
+ Le n'`BackupBaseline`est pas appliqué au compte de gestion.
## Types de référence pouvant être appliqués sur un compte partagé lors de la configuration de la zone d'atterrissage
AWS Control Tower active certaines bases de référence sur un compte partagé, dans le cadre du processus de configuration et de mise à jour de la zone d'atterrissage. Les valeurs de référence de votre zone d'atterrissage peuvent changer au fur et à mesure que vous modifiez les paramètres de votre zone d'atterrissage. Par exemple, si vous optez pour IAM Identity Center, AWS Control Tower peut activer la dernière version de la `IdentityCenterBaseline` ligne de base sur votre zone de landing zone.
Vous pouvez consulter les lignes de base activées pour votre zone de landing grâce à l'appel `ListEnabledBaselines` d'API.
**Note**
À partir de la version 4.0 de Landing Zone, le AuditBaseline est remplacé par deux lignes de base distinctes : `CentralSecurityRolesBaseline` et`CentralConfigBaseline`.
+ **Nom**: `CentralConfigBaseline`
**Description** : configure des ressources centrales pour la surveillance de la conformité et l'audit au sein de votre organisation à l'aide d'AWS Config.
+ **Nom**: `CentralSecurityRolesBaseline`
**Description** : met en place des ressources centralisées pour la surveillance de la sécurité au sein de votre organisation.
+ **Nom**: `AuditBaseline`
**Description** : configure les ressources pour surveiller la sécurité et la conformité des comptes de votre organisation.
+ **Nom**: `LogArchiveBaseline`
**Description** : met en place un référentiel central pour les journaux des activités des API et des configurations de ressources provenant des comptes de votre organisation.
+ **Nom**: `IdentityCenterBaseline`
**Description** : configure des ressources partagées pour IAM Identity Center, qui prépare la configuration de l'accès `AWSControlTowerBaseline` à Identity Center pour les comptes.
**Remarque** : Cette base de référence ne fonctionne que lorsque vous avez sélectionné IAM Identity Center comme fournisseur d'identité au moment de configurer votre zone d'atterrissage pour la première fois, ou si vous modifiez ultérieurement les paramètres de votre zone d'atterrissage pour activer IAM Identity Center pour votre zone d'atterrissage. Si vous utilisez un autre fournisseur d'identité, vous n'aurez pas accès à cette base de référence.
+ **Nom**: `BackupCentralVaultBaseline`
**Description** : configure le AWS Backup coffre central de votre organisation.
+ **Nom**: `BackupAdminBaseline`
**Description** : configure l'administrateur délégué et l' AWS Backup Audit Manager.
# Inscription partielle de comptes
Lorsque vous travaillez avec des bases de référence, un compte peut être placé dans un état appelé **Partiellement inscrit**.
Cet état peut se produire si vous réenregistrez une unité d'organisation en appelant l'`ResetEnabledBaseline`API, car AWS Control Tower applique uniquement les ressources obligatoires aux comptes de l'unité d'organisation cible. Un compte qui ne dispose pas des ressources facultatives (contrôles) de son unité d'organisation parent est marqué comme étant **partiellement inscrit**.
Si vous déplacez un compte non inscrit vers une unité d'organisation enregistrée, puis que vous appelez l'`ResetEnabledBaseline`API de l'unité d'organisation pour inscrire ce compte, AWS Control Tower applique les ressources associées `AWSControlTowerBaseline` au compte nouvellement inscrit. Toutefois, les contrôles facultatifs activés pour cette unité d'organisation ne sont pas appliqués au compte. Le compte reste dans un état **partiellement inscrit**.
Pour inscrire complètement le compte, choisissez **Réenregistrer** ou **Mettre à jour le compte** dans la console. Lorsque vous sélectionnez ces opérations depuis la console, AWS Control Tower applique toutes les ressources de cette unité d'organisation au compte nouvellement inscrit, y compris les contrôles facultatifs activés pour cette unité d'organisation.
# Variation des opérations entre la console AWS Control Tower et APIs pour les lignes de base
Lorsque vous modifiez le statut de gouvernance d'une unité d'organisation, la console AWS Control Tower effectue automatiquement un plus grand nombre d'opérations pour vous, par rapport à une modification de la gouvernance au moyen des lignes de base APIs for.
**Différences**
+ **Enregistrement et approvisionnement de produits**
Lorsque vous enregistrez une UO via la console, AWS Control Tower crée des produits Service Catalog pour les comptes membres de l'UO, dans le cadre de l'inscription de chaque compte. Lorsque vous enregistrez une unité d'organisation par le biais de l'`EnableBaseline`API et qu'AWS Control Tower ne crée pas de produits provisionnés pour les comptes membres de l'unité d'organisation. `AWSControlTowerBaseline`
+ **Désenregistrer une UO**
Chaque fois que vous annulez l'enregistrement d'une UO, vous devez d'abord supprimer tous les comptes membres et les imbriquer. OUs AWS Control Tower supprime ensuite tous les contrôles appliqués à l'unité d'organisation.
+ Si vous sélectionnez **Supprimer l'UO** de la console, AWS Control Tower procède au désenregistrement puis supprime l'UO de votre organisation.
+ Toutefois, si vous annulez l'enregistrement de l'UO en appelant l'`DisableBaseline`API pour la supprimer `AWSControlTowerBaseline` de l'UO, AWS Control Tower ne supprime pas l'UO de votre organisation, l'UO est toujours présente dans l'organisation, non enregistrée.
## Lignes de base et comptes membres activés
Lorsque vous activez une ligne de base sur une unité d'organisation, cette configuration est héritée par les comptes membres de l'unité d'organisation. En raison de l'héritage, nous l'appelons une base de *référence activée pour les enfants* lorsque nous faisons référence au compte. La ligne de base appliquée à l'unité d'organisation est appelée ligne de *base activée par le parent*. La ligne de base activée par le parent contrôle la configuration de ses lignes de base activées pour enfants. Cela est similaire à la façon dont un contrôle, lorsqu'il est activé sur une unité d'organisation, s'applique à tous les comptes de l'unité d'organisation.
**Afficher le statut de base d'un compte**
AWS Control Tower ne vous permet pas de cibler les comptes directement à l'aide de bases de référence. Cependant, vous pouvez suivre l'état d'activation et de dérive de chaque compte membre au moyen des bases de référence activées pour les enfants dont il a hérité. Pour consulter l'état de vos comptes, vous pouvez appeler l'[https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)API à l'aide de l'indicateur de `includeChildren` fonctionnalité.
**Désactiver la base de référence d'un compte**
AWS Control Tower ne vous permet pas de désactiver une ligne de base activée pour les enfants liée à une ligne de base activée pour les parents. Une ligne de base activée pour un enfant peut être désactivée si elle est héritée et qu'elle n'est plus liée à une ligne de base activée par un parent.
## Valeurs de référence et paramètres de version par défaut
Si votre zone d'atterrissage AWS Control Tower est déjà configurée et que vous choisissez d'activer une ligne de base de zone d'atterrissage, AWS Control Tower active la dernière version de la ligne de base compatible avec votre version de zone d'atterrissage. Si vous choisissez d'activer une ligne de base pour une unité d'organisation qui n'est pas encore enregistrée auprès d'AWS Control Tower, AWS Control Tower fournit automatiquement la dernière version compatible de la ligne de base pour cette unité d'organisation.
# Compatibilité des versions de base de l'UO et de la zone d'atterrissage
Les lignes de base d'AWS Control Tower vous permettent de définir une norme de gouvernance au niveau de l'unité organisationnelle, plutôt qu'au niveau de la zone de landing zone, si votre entreprise l'exige. La base de référence appelée `AWSControlTowerBaseline` est disponible pour vous aider à vous OUs inscrire auprès d'AWS Control Tower.
**Note**
Une *base de référence* est un ensemble de contrôles et de ressources qui fonctionnent ensemble pour établir un environnement de gouvernance stable au sein de votre zone d'atterrissage.
Lorsque vous activez une ligne de base sur une unité d'organisation, en appelant l'`EnableBaseline`API dans AWS Control Tower, vous devez spécifier une version de référence compatible avec votre version actuelle de la zone de landing zone d'AWS Control Tower. Une fois que vous avez spécifié une ligne de base, tous les comptes membres d'une unité d'organisation suivent la ligne de référence définie pour l'unité d'organisation. En d'autres termes, les nouveaux comptes sont approvisionnés avec la base de référence mise à jour, et les comptes des membres existants sont régis conformément à la nouvelle base de référence.
Si vous ne sélectionnez pas de référence pour vos comptes OUs et comptes existants, la version de la zone d'atterrissage détermine par défaut l'ensemble de la posture de gouvernance. Cependant, chaque unité d'organisation enregistrée dans votre zone d'atterrissage se voit attribuer une version de référence, qui est la dernière version de référence compatible avec votre version de zone d'atterrissage actuelle. Par conséquent, chaque unité organisationnelle et chaque compte de membre inscrit sont associés à une référence, même si vous n'attribuez jamais de référence spécifique.
Pour la ligne de base au niveau de l'unité d'organisation`AWSControlTowerBaseline`, le tableau ci-dessous indique la compatibilité des lignes de base avec les versions de la zone de landing zone d'AWS Control Tower.
| **Version de référence** | **Versions de zone d'atterrissage** | **Plans inclus** | **Variation par rapport au niveau de référence précédent** |
| --- | --- | --- | --- |
| 1.0 | 2,0 à 2,7 | BP\$1BASELINE\$1CLOUDTRAIL, BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, ressources IAM | Aucune |
| 2.0 | 2,8 à 2,9 | BP\$1BASELINE\$1CLOUDTRAIL, BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, ressources IAM | Ajout d'un rôle AWS Config lié au service (SLR) et d'un nouveau plan de configuration pour utiliser le SLR |
| 3.0 | 3,0 à 3,1 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, ressources IAM | Nouveau AWS Config plan. Modifiez pour enregistrer les ressources mondiales uniquement dans la région d'origine. CloudTrail Plan supprimé |
| 4.0 | 3.2 à 3.3 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, ressources IAM | Nouveau modèle SLR |
| 5.0 | 4.0 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, ressources IAM | Autorisation (s) d'agrégation AWS Config supprimée (s). L'autorisation d'agrégation AWS Config pour chaque compte membre n'est pas nécessaire puisque la LandingZone version 4.0 a adopté AWS Organizations Config Aggregator, qui a accès à tous les comptes membres au sein de l'organisation. |
Pour plus d'informations sur les ressources spécifiques créées dans les comptes lorsque vous configurez votre zone de landing zone, consultez la section [Ressources créées dans les comptes partagés](https://docs.aws.amazon.com//controltower/latest/userguide/shared-account-resources.html).
Si vous mettez à jour votre zone d'atterrissage vers une version compatible avec une version de `AWSControlTowerBaseline` référence plus récente et que la nouvelle version de zone d'atterrissage est compatible avec votre version de référence existante, l'état de votre unité d'organisation passe à **Mise à jour disponible**.
+ Vous pouvez continuer à utiliser Account Factory et les autres fonctionnalités sans mettre à jour immédiatement la ligne de base de l'unité d'organisation, sauf dans le cas d'une mise à jour de la zone d'atterrissage de la version 2.x à la version 3.x.
+ Les nouveaux comptes inscrits à cette unité d'organisation reçoivent des ressources basées sur la version de base existante jusqu'à ce que la version de base soit mise à jour (avec la fonctionnalité de **gouvernance étendue** dans la console ou `UpdateEnabledBaseline` via l'API).
+ Une fois que vous avez mis à jour la version de référence, tous les comptes de cette unité d'organisation reçoivent des ressources basées sur la nouvelle version de référence.
**Note**
Si vous mettez à jour votre zone de landing zone AWS Control Tower d'une version 2.X à une version 3.X, vous devez également mettre à jour la version de référence sur votre compte OUs, en raison du passage des pistes au niveau du compte à celles de l'organisation. AWS CloudTrail Dans la console, votre unité d'organisation affichera le statut « **Mise à jour requise** ».
**Considérations relatives aux niveaux de référence**
+ Si votre unité d'organisation nécessite une mise à jour de base, vous ne pouvez pas créer de nouveaux comptes ni inscrire des comptes existants dans cette unité d'organisation.
+ Après une mise à jour de la zone d'atterrissage, si vous prévoyez également de mettre à jour une ligne de base d'unité d'organisation, vous devez réenregistrer l'unité d'organisation ou mettre à jour la version de référence de votre unité d'organisation par programmation.
+ Nous vous recommandons de passer à la ligne de base compatible la plus élevée pour la version de zone d'atterrissage que vous utilisez, afin de bénéficier de tous les avantages de la combinaison de la zone d'atterrissage et de la ligne de base. Par exemple, si vous passez à la version 3.3 de la zone d'atterrissage, vous pouvez continuer à utiliser la version de base 3.0, mais vous ne bénéficierez pas de tous les avantages de la version 3.3 de la zone d'atterrissage, sauf si vous passez également à la version de base 4.0.
+ Les mises à jour de référence ne peuvent pas être annulées.
+ L'activation de base cible une unité organisationnelle à la fois. Par conséquent, les unités imbriquées ne OUs sont pas mises à jour automatiquement lorsque l'unité d'organisation parent est mise à jour. Nous vous recommandons de mettre à jour l'unité d'organisation parent avant de mettre à jour l'unité imbriquée. OUs
+ Lorsque vous appelez l'`UpdateEnabledBaseline`API ou que vous réenregistrez une unité d'organisation depuis la console, l'unité d'organisation conserve tous les contrôles qui étaient activés avant la mise à jour de référence.
+ Lorsque plusieurs versions de référence sont compatibles avec votre version de zone d'atterrissage, vous devez utiliser la dernière version de référence si vous activez une ligne de base sur une unité d'organisation non gérée.
# Exemples : enregistrez une unité d'organisation AWS Control Tower avec APIs uniquement
Cette présentation d'exemples est un document d'accompagnement. Pour des explications, des mises en garde et de plus amples informations, voir. [Types de lignes de base](types-of-baselines.md)
**Conditions préalables**
Vous devez disposer d'une unité d'organisation existante qui n'est pas enregistrée auprès d'AWS Control Tower et que vous souhaitez enregistrer. Vous devez également disposer d'une unité d'organisation enregistrée que vous souhaitez réenregistrer à des fins de mise à jour.
**Enregistrer une UO**
1. Vérifiez si le `IdentityCenterBaseline` est activé pour la zone d'atterrissage. Si tel est le cas, obtenez l'identifiant Identity Center Enabled Baseline.
```
aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
```
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==``].[arn]'
```
1. Obtenez l'ARN de l'unité d'organisation cible.
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. Obtenez l'ARN de la `AWSControlTowerBaseline` ligne de base.
```
aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'
```
1. Créez la `AWSControlTowerBaseline` ligne de base sur l'unité d'organisation cible.
*Si l'Identity Center Baseline est activée :*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":""}]'
```
*Si la ligne de base de référence du centre d'identité n'est pas activée, omettez l'`parameters`indicateur, comme suit :*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier
```
**Réenregistrer une UO**
Après avoir mis à jour les paramètres de la zone d'atterrissage ou mis à jour la version de votre zone d'atterrissage, vous devez vous **réinscrire** OUs pour apporter les dernières modifications. Procédez comme suit pour réenregistrer une unité d'organisation par programmation, en réinitialisant la ressource associée et toutes les `EnabledBaseline` ressources associées. `EnabledControl`
**Important**
Si des contrôles facultatifs sont activés dans l'unité d'organisation, vous devez également appeler l'[https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)API pour chaque contrôle facultatif activé après avoir réinitialisé la ligne de base. Cette étape garantit que les commandes optionnelles restent cohérentes avec la dernière configuration de zone d'atterrissage. Si vous ignorez cette étape, les commandes optionnelles de l'unité d'organisation risquent de ne pas refléter les dernières modifications de la zone d'atterrissage. Si aucune commande optionnelle n'est activée, cette étape n'est pas obligatoire.
1. Obtenez l'ARN de l'unité d'organisation cible pour vous réenregistrer.
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. Obtenez l'ARN de la `EnabledBaseline` ressource pour l'unité d'organisation cible.
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==``].[arn]'
```
1. Réinitialisez la ligne de base activée.
```
aws controltower reset-enabled-baseline --enabled-baseline-identifier
```
1. Si des commandes facultatives sont activées dans l'unité d'organisation, listez les commandes activées pour l'unité d'organisation et réinitialisez chacune d'elles afin qu'elles restent cohérentes avec la dernière configuration de zone d'atterrissage.
Répertoriez les commandes activées sur l'unité d'organisation cible :
```
aws controltower list-enabled-controls --target-identifier
```
Pour chaque contrôle optionnel activé renvoyé, réinitialisez-le en appelant :
```
aws controltower reset-enabled-control --enabled-control-identifier
```
Pour plus d'informations, consultez [ResetEnabledControl](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)le manuel de *référence des API AWS Control Tower*.
# Exemples d'utilisation de l'API de base
Cette section contient des exemples de paramètres d'entrée et de sortie pour la ligne de base AWS Control Tower APIs.
## `DisableBaseline`
Pour plus d'informations sur cette opération d'API, consultez [DisableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html).
`DisableBaseline`entrée :
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789"
}
```
`DisableBaseline`sortie :
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
Exemple de commande `DisableBaseline` CLI :
```
aws controltower disable-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789 \
--region us-west-2
```
## `EnableBaseline`
Pour plus d'informations sur cette opération d'API, consultez [EnableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_EnableBaseline.html).
`EnableBaseline`entrée :
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"baselineVersion": "3.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`EnableBaseline`sortie, renvoyant une nouvelle ressource :
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAGF7TNOHRD7ES5VV"
}
```
Exemple de commande `EnableBaseline` CLI :
Cet exemple montre l'activation d'une base de référence pour une AWS Organizations organisation dont la zone de landing zone a opté pour l'accès à l' AWS IAM Identity Center, géré par AWS Control Tower. Pour récupérer votre `EnabledBaseline` identifiant Identity Center, vous pouvez appeler l'`ListEnabledBaselines`API en filtrant sur la base de référence Identity Center : `(arn:aws:controltower:Region::baseline/LN25R72TTG6IGPTQ)`
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
La réponse affichera le `EnabledBaseline` détail, qui indique son identifiant.
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ",
"targetIdentifier": "arn:aws:organizations::123456789012:account/o-aq21sw43de5/123456789012",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
```
**Note**
Notez la valeur ARN de la réponse et transmettez-la en tant que paramètre pour activer la ligne de base par défaut.
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```
Pour une organisation dont la zone d'atterrissage est exclue de la gestion d'IAM Identity Center par AWS Control Tower, activez la ligne de base sans le paramètre.
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--region us-west-2
```
## `GetBaseline`
Pour plus d'informations sur cette opération d'API, consultez [GetBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaseline.html).
`GetBaseline`entrée :
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2"
}
```
`GetBaseline`sortie :
```
{
"arn": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance.",
}
```
Exemple de commande `GetBaseline` CLI :
```
aws controltower get-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `GetBaselineOperation`
Pour plus d'informations sur cette opération d'API, consultez [GetBaselineOperation](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaselineOperation.html).
`GetBaselineOperation`entrée :
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
`GetBaselineOperation`sortie :
```
{
"baselineOperation": {
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"operationType": "DISABLE_BASELINE",
"status": "FAILED",
"startTime": "2023-01-12T19:05:00Z",
"endTime": "2023-01-12T19:45:00Z",
"statusMessage": "Can't perform DisableBaseline on a parent target with governed child OUs"
}
}
```
Exemple de commande `GetBaselineOperation` CLI :
```
aws controltower get-baseline-operation \
--operation-identifier 58f12232-26be-4735-a3e9-dd30d90f021f \
--region us-west-2
```
## `GetEnabledBaseline`
Pour plus d'informations sur cette opération d'API, consultez [GetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetEnabledBaseline.html).
`GetEnabledBaseline`entrée :
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
```
`GetEnabledBaseline`sortie :
```
{
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
}
```
Exemple de commande `GetEnabledBaseline` CLI :
```
aws controltower get-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `ListBaselines`
Pour plus d'informations sur cette opération d'API, consultez [ListBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListBaselines.html).
`ListBaselines`entrée (en utilisant des entrées optionnelles) :
```
{
"nextToken": "AbCd1234",
"maxResults": "4"
}
```
`ListBaselines`sortie :
```
{
"baselines": [
{
"arn": "arn:aws:controltower:us-east-1::baseline/4T4HA1KMO10S6311",
"name": "AuditBaseline",
"description": "Sets up resources to monitor security and compliance of accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/J8HX46AHS5MIKQPD",
"name": "LogArchiveBaseline",
"description": "Sets up a central repository for logs of API activities and resource configurations from accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ",
"name": "IdentityCenterBaseline",
"description": "Sets up shared resources for AWS Identity Center, which prepares the AWSControlTowerBaseline to set up Identity Center access for accounts."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/3WPD0NA6TJ9AOMU2",
"name": "BackupCentralVaultBaseline",
"description": "Sets up central AWS Backup vault in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/H6C5JFCJJ3CPU3J5",
"name": "BackupManagerBaseline",
"description": "Sets up delegated admin and AWS Backup Audit Manager."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"name": "BackupBaseline",
"description": "Sets up local Backup vault and attach Backup policy."
}
]
}
```
Exemple de commande `ListBaselines` CLI :
```
aws controltower list-baselines \
--region us-west-2
```
## `ListEnabledBaselines`
L'`ListEnabledBaselines`API possède un paramètre facultatif qui vous permet de visualiser les lignes de base telles qu'elles s'appliquent aux comptes membres d'une unité d'organisation. Les exemples suivants présentent certaines commandes CLI que vous pouvez utiliser pour afficher les lignes de base d'un compte. AWS Control Tower désigne ces lignes de base, qui sont activées sur l'unité d'organisation, mais s'appliquent à chaque compte au sein de l'unité d'organisation, sous le nom de *lignes de base activées pour les enfants*, car elles dérivent leur configuration de gouvernance des lignes de base appliquées sur l'unité d'organisation.
Pour plus d'informations sur cette opération d'API, consultez [ListEnabledBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html).
`ListEnabledBaselines`entrée pour afficher les lignes de base activées pour les enfants :
```
aws controltower list-enabled-baselines --include-children
```
`ListEnabledBaselines`sortie pour afficher les lignes de base activées pour les enfants :
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XO2UQ1PC6BB5085S5",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "07d6d2b8-e357-4f96-ba00-98ea88143445",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:ou/o-vaex10vaey/ou-k86y-ld9k8vpu"
},
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XAFPKQQXOJB50ZWQH",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"parentIdentifier": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XOIZ4G08CWB50ZWON",
"statusSummary": {
"lastOperationIdentifier": "3508793e-48c8-4895-965b-3dc6abd52b6b",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:account/o-vaex10vaey/183295447314"
}
]
```
**Note**
Dans l'exemple précédent, le `parentIdentifier` champ indique la ligne de base activée de l'unité d'organisation parent pour cette ligne de base activée pour enfant.
Afficher toutes les lignes de base appliquées à une cible spécifique (unité d'organisation ou compte) :
```
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["TARGET_ARN"]
}
```
Afficher tous ceux OUs qui ont une base de référence spécifique :
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}'
```
Afficher tous les comptes OUs et ceux qui ont une base de référence spécifique :
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}' \
--include-children
```
Afficher tous les comptes d'une unité d'organisation sur lesquels Baseline B est activé :
```
### First fetch the enabled baseline record for Baseline B on the OU
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["OU_TARGET_ARN"],
"baselineIdentifiers": ["BASELINE_ARN_FOR_BASELINE_B"]
}'
### Call ListEnabled baseline to fetch all accounts that have their parent as the enabled baseline record on the OU
aws controltower list-enabled-baselines \
--filter '{
"parentIdentifiers": ["ENABLED_BASELINE_ARN_FOR_OU"]
}' \
--include-children
```
**En savoir plus sur les lignes de base activées pour les enfants**
Vous pouvez utiliser l'`GetEnabledBaseline`API pour afficher des informations détaillées sur une ligne de base activée pour un enfant spécifique
Vous pouvez utiliser l'`GetBaselineOperation`API pour visualiser une opération effectuée sur la ligne de base activée pour l'enfant
Vous ne pouvez pas appeler directement aucune écriture APIs, telle que `EnableBaseline``UpdateEnabledBaseline`, `ResetEnabledBaseline` ou`DisableBaseline`, sur une ligne de base activée pour les enfants.
Les ressources de base activées pour les enfants peuvent être modifiées au moyen du service AWS Control Tower uniquement, par le biais d'opérations effectuées sur l'unité d'organisation parent ou via Account Factory.
Exemples d'utilisation des filtres :
`ListEnabledBaselines`entrée (aucun filtre) :
```
{
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines`entrée (`baselineIdentifiers`filtre uniquement) :
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2', 'arn:aws:controltower:us-east-1::baseline/12GZU8CKZKVMS2AW']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines`entrée (`targetIdentifiers`filtre uniquement) :
```
{
"filter": {
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317', 'arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-11q6n2cf']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 2
}
```
`ListEnabledBaselines`entrée (`baselineIdentifiers`et `targetIdentifiers` filtres) :
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2']
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines`sortie :
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
},
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "4.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317",
"statusSummary": {
"status": "FAILED",
"lastOperationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
}
],
"nextToken": "e2bXXXXX6cab"
}
```
Exemple de CLI avec un type de filtre (`baselineIdentifiers`filtre) :
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2,arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
Exemple de CLI utilisant plusieurs filtres (`baselineIdentifiers`et `targetIdentifiers` filtres) :
```
aws controltower list-enabled-baselines \
--filter targetIdentifiers=arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65,baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `ResetEnabledBaseline`
Pour plus d'informations sur cette opération d'API, consultez [ResetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html).
`ResetEnabledbaseline`entrée :
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL"
}
```
`ResetEnabledBaseline`sortie :
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
Exemple de commande `ResetEnabledBaseline` CLI :
```
aws controltower reset-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `UpdateEnabledBaseline`
Pour plus d'informations sur cette opération d'API, consultez [UpdateEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateEnabledBaseline.html).
`UpdateEnabledBaseline`entrée :
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineVersion": "4.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`UpdateEnabledBaseline`sortie :
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
Exemple de commande `UpdateEnabledBaseline` CLI :
```
aws controltower update-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--baseline-version 4.0
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```