Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Jenis baseline
*Garis dasar* di AWS Control Tower adalah sekelompok sumber daya dan konfigurasi spesifik yang dapat Anda terapkan ke target. Target dasar yang paling umum mungkin adalah unit organisasi (OU). Misalnya, Anda dapat mengaktifkan baseline dengan OU yang dipilih sebagai target, untuk mendaftarkan OU tersebut ke AWS Control Tower.
Selama pengaturan landing zone, beberapa baseline dapat diaktifkan pada akun bersama secara otomatis. Garis dasar tertentu dapat diaktifkan dan diperbarui berdasarkan pengaturan dan konfigurasi landing zone Anda. AWS Control Tower membuat dan menyebarkan sumber daya ke target dengan cara yang ditentukan baseline.
Saat Anda mengaktifkan baseline pada target, baseline direpresentasikan sebagai sumber daya AWS, yang disebut sumber daya. `EnabledBaseline`
AWS Control Tower mencakup dua jenis baseline umum:
+ Baseline yang dapat diaktifkan pada OU.
+ Garis dasar yang dapat diaktifkan pada akun bersama, selama pengaturan landing zone.
## Jenis dasar yang berlaku di tingkat OU
**catatan**
Hanya Baseline yang berlaku pada level OU yang dapat langsung diaktifkan dengan API. `EnableBaseline`
+ **Nama:** `AWSControlTowerBaseline`
**Deskripsi**: Garis dasar ini mengatur sumber daya dan kontrol untuk akun anggota dalam target OU, yang diperlukan untuk pemantauan kepatuhan, audit, pemantauan keamanan, dan, secara opsional, manajemen akses. Garis dasar ini diaktifkan saat Anda mendaftarkan OU di AWS Control Tower.
**Prasyarat**: Integrasi AWS Config harus diaktifkan di landing zone AWS Control Tower.
**Pertimbangan**: Garis dasar ini mempertahankan pengaturan zona pendaratan **Wilayah** menolak kontrol. Dengan kata lain, jika Region tidak diizinkan di tingkat landing zone, Region tersebut tidak diperbolehkan untuk OU tersebut ketika Anda memanggil `EnableBaseline` API untuk mendaftarkan OU.
**catatan**
Wilayah tingkat OU menolak kontrol tidak memiliki cara untuk mengizinkan Wilayah yang tidak diizinkan oleh zona pendaratan yang tidak diizinkan oleh Wilayah.
Untuk informasi selengkapnya, lihat [Cara SCPs kerja dengan](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#how_scps_deny) penolakan dalam AWS Organizations dokumentasi.
**Rekomendasi**: Kami menyarankan Anda mengonfirmasi Wilayah di mana target OU Anda mungkin menjalankan beban kerja, dan memeriksa hasilnya terhadap landing zone Region deny control, sebelum Anda memanggil `EnableBaseline` API untuk OU, atau Anda bisa kehilangan akses ke sumber daya di Wilayah tertentu.
+ **Nama:** `ConfigBaseline`
**Deskripsi**: Garis dasar ini menyiapkan sumber daya terkait AWS Config untuk akun anggota dalam target OU yang diperlukan untuk mengaktifkan Kontrol Detektif. Sumber daya yang disiapkan adalah bagian dari sumber daya dari. AWSControl TowerBaseline
**Prasyarat**: Integrasi AWS Config harus diaktifkan di landing zone AWS Control Tower.
**Pertimbangan**: Garis dasar ini tidak mempertahankan pengaturan zona pendaratan Wilayah menolak kontrol. Kontrol penolakan wilayah tidak akan diaktifkan sebagai bagian dari pengaktifan ConfigBaseline.
**Batasan**: AWSControl TowerBaseline dan ConfigBaseline tidak dapat diaktifkan pada OU yang sama. Hanya satu dari mereka yang diizinkan pada OU.
+ **Nama:** `BackupBaseline`
**Deskripsi**: Garis dasar ini mengatur sumber daya dan kontrol untuk akun anggota dalam OU target. Ini diperlukan agar integrasi dengan AWS Backup dapat mengotomatiskan pencadangan data Anda di seluruh Layanan AWS, dan memusatkan manajemen kebijakan cadangan Anda.
**Prasyarat**:
+ Integrasi AWS Backup harus diaktifkan di zona landing zone AWS Control Tower.
+ Integrasi AWS Config harus diaktifkan di landing zone AWS Control Tower.
+ `AWSControlTowerBaseline`harus diaktifkan pada target OU.
**Pertimbangan**: Sebelum Anda mengaktifkan OU target, pastikan bahwa `AWSControlTowerBaseline` diaktifkan pada target OU. `BackupBaseline` Artinya, target OU harus terdaftar di AWS Control Tower.
+ Anda dapat memilih untuk mengaktifkan AWS Backup selama proses pembuatan landing zone AWS Control Tower, atau selama proses pembaruan landing zone.
+ `BackupBaseline`Ini kompatibel dengan landing zone versi 3.1 dan yang lebih baru.
+ `BackupBaseline`Ini tidak diterapkan ke akun manajemen.
## Jenis baseline yang dapat diterapkan pada akun bersama selama pengaturan landing zone
AWS Control Tower memungkinkan baseline tertentu pada akun bersama, sebagai bagian dari proses penyiapan dan pembaruan landing zone. Garis dasar untuk landing zone Anda dapat berubah saat Anda mengubah pengaturan landing zone. Misalnya, jika Anda memilih IAM Identity Center, AWS Control Tower dapat mengaktifkan versi terbaru dari `IdentityCenterBaseline` baseline di landing zone Anda.
Anda dapat melihat baseline yang diaktifkan untuk landing zone Anda dengan panggilan `ListEnabledBaselines` API.
**catatan**
Dimulai dengan Landing Zone versi 4.0, digantikan oleh dua garis dasar yang berbeda: `CentralSecurityRolesBaseline` dan. AuditBaseline `CentralConfigBaseline`
+ **Nama:** `CentralConfigBaseline`
**Deskripsi**: Menyiapkan sumber daya pusat untuk pemantauan dan audit kepatuhan dalam organisasi Anda menggunakan AWS Config.
+ **Nama:** `CentralSecurityRolesBaseline`
**Deskripsi**: Menyiapkan sumber daya pusat untuk pemantauan keamanan dalam organisasi Anda.
+ **Nama:** `AuditBaseline`
**Deskripsi**: Menyiapkan sumber daya untuk memantau keamanan dan kepatuhan akun di organisasi Anda.
+ **Nama:** `LogArchiveBaseline`
**Deskripsi**: Menyiapkan repositori pusat untuk log aktivitas API dan konfigurasi sumber daya dari akun di organisasi Anda.
+ **Nama:** `IdentityCenterBaseline`
**Deskripsi**: Menyiapkan sumber daya bersama untuk IAM Identity Center, yang mempersiapkan `AWSControlTowerBaseline` untuk mengatur akses Pusat Identitas untuk akun.
**Pertimbangan**: Garis dasar ini hanya berfungsi ketika Anda telah memilih IAM Identity Center sebagai penyedia identitas Anda pada saat Anda mengatur landing zone Anda pada awalnya, atau jika Anda kemudian mengubah pengaturan landing zone Anda untuk mengaktifkan IAM Identity Center untuk landing zone Anda. Jika Anda menggunakan penyedia identitas yang berbeda, Anda tidak akan memiliki akses untuk mengaktifkan baseline ini.
+ **Nama:** `BackupCentralVaultBaseline`
**Deskripsi**: Mengatur lemari AWS Backup besi pusat di organisasi Anda.
+ **Nama:** `BackupAdminBaseline`
**Deskripsi**: Menyiapkan admin yang didelegasikan dan AWS Backup Audit Manager.
# Pendaftaran sebagian akun
Saat Anda bekerja dengan baseline, akun dapat ditempatkan ke dalam status yang disebut Terdaftar **sebagian**.
Status ini dapat terjadi jika Anda mendaftarkan ulang OU dengan memanggil `ResetEnabledBaseline` API, karena AWS Control Tower hanya menerapkan sumber daya wajib ke akun di OU target. Akun yang kehilangan sumber daya opsional (kontrol) untuk OU induknya ditandai sebagai **Terdaftar sebagian**.
Jika Anda memindahkan akun yang tidak terdaftar ke OU terdaftar dan kemudian memanggil `ResetEnabledBaseline` API di OU untuk mendaftarkan akun tersebut, AWS Control Tower menerapkan sumber daya yang terkait dengan akun yang `AWSControlTowerBaseline` baru terdaftar. Namun, kontrol opsional yang diaktifkan untuk OU ini tidak diterapkan ke akun. Akun tetap dalam keadaan **terdaftar sebagian**.
Untuk mendaftarkan akun sepenuhnya, pilih **Daftar ulang** atau **Perbarui akun** di konsol. Saat Anda memilih operasi ini dari konsol, AWS Control Tower menerapkan semua sumber daya OU tersebut ke akun yang baru terdaftar, termasuk kontrol opsional yang diaktifkan untuk OU tersebut.
# Variasi dalam operasi antara konsol AWS Control Tower dan APIs untuk baseline
Saat Anda mengubah status tata kelola OU, konsol AWS Control Tower melakukan lebih banyak operasi untuk Anda secara otomatis, dibandingkan dengan mengubah tata kelola melalui baseline APIs for.
**Perbedaan**
+ **Mendaftarkan dan menyediakan produk**
Saat Anda mendaftarkan OU melalui konsol, AWS Control Tower membuat produk Service Catalog untuk akun anggota OU, sebagai bagian dari pendaftaran setiap akun. Saat Anda mendaftarkan OU melalui `EnableBaseline` API dan AWS Control Tower tidak membuat produk yang disediakan untuk akun anggota di OU. `AWSControlTowerBaseline`
+ **Deregister ke OU**
Setiap kali Anda membatalkan pendaftaran OU, Anda harus terlebih dahulu menghapus semua akun anggota dan bersarang. OUs Kemudian, AWS Control Tower menghapus semua kontrol yang diterapkan ke OU.
+ Jika Anda memilih **Hapus OU** OU dari konsol, AWS Control Tower melanjutkan ke deregister dan kemudian menghapus OU dari organisasi Anda.
+ Namun, jika Anda membatalkan pendaftaran OU dengan memanggil `DisableBaseline` API untuk menghapus `AWSControlTowerBaseline` dari OU, AWS Control Tower tidak menghapus OU dari organisasi Anda, OU masih ada di organisasi, tidak terdaftar.
## Diaktifkan baseline dan akun anggota
Saat Anda mengaktifkan baseline pada OU, konfigurasi tersebut diwarisi oleh akun anggota OU. Karena fakta warisan, kami menyebutnya sebagai *baseline yang diaktifkan anak* ketika kami merujuk ke akun. Garis dasar yang diterapkan ke OU disebut baseline yang *diaktifkan induk*. Garis dasar yang diaktifkan induk mengontrol konfigurasi baseline yang diaktifkan turunannya. Ini mirip dengan bagaimana kontrol, ketika diaktifkan pada OU, berlaku untuk setiap akun dalam OU.
**Melihat status dasar akun**
AWS Control Tower tidak memungkinkan Anda untuk menargetkan akun secara langsung dengan baseline. Namun, Anda dapat melacak status pemberdayaan dan penyimpangan dari setiap akun anggota melalui baseline yang diaktifkan anak warisan mereka. Untuk melihat status akun Anda, Anda dapat memanggil [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)API dengan tanda `includeChildren` fitur.
**Nonaktifkan baseline akun**
AWS Control Tower tidak mengizinkan Anda menonaktifkan baseline berkemampuan anak yang ditautkan ke baseline yang diaktifkan induk. Garis dasar yang diaktifkan anak dapat dinonaktifkan jika pewarisannya melayang dan tidak lagi ditautkan ke baseline yang diaktifkan orang tua.
## Garis dasar dan default versi
Jika zona landing zone AWS Control Tower Anda sudah disiapkan, dan kemudian Anda memilih untuk mengaktifkan baseline landing zone, AWS Control Tower mengaktifkan versi terbaru dari baseline yang kompatibel dengan versi landing zone Anda. Jika Anda memilih untuk mengaktifkan baseline untuk OU yang belum terdaftar di AWS Control Tower, AWS Control Tower menyediakan versi terbaru yang kompatibel dari baseline untuk OU tersebut, secara otomatis.
# Kompatibilitas baseline OU dan versi landing zone
Garis dasar AWS Control Tower memungkinkan Anda menetapkan standar tata kelola di tingkat OU, bukan di tingkat landing zone, jika bisnis Anda memerlukannya. Garis dasar yang disebut `AWSControlTowerBaseline` tersedia untuk membantu mendaftarkan Anda OUs dengan AWS Control Tower.
**catatan**
*Baseline* adalah sekelompok kontrol dan sumber daya yang bekerja sama untuk membangun lingkungan tata kelola yang stabil di dalam landing zone Anda.
Saat Anda mengaktifkan baseline pada OU, dengan memanggil `EnableBaseline` API di AWS Control Tower, Anda harus menentukan versi dasar yang kompatibel dengan versi landing zone AWS Control Tower AWS Control Tower Anda saat ini. Setelah Anda menentukan garis dasar, semua akun anggota dalam OU mengikuti garis dasar yang diberikan untuk OU. Dengan kata lain, akun baru disediakan dengan baseline yang diperbarui, dan akun anggota yang ada diatur sesuai dengan baseline baru.
Jika Anda tidak memilih baseline untuk akun yang ada OUs dan akun Anda, versi landing zone menentukan keseluruhan postur tata kelola, secara default. Namun, setiap OU terdaftar di landing zone Anda diberi versi dasar, yang merupakan baseline terbaru yang kompatibel dengan versi landing zone Anda saat ini. Oleh karena itu, setiap akun anggota OU dan terdaftar memiliki baseline terkait, bahkan jika Anda tidak pernah menetapkan baseline secara khusus.
Untuk baseline level OU`AWSControlTowerBaseline`, tabel berikut menunjukkan kompatibilitas baseline dengan versi landing zone AWS Control Tower.
| **Versi dasar** | **Versi zona pendaratan** | **Cetak biru yang disertakan** | **Ubah dari baseline sebelumnya** |
| --- | --- | --- | --- |
| 1.0 | 2.0 hingga 2.7 | BP\$1BASELINE\$1CLOUDTRAIL, BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, Sumber Daya IAM | Tidak ada |
| 2.0 | 2,8 hingga 2,9 | BP\$1BASELINE\$1CLOUDTRAIL, BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, sumber daya IAM | Menambahkan peran AWS Config terkait layanan (SLR) dan cetak biru Config baru untuk menggunakan SLR |
| 3.0 | 3.0 hingga 3.1 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, sumber daya IAM | AWS Config Cetak biru baru. Ubah untuk merekam sumber daya global hanya di wilayah asal. CloudTrail Cetak biru yang dihapus |
| 4.0 | 3,2 hingga 3,3 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, sumber daya IAM | Cetak biru SLR baru |
| 5.0 | 4.0 | BP\$1BASELINE\$1CLOUDWATCH, BP\$1BASELINE\$1CONFIG, BP\$1BASELINE\$1ROLES, BP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE, BP\$1BASELINE\$1SERVICE\$1ROLES, Config SLR, sumber daya IAM | Menghapus Otorisasi Agregasi AWS Config. Otorisasi Agregasi AWS Config dari setiap akun anggota tidak diperlukan karena LandingZone versi 4.0 mengadopsi AWS Organizations Config Aggregator yang memiliki akses ke semua akun anggota dalam Organisasi. |
Untuk informasi selengkapnya tentang sumber daya tertentu yang dibuat di akun saat menyiapkan landing zone, lihat [Sumber daya yang dibuat di akun bersama](https://docs.aws.amazon.com//controltower/latest/userguide/shared-account-resources.html).
**Jika Anda memperbarui landing zone ke versi yang mendukung versi `AWSControlTowerBaseline` baseline yang lebih baru, dan versi landing zone baru kompatibel dengan versi baseline yang ada, status OU Anda berubah menjadi Pembaruan yang tersedia.**
+ Anda dapat terus menggunakan pabrik akun dan fitur lainnya tanpa memperbarui baseline OU segera, kecuali dalam kasus pembaruan landing zone dari 2.x ke 3.x.
+ Akun baru yang terdaftar di OU ini menerima sumber daya berdasarkan versi baseline yang ada hingga versi dasar diperbarui (dengan fitur **Perluas tata kelola** di konsol, atau melalui API). `UpdateEnabledBaseline`
+ Setelah Anda memperbarui versi baseline, semua akun dalam OU tersebut menerima sumber daya berdasarkan versi baseline yang baru.
**catatan**
Jika Anda memperbarui landing zone AWS Control Tower dari versi 2.X apa pun ke versi 3.X apa pun, Anda juga harus memperbarui versi dasar di jalur Anda OUs, karena perubahan dari jalur tingkat akun ke tingkat organisasi. AWS CloudTrail Di konsol, OU Anda akan menampilkan status **Pembaruan yang diperlukan**.
**Pertimbangan untuk baseline**
+ Jika OU Anda memerlukan pembaruan dasar, Anda tidak dapat menyediakan akun baru atau mendaftarkan akun yang ada ke OU tersebut.
+ Setelah pembaruan landing zone, jika Anda juga berencana untuk memperbarui baseline OU, Anda harus mendaftarkan ulang OU atau memperbarui versi dasar OU Anda secara terprogram.
+ Kami menyarankan Anda memperbarui ke baseline tertinggi yang kompatibel untuk versi landing zone yang Anda gunakan, sehingga Anda mendapatkan semua manfaat dari landing zone dan baseline gabungan. Misalnya, jika Anda memperbarui ke landing zone versi 3.3, Anda dapat tetap menggunakan baseline 3.0, tetapi Anda tidak mendapatkan setiap manfaat dari landing zone versi 3.3 kecuali Anda juga memperbarui ke baseline 4.0.
+ Pembaruan dasar tidak dapat diputar kembali.
+ Pemberdayaan dasar menargetkan satu OU pada satu waktu. Oleh karena itu, OUs bersarang tidak diperbarui secara otomatis ketika OU induk diperbarui. Kami menyarankan Anda memperbarui OU induk sebelum memperbarui nested OUs.
+ Saat Anda memanggil `UpdateEnabledBaseline` API atau mendaftarkan ulang OU dari konsol, OU mempertahankan semua kontrol yang diaktifkan sebelum pembaruan dasar.
+ Bila beberapa versi baseline kompatibel dengan versi landing zone Anda, Anda harus menggunakan versi baseline terbaru jika Anda mengaktifkan baseline pada OU yang tidak dikelola.
# Contoh: Daftarkan AWS Control Tower OU APIs hanya dengan
Panduan contoh ini adalah dokumen pendamping. Untuk penjelasan, peringatan, dan informasi lebih lanjut, lihat. [Jenis baseline](types-of-baselines.md)
**Prasyarat**
Anda harus memiliki OU yang sudah ada yang tidak terdaftar di AWS Control Tower, dan yang ingin Anda daftarkan. Atau, Anda harus memiliki OU terdaftar yang ingin Anda daftarkan ulang untuk tujuan pembaruan.
**Daftarkan OU**
1. Periksa apakah `IdentityCenterBaseline` diaktifkan untuk landing zone. Jika demikian, dapatkan Identity Center Enabled Baseline identifier.
```
aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
```
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==``].[arn]'
```
1. Dapatkan ARN dari target OU.
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. Dapatkan ARN dari baseline. `AWSControlTowerBaseline`
```
aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'
```
1. Buat `AWSControlTowerBaseline` baseline pada target OU.
*Jika Garis Dasar Pusat Identitas diaktifkan:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":""}]'
```
*Jika Garis Dasar Pusat Identitas tidak diaktifkan, hilangkan `parameters` bendera, sebagai berikut:*
```
aws controltower enable-baseline --baseline-identifier --baseline-version --target-identifier
```
**Registrasi ulang OU**
Setelah Anda melakukan pembaruan pada pengaturan landing zone, atau memperbarui versi landing zone Anda, Anda harus **mendaftar ulang** OUs untuk memberi mereka perubahan terbaru. Ikuti langkah-langkah ini untuk mendaftarkan ulang OU secara terprogram, dengan mengatur ulang sumber daya terkait dan `EnabledBaseline` sumber daya terkait. `EnabledControl`
**penting**
Jika OU mengaktifkan kontrol opsional, Anda juga harus memanggil [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)API untuk setiap kontrol opsional yang diaktifkan setelah mengatur ulang baseline. Langkah ini memastikan bahwa kontrol opsional tetap konsisten dengan konfigurasi landing zone terbaru. Jika Anda melewati langkah ini, kontrol opsional pada OU mungkin tidak mencerminkan perubahan landing zone terbaru. Jika Anda tidak mengaktifkan kontrol opsional, langkah ini tidak diperlukan.
1. Dapatkan ARN dari target OU untuk mendaftar ulang.
```
aws organizations describe-organizational-unit --organizational-unit-id --query 'OrganizationalUnit.[Arn]'
```
1. Dapatkan ARN `EnabledBaseline` sumber daya untuk target OU.
```
aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==``].[arn]'
```
1. Setel ulang Baseline yang Diaktifkan.
```
aws controltower reset-enabled-baseline --enabled-baseline-identifier
```
1. Jika OU mengaktifkan kontrol opsional, daftarkan kontrol yang diaktifkan untuk OU dan atur ulang masing-masing sehingga tetap konsisten dengan konfigurasi landing zone terbaru.
Buat daftar kontrol yang diaktifkan pada target OU:
```
aws controltower list-enabled-controls --target-identifier
```
Untuk setiap kontrol opsional yang diaktifkan kembali, setel ulang dengan memanggil:
```
aws controltower reset-enabled-control --enabled-control-identifier
```
Untuk informasi selengkapnya, lihat [ResetEnabledControl](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)di *Referensi API AWS Control Tower*.
# Contoh untuk penggunaan API baseline
Bagian ini berisi contoh parameter input dan output untuk APIs baseline AWS Control Tower.
## `DisableBaseline`
Untuk informasi selengkapnya tentang operasi API ini, lihat [DisableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html).
`DisableBaseline`masukan:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789"
}
```
`DisableBaseline`keluaran:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
`DisableBaseline`Contoh CLI:
```
aws controltower disable-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/AB12CD34EF56GH789 \
--region us-west-2
```
## `EnableBaseline`
Untuk informasi selengkapnya tentang operasi API ini, lihat [EnableBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_EnableBaseline.html).
`EnableBaseline`masukan:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"baselineVersion": "3.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`EnableBaseline`output, mengembalikan sumber daya baru:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAGF7TNOHRD7ES5VV"
}
```
`EnableBaseline`Contoh CLI:
Contoh ini menunjukkan mengaktifkan baseline untuk AWS Organizations organisasi yang memiliki landing zone yang ikut serta ke akses AWS IAM Identity Center, yang dikelola oleh AWS Control Tower. Untuk mengambil `EnabledBaseline` identifier Pusat Identitas Anda, Anda dapat memanggil `ListEnabledBaselines` API, memfilter pada garis dasar Pusat Identitas: `(arn:aws:controltower:Region::baseline/LN25R72TTG6IGPTQ)`
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
Respons akan menunjukkan `EnabledBaseline` detail, yang menunjukkan pengenalnya.
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ",
"targetIdentifier": "arn:aws:organizations::123456789012:account/o-aq21sw43de5/123456789012",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
```
**catatan**
Catat nilai ARN dari respons, dan berikan nilai ini sebagai parameter untuk mengaktifkan baseline default.
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```
Untuk organisasi dengan landing zone opted-out dari manajemen AWS Control Tower IAM Identity Center, aktifkan baseline tanpa parameter.
```
aws controltower enable-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--baseline-version 3.0 \
--target-identifier arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65 \
--region us-west-2
```
## `GetBaseline`
Untuk informasi selengkapnya tentang operasi API ini, lihat [GetBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaseline.html).
`GetBaseline`masukan:
```
{
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2"
}
```
`GetBaseline`keluaran:
```
{
"arn": "arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance.",
}
```
`GetBaseline`Contoh CLI:
```
aws controltower get-baseline \
--baseline-identifier arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `GetBaselineOperation`
Untuk informasi selengkapnya tentang operasi API ini, lihat [GetBaselineOperation](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetBaselineOperation.html).
`GetBaselineOperation`masukan:
```
{
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
```
`GetBaselineOperation`keluaran:
```
{
"baselineOperation": {
"operationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f",
"operationType": "DISABLE_BASELINE",
"status": "FAILED",
"startTime": "2023-01-12T19:05:00Z",
"endTime": "2023-01-12T19:45:00Z",
"statusMessage": "Can't perform DisableBaseline on a parent target with governed child OUs"
}
}
```
`GetBaselineOperation`Contoh CLI:
```
aws controltower get-baseline-operation \
--operation-identifier 58f12232-26be-4735-a3e9-dd30d90f021f \
--region us-west-2
```
## `GetEnabledBaseline`
Untuk informasi selengkapnya tentang operasi API ini, lihat [GetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_GetEnabledBaseline.html).
`GetEnabledBaseline`masukan:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
```
`GetEnabledBaseline`keluaran:
```
{
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
}
```
`GetEnabledBaseline`Contoh CLI:
```
aws controltower get-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `ListBaselines`
Untuk informasi selengkapnya tentang operasi API ini, lihat [ListBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListBaselines.html).
`ListBaselines`input (menggunakan input opsional):
```
{
"nextToken": "AbCd1234",
"maxResults": "4"
}
```
`ListBaselines`keluaran:
```
{
"baselines": [
{
"arn": "arn:aws:controltower:us-east-1::baseline/4T4HA1KMO10S6311",
"name": "AuditBaseline",
"description": "Sets up resources to monitor security and compliance of accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/J8HX46AHS5MIKQPD",
"name": "LogArchiveBaseline",
"description": "Sets up a central repository for logs of API activities and resource configurations from accounts in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/LN25R72TTG6IGPTQ",
"name": "IdentityCenterBaseline",
"description": "Sets up shared resources for AWS Identity Center, which prepares the AWSControlTowerBaseline to set up Identity Center access for accounts."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2",
"name": "AWSControlTowerBaseline",
"description": "Sets up resources and mandatory controls for member accounts within the target OU, required for AWS Control Tower governance."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/3WPD0NA6TJ9AOMU2",
"name": "BackupCentralVaultBaseline",
"description": "Sets up central AWS Backup vault in your organization."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/H6C5JFCJJ3CPU3J5",
"name": "BackupManagerBaseline",
"description": "Sets up delegated admin and AWS Backup Audit Manager."
},
{
"arn": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"name": "BackupBaseline",
"description": "Sets up local Backup vault and attach Backup policy."
}
]
}
```
`ListBaselines`Contoh CLI:
```
aws controltower list-baselines \
--region us-west-2
```
## `ListEnabledBaselines`
`ListEnabledBaselines`API memiliki parameter opsional yang memungkinkan Anda untuk melihat garis dasar yang berlaku untuk akun yang merupakan anggota OU. Contoh berikut menunjukkan beberapa perintah CLI yang dapat Anda gunakan untuk melihat garis dasar untuk akun. AWS Control Tower mengacu pada baseline ini, yang diaktifkan pada OU, tetapi berlaku untuk setiap akun dalam OU, sebagai *baseline yang diaktifkan anak*, karena mereka memperoleh konfigurasi tata kelola mereka dari baseline yang diterapkan pada OU.
Untuk informasi selengkapnya tentang operasi API ini, lihat [ListEnabledBaselines](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html).
`ListEnabledBaselines`masukan untuk menampilkan baseline yang diaktifkan anak:
```
aws controltower list-enabled-baselines --include-children
```
`ListEnabledBaselines`output untuk melihat garis dasar yang diaktifkan anak:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XO2UQ1PC6BB5085S5",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "07d6d2b8-e357-4f96-ba00-98ea88143445",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:ou/o-vaex10vaey/ou-k86y-ld9k8vpu"
},
{
"arn": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XAFPKQQXOJB50ZWQH",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline/APO9ATVPBKFRRGLK",
"baselineVersion": "1.0",
"parentIdentifier": "arn:aws:controltower:us-east-1:666355521292:enabledbaseline/XOIZ4G08CWB50ZWON",
"statusSummary": {
"lastOperationIdentifier": "3508793e-48c8-4895-965b-3dc6abd52b6b",
"status": "SUCCEEDED"
},
"targetIdentifier": "arn:aws:organizations::666355521292:account/o-vaex10vaey/183295447314"
}
]
```
**catatan**
Pada contoh sebelumnya, `parentIdentifier` bidang menunjukkan baseline yang diaktifkan dari OU induk untuk baseline yang diaktifkan anak ini.
Lihat semua baseline yang diterapkan pada target tertentu (OU atau akun):
```
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["TARGET_ARN"]
}
```
Lihat semua OUs yang memiliki garis dasar tertentu:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}'
```
Lihat semua OUs dan akun yang memiliki baseline tertentu:
```
aws controltower list-enabled-baselines \
--filter '{
"baselineIdentifiers": ["BASELINE_ARN"]
}' \
--include-children
```
Lihat semua akun di OU yang mengaktifkan Baseline B:
```
### First fetch the enabled baseline record for Baseline B on the OU
aws controltower list-enabled-baselines \
--filter '{
"targetIdentifiers": ["OU_TARGET_ARN"],
"baselineIdentifiers": ["BASELINE_ARN_FOR_BASELINE_B"]
}'
### Call ListEnabled baseline to fetch all accounts that have their parent as the enabled baseline record on the OU
aws controltower list-enabled-baselines \
--filter '{
"parentIdentifiers": ["ENABLED_BASELINE_ARN_FOR_OU"]
}' \
--include-children
```
**Lebih lanjut tentang baseline yang diaktifkan anak**
Anda dapat menggunakan `GetEnabledBaseline` API untuk melihat informasi terperinci tentang baseline yang diaktifkan anak tertentu
Anda dapat menggunakan `GetBaselineOperation` API untuk melihat operasi yang dilakukan pada baseline yang diaktifkan anak
Anda tidak dapat memanggil tulisan apa pun APIs, seperti`EnableBaseline`,, `ResetEnabledBaseline` atau `UpdateEnabledBaseline``DisableBaseline`, pada baseline yang diaktifkan anak secara langsung.
Sumber daya dasar yang diaktifkan anak dapat dimodifikasi hanya dengan menggunakan layanan AWS Control Tower, melalui operasi yang dilakukan pada OU induk, atau melalui Account Factory.
Contoh untuk menggunakan filter:
`ListEnabledBaselines`masukan (tidak ada filter):
```
{
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines`input (hanya `baselineIdentifiers` filter):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2', 'arn:aws:controltower:us-east-1::baseline/12GZU8CKZKVMS2AW']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines`input (hanya `targetIdentifiers` filter):
```
{
"filter": {
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317', 'arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-11q6n2cf']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 2
}
```
`ListEnabledBaselines`input (`baselineIdentifiers`dan `targetIdentifiers` filter):
```
{
"filter": {
"baselineIdentifiers": ['arn:aws:controltower:us-east-1::baseline/17BSJV3IGJ2QSGA2']
"targetIdentifiers": ['arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317']
},
"nextToken": "bde7-XX0c6fXXXXXX",
"maxResults": 5
}
```
`ListEnabledBaselines`keluaran:
```
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "3.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-kgj0txdhpa/ou-r9mj-4j3mzjql",
"statusSummary": {
"status": "SUCCEEDED",
"lastOperationIdentifier": "58f12232-26be-4735-a3e9-dd30d90f021f"
}
},
{
"arn": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineIdentifier": "arn:aws:controltower:us-east-1::baseline:17BSJV3IGJ2QSGA2",
"baselineVersion": "4.0",
"targetIdentifier": "arn:aws:organizations::123456789012:ou/o-s9511vn103/ou-xqj7-fex1u317",
"statusSummary": {
"status": "FAILED",
"lastOperationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
}
],
"nextToken": "e2bXXXXX6cab"
}
```
Contoh CLI dengan satu jenis filter (`baselineIdentifiers`filter):
```
aws controltower list-enabled-baselines \
--filter baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2,arn:aws:controltower:us-west-2::baseline/LN25R72TTG6IGPTQ \
--region us-west-2
```
Contoh CLI menggunakan beberapa filter (`baselineIdentifiers`dan `targetIdentifiers` filter):
```
aws controltower list-enabled-baselines \
--filter targetIdentifiers=arn:aws:organizations::123456789012:ou/o-aq21sw43de5/ou-po90-lk87jh65,baselineIdentifiers=arn:aws:controltower:us-west-2::baseline/17BSJV3IGJ2QSGA2 \
--region us-west-2
```
## `ResetEnabledBaseline`
Untuk informasi selengkapnya tentang operasi API ini, lihat [ResetEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html).
`ResetEnabledbaseline`masukan:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL"
}
```
`ResetEnabledBaseline`keluaran:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
`ResetEnabledBaseline`Contoh CLI:
```
aws controltower reset-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--region us-west-2
```
## `UpdateEnabledBaseline`
Untuk informasi selengkapnya tentang operasi API ini, lihat [UpdateEnabledBaseline](https://docs.aws.amazon.com//controltower/latest/APIReference/API_UpdateEnabledBaseline.html).
`UpdateEnabledBaseline`masukan:
```
{
"enabledBaselineIdentifier": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAJ9NKW88AA4W9CLL",
"baselineVersion": "4.0",
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": "arn:aws:controltower:us-east-1:123456789012:enabledbaseline/XAHCR4CJTSI4W07MZ"
}
]
}
```
`UpdateEnabledBaseline`keluaran:
```
{
"operationIdentifier": "81e02df1-2b4d-48f0-838f-3833b93dcdc0"
}
```
`UpdateEnabledBaseline`Contoh CLI:
```
aws controltower update-enabled-baseline \
--enabled-baseline-identifier arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC \
--baseline-version 4.0
--parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"arn:aws:controltower:us-west-2:123456789012:enabledbaseline/XAHXS7P6C4I453EZC"}]' \
--region us-west-2
```